我们接着上次的拓扑继续做,将实验更加完善:
一、拓扑图配置
1、题目要求的拓扑图:
2、我自个搭的拓扑图:
二、实验思路分析:
1、基础配置
在完成各项要求前,先将IP地址等配置
2、要求7:
配置两个多对多的NAPT策略,将其应用在办公区访问电信(移动)上,在配置IP地址池时,多创建一个公网地址,用来保留
3、要求8:
将DMZ区域通过端口映射到公网,再在子公司防火墙上配置内网往外网的安全策略,和NAT策略(我这里用的easy ip)
4、要求9:
在智能选路中将只能选路模式改为“基于带宽比例选路”,在接口中将保护阈值设为80%,对10.0.2.10使用路由策略,使其只能用电信
5、要求10:
启动分公司服务器设备,配置服务器的端口映射,配置公网中的DNS服务器,配置client的DNS地址,配置双向NAT,使内网设备可以访问服务器
6、要求11:
配置NAT让游客区用户可以访问外网,再写一条策略路由将游客区的路由都通过移动的链路转发
三、配置过程:
1、IP地址:
1)AR1:
[r1]int g 4/0/0
[r1-GigabitEthernet4/0/0]ip add 100.0.0.254 24
[r1-GigabitEthernet4/0/0]int g 0/0/2
[r1-GigabitEthernet0/0/2]ip add 23.0.0.1 24
2)FW2:
3)各终端设备IP地址:
2、要求7:
1)新建一个nat策略:
2)配置办公区到电信的NAT
(将12.0.0.5保留):
在确认之前,先让系统自动生成一个安全策略:
3)配置办公区到移动的NAT
(21.0.0.5保留)
同样的,生成一个安全策略:
4)将电信和移动的线路都配置多出口:
5)连通测试:
3、要求8:
1)新建一个端口映射:
2)配置http在电信的映射:
3)配置http在移动的映射:
注意:因为在电信中允许了“服务器使用公网地址上网”,所以在“移动”中就不能该功能了
4)配置子公司访问外网的策略:
5)配置NAT:
6)测试:
3、需求9:
1)修改全局选路策略:
2)新建链路接口
新建两个链路接口,用来智能选路
3)修改智能选路方式
将智能选路方式改为“根据链路带宽负载分担”
4)设置电信的保护阈值:
5)设置联通的保护阈值:
6)效果图:
7)新建策略路由
8)配置2.10转发的策略路由
使其转发到电信的链路
4、需求10:
1)将分公司的服务器启动
2)对该服务器配置端口映射:
3)配置DNS服务器:
4)配置其他设备的DNS服务器地址:
5)fw2配置双向NAT:
6)测试:
公网设备访问服务器
私网设备访问服务器
5、需求11:
1)配置NAT使游客区能访问外网:
2)配置策略路由
3)测试:
当移动链路可以使用时
当移动链路不可使用时: