需求
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5,游客区仅能通过移动链路访问互联网
需求分析
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
该需求需要在防火墙上配置动态NAT
一、配置链路接口,会自动生成一条指向下一跳的缺省路由
配置NAT策略及安全策略
在高级选项中可以选择需要保留的地址
安全策略可以基于NAT策略生成
测试,使用办公区设备进行上网操作
可以看到,命中此条NAT策略
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
一、在FW1配置转换目的地址的NAT
通过NAT生成安全策略
在FW2上配置源NAT
生成安全策略
使用分公司设备访问总公司服务器
可以分别命中这两条策略
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80
一、基于链路带宽进行选路
配置智能选路
二、让10.0.2.10只能通过电信上网
配置策略路由,让10.0.2.10只能走电信链路
写一条静态到移动链路上,看策略路由是否生效
可以看到,依旧走的电信链路
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
一、公网设备访问分公司服务器
二、内网通过公网地址访问内网服务器
首先写一条内网访问公网DNS服务器的NAT策略,否则内网不能实现使用域名访问
安全策略
测试
通过公网IP进行访问
通过域名进行访问
看到这两条策略都被命中了
5,游客区仅能通过移动链路访问互联网
分开做NAT和策略路由
可以看到,实现通过移动链路上网