目录
2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略
(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)
3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%
(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
一、实验题目要求
1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
5、游客区仅能通过移动链路访问互联网
二、拓扑搭建,IP地址规划
三、实验思路
1、实现多对多的NAT策略,实现办公区通过移动和电信网络上网:
- 配置多对多的NAT策略,使办公区的流量可以通过移动和电信的网络出口上网。
- 设置不同的NAT规则,以确保办公区的流量能够正确转换并通过这两个ISP(Internet Service Provider)。
2、在总公司配置两条端口映射:
- 设置端口映射规则,将公网IP 12.0.0.2 和 21.0.0.2 映射到私网IP 10.0.3.10:
- 公网IP 12.0.0.2 -> 私网IP 10.0.3.10
- 公网IP 21.0.0.2 -> 私网IP 10.0.3.10
- 确保外部访问这两个公网IP时,会被正确映射到内部的10.0.3.10。
3、在fw2上配置NAT策略,实现分公司与总公司之间的通信:
- 在fw2(防火墙设备)上配置NAT策略,使分公司和总公司之间的流量可以互通。
- 设置相应的NAT规则,确保分公司和总公司的内部网络可以相互访问。
4、禁用移动端10.0.2.10的安全策略:
- 配置安全策略,禁止通过移动端(公网IP 10.0.2.10)的特定流量。
- 确保移动端的流量不会影响到其他网络配置。
5、在多出口环境中基于带宽比例进行选路,并开启链路过载保护:
- 基于带宽比例进行流量选路,在多出口网络环境中优化流量分配。
- 启用链路过载保护,设置保护阈值为80%,防止链路过载。
- 根据带宽使用情况,动态调整流量分配,提升网络性能。
6、配置公网与分公司的端到端目标NAT:
- 配置端到端的目标NAT,使公网流量可以正确到达分公司。
- 确保分公司内部的设备可以通过公网域名访问内部服务器。
7、在游客区配置针对移动网络的 IP NAT:
- 在游客区配置一条NAT规则,只针对移动的流量进行IP转换。
- 通过NAT规则配置,确保游客区的流量可以通过移动网络出口。
四、实验步骤
先在路由器R1上配置好0/0/0和0/0/2接口的IP地址,并且再配置一条环回Loopback0用于当外网的测试
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 21.0.0.2 24
查看各表的接口状态:display ip interface brief
在R1上写网关配置:
[Huawei]int GigabitEthernet 4/0/0
[Huawei-GigabitEthernet4/0/0]ip address 100.0.0.1 24
1、防火墙FW2配置
<USG6000V1>system-view
[USG6000V1]int GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.81.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 
2、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
(1)做一条配置到电信的nat策略,并且保留一条地址,自动配置安全策略
先将电信移动的区域划分出来,并且将接口之前分在untrust区域的分别分到电信和移动区域去:
做nat策略:
(2)配置到移动的nat策略,安全策略和保留地址
(3)配置到电信的nat策略,安全策略和保留地址(与移动配置方法一致)
(4)测试
3、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
配置端口服务器映射,需要配置两条,移动和电信的公网id映射到10.0.3.10
(1)配置移动的公网id映射到10.0.3.10
(2)配置电信的公网id映射到10.0.3.10
(3)测试:公网到dmz的http
(4)写一条分公司到总公司的nat策略
4、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
(1)配置多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%
修改带宽阈值占比为80%
(2)办公区中10.0.2.10该设备只能通过电信的链路访问互联网
(3)测试:在pc端查看是否走的是电信,而不是移动
4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
(1)公网与分公司做个端到端的目标NAT
(2)分公司内部通过公网域名访问内部服务器
(3)测试
5、游客区仅能通过移动链路访问互联网
