用户认证练习实验

一，实验拓扑

二，实验步骤

启动DHCP，配置不同的地址池，为终端设备分配 IP 地址。Client1、Client3和PC2通过 DHCP 获取地址信息。Client2和PC1手工静态配置。 Clientl 通过 DHCP 获取172.16.1.90/24地址。

[FW]dhcp enable

[FW]interface g1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface 
[FW]interface g1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface 

创建地址组，新建地址管理员可以通过 Telnet 登录到 CLI 界面对 FW 进行管理和维护。 FW 对管理员进行本地认证。

需求六：用户认证配置

1 、部门 A 分为运维部、高层管理、财务部；其中，财务部 IP 地址为静态 IP 。高管地址 DHCP 固定分配。

2 、部门 B 分为研发部和市场部；研发部 IP 地址为静态 IP

3 、新建一个认证域，所有用户属于认证域下组织架构

4 、根据下表信息，创建企业组织架构

5 、用户密码统一为 admin@123

6 、首次登录必须修改密码

1 、高级管理者访问任何区域时，需要使用免认证。

2 、运维部访问 DMZ 区域时，需要进行 Portal 认证。

3 、技术部和市场部访问 DMZ 区域时，需要使用匿名认证。

4 、财务部访问 DMZ 区域时，使用不认证。

5 、运维部和市场部访问外网时，使用 Portal 认证。

6 、财务部和技术部不能访问外网环境。故不需要认证策略

需求七：安全策略配置

1 、配置 Telnet 策略

2 、配置 DHCP 策略

3 、配置 DNS 策略

4 、部门 A 中分为三个部门，运维部、高管、财务。

a. 运维部允许随时随地访问 DMZ 区域，并对设备进行管理；

b. 高管和财务部仅允许访问 DMZ 区域的 OA 和 Web 服务器，并且只有 HTTP 和 HTTPS 权限。

c. 运维部允许在非工作时间访问互联网环境

d. 高管允许随时访问互联网环境

e. 财务部任何时间都不允许访问互联网环境

5 、部门 B 分为两个部门，技术部和市场部

a. 技术部允许访问 DMZ 区域中的 web 服务器，并进行管理

b. 技术部和市场部允许访问 DMZ 区域中的 OA 服务器，并且只有 HTTP 和 HTTPS 权限。

c. 市场部允许访问互联网环境

6 、每周末公司服务器需要检修维护，允许运维部访问；即，每周末拒绝除运维部以外的流量访问 DMZ 区

域。

7 、部门 A 和部门 B 不允许存在直接访问流量，如果需要传输文件信息，则需要通过 OA 服务器完成。 --- 依 靠默认规则拒绝