实验拓扑及要求
拓扑搭建及IP配置
防火墙(总公司)和交换机(汇聚生产区和办公区)的接口配置
生产区在vlan2,办公区在vlan3,防火墙在G1/0/3接口上创建子接口G1/0/3.1和G1/0/3.2对两个区域分别进行管理
交换机:
创建vlan,划分接口
防火墙:
创建安全区域
创建子接口
防火墙和DMZ区接口配置
防火墙和guest区接口配置
防火墙和ISP的接口配置
建立安全策略
办公区办公时间内可以访问DMZ区
生产区全天可以访问DMZ区
办公区设备10.0.2.10不允许访问DMZ区的FTP和HTTP服务器,仅能ping通10.0.3.10
用户认证
新建认证域
创建用户组织结构
认证策略
市场部需要用户绑定IP地址,访问dmz区使用免认证
研发部IP地址固定,访问dmz区使用匿名认证
游客使用guest用户登录,密码为Admin@123,不允许访问DMZ区和生产区
生产区访问DMZ区时,需要进行portal认证,生产区包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间为10天,用户不允许多人使用
模拟器无法进行portal验证,所以无法ping通10.0.3.10
创建一个自定义管理员,要求不能拥有系统管理的功能
