要求
实验注意点:
- 先配置双机热备,再来配置安全策略和NAT
- 两台双机热备的防火墙的接口号必须一致
- 如果其中一台防火墙有过配置,最好清空或重启,不然配置会同步失败
- 两台防火墙同步完成后,可以直接在主状态防火墙上配策略,配好后会自动分享给备状态防火墙
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
多对多的NAT,那就需要用到地址池。
那就是电信:10.0.0.4-10.0.0.5
移动:20.0.0.4-20.0.0.5
添加NAT策略
NAT策略源转换地址池中可以新增地址池,这里我添加的是电信的地址池,在新增地址池的界面中可以写入想要保留的地址。
这里我保留的是10.0.0.4地址。移动的配置相同,把IP地址修改一下即可。
成果
pingISP的换回1.1.1.1
2、分公司设备可以通过总公司的移动链路和电信链路访问到DMz区的http服务器
在FW1上做一条NAT策略,将untrust区域的数据源ip进行转换,转换成移动或者电信的IP地址。
移动操作一样,只需修改目的地址的ip即可。
点确定前在此界面点击新建安全策略,这里建好后,做移动的NAT策略时就无需再建安全策略了。
接下来是在FW2上进行配置,建立一条出网的安全策略。
成果
通过电信访问
通过移动访问
3、分公司内部的客户端可以通过公网地址访问到内部的服务器
在FW2上进行NAT策略的配置,依然要记得新建安全策略。
成果
4、FW1和FW3组成主备模式的双机热备
具体配置位置在系统-->高可靠性-->双机热备-->配置
这里上行链路有两组,分别为电信和移动,下行链路有三组,对应拓扑中的三个区域。
上行链路:
vrrp1(电信):10.0.4.0/24
vrrp2(移动):10.0.5.0/24
下行链路:
vrrp3(SC):10.0.2.0/24
vrrp4(BG):10.0.3.0/24
vrrp5(DMZ):10.0.1.0/24
hrp1:192.168.1.0/24
hrp2:192.168.2.0/24
五组VRRP
FW3上配置也一样,如此配置完成。
5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M
需要新建用户组bg和bg_sale
办公区流量限制60M
销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M
这里得父策略要选择BG_limit,因为销售部属于办公区。
6,销售部保证emai1应用在办公时间至少可以使用10M的带宽,每个人至少1M
7,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。
扫一扫
270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
