一、實驗拓補圖
二、實驗需求及配置
需求一
| 設備 | 接口 | VLAN | 接口類型 |
|---|---|---|---|
| SW2 | GE0/0/2 | VLAN 10 | Access |
| GE0/0/3 | VLAN 20 | Access | |
| GE0/0/1 | VLAN List : 10 20 | Trunk |
[SW2]vlan 10
[SW2]vlan 20
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20| 設備 | 接口 | VLAN | IP |
|---|---|---|---|
| FW | GE1/0/1.1 | 10 | 172.16.1.254/24 |
| GE1/0/1.2 | 20 | 172.16.2.254/24 | |
| GE1/0/0 | / | 10.0.0.254/24 | |
| GE1/0/2 | / | 100.1.1.10/24 | |
| OA Server | Ethernet0/0/0 | 10.0.0.10/24 | |
| Web Server | Ethernet0/0/0 | 10.0.0.20/24 | |
| DNS Server | Ethernet0/0/0 | 10.0.0.30/24 |
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.100.1 24
[FW-GigabitEthernet0/0/0]service-manage all permit
[FW] interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1] vlan-type dot1q 10 # 綁定VLAN 10
[FW-GigabitEthernet1/0/1.1] ip address 172.16.1.254 24 # 配置IP地址
[FW] interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2] vlan-type dot1q 20 # 綁定VLAN 20
[FW-GigabitEthernet1/0/1.2] ip address 172.16.2.254 24 # 配置IP地址
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] ip address 10.0.0.254 24 # 配置IP地址
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 100.1.1.10 24 # 配置IP地址
| 設備 | 接口 | VLAN | IP |
|---|---|---|---|
| 百度服務器 | Ethernet0/0/0 | 100.1.1.1/24 | |
| Clinet2 | Ethernet0/0/0 | 172.16.1.100/24 | |
| PC1 | Ethernet0/0/1 | 172.16.2.100/24 |
?需求二:配置DHCP協議,具體要求如下?
1.在FW上啟動DHCP功能,并配置不同的全局地址池,為接入網絡的終端設備分配IP地址。
2.Client1、Client3和PC2通過DHCP獲取地址信息。
3.Client1必須通過DHCP獲取172.16.1.90/24地址。
| 設備 | 接口 | VLAN | IP |
|---|---|---|---|
| Clinet1 | Ethernet0/0/0 | DHCP 獲取 (172.16.1.90/24) | |
| Clinet3 | Ethernet0/0/0 | DHCP 獲取 | |
| PC2 | Ethernet0/0/1 | DHCP 獲取 |
| 地址池名稱 | 網段 / 掩碼 | 網關 | DNS |
|---|---|---|---|
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
[FW]dhcp enable
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
[FW]display ip pool
2025-08-02 10:54:34.420 -------------------------------------------------------------------------------
------Pool-name : GigabitEthernet1/0/1.1Pool-No : 0Lease : 1 Days 0 Hours 0 MinutesPosition : Interface Status : UnlockedGateway-0 : 172.16.1.254 Network : 172.16.1.0Mask : 255.255.255.0Conflicted address recycle interval: -Address Statistic: Total :253 Used :0 Idle :253 Expired :0 Conflict :0 Disabled :0 -------------------------------------------------------------------------------
------Pool-name : GigabitEthernet1/0/1.2Pool-No : 1Lease : 1 Days 0 Hours 0 MinutesPosition : Interface Status : UnlockedGateway-0 : - Network : 172.16.2.0Mask : 255.255.255.0Conflicted address recycle interval: -Address Statistic: Total :254 Used :0 Idle :254 Expired :0 Conflict :0 Disabled :0 IP address StatisticTotal :507 Used :0 Idle :507 Expired :0 Conflict :0 Disabled :0 查看Client1,發現未獲取到IP地址
解決方法:給FW GE1/0/1接口配置IP地址
?需求三:防火墻安全區域配置
| 設備 | 接口 | 安全區域 | 優先級 |
|---|---|---|---|
| FW | GE1/0/1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默認 | |
| GE1/0/2 | Untrust | 默認 |
需求四:防火墻地址組信息?
| 設備 | 地址 | 地址族 | 描述信息 |
|---|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server | DMZ 區域的 OA 服務器 |
| Web Server | 10.0.0.20/32 | DMZ_Server | DMZ 區域的 Web 服務器 |
| DNS Server | 10.0.0.30/32 | DMZ_Server | DMZ 區域的 DNS 服務器 |
| Client1 (高管) | 172.16.1.90/32 | Trust_A_address | 高管 |
| Client2 (財務部) | 172.16.1.100/32 | Trust_A_address | 財務部 |
| PC1 (技術部) | 172.16.2.100/32 | Trust_B_address | 技術部 |
| PC2 (市場部) | 172.16.2.0/24 需要去除 172.16.2.100 。 | Trust_B_address | 市場部 |
| 管理員 | 172.16.1.10/32 | Trust_A_address |
新建地址
需求五:管理員
為FW配置一個配置管理員。要求管理員可以通過Telnet登錄到CLI界面對FW進行管理和維護。FW對管理員進行本地認證。
| 項目 | 數據 | 說明 |
|---|---|---|
| 管理員賬號密碼 | 賬號: vtyadmin 密碼: admin@123 | |
| 管理員 PC 的 IP 地址 | 172.16.1.10/24 | |
| 角色 | service-admin | 擁有業務配置和設備監控權限。 |
| 管理員信任主機 | 172.16.1.0/24 | 登錄設備的主機 IP 地址范圍 |
| 認證類型 | 本地認證 |
| 名稱 | 權限控制項 | |
|---|---|---|
| service-admin | 策略、對象、網絡:讀寫操作 | |
| 面板、監控、系統:無 |
??開啟Telnet功能
[FW-GigabitEthernet1/0/1.1]service-manage telnet permit
[FW-GigabitEthernet1/0/1.1]display this
2025-08-02 12:32:16.750
#
interface GigabitEthernet1/0/1.1vlan-type dot1q 10ip address 172.16.1.254 255.255.255.0service-manage telnet permitdhcp select interfacedhcp server ip-range 172.16.1.1 172.16.1.254dhcp server gateway-list 172.16.1.254dhcp server excluded-ip-address 172.16.1.100dhcp server static-bind ip-address 172.16.1.90 mac-address 5489-98b9-3c45dhcp server dns-list 10.0.0.30
#
return
?創建管理員
開啟Telnet服務
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet 
需求六:用戶認證配置
1、部門A分為運維部、高層管理、財務部;其中,財務部IP地址為靜態IP。高管地址DHCP固定分配。
2、部門B分為研發部和市場部;研發部IP地址為靜態IP
3、新建一個認證域,所有用戶屬于認證域下組織架構
4、根據下表信息,創建企業組織架構
5、用戶密碼統一為admin@123 6、首次登錄必須修改密碼
| 項目 | 數據 |
|---|---|
| 認證域 | 名稱: openlab 認證方案: Portal 接入控制:上網行為管理 新用戶認證選項:使用 /openlab 組權限 |
| 用戶組信息 | |
| 部門 A | 用戶組組名: A 用戶組所屬組: /openlab |
| 部門 B | 用戶組組名: B 用戶組所屬組: /openlab |
| 高級管理者 | 用戶組組名: manager 用戶組所屬組: /openlab/A |
| 運維部 | 用戶組組名: DevOps 用戶組所屬組: /openlab/A |
| 財務部 | 用戶組組名: FD 用戶組所屬組: /openlab/A |
| 技術部 | 用戶組組名: TD 用戶組所屬組: /openlab/B |
| 市場部 | 用戶組組名: MD 用戶組所屬組: /openlab/B |
| 用戶信息 | |
| 高管用戶 | 用戶登錄名:user_001 用戶顯示名:Super_user 用戶所屬組:/openlab/A/manager 不允許多人同時使用該賬號登錄 IP/MAC綁定方式:雙向綁定 IP/MAC地址:Client1的MAC |
| 運維部用戶 | 用戶登錄名:DevOps_001 用戶顯示名:張三 用戶所屬組:/openlab/A/DevOps 不允許多人同時使用該賬號登錄 |
| 財務部用戶 | 用戶登錄名:FD_001 用戶顯示名:李四 用戶所屬組:/openlab/A/FD IP/MAC綁定方式:雙向綁定 IP/MAC地址:172.16.1.100 不允許多人同時使用該賬號登錄 |
| 技術部用戶 | 用戶登錄名:TD_001...TD_003 用戶所屬組:/openlab/B/TD 允許多人同時使用該賬號登錄 |
| 市場部用戶 | 用戶登錄名:MD_001...MD_005 用戶所屬組:/openlab/B/MD 不允許多人同時使用該賬號登錄 賬號過期時間:10天 |
編寫用戶信息
?編寫認證策略
1、高級管理者訪問任何區域時,需要使用免認證。
2、運維部訪問DMZ區域時,需要進行Portal認證。
3、技術部和市場部訪問DMZ區域時,需要使用匿名認證。
4、財務部訪問DMZ區域時,使用不認證。
5、運維部和市場部訪問外網時,使用Portal認證。
