防火墙源NAT配置

拓扑

需求

1. 生产区在工作时间内可以访问服务器区，仅可以访问HTTP服务器。
2. 办公区全天可以访问服务区，其中，10.0.2.20可以访问FTP服务器和HTTP服务器
   10.0.2.10仅可以ping通10.0.3.10
3. 办公区在访问服务区时采用匿名认证方式进行上网行为管理。
4. 办公区设备可以访问公网，其他区域不行。
5. 分公司部分暂不涉及。

配置

IP配置

DMZ

• HTTP服务器
  

• FTP服务器
  

办公区

• BG_PC
  
• BG_Client
  

生产区

• SC_PC
  
• SC_Client
  

总公司交换配置

#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#

防火墙子接口配置

DMZ网关配置

安全策略

需求一

生产区在工作时间内可以访问服务器区，仅可以访问HTTP服务器。

• 配置
  

测试

• 把时间段改成any后测试
  
  

需求二

办公区全天可以访问服务区，其中，10.0.2.20可以访问FTP服务器和HTTP服务器
10.0.2.10仅可以ping通10.0.3.10

需求三

办公区在访问服务区时采用匿名认证方式进行上网行为管理

认证策略

在线用户

• 匿名认证成功
  

需求四

办公区设备可以访问公网，其他区域不行。

ISP配置

#
interface GigabitEthernet0/0/0
 ip address 12.0.0.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 21.0.0.1 255.255.255.0 
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.0 
#

防火墙出接口配置

NAT策略

安全策略

测试