【自学安全防御】三、企业双机热备和带宽管理的综合实验

07-19 1000阅读

实验拓扑:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

实验任务:

12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1

13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

实验步骤:

十二、对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1

1、搭建好拓扑图,配置好基础IP配置,做好前期准备工作,如下:

链路聚合(需要注意的是链路聚合前不要给需要聚合的链路做任何配置,否者不可链路聚合):

【自学安全防御】三、企业双机热备和带宽管理的综合实验

(FW1和FW2安全区域对应的地址接口要一模一样,否则双机热备建立不成功)

FW1上:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

【自学安全防御】三、企业双机热备和带宽管理的综合实验

FW3上:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

【自学安全防御】三、企业双机热备和带宽管理的综合实验

2、开始做双机热备,

1)在FW1上,做如下图配置:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

2)添加如下虚拟IP,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

3)在FW3上:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

4)配置虚拟接口,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

3、结果:FW1和FW3成功建立负载分担模式。

FW1:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

FW3:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

4、测试:

1)写安全策略放行http服务,使内网允许访问外网,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

2)写NAT策略,使内网能访问外网,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

【自学安全防御】三、企业双机热备和带宽管理的综合实验

【自学安全防御】三、企业双机热备和带宽管理的综合实验

3)用client4访问100.0.0.100的httpserver抓包发现包全经过FW3。实验完成可以做更多测试,我这里就不演示了。

【自学安全防御】三、企业双机热备和带宽管理的综合实验

十三、办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

1、添加办公区认证域YZW,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

2、加办公区用户组,研发部和销售部。如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

3、配置带宽通道,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

4、子带宽通道(可以不先配,在写带宽策略的时候也可以配置),如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

5、配置带宽策略,引入带宽通道。

【自学安全防御】三、企业双机热备和带宽管理的综合实验

6、配置子带宽通道,引入父带宽策略和带宽通道,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

十四:销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

1、写带宽策略如下,

【自学安全防御】三、企业双机热备和带宽管理的综合实验

【自学安全防御】三、企业双机热备和带宽管理的综合实验

十五:移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

1、先做移动100M的宽带限制,也可以在接口处配置,但是由于是双机热备中,不能更改带宽配置,所以就在带宽通道中实现,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

2、写父带宽策略如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

3、写子带宽通道,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

5、创建游客用户yk,写子带宽策略,引入父带宽策略,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

十六:外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

1、(之前实验已经实现外网访问内网DMZ服务器,需在此基础上做此实验)写带宽通道,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

2、写带宽策略,如下:

【自学安全防御】三、企业双机热备和带宽管理的综合实验

到这里实验就圆满完成了!!

因为后面四条实验不容易测试,所以就没测试。

继续加油把!!!

VPS购买请点击我

文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。

目录[+]