防火墙安全策略02

一、拓扑结构图

二、实验要求

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
11，游客区仅能通过移动链路访问互联网

三、实验步骤

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

先做电信和移动的NAT策略

电信：

多对多的NAT，并且需要保留一个公网IP不能用来转换：

移动：

多对多的NAT，并且需要保留一个公网IP不能用来转换：

NAT策略完成：

安全策略：

验证：

抓包：

电信：

移动：

这里抓包我们就得到了，办公区设备可以通过电信链路和移动链路上网

8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

FW2防火墙:

去公网的安全策略：

去公网的NAT：

NAT服务器映射：

电信：

安全策略：

移动：

安全策略：

验证：

电信：

移动：

9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

多出口环境基于带宽比例进行选路,链路开启过载保护，保护阈值80%；

策略——路由——智能路由——全局选路策略——新建

电信：

移动：

接下来我们修改保护阈值80%

办公区中10.0.2.10该设备只能通过电信的链路访问互联网

策略——路由————智能选路————策略路由

验证：

10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

公网和私网进行映射：

让分公司服务器映射：

NAT策略：

服务器映射策略

验证：

C5为私网设备：

分公司内部的客户端可以通过域名访问到内部的服务器

公网设备也可以通过域名访问到分公司内部服务器：

C6是公网设备

11，游客区仅能通过移动链路访问互联网

做一个智能选路把让直走YD：