一、实验拓扑
二、实验要求
1、DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网;
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包括三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天用户不允许多人使用;
6、创建一个自定义管理员,要求不能拥有系统管理的功能;
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网;
12,对现有网络进行改造升级,将单个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW4,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
本篇文章着重问题12-16
三、实验步骤
1、问题12
(1)创建安全区域(防火墙FW1和防火墙FW4的配置相同)
(2)防火墙FW1的接口配置
- G1/0/0接口下的DMZ区
- GE1/0/1接口下的办公区
- GE1/0/1接口下的生产区
- G1/0/2接口下的电信
- G1/0/4接口下的游客区
- G1/0/6接口下的移动
- HRP心跳线 ,两条链路聚合后的IP地址为10.0.3.1/24
(3)防火墙FW4的接口配置
- HRP心跳线 ,两条链路聚合后的IP地址为10.0.3.2/24
(4)交换机LSW1的配置
之前的配置
现在补充:G0/0/4接口配置trunk干道,放行VLAN 2 和VLAN 3的流量
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]p l tr
[Huawei-GigabitEthernet0/0/4]p t a v 2 3
(5)配置双机热备—负载分担模式
以下两张截图,FW1和FW4配置相同
FW1的VRRP配置
注意:
- 防火墙FW1的G1/0/1接口配置的实际IP地址对应于生产区和办公区分别是:生产区——10.0.1.2/24,办公区——10.0.2.2/24.
- 防火墙FW4的G1/0/1接口配置的实际IP地址对应于生产区和办公区分别是:生产区——10.0.1.3/24,办公区——10.0.2.3/24
- 虚拟网关VRRP1的IP地址为10.0.1.1/24,是生产区在防火墙FW1和FW4上的虚拟无效的地址;虚拟网关VRRP2的IP地址10.0.2.1/24,是办公区在防火墙FW1和FW4上的虚拟无效的额地址。
FW4的VRRP配置——配置内容同FW1相似
两台设备配置完之后,等待一分钟左右连接成功!
(6)做NAT策略和安全策略(只需要在一台防火墙上面做,之后可以同步配置)
测试以下:
各区分别ping一下外网环回测试地址1.1.1.1/24
- 生产区访问1.1.1.1/24
- 办公区访问1.1.1.1/24
- 游客区访问1.1.1.1/24
- DMZ区
2、问题13—16(只需要在一台防火墙上面配置,之后可以同步配置)
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。