备注:电信网段15.1.1.0 移动网段14.1.1.0 办公区 11.1.1.0 生产区 10.1.1.0 服务区 13.1.1.0 公网 1.1.1.1 和 2.2.2.2
需求:
1、办公区设备可以通过电信链路和移动链路上网(多对多nat,并且需要保留一个公网ip)
2、分公司设备可以通过总公司的移动链路和电信链路访问到dmz区的http服务器
3、分公司内部客户端可以通过公网访问内部服务器
4、fw1和fw3组成主备模式的双机热备
5、办公区上网用户限制流量不超过60M,其中销售部人员在其基础上流量限制不超过30M,且有10个用户,每个用户不超过3M
6、销售部保证email应用在办公时间至少使用10M的带宽,每人至少1M
7、多出口环境基于带宽比例进行选路,但是办公区种11.1.1.2该设备只能通过电信访问外网
第一步:先配置一些基本,ip地址
fw1的接口ip 办公和生产我用了子接口 1.1和1.2 接口
注意 每个接口有ping
fw2的接口配置
第一题、安全策略(应该是先做安全策略再做nat 我偷了懒,nat做好可以直接点击生成安全策略)
办公区去往移动链路的nat策略(地址池保留一个地址)
办公区去往电信链路的nat策略(地址池保留一个地址)
路由器配置四个网段,1.1.1.1 2.2.2.2 14.1.1.1 15.1.1.1用来模拟运营商的外网
用私网计算机ping1.1.1.1
第二题、外网访问私网服务器,需要做nat服务器映射(当然策略也是需要做的)名称不需要过多解释,为了方便理解 也需要在fw2上配置安全策略和nat策略
fw2 安全策略
fw2 nat策略
fw1安全策略
通过移动链路来访问
通过电信链路来访问
现在开启服务区的http服务
该服务器地址是13.1.1.2(我们需要用公网地址访问到私网http服务)
用分公司电脑去访问
移动链路
电信链路
第三题、这题需要搭建原和目标同时转换的nat策略(也包括安全策略)需要在fw2上配置
fw2 安全策略 申明一下(192.168.1.20是分公司服务器地址)
fw2 nat策略
分公司私网计算机用公网地址访问私网服务器
第四题 双机热备 fw3接口上必须有一些基本配置 心跳线(地址10.10.10.9-10),hrp使用聚合口代替(拉聚合口注意,必须接口没有配置才可以拉)
fw1接口配置
fw3接口配置
fw1的配置
fw3的配置
结果
fw1是主
fw3是备
第五题、办公区流量不可超过60M
销售部30M带宽 有十个人 平均每人3M
第六题、保证销售部Emile 应用 10M 用户 1M
第七题、让11.1.1.2 使用电信链路访问公网(智能选路)