要求:
1、生产区在工作时间内可以访问服务器区,仅可以访问http服务器
2、办公区全天可以访问服务器区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
3、办公区在访问服务器区域时采用匿名认证的方式进行上网行为管理
4、办公区设备可以访问公网,其他区域不行
1、topo配置
AR2:
[Huawei]int l0
[Huawei-LoopBack0]ip add 1.1.1.1 24
[Huawei-LoopBack0]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 21.0.0.2 24
SW7
[SW7]vlan batch 2 to 3
[SW7]int g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 2
[SW7-GigabitEthernet0/0/2]int g0/0/3
[SW7-GigabitEthernet0/0/3]port link-type access
[SW7-GigabitEthernet0/0/3]port default vlan 3
[SW7]interface GigabitEthernet0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
FW5:
[FW5]int g0/0/0
[FW5-GigabitEthernet0/0/0]ip address 192.168.100.1 24
[FW5-GigabitEthernet0/0/0]service-manage all permit
2、Web界面配置防火墙
都允许ping
3、配置防火墙策略