拓扑图和要求如下:
之前的步骤可以去到上次的实验
1.步骤一:
首先在FW3防火墙上配置接口IP地址,划分区域
创建心跳线:
下面进行双机热备配置:
步骤二:
先将心跳线连接起来
注意:一定要将心跳线划分到区域里面,这样才能收发报文
步骤三:
对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
这是FW1上面的配置(关于生产区,办公区,游客区,DMZ区),FW3相反配置即可,(虚拟IP都是一样的,只是主备不一样)
这里话需要考虑到防火墙到ISP的选路,所以,也需要VRRP,不然ISP不知道主设备是谁,那么也叫不知道怎么会包。
是不是有人会问,他不是有路由表吗?
answer:由于直连,确实两个都有,但是,我们这是主备关系,备的那个不工作呀,怎么能把包往备哪里回呢?
所以上面虚拟一个IP给路由器当作下一跳是非常有必要的。这里涉及VGMP,HRP,VRRP,具体工作过程我会在下一篇讲到。
回到这里,所以,我们将电信设置为主,移动设置为备(基于办公区和生产区),游客,DMZ正好相反
配置完成后,它们显示这样的状态:
这个时候就可以同步状态信息了(安全策略,会话表这些)
点击这里的详细(最后一排这个)
点击这个同步配置即可。
注意:如果你想把FW1上面的同步到FW2上,则可以在FW1上点击这个。反之一样
当同步完成后,那么就跟之前是实现的操作一样了。双机热备就完成了!
BUT!!! 同步完成后你会发现接口信息都是乱的,甚至会多出来两个子接口。不要慌张!!!
按照拓扑图将接口与正确的IP进行修改,多出来的子接口删点就好了。
当接口,区域都能正确的匹配上拓扑时,那么此时才算正真的完成了。
测试:
在FW1上面的接口进行抓包,看看是怎么走的(电信口和移动接口都抓),FW3上电信口和移动口都看看。
办公访问外网
很明显,fw1的电信接口才有流量
游客区访问外网
也是一样的,只有FW3的移动接口才有流量。
关掉防火墙
当我们把FW3关掉,看游客区是怎么走的,会不会走FW1的移动
看来确实走了,没问题。
步骤三:
办公区上网用户限制流量不超过100m,其中销售人员在其基础上限制流量不超过60M,而且销售部一共10人,每人限制流量不超过6M
创建带宽通道
创建带宽策略
步骤四:
销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M 
步骤五:
移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
先将移动接口带宽设置为100
设置带宽通道
配置带宽策略
步骤六
外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
配置带宽通道
配置带宽策略
最后总体的样子:
记得保存!!!(做几步就save一下)
