防火墙双机热备带宽管理综合实验
拓扑和概述
将增加一台防火墙起到热备管理,实现负载分担,互为主备,设备间用两条心跳线连接保持策略和会话的同步
连线做好跟之前的实验一样,fw1用什么口连接的什么区,增加的fw3也照着这样连接,避免后续改接口的区域
实验要求
12:对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13:办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14:销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15:移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16:外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M
实现
12:对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式
fw1和fw3做负载分担
心跳线单独给个区域就行,其他区域ip就先配好,以防在热备情况下配置不了
这个hello报文周期就是用心跳线同步的时间,两端要一致
测试 现在还没同步,fw3还没有策略
在详情里面同步配置
fw3有策略了,说明热备好了
游客区和DMZ区走FW3,生产区和办公区的流量走FW1
设置VGMP组和vrrp组,让游客区和DMZ的GMP为主也就是active,生产区和办公区的VGMP为备也就是standby
看主备的角色
测试 游客区不通的原因可能是之前的策略路由没有同步过来,写一下就好了,记得反选,不然去内网也触发了
办公区
13:办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
现在就开始做带宽管理了
先写通道再做策略
策略独占:每个带宽策略都按照设定的带宽多少走
策略共享:所有的带宽策略加起来按照设定的带宽走
DSCP标记位:也就是打优先级做队列调度(就像ip包头里的TOS),优先级高的先走,这里没说就不写
动态均分就是系统动态的根据用户平均分带宽
配置不了先关了热备或者去主设备配置
这里应该写销售部的,但是这个模拟器保存不了就没写
14:销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15:移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16:外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M
一个两个服务器,连接数可以设置2
解释一下上行和下行
上行流量:你策略抓取流量的方向,比如你抓trust到untrust,上行方向就是trust到untrust
下行流量:抓取策略相反的流量,比如你抓trust到untrust,下行方向就是untrust到trust