实验任务如下:
一、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
二、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
三、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
四、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
五、游客区仅能通过移动链路访问互联网
一、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
第一步:找到NAT策略,新建NT策略表,如下图:
第二步:新建NAT策略如下表,BG区是之前已经配置好的10.0.2.0/24网段,“666”是自创地址池,点配置可进行设置,创建地址池12.0.0.5-12.0.0.7,勾选配置黑洞路由,勾选允许接口地址转换,随意保留一位地址池内的地址,点击确定,如下图:
第三步:点击新建安全策略,自动生成安全策略即可,如下图:
第四步:回到ensp上进行ping测试,如下图:
二、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
第一步:登录分公司防火墙,做分公司到公网的NAT(前提条件,每个接口的IP地址先配好),配置如下图:
测试一下能否ping通12.0.0.1(电信)和21.0.0.1(移动):
第二步:登录总公司防火墙,配置公网到DMZ区http服务器的端对端NAT转换,如下图:
配置可通过电信(12.0.0.0/24)链路访问10.0.3.19的http服务器的nat
配置可通过移动链路(21.0.0.0/24)访问10.0.3.20
第三步:通过分公司区域内设备访问总公司DMZ区的http服务器来查看会话表进行验证,如下图:
三、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
第一步:登录总公司防火墙,找到网络-路由-智能选路-全局选路策略,点击配置
第二步:选择根据链路带宽负载分担,创建电信和移动链路接口,只展示电信的,移动的以此类推,如图所示:
第三步:要实现10.0.2.10智能通过电信访问互联网,需要写一个策略路由,先找到“策略路由”栏,然后进行配置,如图:
第四步:到接口栏对接口配置过载保护阈值,如下图:
四、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
第一步:启动分公司防火墙,将公网和分公司内部服务器做个端到端的目标NAT,如图:
第二步:将分公司内部设备和内部服务器做一个“源地址和目标地址同时转换”,以防火墙为媒介来传递信息,保证内部设备能够通过域名正常访问内部设备,由于是内部到内部,可不做安全策略,如图所示:
第三步:配置100.0.0.0/24网段的域名服务器,将公网客户端,分公司客户端,总公司客户端填上域名信息,启动分公司内部http服务器,进行测试(记得点保存,服务器最后一起启动):
五、游客区仅能通过移动链路访问互联网
第一步:登录总公司防火墙,给游客区到移动区配置easy ip NAT,如图所示:
第二步:进行测试,游客区到公网,会话表中只会出现移动链路,不会出现电信链路,如下图:
1508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
