华赛防火墙USG2110通过ASDL上网配置脚本全接触(二)

# PPPOE 配置：

 

//1.设置PPPoE拨号参数
dialer-rule 1 ip permit //配置拨号访问控制列表，匹配上才触发拨号
interface Dialer1 //创建一个dialer口
link-protocol ppp //设置链路层协议为PPP

ppp pap local-user dsl520 password simple 520 //PAP认证方式，拨号的用户名密码

ppp chap user dsl520 //配置CHAP认证方式，由于不知道对端到底采用PAP还是CHAP，所以两个认证方式都配上
ppp chap password simple 520
ip address ppp-negotiate //配置地址由对端宽带接入设备分配
dialer user swdsl3379202 //配置触发拨号的用户，user是电信上网账号
dialer-group 1 //配置Dialer 1接口所属的拨号访问组，这个数字与dialer-rule编号一致
dialer bundle 1 //配置此拨号串编号，指定拨号口使用的dialer bundle。
//2.将dialer口绑定到出接口上，数字与dialer bundle一致
# 创建一个PPPoE会话，并且指定该会话所对应的Dialer接口拨号池的编号是1，PPPoE的会话方式为永久在线方式。

interface gigabitEthernet0/0/0
pppoe-client dial-bundle-number 1
//3.将相关接口加入域，配置Dialer口加入Untrust区域
firewall zone untrust
add interface Dialer1
//4.配置域间包过滤和NAT转换，采用easy ip方式，出口采用dialer口

#配置包过滤规则

Firewall pa-fi default permit all

#配置NAT规则，根据访问列表规定，内网到外网在outbound方向上应用地址转换êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall interzone trust untrust  êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
nat outbound 2000 interface  dialer 1

 

上述命令005版本不支持这个命令，用：

nat-policy interzone trust untrust outbound

 policy 1

  action source-nat

  policy source 192.168.11.0 0.0.0.255

  easy-ip Dialer1

如果要增加允许其他网段或具体IP访问，就做另外的policy 2、3等。

//5.配置默认路由，由dialer口出去
ip route-static 0.0.0.0 0.0.0.0 Dialer1
//6.开启trust和untrust区域到local区域的默认包过滤
firewall packet-filter default permit interzone local trust
firewall packet-filter default permit interzone local untrust

firewall packet-filter default permit interzone trust untrust direction inbound

firewall packet-filter default permit interzone trust untrust direction outbound

 

 

本文出自 “东里郎” 博客，谢绝转载！