拓扑图[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
)
实验需求
第一步:根据题目搭建拓扑图
其中交换机的型号为:S5700
防火墙设备为:USG6000V
第二步:启动防火墙设备
首先会让你输入密码,默认密码为:Admin@123
其次会让你修改密码。然后就是配置防火墙
<USG6000V1>system view
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0] ip add 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
实现图形界面控制防火墙,所以云cloud,下面是云cloud的配置
云cloud中的绑定信息,刚添加完可能不能立刻识别到,需要开启重启才能识别到,其次这个环回适配器需要自己去手动配置IP,网关,子网掩码等。
做到这一部,咋们就可以去试试看能不能通过在防火墙添加的IP地址在浏览器中抵达防火墙的图形界面了。咋们在浏览器地址栏上输入192.168.100.1
这里输入用户名admin 和之前在终端修改的密码,就可以进入啦。
第三步,vlan的划分及trunk的配置
port trunk link-type access
vlan batch 10 20
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/3]port default vlan 20
port link-type trunk
port trunk allow-pass vlan 10 20
undo port trunk allow-pass vlan 1
第四步,建立防火墙于LSW交换机的子接口
首先配置生产的子接口
然后再配置办公的子接口
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
将相应的接口配置完,如图
第五步,配置安全策略
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备可以全天访问
首先配置办公区的安全策略
根据实验要求,设置相应的时间
然后配置生产区的安全策略
第六步,根据实验要求,将PC端和client等IP都配置好。
第六步,测试是否成功
首先启动DMZ区的server2
然后用办公区的client2去访问色server2,成功!
其次用生产区的client2去访问色server2,成功!
2.生产区不允许访问互联网,办公区和游客区允许访问互联网
3.办公室设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
根据需求,我们可以制定两条策略,一是禁止该设备访问DMZ的FTP和HTTP,第二天允许该设备ping10.0.3.10.
这里策略就做好了,开始检测
这里可以看见,该设备仅能ping10.0.3.10. 因为该设备无法测试HTTP和FTP,所以这里需要借助同区域的client2客户端来检测。
这里先确认服务端都启动了
结果如下:
根据测试,说明策略是成功了。
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限
首先创建市场部和研发部。
5.生产访问DMZ区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码为Admin@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
根据实验要求,生产访问需要进行portal认证。
创建生产区下的三个部门,例如人事部,流水线部,搬运部,这里用人事部举例。
接下来开始为每个组创建用户。
创建完成,就是这个样子
6,创建一个自定义管理员,要求不能拥有系统管理的功能
这样就创建成功了!!