USG GSHDSL链路接入配置手册.docx
《USG GSHDSL链路接入配置手册.docx》由会员分享,可在线阅读,更多相关《USG GSHDSL链路接入配置手册.docx(9页珍藏版)》请在冰豆网上搜索。
USGGSHDSL链路接入配置手册
G.SHDSL链路接入
G.SHDSL是一种高速对称的传输技术,利用了普通电话线中未使用的高频频段,通过不同的调制方法,在双绞铜线上实现高速数据传输。
其速率可达到5.636Mbit/s。
如果您所在区域部署了G.SHDSL链路,请阅读此节。
组网需求
某企业(或家庭)从运营商处购买了G.SHDSL宽带服务,获得的G.SHDSL账号的用户名为shdsluser,密码为Admin@123。
企业(或家庭)的用户希望利用USG通过G.SHDSL链路接入Internet。
图1G.SHDSL链路接入Internet
项目
数据
说明
从运营商处获取到的信息
SHDSL账号:
shdsluser
密码:
Admin@123
注意:
该参数作为接入Internet的必备数据,建议优先从运营商处获取该数据,然后再准备其他数据。
PVC:
0/35
封装类型:
LLC/SNAP
(1)
物理接口:
Atm2/0/0(G.SHDSL接口)
逻辑接口:
Dialer1
IP地址:
自协商获得
安全区域:
Untrust
ATM2/0/0是G.SHDSL接口卡上的接口,Dialer0接口通过G.SHDSL拨号自协商获取IP地址。
(2)
物理接口:
Ethernet1/0/0
逻辑接口:
Vlanif1
IP地址:
192.168.0.1/24
安全区域:
Trust
Ethernet1/0/0是连接交换机的二层接口。
缺省情况下,所有二层接口都属于VLAN1,Vlanif1的IP地址为192.168.0.1/24。
VLAN1中用户通过DHCP获取到的IP地址范围是192.168.0.2~192.168.0.254
配置思路
1.如图1所示,用电话线连接USG上的G.SHDSL接口和运营商的电话接口(如果需要同时使用电话,中间可接G.SHDSL分离器)。
用网线连接USG上的二层以太网接口(LAN0-LAN7)和交换机(交换机连接企业或家庭的所有电脑)。
2.接入Internet首先要获取IP地址,因此为了使USG能够从运营商处协商获取IP地址和DNS服务器IP地址,需要配置Dialer接口、G.SHDSL接口(配置界面上显示为Atm接口)和PPPoE会话。
3.为了能够组建企业内部局域网,局域网内的电脑需要从USG获取IP地址和DNS服务器的IP地址,因此需要将USG的二层以太网接口加入VLAN,并在Vlanif上配置IP地址和DHCP功能。
4.为了局域网用户和Internet间的流量通过,需要将Vlanif和Dialer接口加入相应的安全区域,并配置域间包过滤规则。
5.为了确保局域网用户访问Internet时路由可达,需要配置下一跳为Dialer接口的缺省路由。
6.为了实现多个局域网用户能够同时访问Internet,需要配置基于接口的NAT。
操作步骤
1.配置Dialer接口,使Dialer接口能够从运营商处协商获取IP地址和DNS服务器IP地址。
#配置拨号访问组对应的拨号规则,允许所有IP报文进行拨号。
system-view
[USG]dialer-rule1ippermit
#创建Dialer1接口,并进入Dialer视图。
[USG]interfaceDialer1
#配置将该Dialer接口加入拨号访问组,从而与指定的拨号规则关联起来。
[USG-Dialer1]dialer-group1
注意:
必须确保命令dialer-group中的参数group-number和dialer-rule中的参数group-number保持一致。
#配置使用协商方式获取IP地址。
[USG-Dialer1]ipaddressppp-negotiate
#配置使用协商方式获取DNS服务器的IP地址。
[USG-Dialer1]pppipcpdnsadmit-any
#配置PAP和CHAP拨号认证,用户名和密码为G.SHDSL账号的用户名和密码。
[USG-Dialer1]ppppaplocal-usershdsluserpasswordcipherAdmin@123
[USG-Dialer1]pppchapusershdsluser
[USG-Dialer1]pppchappasswordcipherAdmin@123
说明:
本举例配置了PAP和CHAP两种认证方式。
如果知道对端设备的认证方式,可以只配置PAP认证或者CHAP认证。
#开启共享DCC,其中user-name可用任意值,比如admin,abc。
[USG-Dialer1]dialeruseradmin
#指定拨号口使用的dialerbundle。
[USG-Dialer1]dialerbundle1
[USG-Dialer1]quit
2.配置G.SHDSL接口。
#创建虚拟以太网接口Virtual-Ethernet1。
[USG]interfaceVirtual-Ethernet1
[USG-Virtual-Ethernet1]quit
#配置PVC值和封装类型。
这两个参数的取值需要与对端设备保持一致,因此需要从运营商处获取。
本举例中PVC值为0/35,封装类型为LLC/SNAP。
[USG]interfaceAtm2/0/0
[USG-Atm2/0/0]pvc0/35
