防火墙NAT智能选举综合实验
实验拓扑图:
1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
FW2设备的接口相关配置
公网路由器需要增加的接口配置
公司防火墙配置新增安全区
修改安全区
配置地址转换池
新建nat策略
同时生成安全策略
这里拿办公区pc测试ping1.1.1.1
观察防火墙service-map表(走的是电信的12.0.0.3)
使用silent2继续ping1.1.1.1
观察防火墙service-map表(走的是电信的12.0.0.4)
拿cilent5继续ping1.1.1.1
观察防火墙service-map表(走的是电信的21.0.0.3)
2.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
新建地址池
新建nat策略(分公司访问DMZ的http服务)
生成安全策略
在fw2上做目标nat
新建目的转换地址池
新建nat策略
生成安全策略
这里命名重复了,把分公司改为FGS了
使用分公司的cilent3访问12.0.0.1
3.多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
修改电信和移动的接口配置
新建电信和移动的链路接口
配置全局选路策略
新建策略路由
使用10.0.2.10测试ping1.1.1.1
在sw1的电信接口处抓包
4.分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
配置server3
配置NAT(分公司去公网用http)
生成安全策略
双向NAT
生成安全策略
测试域名和ip访问:
5.游客区仅能通过移动链路访问互联网
游客区访问互联网
生成安全策略
游客区访问互联网
生成安全策略