ensp-防火墙

实验拓扑:

工作模式：

①透明网桥模式（可将防火墙当成二层交换机）
②路由模式 （可将防火墙当成三层路由器）
DMZ：demilitarized zone，通常给该区域放服务器
注：优先级越高表示越信任

将接口划入区域

方向

outbound：高优先级访问低优先级
inbound：低优先级访问高优先级 

注：“访问”仅指的是出包即主动发起的第一个报文，即建立会话（session）的过程。

五元组

防火墙NAT

① NAT转换：firewall 允许内网私网用户访问外网服务器

nat-policy interzone trust untrust outbound #允许trust- >untrust转换 
policy 1 #定义转换策略1
 action source-nat #仅转换源ip地址 
 easy-ip Gi 0/0/2 #出包时转成公网接口gi0/0/2的公网ip

② NAT转换：将内网服务器80端口映射出去

nat server  protocol tcp global 23.1.1.3 80 inside 192.168.254.2 80

SLB（server load-balance ）：基于服务器的负载均衡

注：slb集成NAT功能，因此不需要额外配置基于服务器的NAT 配置：

slb enable 
slb
	rserver 1 rip 192.168.254.2  #真实服务器1的真实ip地址 	
	rserver 2 rip 192.168.254.3 
	group web 
		addrserver 1 
		addrserver 2 
	vserver vweb vip 23.1.1.4 group web #创建虚拟服务vweb公 网地址23.1.1.4，关联真实服务器组web