(在上一篇防火墙安全策略实验基础上)
一、拓扑图:
二、实验要求:
7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8、分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的HTTP服务器
9、多出口环境基于带宽比例进行选路,但是,办公区中的10.0.2.10该设备只能通过电信的链路访问互联网,链路开启过载保护,保护阈值50%
10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到公司内部服务器
11、游客区仅能通过移动链路访问互联网
三、实验思路:
1、配置电信和移动的多对多NAT,并保留一个IP地址;
2、配置电信和移动的服务器映射;
3、配置电信链路,开启过载保护,基于带宽比例选路;
4、配置分公司双向NAT;
5、配置移动链路,做策略游客区只能通过移动链路访问;
四、实验步骤:
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
配置电信NAT策略:
配置移动NAT策略:
测试:
2、分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的HTTP服务器
总公司防火墙开发DMZ区的HTTP server
电信链路:
移动链路:
分公司NAT策略:
测试:
3、多出口环境基于带宽比例进行选路,但是,办公区中的10.0.2.10该设备只能通过电信的链路访问互联网,链路开启过载保护,保护阈值50%
10.0.2.10该设备只能通过电信链路访问互联网:
移动链路接口:
电信链路接口:
开启过载保护,阈值为80%:
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到公司内部服务器
公网和分公司内部服务器做端到端NAT策略:
分公司到分公司内部服务器NAT策略:
测试:
5、游客区仅能通过移动链路访问互联网
配置游客区到YD区的easy IP:
测试:
