实验拓扑及要求

拓扑搭建及IP配置

 

防火墙（总公司）和交换机（汇聚生产区和办公区）的接口配置 

 生产区在vlan2，办公区在vlan3，防火墙在G1/0/3接口上创建子接口G1/0/3.1和G1/0/3.2对两个区域分别进行管理

交换机：

创建vlan，划分接口

 

防火墙： 

创建安全区域

创建子接口 

防火墙和DMZ区接口配置

防火墙和guest区接口配置 

 防火墙和ISP的接口配置 

建立安全策略

办公区办公时间内可以访问DMZ区

生产区全天可以访问DMZ区 

办公区设备10.0.2.10不允许访问DMZ区的FTP和HTTP服务器，仅能ping通10.0.3.10

用户认证 

新建认证域

创建用户组织结构

认证策略

市场部需要用户绑定IP地址，访问dmz区使用免认证

 

研发部IP地址固定，访问dmz区使用匿名认证 

 游客使用guest用户登录，密码为Admin@123，不允许访问DMZ区和生产区 

生产区访问DMZ区时，需要进行portal认证，生产区包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间为10天，用户不允许多人使用 

 

 

模拟器无法进行portal验证，所以无法ping通10.0.3.10

 创建一个自定义管理员，要求不能拥有系统管理的功能