一、实验拓扑图及实验要求
实验要求:
1、VLAN2属于办公区;VLAN 3属于生产区。
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问0A Server,其他时间不允许。
3、办公区可以在任意时刻访问web Server
4、生产区PC可以在任意时刻访问0A Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。
二、实验思考及基础布置
(一)、实验思考
根据实验要求,我们要先将Trust区域中的三台PC划分为两个网段,以对应两个区域,在防火墙的接口上设置子接口以对应两个网段的网关,再通过防火墙的安全策略表来实现我们的实验要求。
(二)、基础布置
OA Server
Web server
PC1
PC2
PC3
Cloud
防火墙(FW):
开启防火墙,eNSP中防火墙的默认账号是:admin 密码是:Admin@123
登陆后默认修改密码,我们这里修改为admin@123
输入以下代码,打开GE0/0/0接口的流量限制,为登录网页界面做准备。
[FW]interface g0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit交换机:
输入以下代码,完成对两个网段的设置,将GE0/0/2接口划分为VLAN2,GE0/0/3和GE0/0/4接口设置为VLAN3。因为该实验只要求在Trust区域划分两个网段,因此另一个交换机不适用该设置。
//创建vlan 2 3
[Huawei]vlan batch 2 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
//与防火墙直连的接口设置为trunk干道三、防火墙接口设置和策略设置
(一)、接口设置
在网页界面输入192.168.0.1:8443,跳转网页后会出现警告,点击高级,选择继续访问。
选择最上一行中的网络。在接口列表中通过单击接口名称进行设置
GE1/0/1接口需要连接两个网段,所以需要创建两个子接口,点击左上角的新建。
接口列表如下:
接口设置完成后要确认Trust区域中各个设备的联通:
pc1-pc2
pc1-pc3
pc1 网关
pc2 网关
pc2-pc3
pc3网关
(二)、策略设置
选择最上一行中的策略,进入安全策略列表,进行安全策略的创建以实现实验要求
点击左上角的新建安全策略
由于本次实验未要求,我们只需设置源、目的安全区域,源、目的地址,时间段和动作即可。
在选择源、目的地址时可新建地址,根据要求输入信息即可
要求2
要求3(办公区可以在任意时刻访问web Server):
要求4(生产区PC可以在任意时刻访问0A Server,但是不能访问Web Server):
要求5(特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息) :
策略表
手动配置时间
四、测试
要求2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问0A Server,其他时间不允许。
时间内
时间外
要求3(办公区可以在任意时刻访问web Server):
要求4(生产区PC可以在任意时刻访问0A Server,但是不能访问Web Server):
要求5(特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息) :
时间内
时间外
