网络防御保护(三)

1.实验拓扑
在这里插入图片描述

2.实验要求
在这里插入图片描述
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

3.实验思路
1.配置好FW3的接口、安全区域
2.连接心跳线、同步防火墙上的配置和状态信息
3.启用双击热备,创建vrid配置虚拟地址
4.通过抓包验证流量走向,以判断是否完成负载分担
5.根据需求配好宽带通道、宽带策略
4.实验步骤
FW3接口
在这里插入图片描述
启用负载分担模式,连接两端心跳接口
在这里插入图片描述
FW3同理

配置虚拟ip地址
FW1:
在这里插入图片描述

FW3:
在这里插入图片描述
同步好的状态信息
在这里插入图片描述

如配置正确也会出来主备状态不统一的问题,重启防火墙或模拟器可以解决

手工同步配置,在主用机上点击可以将配置同步到备用机上
在这里插入图片描述
同步配置后会出现接口异常的问题,以及安全策略、NAT策略等未同步的情况。根据已连接好的接口信息来逐一还原,对照好各信息是否同步即可。
测试抓包
在这里插入图片描述

办公区流量走移动链路
在这里插入图片描述

在这里插入图片描述

先配置带宽通道,完成图如下
在这里插入图片描述
基于带宽通道部署带宽策略
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
总结:配置vrid时常出现因模拟器异常而导致的问题,需要反复重启
再一台防火墙上需要配两个向上的主vrid来走电信与移动链路,如若只配一条,当流量流向另一条非主vrid时则不能通过。

补充:NAT策略需要将转换出接口地址改成转换成地址池,若转换出接口地址则是按照物理接口转换,不涉及虚拟ip。
FW3策略路由需要手工同步

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值