网络拓扑
实验要求:
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5、游客区仅能通过移动链路访问互联网
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
让办公区设备用多对多NAT上网
首先新建允许办公区访问公网的安全策略
再新建NAT策略
再新建源转换地址池
用办公区pc4测试
2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
首新建安全策略和NAT策略让分公司能访问公网
再在防火墙1上做策略,让外部设备能够访问内网dzm区http服务器
新建安全策略允许访问dmz区http服务器
新建NAT策略
测试
3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
基于带宽比例选路
要让办公区中10.0.2.10该设备只能通过电信的链路访问互联网,可以做策略路由
在电信出接口上抓包测试
并且开启过载保护,保护阈值为80%
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
内部客户端要通过域名访问内部服务器,必须做双向NAT
配置dns服务器
注意,安全策略要放通DNS服务
测试
公网设备想要访问内部服务器,所以防火墙2要做NAT和安全策略
测试
5、游客区仅能通过移动链路访问互联网
做策略路由让游客区通过移动链路访问互联网
做安全策略允许游客区上网
NAT策略
测试
在移动链路上抓包