一、实验拓扑

二、实验要求

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

11，游客区仅能通过移动链路访问互联网

三、实验步骤

Ⅰ、办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

1、新建NAT策略

2、设置保留地址

3、测试

Ⅱ、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

1、配置分公司防火墙

2、配置安全策略

3、配置NAT策略

4、在总公司防火墙上做服务器映射

5、配置安全策略

6、测试

Ⅲ、多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

1、配置智能选路，选择根据带宽负载分担

2、设置保护阈值

3、办公区中10.0.2.10该设备只能通过电信的链路访问互联网

新建策略路由

测试

Ⅳ、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

1、将公网与分公司内部服务器做端到端的目标NAT

新建安全策略

2、将分公司内部设备与内部服务器做源地址和目标地址同时转换，保证内部设备通过域名正常访问内部服务器（安全区域都是分公司，可不配置安全策略）

3、配置公网上的域名服务器（100.0.0.3）

4、配置客户端上配置域名服务器地址

4、测试

公网：

内网：

Ⅴ、游客区仅能通过移动链路访问互联网（easy IP）

配置NAT策略

测试