一.实验拓扑
二.实验要求
1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3.多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4.分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5.游客区仅能通过移动链路访问互联网
三.实验思路
1.配置NAT技术,多对多,并保留一个IP地址
2.服务器映射,配置将移动和电信的公网ID映射到100.3.10
3.多出口基于带宽选路,并开启保护阈值80%,10.0.2.10只能走电信,所有配置一个走移动的策略,动作改为禁止
4.分公司客户端可以访问域名服务器,再访问内部服务器,先配置端口映射,23.0.0.2映射分公司服务器,通杀还要加一条访问外网的NAT;公网设备通过域名访问分公司服务器.
5.游客区写一条针对移动链路的NAT
四.实验步骤
1.配置办公区设备上网的nat
进入策略页面进行nat策略配置并创建源转换地址池
随后点击提示中的新建安全策略直接创建一个安全策略.
2.配置端口(服务器映射),需要配置两条,移动和电信的公网ID映射到100.3.10
总公司配置
同时需要新建安全策略
分公司配置
同样直接点击新建安全策略
3.创建链路接口并进行接口配置
先创建电信和移动两条链路接口
然后在网络中的路由里面的智能选路中选择全局选路策略进行配置,并且加入刚刚的两条链路。
然后在接口处分别为电信和移动进行配置
4.在FW2(分公司)防火墙上的界面nat配为双向nat
同时点击 新建安全策略
需要给访问设备配置域名服务器IP地址然后配置DNS服务器
5.游客区写一条NAT,只针对移动链路
最后nat策略创建后也点击创建相应的安全策略