防火墙综合实验三

目录

实验要求

IP地址配置

需求十二

需求十三

需求十四

需求十五

需求十六

---

实验要求

接防火墙综合实验二！

12，对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1。
13，办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M。
14，销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M。
15，移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分。
16，外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

IP地址配置

FW3管理IP地址，允许Web管理：

<USG6000V1>sys
[USG6000V1]sysname FW3
[FW3]int g0/0/0
[FW3-GigabitEthernet0/0/0]ip add 192.168.10.3 24
[FW3-GigabitEthernet0/0/0]service-manage all permit 

 使用Web管理方式配置其余IP地址：

通往公网的IP地址需要另设置，因为这些公网IP地址后续需要用于作虚拟IP地址。这里电信使用10.10.10.0/24网段。移动使用10.10.20.0/24网段。

IP地址配置完成：

FW1的通向公网的IP地址也需要更改： 

需求十二

对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1。
链路聚合的形式配置心跳线（使用172.16.1.0网段赋予IP地址）：

FW1：

FW3：

 将心跳线接口都加入trust区域：

FW1：

FW3：

双击热备配置：

要使游客区和DMZ区走FW3，生产区和办公区的流量走FW1。就要在两个防火墙上个添加4个VRID，生产区和办公区分别为1和2，主设备为FW1，游客区和DMZ区分别为3和4，主设备为FW3。其中剩下的又各为其他设备的备。而公网进入的方向，因为要考虑到双机热备的负载分担，故而移动和电信各给两个IP地址用来作虚拟IP地址。

FW1：

添加虚拟IP地址1（虚拟IP为10.0.1.254） --- 主：

添加虚拟IP地址2（虚拟IP为10.0.2.254） --- 主：

添加虚拟IP地址3（虚拟IP为10.0.3.254） --- 备：

添加虚拟IP地址4（虚拟IP为10.0.0.254） --- 备：

添加虚拟IP地址5（虚拟IP为12.0.0.10） --- 主：

添加虚拟IP地址6（虚拟IP为21.0.0.10） --- 主：

添加虚拟IP地址7（虚拟IP为12.0.0.30） --- 备：

添加虚拟IP地址8（虚拟IP为21.0.0.30） --- 备：

 双击热备 --- 负载分担：

FW3：

 添加虚拟IP地址1（虚拟IP为10.0.1.254） --- 备：

添加虚拟IP地址2（虚拟IP为10.0.2.254） --- 备：

添加虚拟IP地址3（虚拟IP为10.0.3.254） --- 主：

添加虚拟IP地址4（虚拟IP为10.0.0.254） --- 主：

添加虚拟IP地址5（虚拟IP为12.0.0.10） --- 备：

添加虚拟IP地址6（虚拟IP为21.0.0.10） --- 备：

添加虚拟IP地址7（虚拟IP为12.0.0.30） --- 主：

添加虚拟IP地址8（虚拟IP为21.0.0.30） --- 主：

双机热备 --- 负载分担： 

 双机热备配置完成：

FW1：

FW2：

因为FW3是新加入的防火墙，且总公司下面的生产区和办公区是划分了vlan的，所以需要在总公司的交换机上配置Trunk口放通vlan2和vlan3的流量：

<LSW3>sys
[LSW3]int g 0/0/4
[LSW3-GigabitEthernet0/0/4]port link-type trunk 
[LSW3-GigabitEthernet0/0/4]port trunk allow-pass  vlan 2 3	
[LSW3-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1

作服务器映射，外网有访问DMZ区服务器的需求，故需要做服务器映射，在FW1上作：

修改设备网关IP地址：

PC2：

PC4：

server1：

 其余设备也都需要修改，测试只用三个设备，这里不做过多展示。

测试：

负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1。生产区不允许访问外网，故在这里不测试。

分别在这几个区的防火墙入接口上抓包，统一首先开启FW1的抓包：

游客区:

 可以看出PC4发往发外网的流量确实都是走的FW3。

办公区：

外网访问HTTP server：

走移动：

 走电信：

 办公区的流量也都是走FW1，其余区域没有通往外界的安全策略，这里就不做过多展示。

 由此需求完成。

需求十三

办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M。
因为FW1为主设备，所以配置全都在FW1上完成

创建销售部：

先创建带宽通道：

办公区：

销售部： 

构建带宽策略：

办公区：

销售部： 

 至此需求完成。

需求十四

销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M。
新建带宽通道：

新建带宽策略：

需求十五

移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分。
修改移动链路带宽：

新建带宽通道：

新建带宽策略： 

需求完成。 

需求十六

外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

新建带宽通道：

外网访问DMZ区，下行为DMZ区的回包，DMZ中的每台服务器限制对外提供的最大下行带宽也就是回包带宽。

新建带宽策略：

最后放通流量：

至此需求完成。