1.实验需求
1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器
2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
4.办公设备可以访问公网,但是其他区域不行
2.实验配置
2.1配置IP地址以及VLAN
AR2:
[Huawei]sys ISP
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24
[ISP-LoopBack0]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip address 21.0.0.2 24
SW7:
[SW7]vlan batch 2 to 3
[SW7]int g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 2
[SW7-GigabitEthernet0/0/2]int g0/0/3
[SW7-GigabitEthernet0/0/3]port link-type access
[SW7-GigabitEthernet0/0/3]port default vlan 3
[SW7]interface GigabitEthernet0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
2.2 配置防火墙IP地址及划分区域
我这里的环回网卡为192.168.100.10/24,所以FW2的g0/0/0端口地址修改为192.168.100.1/24
FW2:
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 192.168.100.1 24
[FW2-GigabitEthernet0/0/0]service-manage all permit
配置完成后进入web页面进行下一步配置
首先新建两个区域SC和BG
其次对接口进行配置
在配置接口时一定要勾选下面的ping
2.3 根据实验需求配置防火墙安全策略
首先先新建地址
其次配置安全策略
需求一:生产区在工作时间内可以访问服务器区,仅可以访问http服务器
需求二 :办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
需求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
点击对象---用户-----认证策略,然后新建
需求四:配置防火墙NAT策略
这里配好之后点击[新建安全策略],进去之后默认就行也可以按照自己的需求更详细配置
到此该实验就完成了。