一、实验拓扑
二、实验要求
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
三、实验步骤
前六个实验要求以完成,详细见下链接
1、办公区设备可以通过电信链路和移动链路上网
a.在FW1上配置对应的NAT策略
电信
移动
b.配置安全策略
c.测试结果
2.分公司访问总公司Dmz区的http服务器
a.在FW1上配置对应的服务器映射
b.配置总公司的安全策略
c.在FW2上配置对于的NAT策略
d.配置子公司的安全策略
e.测试结果
3.配置智能选路
在FW1上配置多出口环境基于带宽比例进行选路
a.全局选路策略
b.修改过载保护阈值
c.策略路由
d.测试结果
4.分公司的客户端通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
a.在FW2上做双向NAT,分使公司内部的客户端可以通过域名访问到内部的服务器
①让子公司的Server4开启DNS服务
service 4
子公司的pc端
②在FW2上做双向NAT
③安全策略
④测试结果
用子公司的pc去ping www.suyuhang.com
b.公网设备也可以通过域名访问到分公司内部服务器
①配置公网pc6
②在FW2上做安全策略
③安全策略
④测试结果
5.游客区仅能通过移动链路访问互联网
a.配置策略路由
b.安全策略
c.测试结果
①没关闭移动接口
②关闭移动接口