6、財務部和技術部不能訪問外網環境。故不需要認證策略
| 項目 | 數據 |
|---|---|
| 高級管理者認證策略 | 名稱: policy_auth_01 描述:高級管理者認證策略 源安全區域: Trust_A 目的安全區域: any 源地址 / 地區 :Client1 目的地址 / 地區: any 認證動作:免認證 |
| 運維部認證策略 | 名稱: policy_auth_02 描述:運維部 _to_DMZ 源安全區域: Trust_A 目的安全區域: dmz 源地址 / 地區 :Client3 目的地址 / 地區: DMZ_Server 認證動作: Portal 認證 |
名稱: policy_auth_03 描述:運維部 _to_Untrust 源安全區域: Trust_A 目的安全區域: untrust 源地址 / 地區 :Client3 目的地址 / 地區: any 認證動作: Portal 認證 | |
| 技術部認證策略 | 名稱: policy_auth_04 描述:技術部 _to_DMZ 源安全區域: Trust_B 目的安全區域: dmz 源地址 / 地區 :PC1 目的地址 / 地區: DMZ_Server 認證動作:匿名認證 |
| 財務部認證策略 | 名稱: policy_auth_05 描述:財務部 _to_DMZ 源安全區域: Trust_A 目的安全區域: dmz 源地址 / 地區 :Client2 目的地址 / 地區: DMZ_Server 認證動作:不認證 |
| 市場部認證策略 | 名稱: policy_auth_06 描述:市場部 _to_DMZ 源安全區域: Trust_B 目的安全區域: dmz 源地址 / 地區 :PC2 目的地址 / 地區: DMZ_Server 認證動作:匿名認證 |
名稱: policy_auth_07 描述:市場部 _to_Untrust 源安全區域: Trust_B 目的安全區域: untrust 源地址 / 地區 :PC2 目的地址 / 地區: any 認證動作: Portal 認證 |
需求七:安全策略配置
1、配置Telnet策略
2、配置DHCP策略
3、配置DNS策略
4、部門A中分為三個部門,運維部、高管、財務:
a.運維部允許隨時隨地訪問DMZ區域,并對設備進行管理;
b.高管和財務部僅允許訪問DMZ區域的OA和Web服務器,并且只有HTTP和HTTPS權限。
c.運維部允許在非工作時間訪問互聯網環境
d.高管允許隨時訪問互聯網環境
e.財務部任何時間都不允許訪問互聯網環境
5、部門B分為兩個部門,技術部和市場部:
a.技術部允許訪問DMZ區域中的web服務器,并進行管理
b.技術部和市場部允許訪問DMZ區域中的OA服務器,并且只有HTTP和HTTPS權限。
c.市場部允許訪問互聯網環境
6、每周末公司服務器需要檢修維護,允許運維部訪問;即,每周末拒絕除運維部以外的流量訪問DMZ區 域。
7、部門A和部門B不允許存在直接訪問流量,如果需要傳輸文件信息,則需要通過OA服務器完成。---依 靠默認規則拒絕
| 策略名稱 | 項目 |
|---|---|
| policy_01 | 描述:防火墻 telnet 管理 源安全區域: Trust_A 目的安全區域: Local 源地址:管理員 目的地址: any 服務: telnet 動作:允許 |
| policy_02 | 描述: DHCP 協議 源安全區域: Trust_A , Trust_B 目的安全區域: Local 源地址: any 目的地址: any 服務:自定義服務 (UDP 、 67/68) 動作:允許 |
| policy_03 | 描述: DNS 協議 源安全區域: Trust_A,Trust_B 目的安全區域: dmz 源地址: Trust_A_address 、 Trust_B_address 目的地址: DNS Server 服務: DNS 動作:允許 |
| policy_04 | 描述:運維部_to_DMZ 源安全區域: Trust_A 目的安全區域: dmz 源地址: Client3 目的地址: DMZ_Server 動作:允許 |
| policy_05 | 描述:高管和財務部_to_DMZ 源安全區域: Trust_A 目的安全區域: dmz 源地址: Client1 、 Client2 目的地址: OA Server 、 Web Server 服務: HTTP 、 HTTPS 動作:允許 |
| policy_06 | 描述:運維部_to_Untrust 源安全區域: Trust_A 目的安全區域: untrust 源地址: Client3 目的地址: any 時間段: no_worktime (工作日,0-8 ; 18-23) 動作:允許 |
| policy_07 | 描述:高管_to_Untrust 源安全區域: Trust_A 目的安全區域: untrust 源地址: Client1 目的地址: any 動作:允許 |
| policy_08 | 描述:技術部_to_web 源安全區域: Trust_B 目的安全區域: dmz 源地址: PC1 目的地址: Web Server 動作:允許 |
| policy_09 | 描述:技術部和市場部_to_oa 源安全區域: Trust_B 目的安全區域: dmz 源地址: PC1 、 PC2 目的地址: OA Server 服務: HTTP 、 HTTPS 動作:允許 |
| policy_10 | 描述:市場部_to_Untrust 源安全區域: Trust_B 目的安全區域: untrust 源地址: PC2 目的地址: any 動作:允許 |
| policy_11 | 描述:運維檢修 源安全區域: Trust_A,Trust_B 目的安全區域: dmz 源地址: Client1、Client2、PC1、PC2 目的地址: DMZ_Server 時間段: weekend (周六周日全天) 動作:拒絕 |
)
)
:記憶增強注意力機制在UNet中的創新應用-原理、實現與性能提升)
