Contenido

6 Acceso a Internet usando una interfaz

6.1 CLI: Ejemplo para acceder a Internet usando una dirección IPv4 estática
6.2 CLI: Ejemplo para acceder a Internet mediante PPPoE de IPv4
6.3 CLI: Ejemplo para acceder a Internet mediante DHCP
6.4 CLI: Ejemplo para configurar una interfaz celular 4G LTE como la interfaz principal para conectarse a Internet

6 Acceso a Internet usando una interfaz

 6.1 CLI: Ejemplo para acceder a Internet mediante una dirección IPv4 estática
A FW se le asigna una dirección IPv4 estática para acceder a Internet y proporciona servicios de acceso para
usuarios de intranet.

 6.2 CLI: Ejemplo para acceder a Internet mediante PPPoE IPv4

Esta sección proporciona un ejemplo para configurar el dispositivo, que funciona como un cliente PPPoE, para
obtener una dirección IP marcando un servidor de operador a través de PPPoE y luego para acceder a Internet.

 6.3 CLI: Ejemplo para acceder a Internet mediante DHCP

Esta sección proporciona un ejemplo para configurar un FW como cliente DHCP que solicita una dirección IPv4
para acceder a Internet.

 6.4 CLI: Ejemplo para configurar una interfaz celular 4G LTE como la interfaz principal para conectarse a
Internet

6.1 CLI: Ejemplo para acceder a Internet usando una dirección IPv4
estática
A FW se le asigna una dirección IPv4 estática para acceder a Internet y proporciona servicios de acceso para los usuarios
de la intranet.

Requisitos de red
Una empresa implementa un FW como una puerta de enlace de seguridad en la red que se muestra en la Figura 6-1 y
compra servicios de banda ancha de un ISP.
Los requisitos de red son los siguientes:
 Las PC de intranet se comunican entre sí mediante direcciones en el segmento de red 10.3.0.0/24. El FW asigna
direcciones de red privada y una dirección de servidor DNS a las PC.
 Intranet PC puede acceder a Internet.
Figura 6-1 Enlace Ethernet que conecta las PC de intranet a Internet

La siguiente información se utiliza como ejemplo. Obtenga la información de servicio deseada de su ISP local.
Tabla 6-1 Parámetros proporcionados por un ISP

ít Datos Descripción

Dirección de empresa 1.1.1.1/24 Dirección de red pública que el ISP asigna a la

empresa.

Dirección de la puerta 1.1.1.254 Proporcionado por el ISP

de enlace
predeterminada

Dirección del servidor 9.9.9.9 Proporcionado por el ISP

DNS

Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Asigne direcciones IP a las interfaces y agregue las interfaces a las zonas de seguridad. Establezca la dirección
de la puerta de enlace predeterminada en 1.1.1.254 para GigabitEthernet 1/0/1.
2. Configure la función del servidor DHCP en el FW para asignar direcciones IP y una dirección de servidor
DNS a las PC de la intranet.
3. Configure políticas de seguridad para permitir que las PC accedan a Internet.
4. Configure las políticas NAT para la traducción de la dirección de origen. A medida que el FW traduce las
direcciones privadas en una dirección de red pública fija asignada por el ISP, easy-IP se usa para simplificar la
configuración.

Procedimiento
1. Establezca las direcciones IP de las interfaces y luego asigne las interfaces a las zonas de seguridad.
2. <FW> system-view
3. [FW] interface GigabitEthernet 1/0/1
4. [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
5. [FW-GigabitEthernet1/0/1] quit
6. [FW] interface GigabitEthernet 1/0/3
7. [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
8. [FW-GigabitEthernet1/0/3] quit
9. [FW] firewall zone untrust
10. [FW-zone-untrust] add interface GigabitEthernet 1/0/1
11. [FW-zone-untrust] quit
12. [FW] firewall zone trust
13. [FW-zone-trust] add interface GigabitEthernet 1/0/3
14. [FW-zone-trust] quit
 15. Configure el FW como un servidor DHCPv4.
# Habilitar la función DHCP.
[ FW ] dhcp enable

# Cree un grupo de direcciones de interfaz y especifique la dirección IP de la puerta de enlace predeterminada

y la dirección del servidor DNS para las PC en la intranet.
16. [FW] interface GigabitEthernet 1/0/3
17. [FW-GigabitEthernet1/0/3] dhcp select interface
18. [FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
19. [FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
20. [FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
21. [FW-GigabitEthernet1/0/3] quit

