PPPOE拨号之五：juniper SRX 防火墙 PPPOE拨号配置

拓扑

JuniperSRX防火墙PPPOE拨号配置

封装PPPOE

GW-root# set interfaces ge-0/0/0.0 encapsulation ppp-over-ether

如果运营商为CHAP配置

GW-root# set interfaces pp0.0 ppp-options chap default-chap-secret

GW-root# set interfaces pp0.0 ppp-options chap local-name ccieh3c

GW-root# set interfaces pp0.0 ppp-options chap passive 【采用被动模式】

如果运营商为PAP配置

GW-root# set interfaces pp0.0 ppp-options pap default-password

GW-root# set interfaces pp0.0 ppp-options pap local-name ccieh3c

GW-root# set interfaces pp0.0 ppp-options pap local-password

GW-root# set interfaces pp0.0 ppp-options pap passive 【采用被动】

PPPOE的参数配置

GW-root# set interfaces pp0.0 pppoe-options underlying-interface ge-0/0/0.0 【在该接口下启用PPPOE】

GW-root# set interfaces pp0.0 pppoe-options idle-timeout 0 【空闲超时值】

GW-root# set interfaces pp0.0 pppoe-options auto-reconnect 3 【3秒自动重拨】

GW-root# set interfaces pp0.0 pppoe-options client 【定义为client模式】

GW-root# set interfaces pp0.0 family inet mtu 1492 【定义MTU】

GW-root# set interfaces pp0.0 family inet negotiate-address 【自动协商地址】

加入untrust zone

GW-root# edit security zones security-zone untrust

GW-root# set interfaces pp0.0 host-inbound-traffic system-services ping

测试

已经成功获取到地址了。

定义默认路由与NAT

GW-root# set routing-options static route 0/0 next-hop pp0.0

这里定义了路由，直接指向PP0.0，访问internet

[edit]

GW-root# edit security nat source rule-set access-internet

[edit security nat source rule-set access-internet]

GW-root# set from zone trust

[edit security nat source rule-set access-internet]

GW-root# set to zone untrust

[edit security nat source rule-set access-internet]

GW-root# edit rule 1

[edit security nat source rule-set access-internet rule 1]

GW-root# set match source-address 192.168.1.0/24

[edit security nat source rule-set access-internet rule 1]

GW-root# set then source-nat interface

说明：定义一个源NAT，可以让192.168.1.0，通过出接口地址进行转换出去。

可以看到访问114这个地址，而且正常转换为202.100.1.3

容易遇到的问题

（1）一些网站或者应用打开慢以及打不开的情况，这个很有可能是MTU与TCP MSS导致，可以多尝试几个值来达到比较理想的效果。

GW-root# set interfaces pp0.0 family inet mtu 1492 【定义MTU】

GW-root# set security flow tcp-mss all-tcp mss 1300 【定义TCP-MSS】

（2）一些小企业或者SOHO级别的网络可能申请的是民用的拨号线路，那这个时候有可能自己用电脑先拨入测试效果，然后发现在路由器上面怎么都拨入不了，那很有可能是运营商那边绑定了，需要打电话过去松绑。

（3）ADSL有可能采用私网地址分配，所以在申请的时候需要考虑是否需要做映射服务出去或者一些VPN拨入，在申请的时候需要跟对方说明清楚。（包括80端口是否可以用）

如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路Blog（其他平台同名），版权归网络之路Blog所有，原创不易，侵权必究，觉得有帮助的，关注、转发、点赞支持下！~。