1.实验拓扑

在这里注意因为第四个要求配置双击热备，我们可以第一时间配置，避免二次重复配置消耗时间

4、FW1和FW3组成主备模式的双机热备
具体配置位置在系统-->高可靠性-->双机热备-->配置

这里上行链路有两组，分别为电信和移动，下行链路有三组，对应拓扑中的三个区域。

上行链路:
vrrp1(电信):10.0.4.0/24
vrrp2(移动):10.0.5.0/24
下行链路:
vrrp3(SC):10.0.2.0/24
vrrp4(BG):10.0.3.0/24
vrrp5(DMZ):10.0.1.0/24
hrp1:192.168.1.0/24
hrp2:192.168.2.0/24

FW3一样的配置互通

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

多对多的NAT，那就需要用到地址池。

那就是电信：10.0.0.4-10.0.0.5

移动：20.0.0.4-20.0.0.5

添加NAT策略

NAT策略源转换地址池中可以新增地址池，这里我添加的是电信的地址池，在新增地址池的界面中可以写入想要保留的地址。

这里我保留的是10.0.0.4地址。移动的配置相同，把IP地址修改一下即可。

实验结果：

2、分公司设备可以通过总公司的移动链路和电信链路访问到DMz区的http服务器

在FW1上做一条NAT策略，将untrust区域的数据源ip进行转换，转换成移动或者电信的IP地址。

移动操作一样，只需修改目的地址的ip即可。

点确定前在此界面点击新建安全策略，这里建好后，做移动的NAT策略时就无需再建安全策略了。

接下来是在FW2上进行配置，建立一条出网的安全策略。

实验结果：

3、分公司内部的客户端可以通过公网地址访问到内部的服务器

在FW2上进行NAT策略的配置，依然要记得新建安全策略。

实验结果：

5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M

需要新建用户组bg和bg_sale

销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M

这里得父策略要选择BG_limit，因为销售部属于办公区。

6,销售部保证emai1应用在办公时间至少可以使用10M的带宽,每个人至少1M

7,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。