22. Configure una política de seguridad que permita a las PC en la intranet acceder a Internet.
23. [FW] security-policy
24. [FW-security-policy] rule name policy_sec_1
25. [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.0
26. [FW-security-policy-sec_policy_1] source-zone trust
27. [FW-security-policy-sec_policy_1] destination-zone untrust
28. [FW-security-policy-sec_policy_1] action permit
29. [FW-security-policy-sec_policy_1] quit
[FW-security-policy] quit

30. Configure una política de NAT que permita a las PC en la intranet acceder a Internet utilizando la dirección IP
pública derivada de la traducción de la dirección de red.
31. [FW] nat-policy
32. [FW-policy-nat] rule name policy_nat_1
33. [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
34. [FW-policy-nat-rule-policy_nat_1] source-zone trust
35. [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1
36. [FW-policy-nat-rule-policy_nat_1] action nat easy-ip
37. [FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit

38. Configure la ruta predeterminada cuya siguiente dirección IP de salto es 1.1.1.254.

[ FW ] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

Verificación de la configuración
1. Ver detalles sobre GigabitEthernet 1/0/1 y verificar si la interfaz GigabitEthernet 1/0/1 ha obtenido una
dirección IP pública y los estados físico e IPv4 están arriba.
2. [FW] display interface GigabitEthernet 1/0/1
3. GigabitEthernet 1/0/1 current state : UP
4. Line protocol current state : UP
5. GigabitEthernet 1/0/1 current firewall zone : untrust
6. Description : GigabitEthernet 1/0/1 Interface, Route Port
7. The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
8. Internet Address is 1.1.1.1/24
9. IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
10. Media type is twisted pair, loopback not set, promiscuous mode not set
11. 100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
12. max-bandwidth : 100000 Kbps
13. Last physical up time : -
14. Last physical down time : 2015-05-07 20:33:13
15. Current system time: 2015-05-11 10:08:18
16. Max input bit rate:528530448 bits/sec at 2015-05-07 12:53:46
17. Max output bit rate:5280418 bits/sec at 2015-05-07 12:54:26
 18. Max input packet rate:750753 packets/sec at 2015-05-07 22:43:46
19. Max output packet rate:7843 packets/sec at 2015-05-07 22:53:58
20. Last 300 seconds input rate 8 bytes/sec, 0 packets/sec
21. Last 300 seconds output rate 8 bytes/sec, 0 packets/sec
22. Input: 1149 packets, 99478 bytes
23. 12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
24. 0 overruns, 0 runts, 0 jumbos, 0 FCS errors
25. 0 length errors, 0 code errors, 0 align errors
26. 0 fragment errors, 0 giants, 0 jabber errors
27. 0 dribble condition detected, 0 other errors
28. Output: 1104 packets, 94646 bytes
29. 7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
30. 0 underruns, 0 runts, 0 jumbos, 0 FCS errors
31. 0 fragment errors, 0 giants, 0 jabber errors
32. 0 collisions, 0 late collisions
33. 0 ex. collisions, 0 deferred, 0 other errors

34. Ejecute el comando ipconfig / all en una PC para verificar que la PC haya obtenido una dirección IP y DNS
válidas. El siguiente ejemplo utiliza una PC con Windows XP. La salida del comando real puede variar.
35. Ethernet adapter Local Area Connection:
36.
37. Connection-specific DNS Suffix . :
38. Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
39. Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
40. Dhcp Enabled. . . . . . . . . . . : Yes
41. Autoconfiguration Enabled . . . . : Yes
42. IP Address. . . . . . . . . . . . : 10.3.0.2
43. Subnet Mask . . . . . . . . . . . : 255.255.255.0
44. Default Gateway . . . . . . . . . : 10.3.0.1
45. DHCP Server . . . . . . . . . . . : 10.3.0.1
46. DNS Servers . . . . . . . . . . . : 9.9.9.9
47. Lease Obtained. . . . . . . . . . : Tuesday, December 6, 2011, 05:58:28 AM
Lease Expires . . . . . . . . . . : Friday, December 16, 2011, 05:58:28 AM

48. Compruebe si una PC de la intranet puede acceder a un nombre de dominio en Internet. Si la PC puede
acceder a Internet, la configuración se realiza correctamente. Si la PC no puede acceder a Internet, modifique
la configuración e intente nuevamente.

