H3C防火墙PPPoE拨号上网配置指南

H3C防火墙PPPoE拨号上网配置实战指南

在如今越来越多企业分支机构和小型办公场景中，宽带运营商仍普遍采用PPPoE账号密码认证方式提供互联网接入服务。面对这类需求，H3C系列防火墙凭借其集成度高、策略灵活的特点，成为理想的边界网关设备。但对初次使用者而言，如何从零开始完成一次完整的PPPoE拨号配置，常常面临“知道目标却不知从何下手”的困境。

别担心——本文将带你一步步穿越配置迷雾，不靠模板化流程堆砌，而是以真实部署视角还原整个过程：从电脑直连防火墙那一刻起，到终端自动获取IP并畅游网络为止。我们不仅告诉你“怎么点”，更解释“为什么这么设”，让你真正掌握背后逻辑。

当你第一次拿到一台全新的H3C防火墙，第一步不是插电源，而是准备一台笔记本电脑，并用网线连接到标有MGT或编号为0的管理口。这个接口出厂默认启用了Web管理服务，IP地址固定为192.168.0.1，子网掩码是标准的/24网段。

此时，你需要手动给自己的电脑设置一个同网段的静态IP，比如：

IP地址：192.168.0.2 子网掩码：255.255.255.0 默认网关：192.168.0.1

设置完成后打开浏览器，输入https://192.168.0.1。由于设备使用的是自签名证书，浏览器通常会弹出“您的连接不是私密连接”的警告。不必惊慌，点击“高级” → “继续前往此网站（不推荐）”即可绕过。

登录界面出现后，输入默认凭据：
- 用户名：admin
- 密码：admin

成功进入主控台，说明基础通信已建立。接下来就可以开始真正的网络配置了。

假设你的物理WAN口选择的是1/0/3接口，现在要让它通过PPPoE拨号连接互联网。进入【网络】 > 【IP】菜单，在接口列表中找到1/0/3并点击“编辑”。

关键操作如下：
- 将IP地址类型改为PPPoE；
- 填入运营商提供的宽带账号（如user@cmcc）；
- 输入对应密码；
- 建议勾选“保存密码”，避免重启后需要重新输入。

提交后系统会自动生成一个名为Dia0的虚拟拨号接口。这个接口才是真正承载公网IP的角色，所有外网流量都将通过它转发。你可以稍后在接口状态页查看Dia0是否已成功获取公网IP地址，这是判断拨号成败的关键指标。

与此同时，内网侧也不能落下。假设你将1/0/4作为LAN口使用，同样进入【IP】配置页面进行修改：
- IP地址类型设为“指定IP”；
- 设置IP为192.168.10.1，子网掩码为255.255.255.0。

这样一来，该接口就成为了未来内网终端的默认网关。后续只要把交换机接在这条口上，终端就能通过这条路由访问外网。

光有接口还不行，没有NAT转换，内网主机即便能发出数据包，也无法获得公网响应。毕竟私有地址不能直接出现在公网上。

进入【策略】 > 【NAT】 > 【NAT动态转换】 > 【策略配置】，新建一条规则：
-接口：选择Dia0；
-转换前源地址：any（代表所有内网地址）；
-转换后源地址：选择“接口IP地址”——也就是Dia0拿到的那个动态公网IP。

这条规则的作用非常明确：当内网用户访问外网时，防火墙会将其源IP替换为当前有效的公网IP，实现地址伪装。这种SNAT机制是绝大多数小型网络出向通信的基础保障。

值得注意的是，PPPoE拨号获得的公网IP通常是动态的，每次重拨可能变化。因此不能依赖静态NAT做映射，而必须使用这种基于接口的动态转换方式。

H3C防火墙的安全控制依赖于“安全域”模型，默认预置了Trust、Untrust、DMZ等区域。不同区域之间的流量若无明确放行策略，一律被拒绝。

先处理外网部分。进入【网络】 > 【接口】 > 【安全域】，选择Untrust区域并编辑其三层成员列表，加入两个接口：
-1/0/3—— 物理WAN口；
-Dia0—— PPPoE生成的虚拟拨号接口。

这两个接口都面向外部网络，自然应归入非信任区。任何来自这些接口的数据流，默认视为潜在威胁，需严格审查。

接着配置内网接口。回到安全域设置，编辑Trust区域，添加1/0/4接口。这表示来自该接口的流量属于内部可信网络，可以优先放行。

至此，基本的信任边界已经划定：内网是可信赖的，外网是不可信的，二者之间隔着一道策略防线。

仅划分安全域还不够，必须显式定义允许哪些流量通过。否则即使NAT配好了，数据依然会被拦截。

进入【安全策略】 > 【策略配置】，新建一条策略：
- 名称建议命名为OUTBOUND_TO_INTERNET；
- 源安全域：Trust；
- 目的安全域：Untrust；
- 源地址：any（也可细化为192.168.10.0/24）；
- 目的地址：any；
- 服务：any（初期调试可用，后期建议限制为HTTP/HTTPS/DNS等必要协议）；
- 动作：允许。

这条策略的本质是“允许内网主动发起对外网的连接”。它符合典型的“内访外”场景逻辑——内部用户可以浏览网页、下载文件、使用即时通讯，但外部无法随意反向访问内网设备。

