网络拓扑图
需求
1.DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天可以访问。
2.生产区不允许访问互联网,办公区和游客允许访问互联网。
3.办公区设备10.0.2.10不允许访问DMZ区域的FTP服务器和HTTP只能ping同10.0.3.10。
办公区区分为市场部和研发部,研发部ip地址固定,访问DMZ区域使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区域使用免认证;
4.游客区人员不固定,不允许访问DMZ区和生产区,统一使用GUSER用户登陆密码Admin@123,
游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10。
5,生产区访问DMZ区时,需要进行protal认证设立生产区和用户区组织架构,至少包含三个部门,每个部门三个用户,
用户统一openlab123,首次登陆需要修改密码,用户过期时间和10天,用户不需要多人使用。
6,创建一个自定义管理员,要去不能拥有系统管理功能
实现
需求1:DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天可以访问。
将生产区和办公区划分为vlan2和vlan3防火墙g1/0/0划分子接口通过
交换机配置:
写策略:
办公区到dmz的流量:
生产区配置
需求2:.生产区不允许访问互联网,办公区和游客允许访问互联网。
策略自动默认禁止
需求3:办公区设备10.0.2.10不允许访问DMZ区域的FTP服务器和HTTP只能ping同10.0.3.10。
办公区区分为市场部和研发部,研发部ip地址固定,访问DMZ区域使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区域使用免认证
需求4:游客区人员不固定,不允许访问DMZ区和生产区,统一使用GUSER用户登陆密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
需要认证否之无法ping通
需求5:生产区访问DMZ区时,需要进行protal认证设立生产区和用户区组织架构,至少包含三个部门,每个部门三个用户,用户统一openlab123,首次登陆需要修改密码,用户过期时间和10天,用户不需要多人使用。
需求6:创建一个自定义管理员,要去不能拥有系统管理功能
最后我们给自定义管理员一个只读的权限不让他进行策略修改、