具体实验要求如下图
配置接口IP
配置vlan区域
vlan b 2 3
interface GigabitEthernet 0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet 0/0/3
port link-type access
port default vlan 3
interface GigabitEthernet 0/0/1
port link-type trunk
]port trunk allow-pass vlan 2 3
undo port trunk allow-pass vlan 1
要创建两个虚拟接口来控制vlan的流量
配置防火墙接口配置
测试一下
服务器ping防护墙
主机ping防火墙
测试完毕接口配置完成
策略
1,生产区在工作时间内可以访问服务器区,生产区仅访问http服务器
HTTP服务器要控制首先要创建一个目的地址
这样就能控制精确访问HTTP服务器 icpm是ping的功能可以不选
这样第一条策略就完成了
接下来进行测试
成功
2,办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
这条安全策略写两条
第一条
新建地址用来精确控制 具体看下图
服务选择
第二条
新建源地址
新建目的地址
安全策略配置
配置完毕
进行测试
10.0.2.20可以访问FTP服务器和HTTP服务器
成功
10.0.0.2.10仅可以ping通10.0.3.10
成功第二条完成
3,办公区在访问服务器区时采用匿名认证的劳?式进行上网行为管理
找到用户
配置安全策略选择匿名认证
创建用户组这里就随便创建了想创建就创建(可以不做不难可以玩玩)
这一步匿名认证就完毕了
4,办公区设备可以访问公网,其他区域不行。
配置完点击新建策略自动生成
要模拟一个公网 这里接口配置就不说了
接下来进行测试
成功!!
所有安全策略配置完毕