实验要求
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
实验步骤:
在cloud插入接口
一、配置IP和防火墙服务
更换密码:619323Zklq@
设置ip以及开启服务
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip ad 192.168.20.2 24
[USG6000V1-GigabitEthernet0/0/0]se
[USG6000V1-GigabitEthernet0/0/0]service-manage
Jul 24 2024 00:37:42 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 1, the c
hange loop count is 0, and the maximum number of records is 4095.
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit配置分公司IP
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 192.168.111.4 24二、配置web防火墙界面服务
三、在ISP设备上配置IP
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip ad 21.0.0.2 24进入web界面
策略->NAT策略->新建->新建源转换地址池
在安全策略里配置电信以及移动的安全策略
四、进入分公司配置
配置nat
新建一个安全策略
五、配置ISP的静态路由
[Huawei]ip route-static 10.0.0.0 16 g0/0/0
[Huawei]ip route-static 10.0.0.0 16 g0/0/2
[Huawei]ip route-static 192.168.1.0 24 g0/0/1
七、配置主公司和分公司从外网来的安全策略
配置nat
配置分公司的nat和安全策略
八、开启链路过载保护
网络->路由->智能选路->策略路由->新建
动作选择多出口
限制10.0.2.2
创造移动和电信的接口
全局选路策略->配置
接口->g1/0/1(配置电信接口为80%)
g1/0/2(配置移动接口为20%)
九、设置分公司内部
DNS服务器代理
创建分公司的
双方填写对方的域名
十、访客限制
新建用户到company里
网络->智能选路->策略路由->新建
254
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
