基于网安防御保护--小实验完成以下实验
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
一、完成基础配置后开始实验
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
(1)新建办公区访问电信网的NAT策略
(2)配置电信网的地址池
(3)新建办公区访问移动网的NAT策略
(4)配置电信网的地址池
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
(1)在FW1上新建服务器映射NAT
(2)在FW1上配置外网能通过移动 访问DMZ区的HTTP服务器
(3)在FW2上配置安全策略,使得分公司可以访问外网
(4)FW2上创建NAT策略
(5)在FW1上创建http到电信和移动的安全策略
(6)在FW1上做一条NAT策略,将untrust区域的数据源ip进行转换。
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
(1)新建电信和移动的链路接口并选源进源出
(2)配置全局选路策略并选择开启源IP会话保持
(3)对移动和电信的接口开启链路开启过载保护
完成配置后如下:
(4)办公区中10.0.2.10该设备只能通过电信的链路访问互联网
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
(1)在FW2上新建目标NAT的地址池
(2)在FW1上新建NAT策略与安全策略
(3)私网访问需要作双向NAT策略
11,游客区仅能通过移动链路访问互联网
(1)新建源NAT策略
(2)新建一个仅能通过移动链路
至此实验圆满成功!