目录
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
实验拓扑
自己搭建拓扑
实验要求
接上一个实验
8、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
9、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
10、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
11、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
12、游客区仅能通过移动链路访问互联网
实验步骤
配置外网
1.1.1.1、100.0.0.0/24环回模拟外网
配置分公司地址
分公司IP配置
配置去往外网接口
配置内网接口
注意把访问管理的ping开启不然ping不了
ping测试
分公司内网搭建完成
配置分公司上网策略,不要忘记新建安全策略
ping测试分公司是否可以上网
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
首先重新划分一下区域将g1/0/2划分为电信区域,将g0/0/3划分为移动区域
修改对应接口绑定
配置办公区上网策略
办公区可以通过两条链路上网,并且首先多对多nat,且保留12.0.0.5公网IP不能使用
先配置地址池
配置NAT策略
抓两个接口的包
办公区两台机器ping后,抓两个接口的包,两个接口都有流量走过
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
总公司做目标nat将http服务器映射出去
安全策略
nat策略
注意要取消勾选黑洞路由,不然访问对应接口的数据都会不见了
测试可以访问
多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
配置安全策略
配置NAT策略
调整位置让这条策略先被匹配到
ping测试
首先将办公区去外网的策略关掉
还是可以访问
导入接口
配置全局策略
修改接口保护阈值
查看结果
分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
公网配置域名服务器
分公司访问
公网访问
游客区仅能通过移动链路访问互联网
安全策略
NAT策略
测试是否可以上网