eNSP：防火墙设置模拟公司配置（二）

实验拓扑：

实验要求（二）：

7：
办公设备可以通过电信连接和移动上网（多对多NAT，并且需要保留一个公网IP）
8：
分公司通过公网移动电信，访问DMZ的http服务器
9：
多出口基于宽带比例选路，但是办公区的10.0.2.1只能用电信链路访问公网
10：
分公司内部设备可以用域名访问总公司的设备sever，总公司也是
11：
访客只能通过移动访问公网

实验思路（二）：

1.防火墙的napt(多对多)，保留一个IP

2.分公司防火墙的NAT

3.防火墙多出口的负载分担

4.DNS代理

5.针对用户的NAT策略

实验步骤：

1.基础操作：

配置防火墙的IP和服务

配置分公司的设备IP等

防火墙分公司网关

2.进入web防火墙界面配置：

先加入总公司fw

要求一：办公设备可以通过电信连接和移动上网（多对多NAT，并且需要保留一个公网IP）

创建两个安全区域表示电信和移动

并对应接口配置IP和区域

并在ISP设备上配置IP

找到NAT 勾选NAT，选择办公到电信，填写公网电信的IP范围，并且配置上路由黑洞

点击下方高级，配置转换的个数范围和保留的IP地址

并点击下方的安全策略，配置上安全策略(电信

如法炮制出移动的策略

要求二：分公司通过公网移动电信，访问DMZ的http服务器

进入分公司fw

先到接口配置

在配置NAT

再新建安全策略

接下来给ISP设备配置静态路由，方便公司间的通讯

[Huawei]ip route-static 10.0.0.0 16 g0/0/0
[Huawei]ip route-static 10.0.0.0 16 g0/0/2

[Huawei]ip route-static 192.168.1.0 24 g0/0/1 

tips:记得给分公司一端的ISP的IP地址

现在得配置主公司和分公司从外部网来的安全策略

这里还勾选了icmp是方便我们去测试ping

还要写一条DMZ到外部的http服务

除此之外，还要配置上我们的NAT,

这里选电信和移动，不用快速建立安全策略，因为我们之前已经建立了

测试ISP设备

成功，现在我们来配置分公司的NAT和安全策略

打开ping http的服务

测试到内部的ping

测试http服务

要求三：多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.2该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

单独给10.0.2.2 设置限制

配置负载分担，链路开启过载保护，保护阈值80%

创建移动电信的接口

在全局里面配置一个20%，一个80%

要求四：分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

先找到DNS服务器的代理

内网服务器创建一个域名对应

分公司创一个

双方填写对方的域名

要求五：访客只能通过移动访问公网

创建一个访客账户

写一条策略路由

选择访客，单出口，移动出口