Introducción: Firewall como PPPoE o DHCP cliente

Introducción: Firewall como PPPoE o DHCP cliente

130006
Created On 09/25/18 19:02 PM - Last Modified 06/01/23 03:09 AM


Resolution


Al configurar un cortafuegos en una oficina más pequeña o en una ubicación fuera de la red, el ISP local sólo puede ser capaz de conectarse a través de un módem de cable o DSL que requiere que su interfaz externa se configure como cliente DHCP o cliente PPPoE.

 

Consejo: si su ISP lo soporta, intente obtener una conexión en el modo ' Bridge ' para que la dirección IP externa se sirva directamente a su interfaz externa, en lugar de al módem DSL o cable. Esto asegurará que NAT sólo se haga en el firewall.

 

 

Configuración de la interfaz de desconfianza como cliente

 

El primer paso para conseguir su firewall conectado es configurar la interfaz externa por lo que es capaz de recibir parámetros DHCP o configurar PPPoE negociaciones y conectarse al ISP.

 

En la ficha interfaces, la interfaz debe establecerse en el modo layer3. Por favor, primero eche un vistazo a este artículo si no ha visto este paso y sus interfaces todavía están configuradas en el modo de cable virtual: Introducción: capa 3, NAT y DHCP

 

Asegúrese de que el intervace está asignado a un enrutador virtual y a una zona.

2016-08 -23 _12-39 -49. jpg

 

Si el ISP proporciona servicios DHCP normales, seleccione

 

  1. ' Cliente DHCP ' de la ficha IPv4 (Nota: el cortafuegos no admite actualmente el modo cliente DHCP de IPv6).
    2016-08 -23 _12-41 -07. jpg

     

  2. Asegúrese de que el modo cliente DHCP está habilitado.

  3. Elija crear automáticamente una ruta predeterminada a partir de los parámetros DHCP recibidos del ISP. Si no se comprueba esta opción, se debe agregar manualmente una ruta predeterminada en el enrutador virtual.

     

Si el ISP requiere autenticación PPPoE, seleccione el botón PPPoE de radio, asegúrese de que ' Enable ' está seleccionado y proporcione el nombre de usuario y la contraseña que su ISP proporcionó para su conexión.

 

2016-08 -23 _12-41 -45. jpg

 

Seleccione la ficha avanzadas para introducir parámetros de conexión adicionales.

2016-08 -23 _12-43 -19. jpg

  1. El protocolo de autenticación se puede establecer en PAP, CHAP o auto2016-08 -23 _12-43 -40. jpg
  2. Si el ISP pudo proporcionar una dirección IP estática o subred, debe configurarse aquí. Si el ISP asigna una IP dinámicamente, este campo debe establecerse en ' none '
  3. Habilite la ruta predeterminada automática para recibir esta información del par PPPoE, si esta opción no se selecciona, se debe crear una ruta manual predeterminada en el enrutador virtual.
  4. Si esto es requerido por el ISP, un concentrador de acceso y cadena de servicio se puede Agregar a la configuración de PPPoE, el punto de final PPPoE también se puede establecer en un estado pasivo en cuyo caso el cliente espera que el concentrador de acceso para enviar el primer fotograma.

Una vez seleccionado el método deseado, haga clic en aceptar y confirmará la configuración. Una vez finalizada la confirmación, los vínculos de ' Mostrar PPPoE/DHCP Client Runtime ' comenzarán a funcionar y proporcionarán retroalimentación sobre el estado actual de la interfaz.

 

2016-08 -24 _15-35 -10. jpg

El estado del cliente DHCP incluye los botones de renovación y liberación, el estado del cliente PPPoE tiene un botón de conexión o desconexión.

2016-08 -24 _13-39 -31. jpg

 

 

 

DHCP o PPPoE herencia en la subred local

 

La información recibida del ISP DHCP o PPPoE Server puede ser utilizada a su vez para poblar los clientes en la red local con DNS, WINS, NIS, NTP, POP3, SMTP y DNS suffic mediante la habilitación de herencia. De esta manera, a los usuarios se les pueden asignar servidores DNS específicos de la región, por ejemplo, que pueden mejorar la capacidad de respuesta.

 

Cuando configure la interfaz LAN, asegúrese de que está asignada al mismo enrutador virtual que la interfaz Untrust y asígnele una zona adecuada:

2016-08 -24 _16-17 -56. jpg

 

Asignar una dirección IP y una máscara de subred a la interfaz

2016-08 -24 _16-19 -55. jpg

 

 A continuación, cree un nuevo perfil DHCP y asigne un grupo de IP en la subred de la interfaz

2016-08 -24 _15-52 -44. jpg

 

En la ficha Opciones se puede habilitar la herencia:2016-08 -24 _15-54 -08. jpg

 

Sus clientes recibirán ahora la misma configuración de DNS distribuida por el ISP.

 

NAT

 

Dado que la interfaz Untrust no tiene una interfaz estática, las reglas NAT salientes simplemente deben establecerse sólo en el nombre de la interfaz en la traducción de origen

 

2016-08 -24 _16-33 -59. jpg

 

Revisión de registros

 

En los registros del sistema, el subtipo ' DHCP ' devolverá tanto el servidor DHCP como la información del cliente DHCP, el subtipo ' PPPoE ' devolverá los registros de conectividad PPPoE.

 

2016-08 -24 _16-04 -30. jpg

 

 

o usando el siguiente comando desde la CLI:

 

> Mostrar el subtipo de sistema log igual dirección DHCP igual al revés

 

 

Por favor, siéntase libre de comentar a continuación!

Reaper
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTKCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language