一、实验拓扑图
二、实验需求
1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器。
2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理。
4.办公区设备可以访问公网,其他区域不行。
三、实验配置
本实验通过web界面进行配置,使用云将让本机与防火墙进行连接。
1、总公司的LSW1配置
<Huawei>sys
[Huawei]vlan 10 //创建vlan 10
[Huawei-vlan10]vlan 20 //创建vlan 20
[Huawei-vlan20]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access //设置该接口模式为access模式
[Huawei-GigabitEthernet0/0/2]port default vlan 10 //将该接口划分给vlan 10
[Huawei-GigabitEthernet0/0/2]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access //设置该接口模式为access模式
[Huawei-GigabitEthernet0/0/3]port default vlan 20 //将该接口划分给vlan 20
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk //设置该接口模式为trunk模式
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 //设置该接口允许vlan 10、vlan 20的数据通过
2、Cloud1和防火墙(FW1)配置
(1)Cloud1配置
(2)开启防火墙web登录服务
<USG6000V1>sys
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.0.11 24 //IP地址要与网卡的IP地址在同一网段内
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //开启管理口web登录服务
(3)使用防火墙Web界面进行相关配置
浏览器导航栏输入https://192.168.0.11:8443 ,然后登录防火墙,登录后进行如下操作:
1)创建安全区域(SCQ--生产区和BGQ--办公区)
2)配置子接口
3)配置DMZ接口
3.配置安全策略使防火墙能进行相应的流量控制
(1)策略1:生产区在工作时间内可以访问服务区,仅可以访问http服务器。
(2)办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。
(3)办公区在访问服务器区时采用匿名认证的方式进行上网行为管理。
(4)办公区设备可以访问公网,其他区域不行。
1)配置公网路由器AR1的IP
[Huawei]sys ISP
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24 //配置环回,模拟公网
2)配置防火墙g1/0/1接口IP
3)增加nat策略
3、根据实验拓扑图配置PC1、PC2、Client1、Client2、Server1、Server2的IP地址。