实验拓扑:
要求:
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5、游客区仅能通过移动链路访问互联网
步骤:
1、将设备的接口ip地址配置全面,包括新添加的设备和FW2的配置
2、做出NAT转换
3、进行服务测试,验证策略是否配置正确
连接ISP的接口
新增加的设备地址
多对多的NAT策略配置,需要保存一个公网ip不能用来换,所以办公区的设备需要连接电信、移动来进行上网
在FW1上建立电信与移动的安全区域
修改G1/0/2和G1/0/3的区域
G1/0/2改为电信
G1/0/3改成移动
创建一个源地址转池:将配置黑洞路由勾选(防止路由环路),不勾选允许端口地址转换(此处要配置多对多的NAT抓换和源地址转换,如果勾选端口地址转换就会让其变为了端口映射)
NAT的安全策略
NAT策略
使分公司设备通过总公司的电信和移动来连接DMZ的服务器
FW2上做NAT和策略
NAT
安全策略
FW1上做服务器映射和安全策略
服务器映射
安全策略
选路智能,多出口环境基于带宽比例来进行选路,办公区的10.0.2.10设备只能通过电信来访问网络
修改接口
增加链路接口
电信
移动
分公司的用户可以通过域名访问到内部的服务器,其他设备也可以
在FW2上做双向NAT
游客区只能通过移动来访问互联网