Guión de configuración
#
dhcp enable
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.0
dhcp select interface
dhcp server ip-range 10.3.0.1 10.3.0.254
dhcp server gateway-list 10.3.0.1
dhcp server dns-list 9.9.9.9
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 24
action nat easy-ip
#
return

6.2 CLI: Ejemplo para acceder a Internet mediante PPPoE de IPv4

Esta sección proporciona un ejemplo para configurar el dispositivo, trabajando como un cliente PPPoE, para obtener una
dirección IP marcando un servidor de operador a través de PPPoE y luego para acceder a Internet.

Requisitos de red
Como se muestra en la Figura 6-2 , FW proporciona una salida de Internet para PC en la LAN. La red de la empresa está
prevista de la siguiente manera:
 Todas las PC en la LAN se implementan en el segmento de red 10.1.1.0/24, y obtienen dinámicamente
direcciones IP a través de DHCP.
 El dispositivo se conecta a todas las PC de la empresa a través del enlace descendente.
 El dispositivo se aplica para el servicio de Internet del proveedor a través del enlace ascendente. El servicio de
acceso a Internet se proporciona utilizando el protocolo PPPoE.
De acuerdo con los requisitos anteriores, especifique el FW como un cliente PPPoE. Una vez que el cliente obtiene las
direcciones IP y DNS del servidor del operador, los usuarios de la intranet pueden acceder a Internet.
Figura 6-2 Diagrama de redes de acceso a Internet a través de PPPoE

En este ejemplo, la información proporcionada por el transportista se utiliza solo como referencia.

Datos Descripción

Número de interfaz: GigabitEthernet 1/0/1 El dispositivo obtiene las direcciones IP y DNS del servidor PPPoE
 Datos Descripción

Zona de seguridad: untrust. (implementado por el operador) a través del acceso telefónico.
 Nombre de usuario de acceso telefónico: usuario
 Contraseña de acceso telefónico: contraseña

Número de interfaz: GigabitEthernet 1/0/3 DHCP se utiliza para asignar dinámicamente direcciones IP a PC en la
Dirección IP: 10.3.0.1/24 LAN.
Zona de seguridad: trust

Mapa de configuración
1. Configurar el enlace descendente.
Habilite el servidor DHCP en la interfaz GigabitEthernet 1/0/3 para que asigne dinámicamente las
direcciones IP a las PC, y especifique la dirección IP de la interfaz GigabitEthernet 1/0/3 como la puerta de
enlace y las direcciones del servidor DNS para las PC.
Las PC suelen requerir la resolución de nombres de dominio para acceder a Internet. Por esta razón, se debe
especificar un servidor DNS. En este ejemplo, FW funciona como una retransmisión de DNS.
2. Configure el enlace ascendente y utilice PPPoE para obtener direcciones IP y DNS.
3. Agregue las interfaces en las zonas de seguridad y configure las políticas de seguridad.
Agregue la interfaz conectada a la LAN a una zona de seguridad de alta prioridad (Zona trust), y la interfaz
ascendente conectada a Internet a una zona de seguridad de baja prioridad (Zona untrust).
4. Las direcciones IP utilizadas en las LAN son direcciones IP privadas, que NAT las convierte en direcciones
IP públicas para el acceso a Internet si es necesario. En este ejemplo, la interfaz ascendente obtiene su
dirección IP mediante acceso telefónico. La dirección IP obtenida puede variar para cada conexión de acceso
telefónico. Por lo tanto, se recomienda IP fácil.

Procedimiento
1. Configure la dirección IP de la interfaz GigabitEthernet 1/0/3 .
2. < FW > system-view
3. [ FW ] interface GigabitEthernet 1/0/3
4. [ FW - GigabitEthernet1 / 0/3 ] dirección ip 10.3.0.1 255.255.255.0
5. [ FW - GigabitEthernet1 / 0/3 ] quit

6. Asigna las interfaces a las zonas de seguridad.

7. [FW] firewall zone untrust
8. [FW-zone-untrust] add interface GigabitEthernet 1/0/1
9. [FW-zone-untrust] quit
10. [FW] firewall zone trust
11. [FW-zone-trust] add interface GigabitEthernet 1/0/3
12. [FW-zone-trust] quit

