（在上一篇防火墙安全策略实验基础上）

一、拓扑图：

二、实验要求：

7、办公区设备可以通过电信链路和移动链路上网（多对多的NAT，并且需要保留一个公网IP不能用来转换）

8、分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的HTTP服务器

9、多出口环境基于带宽比例进行选路，但是，办公区中的10.0.2.10该设备只能通过电信的链路访问互联网，链路开启过载保护，保护阈值50%

10、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到公司内部服务器

11、游客区仅能通过移动链路访问互联网

三、实验思路：

1、配置电信和移动的多对多NAT，并保留一个IP地址；

2、配置电信和移动的服务器映射；

3、配置电信链路，开启过载保护，基于带宽比例选路；

4、配置分公司双向NAT；

5、配置移动链路，做策略游客区只能通过移动链路访问；

四、实验步骤：

1、办公区设备可以通过电信链路和移动链路上网（多对多的NAT，并且需要保留一个公网IP不能用来转换）

配置电信NAT策略：

配置移动NAT策略：

测试：

2、分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的HTTP服务器

总公司防火墙开发DMZ区的HTTP server

电信链路：

移动链路：

分公司NAT策略：

测试：

3、多出口环境基于带宽比例进行选路，但是，办公区中的10.0.2.10该设备只能通过电信的链路访问互联网，链路开启过载保护，保护阈值50%

10.0.2.10该设备只能通过电信链路访问互联网：

移动链路接口：

电信链路接口：

开启过载保护，阈值为80%：

4、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到公司内部服务器

公网和分公司内部服务器做端到端NAT策略：

分公司到分公司内部服务器NAT策略：

测试：

5、游客区仅能通过移动链路访问互联网

配置游客区到YD区的easy IP：

测试：