[USG-Atm2/0/0-0/35]encapsulationllc
#配置PVC与虚拟以太网接口Virtual-Ethernet1的映射,Virtual-Ethernet1用于建立PPPoE会话。
[USG-Atm2/0/0-0/35]mapbridgevirtual-ethernet1
[USG-Atm2/0/0-0/35]quit
[USG-Atm2/0/0]quit
3.创建一个PPPoE会话,并且指定dialerbundle为1(需要和Dialer口的配置相同),PPPoE的会话方式为永久在线方式。
4.[USG]interfaceVirtual-Ethernet1
5.[USG-Virtual-Ethernet1]pppoe-clientdial-bundle-number1
[USG-Virtual-Ethernet1]quit
6.配置Vlanif(下行接口),通过DHCP给局域网的电脑分配IP地址和DNS地址。
说明:
本例以USG2110-X/2100、USG2100BSR/HSR系列设备为例进行说明,缺省情况下,这些设备二层接口都属于VLAN1,Vlanif1的IP地址为192.168.0.1/24。
#配置将USG的二层以太网接口(LAN0~LAN7)加入Vlan1。
[USG]VLAN1
[USG-vlan-1]portEthernet1/0/0to1/0/7
#创建Vlanif1并配置IP地址。
[USG]interfaceVlanif1
[USG-Vlanif1]ipaddress192.168.0.124
[USG-Vlanif1]quit
#配置基于接口的DHCP功能,使Vlanif1为局域网内的电脑分配IP地址。
[USG]dhcpenable
[USG]interfaceVlanif1
[USG-Vlanif1]dhcpselectinterface
#配置DNS的地址借用功能,使局域网内电脑获得的DNS地址为Dialer接口拨号后从运营商获得的地址。
[USG-Vlanif1]dhcpserverdns-listunnumberedinterfaceDialer1
[USG-Vlanif1]quit
7.配置域间包过滤规则,实现局域网用户和Internet间的流量通过。
#配置将Vlanif1加入到Trust区域,即将局域网部署在Trust区域。
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceVlanif1
[USG-zone-trust]quit
#配置将Dialer1加入到Untrust区域,即将Internet部署在Untrust区域。
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceDialer1
[USG-zone-untrust]quit
#开启域间包过滤规则,确保各种业务顺利进行。
[USG]policyinterzonetrustuntrustoutbound
[USG-policy-interzone-trust-untrust-outbound]policy0
[USG-policy-interzone-trust-untrust-outbound-0]policysource192.168.0.00.0.255.255
[USG-policy-interzone-trust-untrust-outbound-0]actionpermit
[USG-policy-interzone-trust-untrust-outbound-0]quit
[USG-policy-interzone-trust-untrust-outbound]quit
说明:
当对网络安全性要求较高时,建议通过policy命令对域间数据流进行访问控制。
8.配置缺省路由,确保局域网用户访问Internet路由可达。
[USG]iproute-static0.0.0.00.0.0.0Dialer1
9.配置NAT,实现多个局域网用户能够同时访问Internet。
10.[USG]nat-policyinterzonetrustuntrustoutbound
11.[USG-nat-policy-interzone-trust-untrust-outbound]policy1
12.[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat
13.[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource192.168.0.00.0.0.255
14.[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipDialer1
15.[USG-nat-policy-interzone-trust-untrust-outbound-1]quit
[USG-nat-policy-interzone-trust-untrust-outbound]quit
结果验证
∙检查上行链路
执行displayinterfacedialer命令,查看Dialer接口是否拨号成功。
[USG]displayinterfacedialer1
Dialer1currentstate:
UP
Lineprotocolcurrentstate:
UP(spoofing)
Dialer1currentfirewallzone:
