- 实验拓扑:
- 实验要求:
1、DMZ区内的服务器,办公区仅能在办公时间内(9点到18点)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,
访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,
游客仅有访问公司门户网站和上网权限,门户网站IP:10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,
用户统一密码Openlab123,首次登录需要修改密码,用户过期时间段设定为10天
6、创建一个自定义管理员,要求不能拥有系统管理功能
三、实验思路:
先将电脑,客户,服务器配上相应的IP和网关
在将LSW2交换机配置相应的VLAN,生产区是VLAN2access通道,办公区是VLAN3access通道,上面则用trunk干道使其通信
然后在防火墙上先配置好对应的地址并且开启管理服务
然后去相应地址的网页配置策略还有cloud云配置。
- 实验步骤:
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.209.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
[Huawei]vlan batch 2 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 2
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 3
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v 2 3
