书接上回--前几个配置在前面的实验已经完成
一、实验拓扑图:
二、实验要求:
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
三、实验思路:
1.通过做多对多的NAT策略,做从办公区的NAT经过移动和电信上网
2.先在总公司上配置两条端口映射,基于12.0.0.2和21.0.0.2与私网的10.0.3.10的映射关系,然后再在fw2上配置nat策略,让分公司与总公司之间能够通;
3.写一条10.0.2.10走电信的策略路由即可;多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%;
4.配置DNS服务器,添加解析条目;分公司,设置双向nat用于内网域名访问;设置目标NAT指向HTTP服务器,用于公网访问,采用接口地址NAPT;添加外网到HTTP的安全策略
5.游客区写一条NAT,只针对移动做一条easy ip;
四、实验步骤:
1、针对之前做的配置,我现在先在路由器R1上配置好0/0/0和0/0/2接口的IP地址,并且再配置一条环回loop back0用于当外网的测试,配置如下;
[R1-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[R1-GigabitEthernet0/0/2]ip add 21.0.0.2 24
查看各表的接口状态:
在R1上写网关配置:
[r1-GigabitEthernet4/0/0]ip add 100.0.0.1 24
2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略;
先将电信移动的区域划分出来,并且将接口之前分在untrust区域的分别分到电信和移动区域去:
然后做nat策略:
(2)然后再配置到移动的nat策略,安全策略和保留地址;
电信配置nat策略同上,大概如下:
(3)测试结果:
2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
配置端口服务器映射,需要配置两条,移动和电信的公网id映射到10.0.3.10:
电信跟移动一样,同上:
测试:公网到dmz的http
因为我做的是端口映射即ping和测试都只对出接口端口进行测试即可;
写一条分公司到总公司的nat策略:
原理同上,这里不做解释
测试:
3.多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10.0.2.10只能走电信,给他配置一个走移动的策略,允许动作修改为禁止即可;
修改带宽阈值占比为80%;
修改成功!!!
因为走电信,写一条走电信的策略路由即可:
在pc端看是否走的是电信,而不是移动;
测试完成!!
4.分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
(1)公网与分公司做个端到端的目标NAT;
分公司内部通过公网域名访问内部服务器
对于DNS服务器的配置:
针对公网的client7客户端:
内网服务器的配置:
测试:
分公司的服务器:
公网的客户端访问服务器: