簡述網站接入方式「網站接入方式有哪些」

主流的幾種接入方式

在實際工作中，防火牆常見的部署位置還是在位於接入Internet的區域，一個或者多個接口接入到互聯網，其餘的用於接內網區域，那麼在目前接入Internet的方式有這麼幾種

（1）DHCP：這種可能大家最熟悉了，家用的光纖過來接入光貓，光貓可以分成兩種模式，一個是路由模式，就是貓自己撥號，只需要接到貓上面的終端自動獲取地址就能上網了，這種模式就叫做DHCP。

（2）PPPOE：上面說過貓有兩種模式，那麼對應的另外一種是橋接模式，貓只負責光電信號轉換以及註冊到運營商的網絡去，我們自己用終端利用撥號工具輸入賬號密碼撥號後就可以上網，這種方式就是PPPOE。（在實際環境中，會分為普通寬帶跟政企寬帶，政企的相對於普通的上傳會高些，而且連接數相對限制較少。）

（3）專線：通常附帶固定的公網IP，這種線路延遲小，上下行對等，價格比較貴。

面對這三種常見的組網接入方式，在防火牆上面應該如何去配置以及需要注意什麼問題，並且不要被防火牆的接口命名給誤導了，像目前主流的都會標識WAN0/1之類的口，很多朋友會認為是不是只有這兩個口可以接外網，其實不是這樣的，防火牆所有接口都可以接外網或者內網，這個是自己規劃的，並不是設備寫了就一定只能接這2個，當然正常情況下，一般也是2個外網，那直接接入WAN0/1是沒什麼問題的，下面開始進入正題。

DHCP接入

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc

看到這樣的提示，就說明接口已經正常獲取到地址了，這個時候還需要注意什麼呢？

（1）默認路由是否獲取到

默認路由的作用這裡簡單提及下，Internet的條目非常非常的多，依靠我們一個一個去寫那肯定不現實，默認路由的作用就是把沒有匹配到明細路由都丟到默認路由指向的出口出去，通常用於訪問外網才使用，而DHCP正常情況下，都會下發一個網關地址，那麼在防火牆上面體現就是一條默認路由。

注意這裡產生的是為Unr的路由，這個表示不是管理員配置上去的，而是通過某種網絡下發給防火牆的（通常在DHCP、PPPOE環境見到）

（2）接口加入安全區域以及策略放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

加入安全區域這個容易理解，為什麼這裡要配置一個Local到untrust的策略放行呢？不知道大家有沒有這樣的習慣，就是外網對接成功後，博主習慣性的會ping一下外網比如114.114.114.114或者223.5.5.5來測試下通沒通，這可能是習慣性的操作了，記得剛做網絡那會，容易忽略這一塊，發現到最後原來是外網沒通~！，所以現在對接後都會測試下，那麼測試必然是防火牆主動發起流量訪問，最終需要安全策略放行。（貓路由器模式容易出現就是地址獲取到了但是網絡不通的情況，因為撥號是貓完成的，只有登錄光貓才能知道詳細情況）

或者說這裡我把G1/0/0給關閉，先配置上192.168.255.254，在打開G1/0/0，看看有什麼提示

可以看到獲取到192.168.255.13，但是這個網段的地址已經在其他接口出現了，導致獲取失敗。

所以這個可能就是實際中會遇到的問題，如果真的遇上，那解決辦法就只能喊裝機師傅把光貓的LAN口地址改成其他網段，或者在規劃內網的時候儘可能的不要用192.168.0、1、2、31 這幾個，非常容易衝突，可以採用172.16或者10.X.X.X

PPPOE方式接入

[USG6000V1]dialer-rule 1 ip permit

[USG6000V1]interface Dialer 1

[USG6000V1-Dialer1]mtu 1400

[USG6000V1-Dialer1]ip address ppp-negotiate

[USG6000V1-Dialer1]ppp pap local-user 0777555556 password cipher 123456

[USG6000V1-Dialer1]ppp chap user 0777555556

[USG6000V1-Dialer1]ppp chap password cipher 123456

[USG6000V1-Dialer1]dialer user 0777555556

[USG6000V1-Dialer1]dialer-group 1

[USG6000V1-Dialer1]dialer bundle 1

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1

已經獲取到地址了，注意如果是WEB裡面查看，該地址會顯示在物理接口，不會顯示撥號口，來了解了解需要注意什麼問題。

（1）容易被忽略的默認路由

之前DHCP是會下發默認的，但是PPPOE撥號則不會，需要手動去添加。

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 Dialer 1

（2）接口加入安全區域以及管理流量放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface Dialer 1

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

（3）有時候撥入不上？

寬帶撥號比較容易出現的問題就是撥入不上，撥入不上就得用排除法跟一些小經驗來解決了

第一個：可能運營商綁定了MAC地址，之前用某個設備撥號過，其他設備就撥入不上了，這種就需要解綁

第二個：寬帶撥號認證有兩種，一種PAP一種CHAP，可能並不知道用的哪種，建議是兩種都配置上去。

ppp pap local-user 0777555556 password cipher 123456

ppp chap user 0777555556

ppp chap password cipher 123456

第三個： MTU以及MSS，接口下配置MTU可以防止分片造成某些應用出錯，而MSS則特別在撥號網絡中需要注意，有時候出現能上微信QQ不能打開網頁的情況，這時候需要調整下MSS，一般值可以比MTU少20，比如MTU是1400，那麼MSS則1380，實際中沒有規定值，各種情況都有，不需要調整上網也正常的，有的地區則需要調整到1200甚至1024。

[USG6000V1-Dialer1]mtu 1400

[USG6000V1]firewall tcp-mss 1380

第四個：不知道運營商DNS多少，這個時候有個比較有用的功能可以引用。