防火墙带宽管理

二、实验需求
需求一
企业组织架构中存在部门A，部门A中存在销售组1和研发组2
销售部门—>业务Email、ERP服务
可以对部门A中的销售组进行带宽资源细分，保证销售员工的业务服务流量正常转发：
1、部门A的下行最大带宽不超过60M
2、部门A中的销售组下行最大带宽不超过30M
3、部门A中的销售组的Email、ERP业务下行最小带宽不低于20M
分析：需求之间存在父子关系
A部门带宽通道—最大60M
部门A销售组带宽通道最大30M
部门A销售组Email业务带宽通道—最小20M

需求二
给部门A和部门B划分可使用的带宽资源。要避免P2P业务占据较多的带宽，还需要限制部门A和部门B使用
P2P业务的带宽总和。
1、部门A下行最大带宽60M
2、部门B下行最大带宽40M
3、部门A和部门B的P2P业务下行最大带宽不超过80M
4、P2P流量需要计算到各自部门的总流量中

需求三
在不影响正常用户上网和web服务器正常提供对外服务的情况下，实现以下功能
1、将从ISP购买的100M带宽进行划分
上网高峰期（工作日下午3点-6点），上网用户下行带宽60M(U-T)，外用用户下行带宽40M(D-U)
2、2台Web服务器，限制每一台Web服务器对外提供的最大下行带宽不超过20M
3、假设，总共30个上网用户，在上网高峰期，限制每个用户访问Internet的最大下行带宽不超过2M

需求四
部门A的上网用户数量不固定，为了让用户公平的使用带宽，根据实际在线上网用户数量，平均分配带宽
1、部门A的下行最大带宽60M
2、根据实时的上网用户数量，对部门A的60M带宽资源进行均分

需求五
电信购买带宽100M
联通购买带宽50M

需求六
运营商—>流量套餐—>对中小企业500G/月，超出部分，额外计费，1G/100元。
限额—>每一个员工规定上网时长
1、员工40人，10名管理人员+30名牛马
高管–>20G/月
牛马–>10G/月
2、牛马—>4h/日，流量500M/日
3、超额后限制
牛马—>禁止上网
高管—>超过配额后最大带宽限定为800K

三、实验配置
基础配置
接口
[dianxin]interface GigabitEthernet 0/0/0
[dianxin-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[liantong]interface GigabitEthernet 0/0/0
[liantong-GigabitEthernet0/0/0]ip add 13.0.0.2 24
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add 12.0.0.1 24
[FW-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip add 13.0.0.1 24
[FW-GigabitEthernet1/0/1]int g 1/0/2.10
[FW-GigabitEthernet1/0/2.10]ip add 192.168.1.254 24
[FW]int g 1/0/2.20
[FW-GigabitEthernet1/0/2.20]ip add 192.168.2.254 24
[FW-GigabitEthernet1/0/2.20]int g 1/0/2.30
[FW-GigabitEthernet1/0/2.30]ip add 192.168.3.254 24
[FW-GigabitEthernet1/0/2.30]int g 1/0/2.40
[FW-GigabitEthernet1/0/2.40]ip add 192.168.4.254 24
[FW]int g 1/0/3
[FW-GigabitEthernet1/0/3]ip add 10.1.1.254 24

vlan划分
[SW1]vlan batch 10 20 30 40
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SW1-GigabitEthernet0/0/1]int g 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]int g 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/3]int g 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 30
[SW1-GigabitEthernet0/0/4]int g 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 40

安全区域划分
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2.10
add interface GigabitEthernet1/0/2.20
add interface GigabitEthernet1/0/2.30
add interface GigabitEthernet1/0/2.40

firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/3

路由
[FW]ip route-static 0.0.0.0 0 12.0.0.2
[FW]ip route-static 0.0.0.0 0 13.0.0.2

NAT
nat-policy
rule name 01
source-zone trust
action source-nat easy-ip

需求配置
需求一