目录
实行的拓扑:
要求:
我搭建的实行拓扑
步调:
创建vlan:
接口配置:
防火墙:
防火墙配置:
建立安全计谋:
防火墙的用户:
办公区的市场部和研发部用户
市场部和研发部的计谋
游客区的用户
生产区的用户
设置登岸
系统用户的创建
新用户身份选择刚建立的管理员
实行的拓扑:
要求:
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的装备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区装备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部必要用户绑定IP地址,访问DMZ区使用免认证;
游客区职员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,暗码Admin@123
5,生产区访问DMZ区时,必要进行protal认证,设立生产区用户构造架构,至少包罗三个部门,每个部门三个用户,用户统一暗码openlab123,初次
登录必要修改暗码,用户逾期时间设定为10天,用户不允许多人使用
我搭建的实行拓扑
步调:
创建vlan:
创建两个vlan用于区分生产区和办公区,所以应该进入到互换机lsw3
- vlan batch 2 to 3
- 一次性创建两个vlan
接口配置:
进入到互换机链接两个区域的接口“生产区 g0/0/2”,“办公区 g0/03”,对两个区域进行分别的修改
生产区:
- port link-type access
- port default plan 2
办公区:
- port link-type access
- port default plan 3
此时此刻就将两个区域分别好了,由于互换机的g0/0/1口链接着防火墙,所以,必要在上面进行设置,于是乎在口上:
- port link-type trunk
- undo port trunk allow-pass vlan 1
- port trunk allow-pass vlan 2 to 3 10 20
- port discard tagged-packet
互换器就配置完成了已经
防火墙:
防火墙的网页设置:
先将cloud上绑定信息,添加端口,做到如图后即可
进入防火墙后将接口0/0/0的ip改为跟绑定的网卡的ip一个段(直接进入接口,ip address)
添加完后,在接口上输入指令:service-manage all permit
然后在本身浏览器上输入接口的ip地址,允许进入后,就可以通过本身修改后的管理员的暗码和账号就可以对模仿防火墙进行配置了
(查看高级,选择“继续前往”)
(输入账号和修改后的暗码,就可顺利进入)
防火墙配置:
选择上面一栏的网络,就可以直接跳转到接口
(为配置好后的接口页面)
在拓扑上可以看到毗连lsw3互换机的是防火墙的g1/0/1口,所以在页面上选择g1/0/1口,并在这个口下创建两个小接口1.1和1.2,分别对应生产区和办公区
(生产区)
(办公区)
分配好后再根据拓扑图上的情况创建相对应的区域,进入旁边的安全区域里,就可以创建区域
创建区域时必要将其对应的接口给填进去
拓扑上的区域都创建完成后,回到接口处便可以对表现的其他接口进行区域分别
建立安全计谋:
进入安全计谋页面选择计谋再选择安全计谋一栏,即可进行创建计谋和计谋组,
计谋组分为DMZ和ISP,旗下:
办公区访问DMZ
生产区访问DMZ
10.0.2.10能去的和不能去的
(能去的)
(不能去的)
游客区只能访问10.0.3.10
办公区去isp的
游客区去isp的
全部计谋和计谋组
设置NAT计谋,来上网
选择下面的NAT计谋即可进入创建NAT计谋
(即可)
防火墙的用户:
进入对象一栏,选择用户里的default
办公区的市场部和研发部用户
先创建三个对应区域的用户组
市场部
研发部
市场部和研发部的计谋
在旁边的认证计谋里即可进行创建
市场部
研发部
游客区的用户
创建好游客区的用户组后便可以进行用户的创建
生产区的用户
创建好生产区以及其下的车间后,进行批量用户创建
(注意其每行下的注释,其它车间也是如许进行批量创建)
生产区的计谋
设置登岸
在旁边的认证选项里
系统用户的创建
在上方系统一栏里,找到管理员,选定管理员角色
新用户身份选择刚建立的管理员
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
