一,实验拓扑:
二,实验需求:
1,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW4,生产区和办公区的流量走FW2
2,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
3,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
4,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
5,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
三,实验思路:
1,先通过双机备份的主备模式,同步基础配置,再改成负载分担模式
2,后面都可以写带宽策略来实现各种带宽要求,有层级关系的策略可以使用父策略来实现层级化策略
四,实验过程:
1,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW4,生产区和办公区的流量走FW2
FW4:
开启FW4的备份,这里需要先创建至少一个虚拟IP(vrid组)才能形成主备备份:
创建vrid组虚拟mac可以勾选让主机感受不到链路的变化:
FW2:
开启主备备份主机模式:
创建vrid组:
查看是否同步基础配置:
部分配置未同步的可以关掉双机热备功能,手动更改!!
以上实现了将主机的配置备份到备机,现在再来实现问题的要求:
改双机热备模式为负载分担FW4:
FW2:
创建vrid组FW4(备):
游客区和dmz区用作主,生产区和办公区用作备
创建vird组FW2:
游客区和dmz区用作备,生产区和办公区用作主
ping测试看看内网是否实现了负载分担:
用生产区主机ping虚拟网关
FW2抓包
FW4抓包:
用游客区主机ping网关:
FW2抓包:
FW4抓包:
现在内部流量实现了分流
办公区ping公网测试:
(2)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
(3)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
(4)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
(5)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
