实验要求:
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5、游客区仅能通过移动链路访问互联网
1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
要想办公区通过电信链路和移动链路上网,首先要创建一个安全策略,让办公区内部的用户可以去上网
再去创建相应的NAT转换策略
测试
2.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
首先配置好分公司下的设备IP地址,让内部可以通(比较简单,则不进行相关演示配置),其次再去防火墙上做分工司内的安全策略和NAT转换策略。
在分公司做完相应的策略之后,我们回到总公司的内部防火墙上,做能够让外部访问到内部DMZ区域内的服务器集群。
测试结果,分公司内部可以正常访问到总公司内部的服务器并获取文件
3. 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
创建策略,选择基于链路带宽
创建策略路由,让办公区10.0.2.10 只能通过电信链路进行上网
为了验证这一策略,我们选择Wireshark抓包软件,在我们的电信接口上进行抓包查看。
可以清楚的看到,我们的办公区10.0.2.10在访问1.1.1.1时,在防火墙上进行NAT转换,转换为我们开始设定电信区的12.0.0.5这个地址进行访问 。此刻证明我们的办公区电脑去访问互联网时的确走的是我们设定的电信链路。
这个就是开启我们的过载保护。
4. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
分公司内部要想与内部的服务器进行访问,我们去做双向的NAT策略。
以上场景是公司内部人员使用公网地址区访问我们内部的服务器,但是防火墙会通过自己与服务器去建立tcp连接,然后服务器又会与内部人员建立连接,在此过程中,内部人员就无法访问到我们的内部服务器,所以我们要用多对多的转换,去让我们的防火墙进行转换,从而不影响整个过程的通信。
测试结果:
正常时我们可以通过内部去直接访问。
通过公网地址去访问内部的服务器
5. 游客区仅能通过移动链路访问互联网
在此基础上去我们的防火墙上做策略
测试