7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
首先在安全区域创建一个游客区如图所示:
然后在路由器上配置接口IP地址和环回地址:
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 12.0.0.2 24
[Huawei-GigabitEthernet0/0/1]int l0
[Huawei-LoopBack0]ip add 1.1.1.1 24
做好以上策略以后在检测网络是否通
FW2防火墙建立NAT策略
1.子公司可以访问内部HTTPServer
注意:这里为什么原始数据报的源地址是23.0.0.2,这个其实是另一个防火墙的出接口地址,并且在那个防火墙配置NAT的时候,出来转换的IP其实就是23.0.0.2
2.FW2限制10.0.2.10访问移动
这里要注意策略的顺序,一般越精细的策略越上面,然后这条是精确到了这个IP访问外网的移动
3.FW2过载保护
到这里第一个防火墙基本结束啦,接下来是第二个防火墙
4.FW4外部可以访问内部的HTTPServer
这里是通过一对一转换,就是当外部访问23.0.0.11的时候会被转换成内部服务器的IP172.168.1.30
5.FW4配置两个都转换实现可以通过域名访问自己的服务器
解释一下原始数据包的源地址是代表着内网的所有IP,目的地址就是23.0.0.11,因为这个地址是映射给服务器了,而且DNS存的也是这个
6.FW4可以去总公司服务器的NAT(实际是就是可以上网)
因为这里还要访问DNS服务器的,所以题目没说但是子公司肯定也是得配置可以上网这条NAT的
7.配置公网的DNS服务器
8.测试结果
公网的可以通过域名访问子公司内部服务器
内部自己通过域名访问自己的服务器
9.子公司电信访问主公司的服务器
实验到这里任务就已经全部配置完成了。