一,实验拓扑:
二,实验需求:
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5,游客区仅能通过移动链路访问互联网
三,实验思路(分析):
第一个问题可以直接使用源NAT转换,并保留一个IP地址;
第二个问题需要将总部的DMZ区域的http服务器用目标端口映射到公网上(移动和电信的两条链路都要做配置),分公司同时做源NAT转换可以访问其公网;
第三个问题在智能选路下基于带宽选路,同时做策略路由使10.0.2.10访问公网走电信链路(第五问同理)
第四个问题,先配置dns服务器,再让分公司可以访问公网的dns服务器(源NAT转化),在做双向NAT通过公网地址访问自己内部的服务器。双向映射后的源地址只要是防火墙设备的IP就行
四,实验过程:
各接口配置ip,网关
(1)办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
将接口G1/0/2和接口G1/0/3分别划分区域为:DX(电信),YD(移动)
写两条分别转换为移动和电信链路的公网地址,(最好勾选配置黑洞路由,因为如果nat转换后的 公网地址如果不是该链路网段,可能会产生环路)
通过自动生成安全策略:
ping测试:
(2)分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
总部电信链路NAT(目标地址映射):
总部移动链路NAT(目标地址映射):
点击新建安全策略自动生成其相应的安全策略
分公司可以访问服务器(可以让分公司访问公网即可,做源地址转换):
分公司接口划分区域:
分公司源NAT转换访问公网:
自动生成安全策略:
http测试:
(3)多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10.0.2.10只能通过电信访问互联网:
(4)分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
开启dns服务:
服务器NAT映射到公网上去
自动生成安全策略
公网测试:
分公司通过域名访问得做双向NAT(否则现在通过域名访问时,TCP建立是先由fgs的主机更防火墙建立,但是防火墙未转换源地址发送给服务器建立TCP时,服务器回复报文的目标地址是同网段主机,直接走二层回复,此时TCP建立混乱,客户端需要防火墙ip的TCP回复,但是收到的是服务器IP的TCP回复,此时需要做双向NAT解决此问题)
先修改NAT策略抓取流量的权限,使分公司可以访问公网的dns服务器,并修改相应的安全策略
双向NAT:
测试:
(5)游客区仅能通过移动链路访问互联网