注意：防火墙策略是按顺序匹配的，一旦命中即执行动作，后续规则不再检查。因此建议将最具体的策略放在前面，通用策略靠后，避免误放高危流量。

除了让用户上网，你还得考虑设备自身的管理需求。例如，你想从内网PC登录防火墙Web界面，或者让设备能自动更新病毒库、同步时间，这些都需要额外策略支持。

建议创建一组名为Device_Management的辅助策略：

第一条：Trust → Local（允许内网管理防火墙）
- 源安全域：Trust
- 目的安全域：Local
- 源地址：192.168.10.0/24
- 服务：HTTP, HTTPS, SSH
- 动作：允许

这样你就可以在办公室任意一台电脑上打开浏览器管理设备。

第二条：Local → Trust（允许设备访问内网资源）
- 源安全域：Local
- 目的安全域：Trust
- 地址和服务：any
- 动作：允许

适用于设备需要访问内部DNS、日志服务器等场景。

第三条：Local → Untrust（允许设备联网更新）
- 源安全域：Local
- 目的安全域：Untrust
- 服务：DNS, NTP, HTTP, HTTPS
- 动作：允许

确保防火墙能正常解析域名、校准时间、下载特征库。

虽然这些策略看似“便利性功能”，但在实际运维中极为关键。不过也要遵循最小权限原则，不要开放Telnet、FTP等明文服务端口。

为了让终端快速接入，无需手动设置IP地址，强烈建议启用DHCP服务。

首先在【网络】 > 【DHCP】 > 【服务】中开启DHCP服务器功能并应用。

然后进入【地址池】页面，新建一个地址池：
- 名称：LAN_POOL
- 关联接口：1/0/4（即内网接口）
- 分配范围：192.168.10.100 ~ 192.168.10.200
- 租期：8小时（可根据环境调整）

再点击“地址池选项”标签页，添加两项关键参数：
-003 路由器（Router）：192.168.10.1（即本机内网IP）
-006 DNS服务器：首选114.114.114.114，备选8.8.8.8

这样，任何插上网线的PC都会自动获得IP、网关和DNS信息，开箱即用。

如果你的企业有自己的内网DNS或AD域控，也可以在此处指定内部DNS服务器地址，兼顾内外解析效率。

配置完成后，必须验证是否真的通了。

找一台PC连接到1/0/4所属的交换机，确认其获取到了192.168.10.x的IP地址。然后打开命令提示符，执行以下测试：

ping 8.8.8.8

如果收到回复，说明NAT和外网链路正常；接着尝试：

ping www.baidu.com

如果也能通，说明DNS解析也工作正常。

如果第一跳失败，重点排查：
-Dia0是否已获取公网IP？
- 物理链路状态是否为UP？
- PPPoE账号密码是否正确？

如果能ping通IP但无法解析域名，则检查Local → Untrust策略是否放行了UDP 53端口（DNS）。另外可通过【监控】 > 【日志中心】 > 【会话日志】查看被拒绝的连接记录，精准定位问题源头。

最后一步，也是最容易被忽略的一步：保存配置！

在Web界面右上角找到“保存”按钮，点击确认。系统会将当前运行配置写入启动文件startup.cfg。如果不保存，断电或重启后所有设置都会丢失，一切归零。

养成“改完即存”的习惯，能避免大量重复劳动。

当然，上线后难免遇到各种小状况。这里列出几个高频问题及应对思路：

Q：PPPoE拨号失败怎么办？
首先确认账号密码无误（注意大小写和@后缀），其次检查物理链路是否激活。可通过CLI命令进一步诊断：

display pppoe-client session summary

查看是否有会话建立，错误码提示是什么。常见原因包括运营商限制MAC绑定、VLAN封装不匹配等。

Q：内网能获取IP但无法上网？
大概率是NAT或策略没配对。检查：
- NAT策略是否绑定在Dia0接口；
- 安全策略是否允许Trust → Untrust流量；
- 路由表中是否存在由PPPoE自动生成的默认路由（0.0.0.0/0）：

display ip routing-table

如果没有默认路由，说明拨号虽成功但未触发路由注入，需检查拨号接口是否正确关联。

Q：为什么有些网站打不开？
可能是DNS问题，尝试更换为阿里云223.5.5.5或 Cloudflare1.1.1.1。
也可能是TLS握手被拦截，特别是启用了IPS/WAF模块的情况下。可临时关闭深度检测功能测试是否恢复。

整个配置流程走下来，你会发现其实并不复杂：
物理连接 → 登录设备 → 配置WAN口拨号 → 设置LAN口 → 启用NAT → 划分安全域 → 放行策略 → 开启DHCP → 测试验证 → 保存配置。

这套模式适用于绝大多数依赖宽带拨号的小型办公网络，部署成本低、维护简单、稳定性强。更重要的是，它构建了一个具备基本防护能力的边界网关体系，远比普通路由器更安全可控。

典型拓扑结构如下：

[运营商PPPoE网络] ↓ [H3C防火墙] Dia0 ← PPPoE拨号获取公网IP 1/0/3 ← 物理WAN口 1/0/4 ← 内网LAN口 → [交换机] → [PC终端]

未来你还可以在此基础上扩展更多功能：比如配置ACL限制特定应用、启用QoS保障语音质量、搭建IPSec或SSL VPN供远程办公、开启防病毒和URL过滤等。但这一切的前提，都是先把最基本的互联网接入跑通。

而这，正是你现在已完成的事。