一、实验拓扑
二、实验要求
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
网络--接口---链路接口--新建
回到nat策略中
配置
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器、
首先给分公司各个设备配置ip
来到分公司防火墙的nat策略
源地址池
目的地址
新建安全策略放通流量
测试
多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%;
![](https://i-blog.csdnimg.cn/direct/9791d16740b041f1809a8ce0ff4b5fee.png)
![](https://i-blog.csdnimg.cn/direct/0ffc88d544c24855bb3ee58986c080b7.png)
选择之前创建好的链路接口
来到接口这里更改保护阈值和带宽,记得更改带宽的单位
10.0.2.10该设备只能通过电信的链路访问互联网
测试
分公司内部的客户端可以通过域名访问到内部的服务器
这里我写的有点问题,我这里让分公司通过双向nat访问到了总公司的dmz,但是方法是一样的
配置好公网dns服务器后,给分公司防火墙一个访问公网的策略
总公司配置
测试
公网设备也可以通过域名访问到分公司内部服务器;
![](https://i-blog.csdnimg.cn/direct/c0410a29101447a08140666c129c0c91.png)
![](https://i-blog.csdnimg.cn/direct/7ead832a3fbe44d6af8449c27b37d554.png)
![](https://i-blog.csdnimg.cn/direct/9e58a71c40ac4dffa26c0c8c52fb9a10.png)
游客区仅能通过移动链路访问互联网
先写策略放通游客流量
策略路由
测试