实验要求:
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问
2.生产区不允许访问互联网,办公区和游客允许访问互联网
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;
5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修
改密码,用户过期时间设定为10天,用户不允许多人使用
6.创建一个自定义管理员,要求不能拥有系统管理的功能
7.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8.分公司设备可以通过总公司的移动链路和电信链路访问到dmz区的http服务器
9.多出口环境基干带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护國值80%;
10.分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
11.游客区仅能通过移动链路访问互联网
实验思路:
需求7
7.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
创建移动网络和电信网络的安全区域
NAT策略 ---- 多对多的NAT:
保留一个IP地址:
测试:
需求8
8.分公司设备可以通过总公司的移动链路和电信链路访问到dmz区的http服务器
在分公司的防火墙上进行配置:
配置端口服务器映射,需要配置两条,移动和电信的公网id映射到10.0.3.10
NAT策略:
总公司防火墙上配置,开放dmz区域的http服务器
需求9
9.多出口环境基干带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护國值80%
配置智能选路:
需求10
10.分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
做双向NAT
分公司防火墙 ---- NAT策略:
需求11
11.游客区仅能通过移动链路访问互联网
NAT策略:
YK to YD
配置的策略交叉时,小范围在大范围上,否则小范围可能失效
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ji-chu/91964.html