• 实验拓扑：

• 实验要求：

1、DMZ区内的服务器，办公区仅能在办公时间内（9点到18点）可以访问，生产区的设备全天可以访问

2、生产区不允许访问互联网，办公区和游客区允许访问互联网

3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，

访问DMZ区使用免认证；游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，

游客仅有访问公司门户网站和上网权限，门户网站IP:10.0.3.10

5、生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，

用户统一密码Openlab123，首次登录需要修改密码，用户过期时间段设定为10天

6、创建一个自定义管理员，要求不能拥有系统管理功能

三、实验思路：

先将电脑，客户，服务器配上相应的IP和网关

在将LSW2交换机配置相应的VLAN，生产区是VLAN2access通道，办公区是VLAN3access通道，上面则用trunk干道使其通信

然后在防火墙上先配置好对应的地址并且开启管理服务

然后去相应地址的网页配置策略还有cloud云配置。

• 实验步骤：

[USG6000V1]int g0/0/0

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.209.2 24

   

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

[Huawei]vlan batch 2 3

[Huawei]int g0/0/2

[Huawei-GigabitEthernet0/0/2]p l a

[Huawei-GigabitEthernet0/0/2]p d v 2

[Huawei-GigabitEthernet0/0/2]int g0/0/3

[Huawei-GigabitEthernet0/0/3]p l a

[Huawei-GigabitEthernet0/0/3]p d v 3

[Huawei-GigabitEthernet0/0/3]int g0/0/1

[Huawei-GigabitEthernet0/0/1]p l t

[Huawei-GigabitEthernet0/0/1]p t a v 2 3