四、出口网络配置
1、NAT配置
出口网关及出口路由器上进行NAT配置实现总部与分部的所有用户(ACL 110)均 可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上。
2、WEB流量限制
广州总部EG1针对访问外网WEB流量限速每IP 1000Kbps,内网WEB总流量不超 过50Mbps(策略名称WEB)
3、启用审计功能
广州总部EG1基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。
4、配置应用软件策略
广州总部EG1周一到周五工作时间09:00-17:00(命名为work)阻断并审计P2P 应用软件使用(策略名称P2P)。
5、配置总部与分部互相访问的VPN隧道
为了实现总部与分部互访数据的安全性,要求使用IPSec对总部到分部的数据 流进行加密ACL(编号为101)。为此规划如下:要求使用动态隧道主模式,预共 享密码为 test,加密认证方式为 ESP-3DES、ESP-MD5-HMAC,DH使用组2;总分机 构间数据通信及加密通过运营商R1联通节点作为中转设备;总部无线IPV4用户与分部IPV4用户互通主路径规划为:AC1-S5-EG1-EG2-S7-S4-S1/S2(EG1/EG2间运行VPN隧道)。
6、数据流分流
本部与分部用户数据流匹配EG内置联通、电信与教育地址库,实现访问联通资 源走联通线路,访问电信资源走电信线路,访问教育网资源走教育网线路。
7、线路间负载转发
除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发。
准备实习了,有空再写与修改错误的内容.......