实验拓扑:
![](https://i-blog.csdnimg.cn/direct/4df9aa758fcc4368a468de1b5c56b139.png)
实验要求:
1:DMz区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2:生产区不允许访问互联网,办公区和游客区允许访问互联网
3:办公区设备10.0.2.10不允许访问DMZ区和FTP服务器,仅能ping通10.0.3.10
4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区服务器时需要使用匿名认证,市场部需要使用用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123
5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6:创建一个自定义管理员,要求不能拥有系统管理的功能
实验步骤:
ENSP上相关配置:
cloud相关配置:
![](https://i-blog.csdnimg.cn/direct/74b69c19d78545439268ad12ec9b0d67.png)
配置端口IP地址
![](https://i-blog.csdnimg.cn/direct/d9b63fc39ca84f4985169d4d259c1c09.png)
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
vlan batch 10 20
pprt link-type access
port default vlan10
第一步:
1:DMz区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
![](https://i-blog.csdnimg.cn/direct/1667135700b64fd6809efef4f2614267.png)
2:生产区全天可访问
![](https://i-blog.csdnimg.cn/direct/69b96e820e754962a1c69c8100990716.png)
3:办公区9:00~18:00可访问
![](https://i-blog.csdnimg.cn/direct/2a4a919d87a8406c9080927d73965ddb.png)
![](https://i-blog.csdnimg.cn/direct/f7396df331b14a8dbe317abd39b81d9c.png)
第二步:
2:生产区不允许访问互联网,办公区和游客区允许访问互联网
![](https://i-blog.csdnimg.cn/direct/85c338f0c91c406eabd71b9234b7e426.png)
![](https://i-blog.csdnimg.cn/direct/eec876dd7a0242b895630a7ac680f173.png)
![](https://i-blog.csdnimg.cn/direct/38ee339c46554df68b3b8005fe780385.png)
第三步:
3:办公区设备10.0.2.10不允许访问DMZ区和FTP服务器,仅能ping通10.0.3.10
![](https://i-blog.csdnimg.cn/direct/27d20c42cd0443acbf10562ec39ec93c.png)
![](https://i-blog.csdnimg.cn/direct/33ff9eabd79e42468c67dc6e2aa8ef75.png)
第四步:
4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区服务器时需要使用匿名认证,市场部需要使用用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123
办公区分为市场部和研发部
![](https://i-blog.csdnimg.cn/direct/b4055015ed73484993278be621a89961.png)
研发部IP地址固定,访问DMZ区服务器时需要使用匿名认证
![](https://i-blog.csdnimg.cn/direct/7fe0f6b02ad146f48a2d89696fcfff05.png)
市场部需要使用用户绑定IP地址,访问DMZ区使用免认证
![](https://i-blog.csdnimg.cn/direct/096c05ac73994f1e86ea34393b592bf3.png)
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123
![](https://i-blog.csdnimg.cn/direct/70653c3cffaf484bbefa8699294e6ed3.png)
![](https://i-blog.csdnimg.cn/direct/82f52b241b2f41249395e07a41696759.png)
统一使用Guest用户登录,密码为Admin@123
![](https://i-blog.csdnimg.cn/direct/fb3c73a38ed2408b9c41d93290b0120b.png)
第五步:
5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
生产区访问DMZ区时,需要进行protal认证
![](https://i-blog.csdnimg.cn/direct/f4f3e3b72eb04a2fb7a0c41f38678411.png)
设立生产区用户组织架构,至少包含三个部门
![](https://i-blog.csdnimg.cn/direct/ac5a3739460047df9b7ad96d4218c07b.png)
每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
![](https://i-blog.csdnimg.cn/direct/2bd70d6b7a894968b0bf3f824d0760ce.png)
![](https://i-blog.csdnimg.cn/direct/77b965ed485f43ab8ed93586f6f78386.png)
![](https://i-blog.csdnimg.cn/direct/c4f97e11a3e34c7eb42a011d48c9a374.png)
首次登录需要修改密码
![](https://i-blog.csdnimg.cn/direct/8a9e8136e6824d9ebc8a042711a1d985.png)
第六步
6:创建一个自定义管理员,要求不能拥有系统管理的功能
![](https://i-blog.csdnimg.cn/direct/1408692798ee40de96f224ad6fb671ab.png)