网络防火墙综合实验

备注：电信网段15.1.1.0 移动网段14.1.1.0 办公区 11.1.1.0 生产区 10.1.1.0 服务区 13.1.1.0 公网 1.1.1.1 和 2.2.2.2 

需求：

1、办公区设备可以通过电信链路和移动链路上网（多对多nat，并且需要保留一个公网ip）
2、分公司设备可以通过总公司的移动链路和电信链路访问到dmz区的http服务器
3、分公司内部客户端可以通过公网访问内部服务器
4、fw1和fw3组成主备模式的双机热备
5、办公区上网用户限制流量不超过60M，其中销售部人员在其基础上流量限制不超过30M，且有10个用户，每个用户不超过3M
6、销售部保证email应用在办公时间至少使用10M的带宽，每人至少1M
7、多出口环境基于带宽比例进行选路，但是办公区种11.1.1.2该设备只能通过电信访问外网
第一步：先配置一些基本，ip地址 

fw1的接口ip 办公和生产我用了子接口 1.1和1.2 接口 

注意 每个接口有ping

fw2的接口配置

第一题、安全策略（应该是先做安全策略再做nat 我偷了懒，nat做好可以直接点击生成安全策略）

办公区去往移动链路的nat策略（地址池保留一个地址）

办公区去往电信链路的nat策略（地址池保留一个地址）

路由器配置四个网段，1.1.1.1 2.2.2.2 14.1.1.1 15.1.1.1用来模拟运营商的外网

用私网计算机ping1.1.1.1

第二题、外网访问私网服务器，需要做nat服务器映射（当然策略也是需要做的）名称不需要过多解释，为了方便理解 也需要在fw2上配置安全策略和nat策略

fw2 安全策略

fw2 nat策略

fw1安全策略

通过移动链路来访问

通过电信链路来访问

现在开启服务区的http服务

该服务器地址是13.1.1.2（我们需要用公网地址访问到私网http服务）

用分公司电脑去访问

移动链路

电信链路

第三题、这题需要搭建原和目标同时转换的nat策略（也包括安全策略）需要在fw2上配置

fw2 安全策略 申明一下（192.168.1.20是分公司服务器地址）

fw2 nat策略

分公司私网计算机用公网地址访问私网服务器

第四题 双机热备 fw3接口上必须有一些基本配置  心跳线（地址10.10.10.9-10），hrp使用聚合口代替（拉聚合口注意，必须接口没有配置才可以拉）

fw1接口配置

fw3接口配置

fw1的配置

fw3的配置

结果

fw1是主

fw3是备

第五题、办公区流量不可超过60M 

销售部30M带宽 有十个人 平均每人3M

第六题、保证销售部Emile 应用 10M 用户 1M

第七题、让11.1.1.2 使用电信链路访问公网（智能选路）