13. Configure el dispositivo como un servidor DHCP para asignar direcciones IP a las PC en la LAN.
# Habilitar la función DHCP.
[FW] dhcp enable
 # Cree un grupo de direcciones de interfaz en la interfaz y especifique el servidor DNS para las PC de la
intranet.
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] dhcp select interface
[FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
[FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
[FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
[FW-GigabitEthernet1/0/3] quit

Configure la interfaz GigabitEthernet 1/0/1 para que obtenga las direcciones IP y DNS utilizando PPPoE.
1. [FW] dialer-rule 1 ip permit
2. [FW] interface Dialer 1
3. [FW-Dialer1] link-protocol ppp
4. [FW-Dialer1] dialer user user
5. [FW-Dialer1] ip address ppp-negotiate
6. [FW-Dialer1] ppp ipcp dns admit-any
7. [FW-Dialer1] dialer-group 1
8. [FW-Dialer1] dialer bundle 1
9. [FW-Dialer1] ppp pap local-user user password cipher password
10. [FW-Dialer1] quit
11. [FW] firewall zone untrust
12. [FW-zone-untrust] add interface Dialer 1
13. [FW-zone-untrust] quit
14. [FW] interface GigabitEthernet 1/0/1
15. [FW-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 ipv4
[FW-GigabitEthernet1/0/1] quit

14. Configure una política de seguridad para permitir que las PC de la intranet accedan a Internet.
15. [FW] security-policy
16. [FW-security-policy] rule name policy_sec_1
17. [FW-security-policy-policy_sec_1] source-address 10.3.0.0 mask 255.255.255.0
18. [FW-security-policy-policy_sec_1] source-zone trust
19. [FW-security-policy-policy_sec_1] destination-zone untrust
20. [FW-security-policy-policy_sec_1] action permit
21. [FW-security-policy-policy_sec_1] quit
[FW-security-policy] quit

22. Configure una política de NAT para permitir que los usuarios de la intranet accedan a Internet.
23. [FW] nat-policy
24. [FW-policy-nat] rule name policy_nat_1
25. [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
26. [FW-policy-nat-rule-policy_nat_1] source-zone trust
27. [FW-policy-nat-rule-policy_nat_1] egress-interface dialer 1
28. [FW-policy-nat-rule-policy_nat_1] action nat easy-ip
29. [FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit

30. Configure una ruta predeterminada para asegurarse de que los usuarios de LAN sean enrutables a Internet. El
siguiente salto es la dirección de la puerta de enlace asignada por el operador a la empresa.
[ FW ] ip route-static 0.0.0.0 0.0.0.0 Dialer 1

Verificación
1. Muestre la información detallada de GigabitEthernet 1/0/1 y verifique si el estado físico y el estado de IPv4
de la interfaz es Arriba.
2. [FW] display interface GigabitEthernet 1/0/1
3. GigabitEthernet 1/0/1 current state : UP
4. Line protocol current state : UP
5. GigabitEthernet 1/0/1 current firewall zone : untrust
6. Description : GigabitEthernet 1/0/1 Interface, Route Port
7. The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
8. Internet Address is 1.1.1.1/24
9. IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
10. Media type is twisted pair, loopback not set, promiscuous mode not set
11. 100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
12. max-bandwidth : 100000 Kbps
13. Max input bit rate:528530448 bits/sec at 2015-05-07 12:53:46
14. Max output bit rate:5280418 bits/sec at 2015-05-07 12:54:26
15. Max input packet rate:750753 packets/sec at 2015-05-07 22:43:46
16. Max output packet rate:7843 packets/sec at 2015-05-07 22:53:58
17. Last 300 seconds input rate 8 bytes/sec, 0 packets/sec
18. Last 300 seconds output rate 8 bytes/sec, 0 packets/sec
19. Input: 1149 packets, 99478 bytes
20. 12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
21. 0 overruns, 0 runts, 0 jumbos, 0 FCS errors
22. 0 length errors, 0 code errors, 0 align errors
23. 0 fragment errors, 0 giants, 0 jabber errors
24. 0 dribble condition detected, 0 other errors
25. Output: 1104 packets, 94646 bytes
26. 7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
27. 0 underruns, 0 runts, 0 jumbos, 0 FCS errors
28. 0 fragment errors, 0 giants, 0 jabber errors
29. 0 collisions, 0 late collisions
30. 0 ex. collisions, 0 deferred, 0 other errors
31.

