拓扑图如上
3.1办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
创建地址池
保留地址在高级选项中
保留后 该地址不被分配
另一侧nat配置一致 不做过多演示
黑洞路由:
黑洞路由的存在是为了防止环路 当外网设备访问防火墙漂浮地址时 且漂浮地址与 公网地址不在同一网段时 首先isp 存在漂浮地址的路由 将数据转发给防火墙 防火墙没有漂浮地址的路由 它只是利用漂浮地址做nat 此时防火墙找不到路由会把数据转发给缺省 也就是isp 而isp认为要把数据包交给防火墙 出现环路
而且当防火墙与漂浮地址在同一网段时 防火墙收到数据包 认为目标与自己在统一网段 进行arp广播 但查询不到目标的mac地址 回应不可达 但如果勾选了黑洞路由 一方面能够防止环路 还能直接将数据丢到null口 减少arp广播
nat配置:
当前进行的是多对多nat
3.2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
首先需要分公司能进行nat
将DMZ区域的http服务器开放到公网,让分公司通过公网地址去访问它
使用nat或者服务器映射方式
将内网服务器 80 映射到 防火墙 80
3.3智能选路:多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
链路接口列表
进行智能选路配置
添加接口
进行阈值保护
办公区中10.0.2.10该设备只能通过电信的链路访问互联网
只允许走电信:
3.4分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
做端口映射 访问防火墙 映射到80端口
3.5游客区仅能通过移动链路访问互联网