拓扑图[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

)

实验需求

第一步：根据题目搭建拓扑图

其中交换机的型号为：S5700
防火墙设备为：USG6000V

第二步：启动防火墙设备

首先会让你输入密码，默认密码为：Admin@123
其次会让你修改密码。然后就是配置防火墙
<USG6000V1>system view
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0] ip add 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

实现图形界面控制防火墙，所以云cloud，下面是云cloud的配置

云cloud中的绑定信息，刚添加完可能不能立刻识别到，需要开启重启才能识别到，其次这个环回适配器需要自己去手动配置IP，网关，子网掩码等。

做到这一部，咋们就可以去试试看能不能通过在防火墙添加的IP地址在浏览器中抵达防火墙的图形界面了。咋们在浏览器地址栏上输入192.168.100.1

这里输入用户名admin 和之前在终端修改的密码，就可以进入啦。

第三步，vlan的划分及trunk的配置

port trunk link-type access
vlan batch 10 20
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/3]port default vlan 20
port link-type trunk 
port trunk allow-pass vlan 10 20
undo     port trunk allow-pass vlan 1

第四步，建立防火墙于LSW交换机的子接口

首先配置生产的子接口

然后再配置办公的子接口
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

将相应的接口配置完，如图

第五步，配置安全策略

1.DMZ区内的服务器，办公区仅能在办公时间内（9：00-18：00）可以访问，生产区的设备可以全天访问

首先配置办公区的安全策略

根据实验要求，设置相应的时间

然后配置生产区的安全策略

第六步，根据实验要求，将PC端和client等IP都配置好。

第六步，测试是否成功

首先启动DMZ区的server2

然后用办公区的client2去访问色server2,成功！

其次用生产区的client2去访问色server2,成功！

2.生产区不允许访问互联网，办公区和游客区允许访问互联网

3.办公室设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

根据需求，我们可以制定两条策略，一是禁止该设备访问DMZ的FTP和HTTP，第二天允许该设备ping10.0.3.10.

这里策略就做好了，开始检测

这里可以看见，该设备仅能ping10.0.3.10. 因为该设备无法测试HTTP和FTP,所以这里需要借助同区域的client2客户端来检测。

这里先确认服务端都启动了

结果如下：

根据测试，说明策略是成功了。

4.办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证，游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权限

首先创建市场部和研发部。

5.生产访问DMZ区时，需要进行portal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码为Admin@123,首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

根据实验要求，生产访问需要进行portal认证。

创建生产区下的三个部门，例如人事部，流水线部，搬运部，这里用人事部举例。

接下来开始为每个组创建用户。

创建完成，就是这个样子

6，创建一个自定义管理员，要求不能拥有系统管理的功能

这样就创建成功了！！