untrust
Description:
Dialer1Interface,RoutePort
TheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)
InternetAddressisnegotiated,202.98.215.61/32
LinklayerprotocolisPPP
LCPinitial
PhysicalisDialer
Last5minutesinputrate9352bits/s,4packets/s
Last5minutesoutputrate41992bits/s,5packets/s
2902packetsinput,643968bytes,0drops
4484packetsoutput,3967757bytes,0drops
BoundtoDialer1:
1
Dialer1:
1currentstate:
UP
Lineprotocolcurrentstate:
UP
LinklayerprotocolisPPP
LCPopened,IPCPopened
PrimaryDNSAddressis202.106.0.20
CurrentConnectTime:
0day(s),13hour(s),1minute(s),16second(s)
由此可见,设备从运营商处获得了IP地址和DNS地址。
∙检查下行链路
在局域网内的电脑上通过ipconfig/all命令检查是否正确分配到IP地址和DNS地址。
C:
\DocumentsandSettings\Administrator>ipconfig/all
WindowsIPConfiguration
HostName:
test
PrimaryDnsSuffix.......:
NodeType............:
Hybrid
IPRoutingEnabled........:
No
WINSProxyEnabled........:
No
DNSSuffixSearchList......:
Ethernetadapter1:
Connection-specificDNSSuffix.:
Description...........:
RealtekRTL8139/810xFamilyFastEthernetNIC
PhysicalAddress.........:
00-1B-B9-7A-7D-61
DhcpEnabled...........:
Yes
AutoconfigurationEnabled....:
Yes
IPAddress............:
192.168.0.5
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
192.168.0.1
DHCPServer...........:
192.168.0.1
DNSServers...........:
202.106.0.20
由此可见,电脑获得了DNS服务器地址和IP地址。
∙检查局域网内电脑是否能通过域名访问Internet,例如访问jackme空气净化器,若能访问,则表示配置成功。
否则,请检查配置。
配置脚本
#
sysnameUSG
#
dialer-rule1ippermit
#
interfaceDialer1
link-protocolppp
pppchapusershdsluser
pppchappasswordcipher%$%$Gal~X`28S/.m]\*fuO|',{ri%$%$
ppppaplocal-usershdsluserpasswordcipher%$%$Gal~X`28S/.m]\*fuO|',{ri%$%$
ipaddressppp-negotiate
pppipdnsadmit-any
dialeruseradmin
dialer-group1
dialerbundle1
#
interfaceVlanif1
ipaddress192.168.0.1255.255.255.0
dhcpselectinterface
dhcpserverdns-listunnumberedinterfaceDialer1
#
interfaceAtm2/0/0
pvc0/35
mapbridgeVirtual-Ethernet1
#
interfaceVirtual-Ethernet1
pppoe-clientdial-bundle-number1
#
firewallzonelocal
setpriority100
#
firewallzonetrust
setpriority85
addinterfaceVlanif1
#
firewallzoneuntrust
setpriority5
addinterfaceDialer1
#
iproute-static0.0.0.00.0.0.0Dialer1
#
policyinterzonetrustuntrustoutbound
policy0
actionpermit
policysourcepolicysource192.168.0.00.0.255.255
#
nat-policyinterzonetrustuntrustoutbound
policy1
actionsource-nat
policysource192.168.0.00.0.0.255
easy-ipDialer1
#
return