客户背景如下:
客户为集团公司,拥有一处分公司,现分支与总部需通过vpn互联。
公司架构为总部与分支各有100名员工,其中财务(10.1.3.0/24)10人,办公人员(10.2.3.0/24)90人。
上班时间为早上8:30-12:00,下午1:00-5:30
客户现有设备:
总部与分支各有ac,af,vpn,核心交换机一台,oa服务器一台。
客户分支总部外网均100Mbp/s
现需求如下(以下需求分支总部均需实现):
1、内网人员均需访问互联网(15)
能否ping百度(截图)。
2、(1)要求内网财务访问外网不允许修改ip
snmp-agent community read Public
snmp-agent sys-info version all
(2)办公人员访问互联网需结合ad域做第三方认证。
配置截图,访问结果截图,绑定结果截图
3、上班时间禁止访问任何购物类网站(5)
应用控制策略截图,验证截图
4、财务人员禁止外发或搜索任何带有“发轮工”“邪脚”等敏感词汇到互联网。(5)
策略配置截图,验证结果截图
5、客户内网oa服务器需对外提供http服务,但客户未向运营商备案敏感端口,且内网pc与公网用户访问oa服务器时需要统一访问地址。(10)
配置截图与访问结果截图
6、内网所有服务器及pc均需安全防护,且客户对安全问题较为敏感,不希望一直受到同一ip的攻击。(10)
解:联动封锁
完整配置截图
7、内网用户访问服务器时需做安全防护。且服务器只对外开放80端口(10)
配置截图
8、分支与总部所有网段需通过vpn实现互访。(15)
Vpn通道建立8分,能否访问7分。(若未建立查看配置,端口映射5分,路由5分,连接信息5分。)
解:Sangfor VPN
防火墙做端口映射(TCP、UDP:4009)
VPN建立连接,设置共享秘钥
VPN创建账号密码
查看连接状态
将去往分支的路由给到VPN
ip route-static 10.1.6.0 255.255.255.0 10.4.3.1
ip route-static 10.2.6.0 255.255.255.0 10.4.3.1
ip route-static 10.3.6.0 255.255.255.0 10.4.3.1