防火墙NAT智能选举综合实验

实验要求： 

1，DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全天可以访问.
2，生产区不允许访问互联网，办公区和游客区允许访问互联网
3，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10
4，办公区分为市场部和研发部，市场部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；

5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架游客区人员不固定，不允许访问DMZ区和生产区，
统一使用Guest用户登录，密码Admin@123构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天,用户不允许多人使用
6，创建一个自定义管理员，要求不能拥有系统管理的功能

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
11，游客区仅能通过移动链路访问互联网

注意：这里的默认网关是它的对方地址

 

 给电信和移动创建漂浮地址池

 随便弄一个保留地址：（允许端口地址转换就是多对多的NAT）

办公区去电信和移动，并自动创建安全策略（实际要把电信和移动分开写）

测试成功：

分公司通过DX路去访问总公司DMZ区的HTTP

外网访问内网使用目的地址转换

源地址为分公司的出口IP地址

目的地址为电信进入DMZ的接口地址，分公司要从这个接口去访问DMZ区的HTTP服务器

自动生成安全策略：

以上两个，通过移动的接口，以此类推，

这里还测试不了，因为没有写分公司到ISP的NAT策略

10.0.2.10不允许通过移动上网，只需要把这一个禁止就行了，上面已经完成了办公区可以通过电信和移动方式上网

将电信这条链路开启过载保护

 将移动这条链路开启过载保护

公网设备可以通过FW2的 g1/0/0来访问分公司

我们这里设置一个虚拟地址使外网来访问分公司

ISP访问FGS 的HTTP

外网访问内网，使用目的地址转换

目的地址：FW2的 g1/0/0地址，使用虚拟地址

目的转换地址：为FGS的HTTP服务器

并自动生成安全策略，目的地址为FGS的HTTP服务器

再写FGS访问外网的NAT策略：

自动生成安全策略路由：这时候就可以测试分公司访问DMZ的服务器了（通过电信 移动接口访问都成功）

 ISP区的DNS服务器：

公网设备通过域名访问到FGS的HTTP服务器（成功）

分公司通过公网去访问自己的HTTP服务器，以此要在防火墙上做双向NAT

目的地址：是内网转为外网的g1/0/0的虚拟地址，

源地址转换池：将上面的外网地址转为内网g1/0/1的地址，因此实现两次转换（双向NAT）

目的地址是我们要访问的FGS的HTTP服务器，访问HTTP的端口为80：

链路接口给智能选路创建的虚拟链路（华为不能在实际接口）

上面创建了电信和移动的链路接口，我们在智能选路配置（带宽比例选路）

游客区访问外网走移动这条路

自动生成安全策略：

 策略路由：游客去ISP走移动，走g1/0/2这个接口，下一跳为这个接口对方的IP地址

 我们分别在电信和移动这两个接口 抓包，发现走的就是YD的这条链路

测试成功

 电信这个接口并没有任何数据包