目录

一、实验拓扑图

二、实验要求 

三、实验思路：

四、实验步骤：

1、FW3的网络相关配置：

2、FW1的新增配置：

3、交换机LSW6（总公司）的新增配置：

4、双机热备技术配置（双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1）：

5、带宽策略相关配置：

（1）办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M

（2）销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M

（3）移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分

（4）外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

---

一、实验拓扑图

 

二、实验要求 

1、DMZ区的服务器，办公区仅能在办公时间内（9:00-18:00）可以访问，生产区设备全天都是可以访问的

2、生产区不允许访问互联网，办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；

游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权利，门户网站地址10.0.3.10

5、生产区访问DMZ区时，需要进行protal认证，设立生产区用户架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，

首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

6、创建一个自定义管理员，要求不能拥有系统管理的功能

【前6个要求已完成，需要查看请前往下面网址】http://t.csdnimg.cn/K1Dsxhttp://xn--6-fq6a55kr77att4a

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9、多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%;

10、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器;

11、游客区仅能通过移动链路访问互联网

【要求7-11已完成，需要查看请前往下面的网址】http://t.csdnimg.cn/VO4mIhttp://xn--7-11-4u6i726l

【本篇博客是完成要求12-16】

12，对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1

13，办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M

14，销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M

15，移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分

16，外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

三、实验思路：

1、IP地址的划分要，区域划分要清晰合理，本实验看拓扑图很复杂，注意好线的连接关系；

2、对于新加的设备FW3进行相关的网络配置；

3、防火墙双机热备技术的负载分担模式的相关配置；

4、流量的带宽管理配置。

四、实验步骤：

1、FW3的网络相关配置：

对于一个刚启动防火墙的配置：

 开启防火墙后需要登录用户名和密码，第一次默认的用户名：admin，密码：Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

  防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.30/24与我们Clound中虚拟网卡通一个网段才行。

在防火墙中g0/0/0口中开启所有的服务：

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

FW3 的连线情况（拓扑图中实在是太乱了，可以打开工具栏中的接口列表查看对应的连线信息）：

HRP IP地址划分：

10.10.10.0/24

新建安全区域(BG,YK,电信，移动)[注意要与SW1中的配置顺序相同，避免出现同步不一致的问题]：

配置网络接口详情：

g1/0/3 (g1/0/3.1 : 10.0.1.2 [生产区],  g1/0/3.2 : 10.0.2.2[办公区])

 

FW2的HRP接口的链路聚合：

g1/0/5 [HRP]

g1/0/6 [HRP]

新建一个HRP单独的安全区域：

g1/0/1 (10.10.100.2) [电信]

g1/0/2 (10.10.200.2) [移动]

g1/0/0 (10.0.3.2) [DMZ]

g1/0/4  (10.0.0.2) [游客区]

 

2、FW1的新增配置：

FW1的HRP链路聚合：

FW1 g1/0/5 [HRP]

FW1 g1/0/6 [HRP]

 

新建一个HRP单独安全区域：

修改一下FW1到达公网电信链路接口的IP地址（10.10.100.1）：

修改一下FW1到达公网移动链路接口的IP地址（10.10.200.1）： 

 

3、交换机LSW6（总公司）的新增配置：

[Huawei]int g0/0/4

[Huawei-GigabitEthernet0/0/4]p l t

[Huawei-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

[Huawei-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1

4、双机热备技术配置（双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1）：

FW1:

勾选了主动抢占，则代表开启抢占模式，默认开启60S抢占延迟

（抢占延时主要是为了应对一些接口可能出现反复震荡的情况）

静态路由自动备份建议勾选

FW3:

FW1配置完成双机热备视图：

FW2配置完成双机热备视图：

同步情况：

安全策略：

NAT策略：

还需要修改我们设备机的网关为我们的虚拟地址：

PC1:

Client1：

Client2：

PC2：

Client4：

Client3：

PC5:

Server1：

Server2：

测试一下：

使用办公区的PC2 ping 路由器的环回接口：

由于我们之前要求中写过一条安全策略是禁止生产区到达公网的，所有这里我们就不做生产区的测试。

 使用游客区的client3 去ping 路由器换回：

在FW3的移动链路上进行抓包：

 

与我们的NAT策略配置的流量走向相同！！

在DMZ区开启http服务，使用公网的客服端进行访问：

在此之前我们要新增两条关于FW3的服务器映射：

 

 

 

测试成功！！！

 

5、带宽策略相关配置：

（1）办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M

办公区上网限制：

策略独占： 每个带宽策略调用这个通道，都按照通道中的设定执行

策略共享： 所有带宽策略调用这个通道，都按照通道中的设定执行

安全策略是可以根据你的带宽策略自动生成的

销售部上网限制：

（2）销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M

（3）移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分

开启了动态均分，则根据在线的用户或者IP数量来分配总流量。

（4）外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

至此本实验全部完成！！！