拓扑
配置IP地址、VLAN
AR2:[Huawei]sys ISP
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24
[ISP-LoopBack0]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip address 21.0.0.2 24SW7:[SW7]vlan batch 2 to 3
[SW7]int g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 2
[SW7-GigabitEthernet0/0/2]int g0/0/3
[SW7-GigabitEthernet0/0/3]port link-type access
[SW7-GigabitEthernet0/0/3]port default vlan 3
[SW7]interface GigabitEthernet0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1配置防火墙IP地址及划分区域
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 192.168.100.1 24
[FW2-GigabitEthernet0/0/0]service-manage all permit新建两个区域SC和BG
进行接口配置
根据实验需求配置防火墙安全策略
需求一:生产区在工作时间内可以访问服务器区,仅可以访问http服务器
需求二 :办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
需求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
需求四:配置防火墙NAT策略
