给企业做网站用什么程序,拓者设计吧注册码,网站集群建设,汶上哪个广告公司做网站一、背景技术
在日常网络环境#xff0c;内部网络想要访问外网无法直接进行通信#xff0c;这时候就需要进行NAT地址转换#xff0c;而在防火墙上配置NAT和路由器上有点小区别#xff0c;思路基本一致#xff0c;这次主要就以防火防火墙配置NAT策略为例#xff0c;防火墙…一、背景技术
在日常网络环境内部网络想要访问外网无法直接进行通信这时候就需要进行NAT地址转换而在防火墙上配置NAT和路由器上有点小区别思路基本一致这次主要就以防火防火墙配置NAT策略为例防火墙还为我们提供了智能选路功能和策略路由
策略路由策略路由其实也是一种策略他不仅可以按照现有的路由表进行转发而且可以根据用户指定的策略进行路由选择的机制从更多维度决定报文是如何转发的。 注策略路由和和路由策略的区别路由策略是对路由条目的属性进行修改达到对路由条目的改变被策略路由是对流量进行匹配后对流量的去向进行一个改变
智能选路对全局的选路的策略的改变动态的根据链路资源进行调整 1、基于链路带宽进行负载分担 当一条链路超过了过载保护阈值则该链路不再参加智能选路如果已经创建了会话表的流量则将依然走该链路。将在剩下链路中继续进行智能选路。 2、基于链路质量进行负载分担 根据链路资源的质量进行比较动态的调整流量的走向以及选路问题丢包率是最主要的链路质量参数
链路质量评判的标准丢包率 -- 时延 -- 延时抖动防火墙连续发送若干个探测报文取两两之间时延差值的绝对值的平均值 3、基于链路权重的负载分担 根据权重比例进行轮训选路权重值由网路管理员手工指定 4、根据链路优先级的主备备份 当一台设备故障或者流量超过过载阈值时优先级低的备份链路接替主链路工作
优先级也是由网络管理员手工指定 二、实验拓扑
本次实验继续接着上次的实验的基础上进行配置 ---防火墙安全策略与用户认证 三、实验要求 1办公区设备可以通过电信链路和移动链路上网(多对多的NAT并且需要保留一个公网IP不能用来转换) 2分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器 3多出口环境基于带宽比例进行选路但是办公区中10.0.1.10该设备只能通过电信的链路访问互联网。链路开启过载保护保护阈值80% 4分公司内部的客户端可以通过域名访问到内部的服务器公网设备也可以通过域名访问到分公司内部服务器 5游客区仅能通过移动链路访问互联网 四、实验步骤
1配置总公司办公区访问外网时的NAT
条件
办公区设备可以通过电信链路和移动链路上网(多对多的NAT并且需要保留一个公网IP不能用来转换)
思路
创建地址池保留一个IP地址
先匹配办公区的流量对办公区的流量进行NAT
分别在电信链路和移动链路都进行配置
实现
地址池 NAT策略当然做了NAT策略别忘了做安全策略要不然NAT白做
分别做两个NAT一个电信一个移动
测试 抓包查看走的哪条链路 我们把电信链路down掉查看效果 证明两天链路都做成功
2配置分公司访问外网的NAT以及总公司的服务器映射
条件
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
思路
在分公司出接口配置NAT保证内网地址可以访问外网
在总公司出口做服务器映射保证外网可以访问到内网服务器
实现
分公司 总公司
同样写两条映射一条电信一条移动 测试
分公司访问总公司的HTTP服务器 3配置智能选路和策略路由
条件
多出口环境基于带宽比例进行选路但是办公区中10.0.1.10该设备只能通过电信的链路访问互联网。链路开启过载保护保护阈值80%
思路
首先在电信和移动接口配置接口带宽的过载保护以及保护阈值
然后在智能路由选择全局选路策略配置
再配置策略路由抓取10.0.1.10的IP地址配置下一跳
实现
接口带宽 智能路由 策略路由 4配置智能选路和策略路由
条件
分公司内部的客户端可以通过域名访问到内部的服务器公网设备也可以通过域名访问到分公司内部服务器
思路
在分公司出口设配配置服务器映射保证外网可以访问到内网服务器
然后再配置一条原地址和目标地址都转换的双NAT保证内网服务器可以通过分公司的公网地址访问本部的内网服务器
在公网架设一台DNS服务器。进行域名解析
实现
服务器映射 双NAT转换 安全策略可以在创建NAT时快速创建
DNS 测试
外网访问dragon.com 分公司主机访问dragon.com 5配置策略路由
条件
游客区仅能通过移动链路访问互联网
思路
配置游客区访问外网的NAT
配置策略路由抓取游客区流量指定他的流量去向
实现
NAT 策略路由 测试 做策略路由后
