一、拓扑图
实验要求:
1、DMZ区内的服务器
,办公区仅能在办公时间内(9:00-18:00)可以访问;生产区的设备全天可以访问;
2、生产区不允许访问互联网,办公区和游客区允许访问互联网;
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10;
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访 问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站上网的权限,门户网站地址10.0.3.10;
5、生产区访问DMZ区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定10天,用户不允许多人使用;
6、创建一个自定义管理员,要求不能拥有系统管理的功能;
二、IP设置
DMZ区:
生产区:
办公区:
三、建立环回适配器并配置IP地址
Cloud1映射:
UDP和以太网2做双向通道
四、交换机实验配置
LSW1:
[Huawei]vlan batch 2 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 2
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 3
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v 2 3
[Huawei-GigabitEthernet0/0/1]undo p t a v 1
五、防火墙实验配置
username:admin
password:Admin@123----之后修改密码
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
六、实验要求一
DMZ区内的服务器
,办公区仅能在办公时间内(9:00-18:00)可以访问;生产区的设备全天可以访问
防火墙接口配置:
安全策略配置:
测试:
生产区
办公区
七、实验要求二
生产区不允许访问互联网
办公区和游客区允许访问互联网
八、实验要求三
办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
关闭FTP:
安全策略----服务只选择icmp
启动FTP:
启动Http:
FTP访问测试:
Http测试:
ping:
九、实验要求四
办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访 问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站上网的权限,门户网站地址10.0.3.10
研发部建立认证策略:
市场部建立认证策略:
市场部用户IP绑定:
效果: 游客区
密码:Admin@123
安全策略:
十、实验要求五
生产区访问DMZ区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定10天,用户不允许多人使用
建立生产区访问DMZ认证策略:
用户组织架构:
统一密码:Openlab123
过期时间设定:
用户不允许多人使用:
首次登录修改密码:
十一、实验要求六
创建一个自定义管理员,要求不能拥有系统管理的功能