一.实验拓扑
二.实验要求
1.办公区设备可以通过电信和移动两条链路上网(多对多的nat,并且需要保留一个公网ip不能用来转换)。
2.分公司设备可以通过移动链路和电信链路访问到dmz区域的http服务器。
3.分公司内部客户端可以通过公网地址访问到内部服务器。
4.FW1和FW3组成主备模式的双击热备。
5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。
6.销售部保证email应用在办公时间至少可以使用10M的带宽,每人至少1M。
7.多出口环境基于带宽比例进行选路,但办公区中的10.0.2.20只能通过电信链路访问外网。
三.实验过程
为个接口配置IP地址并且划分到相应的区域
1.办公区设备可以通过电信和移动两条链路上网(多对多的nat,并且需要保留一个公网ip不能用来转换)。
FW1:
配置电信的nat策略
配置移动的nat
保留一个公网地址不能用来转换
2.分公司设备可以通过移动链路和电信链路访问到dmz区域的http服务器。
FW5:
移动链路
配置相应的安全策略
电信链路
FW3:
配置相应的策略
3.分公司内部客户端可以通过公网地址访问到内部服务器。
FW3:
配置相应的策略
4.FW1和FW3组成主备模式的双击热备。
主FW1:
从FW3:
5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。
配置宽带通道办公区上网用户限制流量不超过60M
配置宽带策略
生成相应的策略
配置宽带通道销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。
6.销售部保证email应用在办公时间至少可以使用10M的带宽,每人至少1M。
7.多出口环境基于带宽比例进行选路,但办公区中的10.0.2.20只能通过电信链路访问外网。