网络防御--防火墙

1，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
2，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
4，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
5，游客区仅能通过移动链路访问互联网

思路

思路就是在防火墙上做nat和智能选路3

IP配置

这里以办公区Client5为例

[R1]dis ip int b

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              unassigned           up         down      
GigabitEthernet3/0/0              unassigned           up         down      
GigabitEthernet4/0/0              unassigned           down       down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     
[R1]int g3/0/0
[R1-GigabitEthernet3/0/0]ip add 100.0.0.1 24
[R1-GigabitEthernet3/0/0]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 23.0.0.1 24

[R1-GigabitEthernet0/0/2]dis ip int b

 
Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              23.0.0.1/24          up         up        
GigabitEthernet3/0/0              100.0.0.1/24         up         up        
GigabitEthernet4/0/0              unassigned           down       down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     

公网以server4 也就是DNSserver为例配置，其余相同

分公司则以server5为例配置其余相同

防火墙

云登录防火墙设置

1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)。
新建电信区：

新建移动区：

对应接口划归到各自区域：

新建安全策略放通办公区到电信或移动的流量：

 新建源地址池（保留一个IP地址）：

电信：

移动：

多对多NAT：

电信：

移动：

PC2ping1.1.1.1：

查看 server-map表：

走的电信。

client2ping1.1.1.1：

查看 server-map表：

走的移动。

使用非办公区设备访问1.1.1.1：

        不通！

至此需求完成。 

2.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。
在FW1中新建目的地址池（server1设为httpserver）：

FW1中新建目标NAT：

原始数据包中的目的地址是公网进入私网时需要在哪台设备上作地址转换。

这里需要建一条安全策略放通转换后的流量：

测试：

这样外网便能访问到DMZ区的httpserver。

3.在FW2上配置源地址NAT：

新建源地址池：

新建源NAT（同时新建安全策略）：

测试：

现在测试是否能用分公司client3访问总公司DMZhttpserver：

至此需求完成。

4.多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%。
基于带宽比例进行选路：

新建链路接口（勾选源进源出，可以保证不浪费链路资源）：

修改全局选路策略（开启源IP会话保持，可以防止过载后链路断开而导致的服务强制结束）：

链路开启过载保护（修改接口中）：这里展示移动，电信同理

做策略路由：

至此配置完成。

5.分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器。
分公司内部的server4作为httpserver，设定域名为www.openlab.com 

作目标NAT：

新建地址池：

新建目标NAT（一起建立新的安全策略）：

将公网内的server5作为DNS服务器并添加HTTP服务器的信息：

在其他有需求的客户端上配置DNS服务器：

client3：

client4：

公网访问测试：

成功。

私网访问需要作双向NAT（因为同属于一个trust区域，故不用作安全策略）：

测试：

  client4成功通过域名访问到了HTTP server！

6.游客区仅能通过移动链路访问互联网。

作源NAT（顺便放通游客区发往公网的流量）：

作策略路由：

测试：

关闭移动链路：

 失败！

开启移动链路：

  成功！

查看server-map表：

走的移动。

至此配置完成。