实验需求:
1、生产区在工作时间内可以访问服务区,仅可以访问http服务器;
2、办公区全天可以访问服务器区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 ;
3、办公区在访问服务器区时采用匿名认证的方式进行上网行为管理;
4、办公区设备可以访问公网,其他区域不行。
步骤:
AR1配置
sys
vlan l0
int vlan 10
ip add 1.1.1.1 24
int g0/0/0
ip add 12.0.0.1 24
int g0/0/2
ip add 21.0.0.1 24
int g0/0/1
ip add 23.0.0.1 24
网络接口配置:
安全策略配置:
![](https://i-blog.csdnimg.cn/blog_migrate/68b2c58900d5dd2a4d829917709d1aa2.png)
![](https://i-blog.csdnimg.cn/blog_migrate/2101107e59e91ac1f86a55ccf5e38aa9.png)
![](https://i-blog.csdnimg.cn/blog_migrate/b24a1aa015911a69a4119d0bae365fc5.png)
认证策略配置:
![](https://i-blog.csdnimg.cn/blog_migrate/0843aeff4353b7a5432fc61dcb16b244.png)
NAT策略配置:
其中的新建安全策略:
测试: