目录
6.1办公区中的10.0.2.10只能ping通10.0.3.10:
一、实验拓扑图
二、实验要求
- DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
- 生产区不允许访问互联网,办公区和游客区允许访问互联网
- 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
- 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
- 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
- 创建一个自定义管理员,要求不能拥有系统管理的功能
三、实验思路
1.配置IP,创建一个以太网,为cloud增加端口,并配置防火墙(开启所有允许服务、修改登录密码)
2.vlan划分
3.为防火墙做接口配置
4.创建openlab区域:办公区、生产区、游客区;并设置相应的认证和权限
(市场部、研发部--IP地址固定)
5.写出相应的安全策略,实现实验要求
6.创建管理员
四、实验过程
1.步骤一配置相关设备:
senver:
pc:
client:
cloud2:
配置防火墙(开启所有允许服务、修改登录密码):
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit ---- 放通所有
2.配置二—vlan划分
[sw7]vlan batch 2 3
[sw7-GigabitEthernet0/0/2]port link-type access
[sw7-GigabitEthernet0/0/2]port default vlan 2
[sw7-GigabitEthernet0/0/2]int g 0/0/3
[sw7-GigabitEthernet0/0/3]port link-type access
[sw7-GigabitEthernet0/0/3]port default vlan 3
[sw7-GigabitEthernet0/0/1]interface GigabitEthernet0/0/1
[sw7-GigabitEthernet0/0/1]port link-type trunk
[sw7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[sw7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1 ----- 禁用无关的vlan
3.配置三—配置防火墙接口
3.1接口划分
G1/0/0接口:
G1/0/3:
再分别创建一个生产区和一个办公区
3.2展示创建后的接口列表:
4.配置四—安全策略
4.1生产区无需访问互联网策略------不做配置
4.2办公区策略
由于办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10
拒绝策略:
允许ping策略:
5.配置五—创建管理员
先创建一个用户,将其设置为管理员
6.验证
6.1办公区中的10.0.2.10只能ping通10.0.3.10:
ok,完成!!!!!