一.实验拓扑

二.实验要求

1.办公区设备可以通过电信和移动两条链路上网(多对多的nat，并且需要保留一个公网ip不能用来转换)。

2.分公司设备可以通过移动链路和电信链路访问到dmz区域的http服务器。

3.分公司内部客户端可以通过公网地址访问到内部服务器。

4.FW1和FW3组成主备模式的双击热备。

5.办公区上网用户限制流量不超过60M，其中销售部人员在其基础上限制流量不超过30M，且销售部一共10人，每人限制流量不超过3M。

6.销售部保证email应用在办公时间至少可以使用10M的带宽，每人至少1M。

7.多出口环境基于带宽比例进行选路，但办公区中的10.0.2.20只能通过电信链路访问外网。

三.实验过程

为个接口配置IP地址并且划分到相应的区域

1.办公区设备可以通过电信和移动两条链路上网(多对多的nat，并且需要保留一个公网ip不能用来转换)。

FW1:

配置电信的nat策略

配置移动的nat

保留一个公网地址不能用来转换

2.分公司设备可以通过移动链路和电信链路访问到dmz区域的http服务器。

FW5：

移动链路

配置相应的安全策略

电信链路

FW3：

配置相应的策略

3.分公司内部客户端可以通过公网地址访问到内部服务器。

FW3：

配置相应的策略

4.FW1和FW3组成主备模式的双击热备。

主FW1：

从FW3：

5.办公区上网用户限制流量不超过60M，其中销售部人员在其基础上限制流量不超过30M，且销售部一共10人，每人限制流量不超过3M。

配置宽带通道办公区上网用户限制流量不超过60M

配置宽带策略

生成相应的策略

配置宽带通道销售部人员在其基础上限制流量不超过30M，且销售部一共10人，每人限制流量不超过3M。

6.销售部保证email应用在办公时间至少可以使用10M的带宽，每人至少1M。

7.多出口环境基于带宽比例进行选路，但办公区中的10.0.2.20只能通过电信链路访问外网。