【自学安全防御】三、企业双机热备和带宽管理的综合实验
实验拓扑:
实验任务:
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
实验步骤:
十二、对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
1、搭建好拓扑图,配置好基础IP配置,做好前期准备工作,如下:
链路聚合(需要注意的是链路聚合前不要给需要聚合的链路做任何配置,否者不可链路聚合):
(FW1和FW2安全区域对应的地址接口要一模一样,否则双机热备建立不成功)
FW1上:
FW3上:
2、开始做双机热备,
1)在FW1上,做如下图配置:
2)添加如下虚拟IP,如下:
3)在FW3上:
4)配置虚拟接口,如下:
3、结果:FW1和FW3成功建立负载分担模式。
FW1:
FW3:
4、测试:
1)写安全策略放行http服务,使内网允许访问外网,如下:
2)写NAT策略,使内网能访问外网,如下:
3)用client4访问100.0.0.100的httpserver抓包发现包全经过FW3。实验完成可以做更多测试,我这里就不演示了。
十三、办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
1、添加办公区认证域YZW,如下:
2、加办公区用户组,研发部和销售部。如下:
3、配置带宽通道,如下:
4、子带宽通道(可以不先配,在写带宽策略的时候也可以配置),如下:
5、配置带宽策略,引入带宽通道。
6、配置子带宽通道,引入父带宽策略和带宽通道,如下:
十四:销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
1、写带宽策略如下,
十五:移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
1、先做移动100M的宽带限制,也可以在接口处配置,但是由于是双机热备中,不能更改带宽配置,所以就在带宽通道中实现,如下:
2、写父带宽策略如下:
3、写子带宽通道,如下:
5、创建游客用户yk,写子带宽策略,引入父带宽策略,如下:
十六:外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
1、(之前实验已经实现外网访问内网DMZ服务器,需在此基础上做此实验)写带宽通道,如下:
2、写带宽策略,如下:
到这里实验就圆满完成了!!
因为后面四条实验不容易测试,所以就没测试。
继续加油把!!!
