(7-11)
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
新建电信和移动的安全区域
新建办公区访问移动/电信NAT策略
配置地址池
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
(1)新建服务器映射NAT在FW1防火墙上配置外网能通过电信访问DMZ区的HTTP服务器
(2)在FW1防火墙上配置外网能通过移动 访问DMZ区的HTTP服务器
(3)在FW2上配置安全策略,使得分公司可以访问外网
(4)FW2上创建NAT策略
(5)在FW1上创建http到电信和移动的安全策略(6)在FW1上做一条NAT策略,将untrust区域的数据源ip进行转换,转换成移动或者电信的IP地址。
9:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
(1)新建电信和移动的链路接口并选源进源出,可以保证不浪费链路资源(2)配置全局选路策略并选择开启源IP会话保持,可以防止过载后链路断开而导致的服务强制结束(3)对移动和电信的接口开启链路开启过载保护(4)办公区中10.0.2.10该设备只能通过电信的链路访问互联网
要求10:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
(2)新建NAT策略与安全策略(3)私网访问需要作双向NAT策略要求11:游客区仅能通过移动链路访问互联网
(1)新建源NAT策略并放通游客区发往公网的流量
(2)新建一个仅能通过移动链路访问互联网策略路由