【自学安全防御】三、企业双机热备和带宽管理的综合实验

实验拓扑：

实验任务：

12，对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1

13，办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M

14，销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M

15，移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分

16，外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

实验步骤：

十二、对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1

1、搭建好拓扑图，配置好基础IP配置，做好前期准备工作，如下：

链路聚合（需要注意的是链路聚合前不要给需要聚合的链路做任何配置，否者不可链路聚合）：

（FW1和FW2安全区域对应的地址接口要一模一样，否则双机热备建立不成功）

FW1上：

FW3上：

2、开始做双机热备，

1）在FW1上，做如下图配置：

2）添加如下虚拟IP，如下：

3）在FW3上：

4）配置虚拟接口，如下：

3、结果：FW1和FW3成功建立负载分担模式。

FW1:

FW3:

4、测试：

1）写安全策略放行http服务，使内网允许访问外网，如下：

2）写NAT策略，使内网能访问外网，如下：

3）用client4访问100.0.0.100的httpserver抓包发现包全经过FW3。实验完成可以做更多测试，我这里就不演示了。

十三、办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M

1、添加办公区认证域YZW，如下：

2、加办公区用户组，研发部和销售部。如下：

3、配置带宽通道，如下：

4、子带宽通道（可以不先配，在写带宽策略的时候也可以配置），如下：

5、配置带宽策略，引入带宽通道。

6、配置子带宽通道，引入父带宽策略和带宽通道，如下：

十四：销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M

1、写带宽策略如下，

十五：移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分

1、先做移动100M的宽带限制，也可以在接口处配置，但是由于是双机热备中，不能更改带宽配置，所以就在带宽通道中实现，如下：

2、写父带宽策略如下：

3、写子带宽通道，如下：

5、创建游客用户yk，写子带宽策略，引入父带宽策略，如下：

十六：外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

1、（之前实验已经实现外网访问内网DMZ服务器，需在此基础上做此实验）写带宽通道，如下：

2、写带宽策略，如下：

到这里实验就圆满完成了！！

因为后面四条实验不容易测试，所以就没测试。

继续加油把！！！