32. Compruebe si el estado PPPoE de FW está arriba. Compruebe si el valor de los paquetes de salida de sesión
PPPoE (OutP) no es 0.
33. [FW] display pppoe-client session summary
34. PPPoE Client Session:
35. ID Bundle Dialer Intf Client-MAC Server-MAC State
36. 0 1 1 GE1/0/1 00e0fc0254f3 00049a23b050 PPPUP
37. [FW] display pppoe-client session packet
38. 17:17:05 2015/11/28
39. PPPoE Client Session:
40. ID InP InO InD OutP OutO OutD
41. 0 0 0 0 254 7620 0

42. En una PC LAN, ejecute el comando ipconfig / all para verificar si las direcciones IP y DNS privadas se han
configurado correctamente para el adaptador de red. Lo siguiente usa Windows XP como ejemplo.
43. Ethernet adapter Local:
44.
45. Connection-specific DNS Suffix . :
46. Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
47. Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
48. Dhcp Enabled. . . . . . . . . . . : Yes
49. Autoconfiguration Enabled . . . . : Yes
50. IP Address. . . . . . . . . . . . : 10.3.0.3
51. Subnet Mask . . . . . . . . . . . : 255.255.255.0
52. Default Gateway . . . . . . . . . : 10.3.0.1
53. DHCP Server . . . . . . . . . . . : 10.3.0.1
54. DNS Servers . . . . . . . . . . . : 9.9.9.9
55. Lease Obtained. . . . . . . . . . : 2012-8-2 9:38:14
Lease Expires . . . . . . . . . . : 2012-8-13 9:38:14
 56. Compruebe si las PC de LAN pueden acceder a los nombres de dominio en Internet. Si es así, las
configuraciones son correctas. Si no, compruebe y corrija las configuraciones.

Guión de configuración
#
interface GigabitEthernet1/0/1
pppoe-client dial-bundle-number 1 ipv4
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 24
dhcp select interface
dhcp server ip-range 10.3.0.1 10.3.0.254
dhcp server gateway-list 10.3.0.1
dhcp server dns-list 9.9.9.9
#
dhcp enable
#
interface Dialer1
link-protocol ppp
ppp chap user user
ppp chap password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$
ppp pap local-user user password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$
ppp ipcp dns admit-any
ip address ppp-negotiate
dialer user user
dialer bundle 1
dialer-group 1
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
add interface Dialer1
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 1
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
source-address 10.3.0.0 24
egress-interface dialer 1
action nat easy-ip
#
return

6.3 CLI: Ejemplo para acceder a Internet mediante DHCP

Esta sección proporciona un ejemplo para configurar un FW como cliente DHCP que solicita una dirección IPv4 para
acceder a Internet.

Productos aplicables
USG6000

Requisitos de red
La Figura 6-3 muestra que un FW funciona como una puerta de enlace de salida y conecta las PC en una intranet a
Internet. El plan de la red es el siguiente:
 Un administrador especifica manualmente una dirección IPv4 para cada PC en el segmento de red 10.3.0.0/24.
 Una interfaz con una dirección IPv4 estática conecta el FW a la intranet. (G 1/0/3)
 Otra interfaz en el FW que funciona como cliente DHCP se aplica a una dirección IPv4 del cliente y una
dirección IP del servidor DNS desde un servidor DHCP y conecta la intranet a Internet.
Figura 6-3 Diagrama de red para acceder a Internet mediante DHCP

Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Habilite la función de cliente DHCP en GigabitEthernet 1/0/1 del FW para obtener una dirección IPv4 de
cliente y una dirección de servidor DNS de un servidor DHCP.
2. Especifique una dirección IPv4 estática en GigabitEthernet 1/0/3 que conecte el FW a la intranet.
3. Configure una política de seguridad y una política de NAT (easy-IP) en el FW.
4. Establezca la dirección IP de la puerta de enlace y el servidor DNS en 10.3.0.1. Este ejemplo proporciona el
procedimiento de configuración en el FW. El procedimiento de configuración para las PC no se proporciona
aquí.

NOTA:
Después de que el FW obtiene una dirección IPv4 de un servidor DHCP, el servidor DHCP emite una ruta predeterminada al FW que
funciona como un cliente DHCP. El siguiente salto de la ruta predeterminada es un dispositivo portador. Por lo tanto, no es
necesario configurar una ruta predeterminada.

