一. 拓扑 + 需求
拓扑:
LSW10 -- 这个交换机只是用来控制两个防火墙的,无其他特殊用途
需求:
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5,游客区仅能通过移动链路访问互联网
思路就是在防火墙上做nat和智能选路3
ip和路由的配置这里不做演示,毕竟这里是防火墙的内容
让我直接开始吧!
二. 实验实现
1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
这里要求做多对多的nat,应该是NAPT的多对多
1)进入防火墙的nat策略页面(ensp的USG6000v)
2)新建地址池 --设置允许端口转换 ---> NAPT
3)保留地址
4)配置安全策略 ---自动创建
5)ping一下
数据抓包
ISP的g0/0/2口
可以看到原地址已经被nat转换了
2.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
在分公司的防火墙上做源nat,并且dmz区要做端口映射
1)分公司防火墙
nat
安全策略
2)dmz端口映射
总公司防火墙
安全策略
3)测试
这里访问12.0.0.20的公网地址,实际是访问dmz的10.0.3.20的私网地址,实验成功
3.多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
智能选路
保护阈值80% -- 接口处设置(两个接口都这样设置)
电信接口配置
移动也是这样配,这里省略
策略路由 --》10.0.2.10该设备只能通过电信的链路访问互联网
4.分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
这里要做目标nat和双向nat,在分公司的防火墙上做(域名绑定公网IP--由私网ip映射)
目标nat --> 公网访问服务器
双向nat --> 私网访问服务器(不做双向nat,tcp建立会失败)
1)目标nat
安全策略
2)双向nat
1
2
安全策略
3)测试
5,游客区仅能通过移动链路访问互联网
做路由策略
搞定