实验需求

拓扑

实验注意点：

• 先配置双机热备，再来配置安全策略和NAT
• 两台双机热备的防火墙的接口号必须一致
• 如果其中一台防火墙有过配置，最好清空或重启，不然配置会同步失败
• 两台防火墙同步完成后，可以直接在主状态防火墙上配策略，配好后会自动分享给备状态防火墙

这里防火墙的接口IP配置和二层交换机的配置也不再赘述，需要的话可以看我的前两篇博文

需求:

注意先做双机备份！！！做完再配策略，双机备份在下面！！！
1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

配置：

多对多NAT，需要用到地址池

地址池需保留一个公网IP

移动相同，只是IP地址池是20.0.0.4-20.0.0.5

效果：

ping ISP的环回1.1.1.1

而且抓包可以看到的确没有用我们的保留地址10.0.0.4

2,分公司设备可以通过总公司的移动链路和电信链路访问到DMz区的http服务器

这里也可以写服务器映射，但是我比较喜欢用NAT

这里注意目的地址是公网地址，这里我故意用了保留的IP地址10.0.0.4作为公网服务器地址

点确定之前注意还要新建一条安全策略，这里新建了，之后移动的就不需要了

移动类似，把10.0.0.4改成20.0.0.4就行了

接下来就是分公司出网的NAT(注意这里是在分公司的防火墙上配)，同样点确定之前新建一条安全策略

效果：

通过电信IP访问

通过移动IP访问：

3,分公司内部的客户端可以通过公网地址访问到内部的服务器

如果内部的客户端想通过公网地址访问到内部的服务器，必须使用双向NAT

同样记住新建安全策略

效果：

4,FW1和FW3组成主备模式的双机热备

点击系统-->高可靠性-->双机热备-->配置

• 因为这里上行链路有电信和移动，所以上行需要两组vrrp，虚拟IP都为电信和移动的公网IP
• 下行有三个区域，需要三组vrrp，虚拟IP为10.0.x.254
• hrp心跳线连接两根，保证冗余
• FW1为主，FW2为备
• 这里注意配置之前可以新建一个安全区域HRP，将hrp两根线划分到该区域

上行链路:
vrrp1(电信):10.0.4.0/24
vrrp2(移动):10.0.5.0/24
下行链路:
vrrp3(SC):10.0.2.0/24
vrrp4(BG):10.0.3.0/24
vrrp5(DMZ):10.0.1.0/24
hrp1:192.168.1.0/24
hrp2:192.168.2.0/24

然后配置VRRP，注意有5组

FW2同理，注意运行角色选择备用就行了 

效果：

注意这里的配置一致性，必须显示检查内容相同，才能开始配策略

这里我们先用PC2ping公网1.1.1.1 ping 1.1.1.1 -t一直ping，然后再断开FW1也就是主状态防火墙的上联口两个，g1/0/0和g1/0/5，shutdown

先看PC2，丢了两个包，之后正常上网

然后看运行状态，主变成了备，备变成了主

也可以抓包看，我在FW2两个上联口抓的包，可以看到icmp包，正常状态下肯定是走FW1的，但是因为接口down了，状态变化了

5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M

这里还需要新建用户组BG和sale

这里漏写了一个要求，接口带宽100M，电信移动都要修改

办公区流量限制60M

先配置带宽通道

然后配置带宽策略

销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M

同理

只是注意这里的父策略要选择BG_limit，因为销售部属于办公区

6,销售部保证emai1应用在办公时间至少可以使用10M的带宽,每个人至少1M

同理

7,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。

先配置全局选路策略

网络-->路由-->智能选路-->配置

新建两个链路接口，电信和移动，这里可以设置过载保护阈值

完成后修改策略路由

链路接口选择电信就OK了