Procedimiento
 1. Configure la dirección IP de la interfaz y asigne la interfaz a una zona de seguridad.
2. <FW> system-view
3. [FW] interface GigabitEthernet 1/0/3
4. [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 24
5. [FW-GigabitEthernet1/0/3] quit
6. [FW] firewall zone trust
7. [FW-zone-trust] add interface GigabitEthernet 1/0/3
8. [FW] firewall zone untrust
9. [FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit

10. Configure la función de proxy DNS.

11. [FW] dns proxy enable
12. [FW] dns resolve
[FW] dns server unnumbered interface GigabitEthernet1/0/1

13. Configure GigabitEthernet 1/0/1 como un cliente DHCP. Usg6000v

14. [FW] interface GigabitEthernet 1/0/1
15. [FW-GigabitEthernet1/0/1] ip address dhcp-alloc
[FW-GigabitEthernet1/0/1] quit

16. Configure una política de seguridad para permitir que las PC accedan a Internet.
17. [FW] security-policy
18. [FW-security-policy] rule name policy_sec_1
19. [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.128
20. [FW-security-policy-sec_policy_1] source-zone trust
21. [FW-security-policy-sec_policy_1] destination-zone untrust
22. [FW-security-policy-sec_policy_1] action permit
23. [FW-security-policy-sec_policy_1] quit
[FW-security-policy] quit

24. Configure una política de NAT para traducir las direcciones IP de la red privada en direcciones IP de la red
pública antes de que las PC accedan a Internet.
25. [FW] nat-policy
26. [FW-policy-nat] rule name policy_nat_1
27. [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
28. [FW-policy-nat-rule-policy_nat_1] source-zone trust
29. [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1
30. [FW-policy-nat-rule-policy_nat_1] action nat easy-ip
31. [FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit

Verificación de la configuración
1. Compruebe el estado de GigabitEthernet 1/0/1 (enlace ascendente).
a. Seleccione NETWORK > Interface.
b. Verifique que el estado físico y el estado de IPv4 de GigabitEthernet 1/0/1 estén activados, el tipo de
conexión sea DHCP y que la interfaz haya obtenido una dirección IPv4.
2. Compruebe si la PC en la intranet puede acceder a los nombres de dominio en Internet. Si la PC puede acceder
a Internet, la configuración se realiza correctamente. Si la PC no puede acceder a Internet, modifique la
configuración e intente nuevamente.

Guión de configuración
#
dns resolve
 dns server unnumbered interface GigabitEthernet1/0/1
#
dns proxy enable
#
interface GigabitEthernet1/0/1
undo shutdown
ip address dhcp-alloc
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 preference 245
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 25
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 25
action nat easy-ip
#
return

6.4 CLI: Ejemplo para configurar una interfaz celular 4G LTE como la
interfaz principal para conectarse a Internet
Productos aplicables
USG6000

Requisitos de red
Una sucursal remota de la empresa necesita intercambiar grandes volúmenes de tráfico de servicio con redes externas,
pero no puede obtener el servicio de acceso WAN por cable. Como se muestra en la Figura 6-4 , la sucursal utiliza
el FW como puerta de enlace de salida y utiliza una interfaz celular 4G LTE para conectarse a Internet a través de la red
4G LTE, cumpliendo con los requisitos de transmisión de servicio.
La intranet de la sucursal se encuentra en el segmento de red 192.168.100.0/24 y todos los hosts se unen a la VLAN 10.
La sucursal requiere que el FW asigne direcciones IP a los usuarios de la intranet de la sucursal y los usuarios accedan a
las redes externas.
La sucursal se ha suscrito al servicio de ancho de banda de 30 Gbit / s y se conecta a Internet en modo de marcado a
pedido. La sucursal obtiene la siguiente información del transportista:
  APN: ltenet
 Número de marcador: * 99 #
Figura 6-4 Diagrama de red de la configuración de una interfaz celular 4G LTE como la interfaz principal para conectarse a
Internet

Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Configure para asignar la interfaz celular 4G LTE a la zona de seguridad.
2. Configure los parámetros de conexión de la interfaz celular 4G LTE.
3. Configure C-DCC para la conexión de acceso telefónico de modo que la interfaz móvil 4G LTE pueda
conectarse a la red 4G LTE.
4. Configure la intranet de la empresa y el FW para asignar direcciones IP a usuarios de intranet de sucursales.
5. Configure las políticas de seguridad y las políticas de NAT del modo Easy-IP para permitir que los usuarios
de la intranet de la sucursal tengan acceso a redes externas.
6. Configure una ruta predeterminada y especifique la interfaz celular 4G LTE como la interfaz de salida para
que el tráfico de la intranet de la sucursal se reenvíe a Internet a través de la interfaz celular 4G LTE.

