目錄

實驗拓撲

自己搭建拓撲

實驗要求

實驗步驟

整通總公司內網

sw3配置vlan

防火墻配置IP

配置安全策略（DMZ區內的服務器，辦公區僅能在辦公時間內（9: 00- 18:00)可以訪問，生產區的設備全天可以訪問）

配置nat策略（實現辦公區和游客區可以訪問互聯網）

配置安全策略（實現辦公區設備10.0.2.10不允許訪問DMZ區FIP服務器和HTTP服務器，僅能ping通10.0.3.10）

設置認證域（辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證）

?游客區配置

生產區配置

?編輯?創建一個自定義管理員，要求不能擁有系統管理的功能

---

實驗拓撲

自己搭建拓撲

實驗要求

1、DMZ區內的服務器，辦公區僅能在辦公時間內（9: 00- 18:00)可以訪問，生產區的設備全天可以訪問
2、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
3、辦公區設備10.0.2.10不允許訪問DMZ區FIP服務器和HTTP服務器，僅能ping通10.0.3.10
4、辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證;
5、游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123，游客僅有訪問公司門互網站和上網的權限，門互網站地址10.0.3.10
6、生產區訪問DMZ區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門有三個用戶，用戶同一密碼openlab123.首次登陸需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用
6，創建一個自定義管理員，要求不能擁有系統管理的功能

實驗步驟

整通總公司內網

sw3配置vlan

防火墻配置IP

創建安全區域

子接口配置

各個接口配置（僅僅展示配置后）

配置安全策略（DMZ區內的服務器，辦公區僅能在辦公時間內（9: 00- 18:00)可以訪問，生產區的設備全天可以訪問）

設置時間對象

實現辦公區9點到6點的訪問

設置安全策略

實現辦公區僅能在辦公時間內（9: 00- 18:00)可以訪問DMZ區

實現生產區設備可以全天訪問

實現生產區全天可以訪問DMZ

配置nat策略（實現辦公區和游客區可以訪問互聯網）

配置安全策略（實現辦公區設備10.0.2.10不允許訪問DMZ區FIP服務器和HTTP服務器，僅能ping通10.0.3.10）

設置認證域（辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證）

辦公區分市場部研發部

?研發部IP地址固定，訪問DMZ區使用匿名認證

?市場部需要用戶綁定IP地址，訪問DMZ區使用免認證

?游客區配置

游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123，游客僅有訪問公司門互網站和上網的權限，門互網站地址10.0.3.10

游客區人員不固定，不允許訪問DMZ區和生產區

?統一使用Guest用戶登錄，密碼Admin@123

?游客區只能訪問門互網站

生產區配置

生產區訪問DMZ區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門有三個用戶，用戶同一密碼openlab123.首次登陸需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用?

設立生產區用戶組織架構，至少包含三個部門

用戶同一密碼openlab123.首次登陸需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用

?創建一個自定義管理員，要求不能擁有系統管理的功能

配置角色

創建管理員