实验拓朴图及要求
1-6上文已配置成功
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
创建办公区访问电信网的NAT策略
配置地址池
创建办公区访问移动网的NAT策略
配置地址池
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
在FW1防火墙上新建服务器映射NAT
外网能通过移动 访问DMZ区的HTTP服务器
在FW2上配置安全策略,使得分公司可以访问外网
在FW2上创建NAT策略
在FW1上创建http到电信和移动的安全策略
在FW1上做一条NAT策略,将untrust区域数据源ip进行转换。
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
创建电信和移动的链路接口并选源进源出
配置全局选路策略并选择开启源IP会话保持
开启移动和电信的接口链路过载保护
结果:
设置办公区中10.0.2.10该设备只能通过电信的链路访问互联网
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
在FW2防火墙上新建目标NAT的地址池
在FW1上新建NAT策略并创建安全策略
私网访问需要作双向NAT策略
11,游客区仅能通过移动链路访问互联网
FW1新建源NAT策略并新建安全策略
新建一个游客仅能通过移动链路