防火墙NAT智能选举综合实验
拓扑
要求
7:办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8:分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器
9:多出口环境基干带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器!
11:游客仅能通过移动链路访问互联网
7:办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
从电信走
记得在接口上写到ISP的网关,这样就会自动形成一条道网关的缺省
地址池
保留一个ip
安全策略后面说也要从移动走,直接全部放通
从移动
保留的ip
将走电信的接口关了,策略也禁用了
测试
8:分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器
总公司放开服务
路由黑洞别选,选了空接口防环访问不了
分公司nat策略
安全策略
测试
9:多出口环境基干带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
多出口环境基干带宽比例进行选路,过载保护80%
记得在全局配置下,80%的话直接去接口上改就行
结果
办公区中10.0.2.10该设备只能通过电信的链路访问互联网
有个反选记得选上,不然10.0.2.10去内网被转换成公网了,但是没有做双向nat
测试:
10:分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器!
分公司允许服务
反正默认转换的·是80端口,改不改大差不差
记得内网通过公网服务器的话记得做双向nat,不然就第一个包建立成功,后面的会话找不到人,牛头不对马嘴,让防火墙做中间人
安全策略直接新建就行
记得写开启DNS服务
测试记得写dns服务器
测试并抓流量看看(抓网关和服务器接口)
11:游客仅能通过移动链路访问互联网
上路由策略,不要忘了安全策略,一般是先安全策略放通在路由策略
测试:
注意!!!电脑上面改发布完了csdn最好不要用手机再改!!!哥们上过当了,直接给你来这个 -------- 外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 提示,图片直接没了!!!
真是逆天,哥们难不成自己盗自己图片,服了,冲冲冲!!!