目录
一、实验拓扑图
二、实验要求
三、实验思路:
四、实验步骤:
1、FW3的网络相关配置:
2、FW1的新增配置:
3、交换机LSW6(总公司)的新增配置:
4、双机热备技术配置(双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1):
5、带宽策略相关配置:
(1)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
(2)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
(3)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
(4)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
一、实验拓扑图
二、实验要求
1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
【前6个要求已完成,需要查看请前往下面网址】http://t.csdnimg.cn/K1Dsxhttp://前6个要求
7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11、游客区仅能通过移动链路访问互联网
【要求7-11已完成,需要查看请前往下面的网址】http://t.csdnimg.cn/VO4mIhttp://要求7-11
【本篇博客是完成要求12-16】
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
三、实验思路:
1、IP地址的划分要,区域划分要清晰合理,本实验看拓扑图很复杂,注意好线的连接关系;
2、对于新加的设备FW3进行相关的网络配置;
3、防火墙双机热备技术的负载分担模式的相关配置;
4、流量的带宽管理配置。
四、实验步骤:
1、FW3的网络相关配置:
对于一个刚启动防火墙的配置:
开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.30/24与我们Clound中虚拟网卡通一个网段才行。
在防火墙中g0/0/0口中开启所有的服务:
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
FW3 的连线情况(拓扑图中实在是太乱了):
g0/0/0 --- LSW1 g0/0/4
g1/0/0 (g1/0/0.1 : 10.0.1.2 [生产区], g1/0/0.2 : 10.0.2.2[办公区])--- LSW6 g0/0/4
g1/0/1(IP:10.10.10.3) --- FW1 g1/0/5(IP:10.10.10.1) [HRP]
g1/0/2 (IP:10.10.10.4)--- FW1 g1/0/6(IP:10.10.10.2) [HRP]
g1/0/3 (12.0.0.3) --- LSW11 g0/0/2 [电信]
g1/0/4 (21.0.0.3) --- LSW12 g0/0/2 [移动]
g1/0/5 (10.0.3.2) --- LWS2 g0/0/4 [DMZ]
g1/0/6 (10.0.0.2) --- LSW8 g0/0/4 [游客区]
HRP IP地址划分:
10.10.10.0/24
新建安全区域(BG,YK,电信,移动):
配置网络接口详情:
g1/0/0 (g1/0/0.1 : 10.0.1.2 [生产区], g1/0/0.2 : 10.0.2.2[办公区])--- LSW6 g0/0/4
FW2的HRP接口的链路聚合:
g1/0/1(IP:10.10.10.3) --- FW1 g1/0/5(IP:10.10.10.1) [HRP]
g1/0/2 (IP:10.10.10.4)--- FW1 g1/0/6(IP:10.10.10.2) [HRP]
新建一个HRP单独的安全区域:
g1/0/3 (12.0.0.3) --- LSW11 g0/0/2 [电信]
g1/0/4 (21.0.0.3) --- LSW12 g0/0/2 [移动]
g1/0/5 (10.0.3.2) --- LWS2 g0/0/4 [DMZ]
g1/0/6 (10.0.0.2) --- LSW8 g0/0/4 [游客区]
2、FW1的新增配置:
FW1的HRP链路聚合:
g1/0/1(IP:10.10.10.3) --- FW1 g1/0/5(IP:10.10.10.1) [HRP]
g1/0/2 (IP:10.10.10.4)--- FW1 g1/0/6(IP:10.10.10.2) [HRP]
新建一个HRP单独安全区域:
3、交换机LSW6(总公司)的新增配置:
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]p l t
[Huawei-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1
4、双机热备技术配置(双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1):
FW1:
勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟
(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)
静态路由自动备份建议勾选
FW3:
FW1配置完成双机热备视图:
FW2配置完成双机热备视图:
同步情况:
安全策略:
NAT策略:
5、带宽策略相关配置:
(1)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
办公区上网限制:
策略独占: 每个带宽策略调用这个通道,都按照通道中的设定执行
策略共享: 所有带宽策略调用这个通道,都按照通道中的设定执行
安全策略是可以根据你的带宽策略自动生成的
销售部上网限制:
(2)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
(3)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
开启了动态均分,则根据在线的用户或者IP数量来分配总流量。
(4)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
至此本实验全部完成!!!