一、实验目的

1，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
2，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
4，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
5，游客区仅能通过移动链路访问互联网

二、实验步骤

1，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

点击新建安全策略，会自动生成安全策略

2，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

分公司防火墙配置

登录总公司防火墙，配置公网到DMZ区http服务器的端对端NAT转换

电信 TO DMZ-http

点击新建安全策略

移动 TO DMZ-http

3，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

4，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

启动分公司防火墙，将公网和分公司内部服务器做个端到端的目标NAT

5，游客区仅能通过移动链路访问互联网

登录总公司防火墙，给游客区到移动区配置easy ip NAT