上一次实验进阶,前6个要求不清楚可以看防火墙练习(一)
一、实验拓扑
二、实验要求
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
三、实验思路
9.配置NAT技术,多对多,并保留一个IP地址
10.配置端口(服务器映射),需要配置两条,移动和电信的公网ID映射到100.3.10
11.多出口基于带宽选路,并开启保护阈值80%,10.0.2.10只能走电信,所有配置一个走移动的策略,动作改为禁止就可以
12.分公司客户端可以访问域名服务器,再访问内部服务器,先配置端口映射,23.0.0.2映射分公司服务器,通杀还要加一条访问外网的NAT;公网设备通过域名访问分公司服务器(这个我实现不了不知道为啥)
13.游客区写一条NAT,只针对移动链路
四、实验步骤
9.配置两条NAT策略,多对多,并保留一个IP地址
电信同理,省略
实验结果:
10.配置端口(服务器映射),需要配置两条,移动和电信的公网ID映射到100.3.10
我这里用的是接口,所有不能勾选黑洞路由
实验结果:访问12.0.0.1
11.多出口基于带宽选路,并开启保护阈值80%,10.0.2.10只能走电信,所有配置一个走移动的策略,动作改为禁止就可以
因为只能走电信,所有写一条走移动禁止就可以:
实验结果:PC只走电信(电信是21.0.0.0/24)
12.分公司客户端可以访问域名服务器,再访问内部服务器,先配置端口映射,23.0.0.2映射分公司服务器,通杀还要加一条访问外网的NAT;公网设备通过域名访问分公司服务器(这个我实现不了不知道为啥)
因为访问过程是这样:
先写一条服务器映射
配置DNS服务器:
再在分公司加上域名服务器地址:
实验结果:
13.游客区写一条NAT,只针对移动链路
配一条只针对移动的NAT策略即可:
实验结果:只走移动(移动是12.0.0.0/24)
实验完成!!!