目录
一,vlan的划分及在防火墙上创建单臂路由
二,创建安全区域
三,配置安全策略
四,配置认证策略
五,配置NAT策略
1.将内网中各个接口能够ping通自己的网关
2..生产区在工作时间内可以访问服务器区,仅可以访问http服务器
3..办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
4..办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
5..办公区域设备可以访问公网,其他区域不行。
一,vlan的划分及在防火墙上创建单臂路由
1.划分vlan
[sw6]vlan batch 2 3
[sw6]int g0/0/2
[sw6-GigabitEthernet0/0/2]port link-type access
[sw6-GigabitEthernet0/0/2]port default vlan 2
[sw6-GigabitEthernet0/0/2]int g0/0/3
[sw6-GigabitEthernet0/0/3]port link-t access
[sw6-GigabitEthernet0/0/3]port default vlan 3
[sw6-GigabitEthernet0/0/3]int g0/0/1
[sw6-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[sw6-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
cloud配置
防火墙配置
修改防火墙的g0/0/0的IP地址,使防火墙可用在web上进行登录操作
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0] ip add 192.168.100.1 24 和添加的网卡在同一网段
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
两个子接口和防火墙的各个接口都要勾选ping操作
防火墙接口的IP地址配置
写完默认网关会自动的在路由表中增添一个下一跳为12.0.0.2的缺省路由
创建单臂路由
查看路由表
http和ftp配置
测试-接口ping自己的网关
二,创建安全区域
三,配置安全策略
一,生产区在工作时间内可以访问服务器区,仅可以访问http服务器(服务器的ip地址)
测试
二,办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务
测试
10.0.2.10仅可以ping通10.0.3.103
测试
办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
测试
四,配置认证策略
五,配置NAT策略
测试