Procedimiento
1. Asigna las interfaces a las zonas de seguridad.
2. < FW > system-view
3. [ FW ] zona de firewall untrust
4. [ FW -zone-untrust] agregar interfaz celular 0/0/0
5. [ FW -zone-untrust] salir
6. [ FW ] firewall zone trust
7. [ FW -zone-trust] agregar interfaz GigabitEthernet 1/0/1
8. [ FW -zone-confianza] dejar de fumar

9. Configure los parámetros de conexión de la interfaz celular 4G LTE.

# Crear un perfil de APN.
[ FW ] apn profile lteprofile
[ FW -apn-profile-lteprofile] apn ltenet
[ FW -apn-profile-lteprofile] salir

# Configurar un modo de conexión de red.

[ FW ] interfaz celular 0/0/0
[ FW- Celular0 / 0/0] modo lte automático

# Enlace el perfil APN a la interfaz celular 4G LTE.

[ FW- Celular0 / 0/0] marcador de habilitación circular
[ FW- Celular0 / 0/0] perfil de apn perfil
[ FW- Celular0 / 0/0] apagado
[ FW- Celular0 / 0/0] deshacer apagado
[ FW - Cellular0 / 0/0] quit

10. Configure C-DCC para la conexión de acceso telefónico.

 # Configurar una lista de control de marcador.
[ FW ] dialer-rule 1 ip permit

# Obtener direcciones IP dinámicamente.

[ FW ] interfaz celular 0/0/0
[ FW- Celular0 / 0/0] negociar dirección ip

# Asocie Cellular0 / 0/0 a la lista de control del marcador.

[ FW- Celular0 / 0/0] dialer-group 1

NOTA:
Asegúrese de que el valor de número de grupo en el comando dialer-group sea el mismo que el valor de número de marcador en
el comando dialer-rule .

# Configurar el número del marcador.

Número de marcador [ FW- Celular0 / 0/0] * 99 #
[ FW- Celular0 / 0/0] salir

11. Configurar la intranet de la empresa.

# Habilitar DHCP.
[ FW ] dhcp habilitar

# Crear un grupo de direcciones global.

[ FW ] ip pool 4gpool
[ FW -ip-pool-4gpool] red 192.168.100.0 máscara 255.255.255.0
[ FW -ip-pool-4gpool] gateway-list 192.168.100.1
[ FW -ip-pool-4gpool] quit

# Configurar la interfaz para trabajar en modo de grupo de direcciones global.

[ FW ] interfaz GigabitEthernet 1/0/1
[ FW - GigabitEthernet1 / 0/1 ] dirección IP 192.168.100.1 255.255.255.0
[ FW - GigabitEthernet1 / 0/1 ] dhcp select global
[ FW - GigabitEthernet1 / 0/1 ] quit

12. Configure políticas de seguridad para permitir que los usuarios en la subred 192.168.100.0/24 accedan a
Internet.
13. [ FW ] security-policy
14. [ FW -policy-security] nombre de la regla sec_policy_1
15. [ FW -policy-security-rule-sec_policy_1] source-address 192.168.100.0 mask
255.255.255.0
16. [ FW -policy-security-rule-sec_policy_1] source- confianza de zona
17. [ FW -policy-security-rule-sec_policy_1] destino-zone untrust
18. [ FW -policy-security-rule-sec_policy_1] permiso de acción
19. [ FW -policy-security-rule-sec_policy_1] quit
20. [ FW -policy-security] quit

21. Configurar las políticas de NAT.

22. [ FW ] nombre de la regla nat-policy
23. [ FW -policy-nat] abc
24. [ FW -policy-nat-rule-abc] fuente-dirección 192.168.100.0 24
 25. [ FW -policy-nat-rule-abc] fuente-zona confianza
26. [ FW -policy-nat-rule-abc] egress-interface Cellular 0/0/0
27. [ FW -policy-nat-rule-abc] action nat easy-ip
28. [ FW -policy-nat-rule-abc] quit
[ FW - policy-nat] quit

29. Configure una ruta predeterminada y especifique Cellular0 / 0/0 como la interfaz de salida.
[ FW ] ip route-static 0.0.0.0 0 celular 0/0/0

