?一、實驗拓補圖
?二、實驗需求
1、VLAN 2屬于辦公區;VLAN 3屬于生產區
2、辦公區PC在工作日時間(周一至周五,早8到晚6)可以正常訪OA Server,其他時間不允許
3、辦公區PC可以在任意時刻訪問Web server
4、生產區PC可以在任意時刻訪問OA Server,但是不能訪問Web Server
5、特例:生產區PC3可以在每周一早10到早11訪問Web Server,用來更新企業最新產品信息
三、分析實驗需求
一、VLAN 配置
- 創建 VLAN:在交換機上分別創建 VLAN 2(辦公區)和 VLAN 3(生產區)。
- 端口分配:
- 將辦公區的 PC(如 PC1)連接的交換機端口劃分到 VLAN 2。
- 將生產區的 PC(如 PC2、PC3)連接的交換機端口劃分到 VLAN 3。
二、防火墻策略配置
- 辦公區 PC(VLAN 2)訪問 OA Server:
- 允許規則:配置基于時間的訪問規則,允許 VLAN 2 的流量在工作日(周一至周五)的早 8 點到晚 6 點訪問 OA Server 所在的服務器(可能在 DMZ 區域或其他特定網段)。
- 禁止規則:在其他時間段,配置規則禁止 VLAN 2 的流量訪問 OA Server。
- 辦公區 PC(VLAN 2)訪問 Web Server:配置允許規則,允許 VLAN 2 的流量在任意時間訪問 Web Server。
- 生產區 PC(VLAN 3)訪問 OA Server:配置允許規則,允許 VLAN 3 的流量在任意時間訪問 OA Server。
- 生產區 PC(VLAN 3)訪問 Web Server:
- 常規禁止規則:配置規則禁止 VLAN 3 中除 PC3 外的其他 PC 訪問 Web Server。
- PC3 特殊規則:配置基于時間的訪問規則,允許 PC3(屬于 VLAN 3)在每周一的早 10 點到早 11 點訪問 Web Server。
三、路由配置
- 三層交換機或路由器:確保三層交換機或路由器上配置了正確的路由,使得不同 VLAN 之間以及與外部網絡(如 Internet)能夠進行通信。
- 默認網關:為每個 VLAN 配置默認網關,以便 VLAN 內的設備能夠訪問其他網絡。
四、時間策略配置
- 在防火墻或相關設備上:配置時間對象,定義工作日(周一至周五)、早 8 點到晚 6 點、每周一的早 10 點到早 11 點等時間范圍。
- 關聯時間對象與訪問規則:將時間對象與相應的防火墻訪問規則進行關聯,以實現基于時間的訪問控制。
五、服務器配置
- OA Server 和 Web Server:確保服務器上的相關服務(如 OA 系統、Web 服務)正常運行,并且服務器的網絡配置(如 IP 地址、子網掩碼、默認網關等)正確,能夠與其他網絡設備進行通信。
四、具體配置
一、配置IP地址
OA Server
WEB Server
?PC1
PC2
PC3
檢查IP配置
PC1-PC2
?PC2-PC3
PC1-PC3
二、劃分vlan
LSW2配置
[LSW2]vlan batch 2 3
[LSW2]interface GigabitEthernet 0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 2
[LSW2]interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 3
[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type access
[LSW2-GigabitEthernet0/0/4]port default vlan 3
[LSW2]interface GigabitEthernet 0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type trunk
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3?三、cloud配置
四、防火墻配置
在華為ENSP模擬器中防火墻的默認賬號是:admin? ? ?密碼是:Admin@123
進入防火請設備并且重置密碼
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password:
進入接口開啟服務
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit五、進入網頁后臺配置
配置GE1/0/0接口為dmz區域
GE1/0/1的兩個子接口為trust區域
配置防火墻接口
在GE1/0/1接口新建兩個子接口分別是GE1/0/1.1,GE1/0/1.2
?六、策略配置
一、PC3配置
?配置名稱和描述以及源安全區域和目的安全區域
?配置源地址和目標地址
?將服務器一并配置
?新建時間段
?檢查配置
二、辦公區PC在工作日時間(周一至周五,早8到晚6)可以正常訪問OA Server,其他時間不允許
?檢查配置
三、辦公區PC可以在任意時刻訪問Web server
?檢查配置
四、生產區PC可以在任意時刻訪問OA Server,但是不能訪問Web Server
檢查配置
Illustrator2025)
框架)
第2章 python基礎2.2編程基礎)
)
)
)
