1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5,游客区仅能通过移动链路访问互联网
6,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
7,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
8,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
9,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
10,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
新建nat策略
以上为移动nat策略配置
以上为电信nat策略配置
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
分公司—— >总公司nat策略
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
过载保护阈值设置为80%
办公区中10.0.2.10该设备只能通过电信的链路访问互联网
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
总公司与分公司做一对一端口转换
分公司——>内部
5,游客区仅能通过移动链路访问互联网
在游客区做easy ip