要求:
我的配置:
交换机配置:
交换机LSW7:
vlan batch 2 3
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3
防火墙:
第一步:划分区域:
多创建:办公区,生产区和游客区三个区域
创建过程:
点击创建,输入名称和描述,选择正确对应接口即可(办公区生产区接口需先创建子接口)。
第二步:创建接口:
点击接口,新建接口,设定名称,输入对应的子接口,区域选择前面创建的分区,以下为配置图片:
办公区(G1/0/3):
生产区(G1/0/3):
游客区(G1/0/4):
DMZ区(G1/0/0):
IPS区(G1/0/1,G1/0/2):
总体结果:
安全策略:
办公区在工作时间可以访问到DMZ区:
生产区在任何时刻都可以访问到DMZ区:
游客只能访问3.10网段:
办公区的2.10设备不能访问DMA区的http以及ftp服务器,只能pingDMZ区的3.10网段:
办公区以及游客区允许访问互联网:
nat设置:
总体安全策略(按顺序排列):
用户区配置:
在用户管理中创建用户组以及用户:以default根目录,创造生产区,游客区,办公区三大区域;然后将办公区分为市场部和研发部两个部门,以及其对应的用户;生产区分为随意三个部门,每个部门里有对应的起码三个以上的用户
创建市场部以及研发部,以及其用户:
用户:题中要求研发部IP地址固定,这里选单向绑定;市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录,其他用户想用这台主机是不行的,即为固定IP
要求密码设为openlan123,但是默认设置要求大小写加数字,我们在认证选项中将密码这里设为中级:
生产区:
以部门1为例,创建三个生产区下的部门
点击批量创建用户,以下作为例子分别为三个部门创建用户,用户会在10天后过期:
游客区内的用户创建,统一用guest登录,密码为Admin@123:
配置认证策略:
题中说研发去访问DMZ区使用匿名登录,而市场部使用免认证,如图配置:
生产区用户策略:
游客策略:
组及用户总览:
策略总览:
用户创建:
系统→管理员→用户角色创建自定义管理员,该管理员不具备系统管理功能:
2066
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
