ENSP—防火墙实验综合应用

一.实验拓扑图

1.实验要求

12，对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1
13，办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M
14，销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M
15，移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分
16，外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

二.大致步骤理解

1. **双机热备防火墙设置**：确保防火墙设备支持双机热备份，并正确配置负载均衡以实现流量分担。确保游客区和DMZ区的流量走FW3，生产区和办公区的流量走FW1。
  
2. **办公区流量限制**：通过QoS或其他方法，在办公区内对用户进行流量限制，确保整个办公区的流量不超过100M。销售部人员在此基础上限制流量不超过60M，且每个人限制在6M。这可以通过路由器或防火墙的配置来实现。
  
3. **销售部email带宽要求**：确保销售部在办公时间内至少可以使用10M的带宽，每人至少1M。这可能需要与邮件服务器进行配合以确保带宽需求。
  
4. **移动链路带宽管理**：动态均分100M的移动链路带宽，确保游客区用户仅能占用50M。这可能需要使用智能带宽管理设备或软件。
  
5. **外网访问内网服务器带宽限制**：确保外网访问内网服务器的下行流量不超过40M，DMZ中每台服务器对外提供的最大下行带宽不超过20M。这可以通过防火墙或路由器的配置来实现限制。

确保在实施这些配置时考虑网络安全、数据隐私和性能等因素。

三.详细步骤

1.到DMZ区

        （到DMZ区的，就不用写网关了），

2.到电信的，

这里需要改一下电信的网段，因为移动的网段为21、而电信的网段为12，这两个公网地址要想出去作为IP组的话，这两个网段的区域IP必须修改一下。

to 电信：

to移动：

所以，这种情况下，他的路由还是负载均衡，

        验证：

3.g1/0/1接口

        to 电信：

4.g1/0/2接口

        to 移动：

5.新建接口

1.to BG（办公）

2.to SC（生产）

6.g1/0/4接口

        to  Guest（游客）：

7.创建区域

1.创建BG（办公）区域

相同的步骤，依次创建BG、SC、Guest、电信、移动区域：

创建完成之后就是这样的！

8.创建HRP区域及接口       

                因为之前的g1/0/5和g1/0/6接口还没有进行区域划分，多以这里创建HRP进行区域汇聚。

1.区域

2.接口

到此，基础配置已经做完，之后就可以做双机热备了！

四.双机热备配置

1.启用双机热备

          

第一组：

        to DMZ：

因为DMZ区要走FW5，所以角色我要选备

第二组：

        to Guest：

第三组：

        to BG：

第四组：

        to SC：

第五组：

        to 电信：

第六组：

        to 移动：

第七组：

        to 电信：

这里和负载均衡一样，一个接口做两组VIP（备）。

第八组：

        to 移动：

（备）

2.测试(抓包)

测游客区是不是走的FW5的链路：

测办公区的流量从FW1的电信或者移动链路往出走：

        10.0.1.10：

        10.0.2.10：

因为生产区不能访问外网，是所以生产区不用测试了。

公网访问DMZ区：

这里访问不到，因为DMZ区当时计划走FW5，上面做的两组VIP12.0.0.1和21.0.0.1都在FW1上，所以公网访问FW1时，进入DMZ区，从FW5这出来了，而我们需要访问到FW5这里，然后映射到DMZ区，所以要新建两个映射（FW5身上）

完成！