Verificación de la configuración
# Ver el estado de la interfaz y las estadísticas de tráfico. La salida del comando muestra que si el tráfico se reenvía a
través de la interfaz, tanto el estado de la capa física como el estado de la capa de enlace están activados y la dirección
IP obtenida dinámicamente por la interfaz es 10.1.1.2/24. El USG6680 se utiliza como ejemplo.
[ FW ] interfaz de pantalla celular 0/0/0
/ 0/0 actual estado Cellular0: UP
protocolo Line estado actual: UP
Descripción: HUAWEI, USG6680 Series, Cellular0 / 0/0 Interface
Puerto de ruta, la unidad de transmisión máxima es 1500, el temporizador de espera es 10 (s)
La dirección de Internet es 10.1.1.2/24
Hora actual del sistema: 2011-06-08 11:35:23
Estado del módem: presente
Últimos 300 segundos velocidad de entrada 555 bytes / seg 4440 bits / seg 12 paquetes / seg
Tasa de salida de los últimos 300 segundos 11230 bytes / seg 89840 bits / seg 311 paquetes / seg
Entrada: 210 paquetes, 87205 bytes.
Unicast: 200, Ununicast: 10
Salida: 225340 paquetes, 6760917 bytes
Unicast: 225300, Ununicast: 40
Utilización del ancho de banda de entrada: 0.01%
Utilización del ancho de banda de salida: 0.01%

# Ver información sobre todas las sesiones de llamadas en la tarjeta de datos 4G LTE. La siguiente salida de comando
muestra que el APN es ltenet, el tipo de red es Automático y el modo de conexión de red es 4G LTE (LTE).
[ FW ] muestra celular 0/0/0 todo
Estado del módem:
Información de hardware.
=====================
Modelo = E392
Versión de firmware del módem = 11.833.15.00.000
Versión de hardware = CD2E392UM
Integrar la identidad de la tarjeta de circuito (ICCID) = 986810112xxxxxxxxxxx
Identidad de suscriptor móvil internacional (IMSI) = 4600160xxxxxxxx
Identidad internacional de equipos móviles (IMEI) = 8612300xxxxxxxx
Número de serie de fábrica (FSN) = T2Y01A92xxxxxxxx
Estado del módem = En línea
Información del perfil.
====================
Perfil 1 = ACTIVO
--------
Tipo de PDP = IPv4, Compresión de encabezado = OFF
Compresión de datos = OFF
Nombre del punto de acceso (APN) = ltenet
Estado de la sesión del paquete = Activo
* - Perfil por defecto
Información de la red.
====================
Estado actual del servicio = Servicio disponible
Servicio actual = combinado
Servicio de Paquetes = Adjunto
Estado de la sesión del paquete = Activo
Estado actual de roaming = Inicio
Modo de selección de red = Automático
Modo de conexión de
red = Conexión de red actual automática = LTE (LTE)
Código de país móvil (MCC) = 460
Código de red móvil (MNC) = 01
Información del operador móvil = "CHN-CULTE"
Código de área de ubicación (LAC) = 53515
ID de celda = 55924
Ancho de banda de subida = 50mbps
Ancho de banda descendente = 100mbps
Radio Information.
==================
Banda actual = AUTO
RSSI actual = -55 dBm
Información de seguridad del módem.
===========================
Verificación de PIN = Deshabilitado
Estado del PIN = Listo
Número de reintentos restantes = 3
Estado de SIM = OK

Guión de configuración
#
dialer-rule 1 permiso de ip
#
habilitar dhcp
#
ip pool 4gpool
puerta de enlace-lista 192.168.100.1
red 192.168.100.0 máscara 255.255.255.0
#
interfaz GigabitEthernet1 / 0/1
deshacer el apagado
dirección ip 192.168.100.1 255.255.255.0
dhcp seleccione global
#
interfaz celular0 / 0/0
dialer habilitar-circular
dialer-grupo 1
perfil de apn
número de marcación * 99 #
dirección ip negociar
#
apn perfil lteprofile
apn ltenet
#
confianza de zona de firewall
establecer prioridad 85
agregar interfaz GigabitEthernet1 / 0/1
#
zona de cortafuegos desconfianza
establecer prioridad 5
añadir interfaz celular0 / 0/0
#
ip route-static 0.0.0.0 0.0.0.0 Cellular0 / 0/0
#
politica de seguridad
nombre de la regla sec_policy_1
confianza de la zona de origen