拓扑
需求
- 生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器。
- 办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器
10.0.2.10仅可以ping通10.0.3.10 - 办公区在访问服务区时采用匿名认证方式进行上网行为管理。
- 办公区设备可以访问公网,其他区域不行。
- 分公司部分暂不涉及。
配置
IP配置
DMZ
-
HTTP服务器
-
FTP服务器
办公区
- BG_PC
- BG_Client
生产区
- SC_PC
- SC_Client
总公司交换配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
#
防火墙子接口配置
DMZ网关配置
安全策略
需求一
生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器。
- 配置
测试
- 把时间段改成any后测试
需求二
办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器
10.0.2.10仅可以ping通10.0.3.10
需求三
办公区在访问服务区时采用匿名认证方式进行上网行为管理
认证策略
在线用户
- 匿名认证成功
需求四
办公区设备可以访问公网,其他区域不行。
ISP配置
#
interface GigabitEthernet0/0/0
ip address 12.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 21.0.0.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.0
#
防火墙出接口配置
NAT策略
安全策略
测试
