12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
拓扑图展示
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
首先配置FW1
点击系统中的高可靠性中的双机热备,点击左上角的配置,进入配置。勾选启动,选择负载分担
下面是具体配置内容,一条办公区和生产区的主,表示两个区都走FW1防火墙,然后是DMZ区和游客区的备,为FW3防火墙做备份,然后是分别自己和FW3的移动和电信的主备
然后配置FW3
先是办公区和生产区的备,然后是游客区和DMZ区的主,表示游客区和DMZ区都走FW3,最后也是自己和FW1的移动和电信的主备
然后我们配置NAT策略和安全策略来检验一下:
游客访问外网的安全策略
游客访问外网的NAT策略
检验,通过电信可以ping通,即可以上网
同样,通过移动也可以上网
DMZ区访问外网的NAT策略
DMZ区访问外网的安全策略
检验,电信和移动也都可以上网
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
可以用父子策略。先创建一个父策略(办公区),再创建子策略(销售部以及人员)
首先创建办公区流量限制,如图:
先创建带宽通道,然后创建带宽策略,带宽策略可以直接导入带宽通道
应题目要求,带宽最大值为100M
然后创建销售部流量通道,如图:
在下面的用户中限制使用流量
注意:动态均分不要勾选
如果勾选,则会使每人流量大于6M,因为,销售部使用流量不是时刻都是十个人,有时可能只有5个让使用,如果勾选,那么会根据实际使用的人数进行限制,即此时是5个人平分60M,所以就有每人12M,远超6M。
接下来就是配置带宽策略
先是办公区带宽策略配置,如图:
下面带宽通道直接导入即可
然后配置销售部策略,如图;
注意:父策略那要选择办公区策略,然后下面导入通道
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
同样的,先写通道,如图:
根据题目配置就行,题目要求是保证有10M,所以选择的不是最大,而是保证,用户限制也是
然后配置策略:
这里要注意的是应用,题目中表示email应用,那么在应用中搜索邮箱相关的就行,全部勾选。
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
还是先配通道:
这次题目说根据在线地址进行动态均分,那么要勾选动态均分,而且还有勾选每IP,因为是根据在线地址来均分的
然后配置策略,导入通道:
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
还是先配通道(先配置外网访问内网服务器):
注意:限流方式选择分别设置上下行带宽,之前选择设置上下行总带宽是题目中没有表示,默认选择的设置上下行总带宽,但是该题明说了下行流量,所以限流方式选择分别设置上下行带宽
然后配置(内网DMZ访问外网):
最后配置策略,导入通道:
自此,实验基本完成。