1、实验拓扑
2、实验要求
1、办公区工作时间(9.00-18.00)才可以访问sever,生产区可以全天访问
2、生产区不可以访问互联网,办公和访客区可以
3、办公设备10.0.2.10不可以访问dmz区的ftp服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访同DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
5、生产区访间DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
3、实验思路
1.IP地址和交换机的配置
2.防火墙对安全区域的访问限制
3.防火墙对安全区域的特定访问限制
4.防火墙的认证方式
5.用户人员的创建
6、管理员的创建
4、实验步骤
交换机相关配置
[LSW6]vla batch 2 3
[LSW6]int g 0/0/2
[LSW6-GigabitEthernet0/0/2]port link-type access
[LSW6-GigabitEthernet0/0/2]port default vlan 2
[LSW6-GigabitEthernet0/0/2]int g 0/0/3
[LSW6-GigabitEthernet0/0/3]port link-type access
[LSW6-GigabitEthernet0/0/3]port default vlan 3
[LSW6-GigabitEthernet0/0/3]int g 0/0/1
[LSW6-GigabitEthernet0/0/1]port link-type trunk
[LSW6-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[LSW6-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
防火墙新建区域
防火墙接口配置
配置G1/0/3.1接口
配置G1/0/3.2接口
配置G1/0/0接口
配置G1/0/4接口
配置G1/0/1接口
防火墙策略配置
配置办公区到dmz区的策略
配置生产区到dmz区的策略
配置游客区到门户网站的策略
10.0.2.10只能去ping10.0.3.10的策略
办公区和游客区访问互联网策略
配置 NAT策略(访问ISP的关键)
防火墙用户创建与管理
办公区用户与组的创建
市场部用户和组的创建
研发部用户和组的创建
游客用户和组的创建
生产部用户和组的创建
办公区用户认证策略
市场部用户的认证策略
研发部 用户的认证策略
生产部用户的认证策略
最终的组织结构
登录设置