一.实验拓扑图
1.实验要求
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
二.大致步骤理解
1. **双机热备防火墙设置**:确保防火墙设备支持双机热备份,并正确配置负载均衡以实现流量分担。确保游客区和DMZ区的流量走FW3,生产区和办公区的流量走FW1。
2. **办公区流量限制**:通过QoS或其他方法,在办公区内对用户进行流量限制,确保整个办公区的流量不超过100M。销售部人员在此基础上限制流量不超过60M,且每个人限制在6M。这可以通过路由器或防火墙的配置来实现。
3. **销售部email带宽要求**:确保销售部在办公时间内至少可以使用10M的带宽,每人至少1M。这可能需要与邮件服务器进行配合以确保带宽需求。
4. **移动链路带宽管理**:动态均分100M的移动链路带宽,确保游客区用户仅能占用50M。这可能需要使用智能带宽管理设备或软件。
5. **外网访问内网服务器带宽限制**:确保外网访问内网服务器的下行流量不超过40M,DMZ中每台服务器对外提供的最大下行带宽不超过20M。这可以通过防火墙或路由器的配置来实现限制。
确保在实施这些配置时考虑网络安全、数据隐私和性能等因素。
三.详细步骤
1.到DMZ区
(到DMZ区的,就不用写网关了),
2.到电信的,
这里需要改一下电信的网段,因为移动的网段为21、而电信的网段为12,这两个公网地址要想出去作为IP组的话,这两个网段的区域IP必须修改一下。
to 电信:
to移动:
所以,这种情况下,他的路由还是负载均衡,
验证:
3.g1/0/1接口
to 电信:
4.g1/0/2接口
to 移动:
5.新建接口
1.to BG(办公)
2.to SC(生产)
6.g1/0/4接口
to Guest(游客):
7.创建区域
1.创建BG(办公)区域
相同的步骤,依次创建BG、SC、Guest、电信、移动区域:
创建完成之后就是这样的!
8.创建HRP区域及接口
因为之前的g1/0/5和g1/0/6接口还没有进行区域划分,多以这里创建HRP进行区域汇聚。
1.区域
2.接口
到此,基础配置已经做完,之后就可以做双机热备了!
四.双机热备配置
1.启用双机热备
第一组:
to DMZ:
因为DMZ区要走FW5,所以角色我要选备
第二组:
to Guest:
第三组:
to BG:
第四组:
to SC:
第五组:
to 电信:
第六组:
to 移动:
第七组:
to 电信:
这里和负载均衡一样,一个接口做两组VIP(备)。
第八组:
to 移动:
(备)
2.测试(抓包)
测游客区是不是走的FW5的链路:
测办公区的流量从FW1的电信或者移动链路往出走:
10.0.1.10:
10.0.2.10:
因为生产区不能访问外网,是所以生产区不用测试了。
公网访问DMZ区:
这里访问不到,因为DMZ区当时计划走FW5,上面做的两组VIP12.0.0.1和21.0.0.1都在FW1上,所以公网访问FW1时,进入DMZ区,从FW5这出来了,而我们需要访问到FW5这里,然后映射到DMZ区,所以要新建两个映射(FW5身上)
完成!