實驗拓撲圖

實驗要求

1.DMZ區內的服務器，辦公區僅能在辦公時間內（9：00-18：00）可以訪問，生產區的設備全天可以訪問；
2.生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
3.辦公區設備10.0.2.10不允許訪問DMZ區的FTP服務器，僅能ping通10.0.3.10
4，辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證；市場部需要用戶綁定IP地址，訪問DMZ區使用免認證；游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123，游客僅有訪問公司門戶網站和上網權限，門戶網站地址10.0.3.10
5，生產區訪問DMZ區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，用戶統一密碼open1ab123，首次登錄需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用
6、創建一個自定義管理員，要求不能擁有系統管理的功能

實驗思路

1.給設備配置IP,做好基礎配置，創建一個測試以太網，給cloud增加端口，并給防火墻配置（開啟所有允許服務、修改登錄密碼）、劃分vlan
2.給防火墻接口配置
3.寫安全策略，實現要求
4.按要求創建openlab區域：辦公區、生產區、游客區；并設置相應的認證和權限|(市場部、研發部--IP地址固定)
5.創建一個管理員

實驗步驟

1.配置IP

cloud

防火墻

劃分vlan

[sw7-GigabitEthernet0/0/2]port link-type access

[sw7-GigabitEthernet0/0/2]port default vlan 10

[sw7-GigabitEthernet0/0/2]int g 0/0/3

[sw7-GigabitEthernet0/0/3]p l a

[sw7-GigabitEthernet0/0/3]p d v 20

[sw7-GigabitEthernet0/0/1]interface GigabitEthernet0/0/1

[sw7-GigabitEthernet0/0/1]port link-type trunk

[sw7-GigabitEthernet0/0/1]iport trunk allow-pass vlan 10 20

2.給防火墻配置

?

?G1/0/0

G1/0/1G1/0/2

G1/0/3做子接口：

G1/0/4：?

3.寫安全策略，實現要求

?A.辦公區策略

B.?生產區策略

C.生產區不可訪問互聯網策略

D.其他區域訪問互聯網策略

E.?拒絕辦公區訪問FTP與HTTP

F.認證域的配置（訪問設置）

G.游客區的創建以及安全策略

?

?

H.生產區用戶組的創建

I.設置認證選項

4.創建管理員