一、需求分析
1.拓扑图
2.需求
1、VLAN2 属于办公区;VLAN3 属于生产区 2、办公区 PC 在工作百时间(周一至周五,早 8 到晚 6)可以正常访问 OA Server,其他时间不允许 3、办公区 pc 可以在任意时刻访问 web Server 4、生产区 Pc 可以在任意时刻访问 OA Server,但是不能访问 web Server 5、特例:生产区 PC3 可以在每周一早 10 到早 11 访问 webServer,用来更新企业最新产品信息
二、具体配置
通过 Web 浏览器访问防火墙图像管理界面
1.将 Cloud 与虚拟网卡绑定,以实现主机浏览器直接访问防火墙,进行图形化管理操作
编辑
2.配置防火墙远程 web 访问接口
输入用户名 admin,默认密码:Admin@123,随后输入“y”,修改默认密码,成功进入 user 视图
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password:
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
输入“sys”进入系统视图,并进入 GE 0/0/0 接口,配置防火墙远程 web 登录服务
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
备注:“all”选项默认开启了如下服务
[USG6000V1-GigabitEthernet0/0/0]service-manage ?
all ALL service
enable Service manage switch on/off
http HTTP service
https HTTPS service
ping Ping service
snmp SNMP service
ssh SSH service
telnet Telnet service
3.使用 web 浏览器访问防火墙图像管理界面
编辑
输入用户名密码(刚刚修改的最新密码),成功登录
编辑
Trust 区配置
1.网段划分
-
原来的网段:192.168.1.0/24(掩码 255.255.255.0,256 个地址)
-
需要拆分为两个子网,因此要多借用 1 位作为子网号:
- /25 掩码 = 255.255.255.128
- 每个子网可容纳 126 个可用地址(128 - 2)。
-
第一个子网:192.168.1.0/25
- 地址范围:192.168.1.0 – 192.168.1.127
- 可用地址:192.168.1.1 – 192.168.1.126
- 广播地址:192.168.1.127
-
第二个子网:192.168.1.128/25
- 地址范围:192.168.1.128 – 192.168.1.255
- 可用地址:192.168.1.129 – 192.168.1.254
- 广播地址:192.168.1.255
2.手动配置三台 pc 的 ip 及网关
根据刚才划分的网段及拓扑图可得三台 pc 的配置信息
3.配置 LSW1 交换机
创建 Vlan
[LSW1]vlan batch 2 3
进入对应接口,将链路类型设为 access,并根据要求放通对应 Vlan
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 3
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
4.配置防火墙的接口 ip 及相关策略
创建 GE1/0/1 的子接口,配置对应 ip 地址,作为下游 pc 的网关,并配置 vlan 标签和 turst 区域,允许 ping 测试
DMZ 区域配置
1.配置 FW1 对应接口的 ip 及区域
2.配置服务端 ip
防火墙策略配置
1.办公区访问 OA Server
办公区 PC 在工作百时间(周一至周五,早 8 到晚 6)可以正常访问 OA Server,其他时间不允许
2.办公区访问 Web Server
办公区 pc 可以在任意时刻访问 web Server
3.生产区访问 OA Server 及 Web Server
生产区 Pc 可以在任意时刻访问 OA Server,但是不能访问 web Server
4.特例:生产区更新产品需求
生产区 PC3 可以在每周一早 10 到早 11 访问 webServer,用来更新企业最新产品信息
5.最终策略顺序及地址信息
版权声明:本文采用 CC BY-NC-SA 4.0 协议授权,转载请注明出处并保留原始链接。
原文链接:https://www.jerrygao.cn//blog/E998B2E781ABE5A299E5B08FE59E8BE4BC81E4B89AE7BB84E7BD91E9858DE7BDAE
评论 0
还没有评论,成为第一个留言的人吧!