一、拓扑图:
二、实验需求:
1、DMz区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问;
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,
游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10
5,生产区访问DMz区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,
用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理功能
三、实验思路:
1、防火墙配置g0/0/0接口IP地址(192.168.0.1/24),开启server-manage all服务,连接Cloud云后通过web登录;防火墙g1/0/1配置子接口放通对应vlan(生产区vlan10,办公区vlan20);
2、两条安全策略,通往DMZ区域,一条办公区仅能在办公时间内(9:00-18:00)可以访问,一条生产区的设备全天可以访问;
3、三条安全策略,通往untrust区域,实现生产区不允许访问互联网,办公区和游客区允许访问互联网;
4、 一条安全策略,通往DMZ区域,办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,但能ping通10.0.3.10;
5、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
6、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10
7、生产区访问DMz区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
8、创建一个自定义管理员,开启只读。
四、实验步骤:
(web登录步骤略)
1、LSW2配置vlan10(生产区)、vlan20(办公区),配置access和trunk;
LSW2上:
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan all
port trunk allow-pass vlan 10 to 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
2、创建子接口,并划分valn
创建办公区(BG)和生产区(SC)安全区域
创建子接口,划分vlan和安全区域
3、两条安全策略,通往DMZ区域,一条办公区仅能在办公时间内(9:00-18:00)可以访问,一条生产区的设备全天可以访问;
办公区到DMZ:
创建办公时间
生产区访问DMZ:
4、三条安全策略,通往untrust区域,实现生产区不允许访问互联网,办公区和游客区允许访问互联网;
创建游客区
配置连接ISP的接口
创建安全策略
游客区:
生产区:
办公区:
5、一条安全策略,办公区通往DMZ区域,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,但能ping通10.0.3.10;(因为前面已经有一条BG到DMZ的安全策略,这里直接修改服务,只选icmp服务)
6、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
创建部门:
研发部访问DMZ:
市场部访问DMZ:
7、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10
创建guest用户:
游客区不允许访问DMZ和生产区:
游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10:
8、生产区访问DMz区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
生产区访问DMZ进行portal认证:
生产区用户组织架构:
9、创建一个自定义管理员,要求不能拥有系统管理的功能
