02_用户认证

• 实验步骤
• 需求一
  • 根据下表  完成相关配置

  • 设备	接口	VIAN	接口类型
    SW2	GE0/0/2	10	access
    	GE0/0/3	20	access
    	GE0/0/1	10 20	trunk

  • [SW2]vlan batch 10 20
    
    [SW2]interface g0/0/2
    [SW2-GigabitEthernet0/0/2]port link-type access
    [SW2-GigabitEthernet0/0/2]port default vlan 10
    	
    [SW2]interface g0/0/3
    [SW2-GigabitEthernet0/0/3]port link-type access 
    [SW2-GigabitEthernet0/0/3]port default vlan 20
    
    [SW2]interface g0/0/1
    [SW2-GigabitEthernet0/0/1]port link-type trunk 
    [SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
    

  •  

    设备	接口	VLAN	IP
    FW	GE1/0/1.1	10	172.16.1.254/24
    	GE1/0/1.2	20	172.16.2.254/24
    	GE1/0/0	/	10.0.0.254/24
    	GE1/0/2	/	100.1.1.10/24
    OA Server	Ethernet0/0/0		10.0.0.10/24
    Web Server	Ethernet0/0/0		10.0.0.20/24
    DNS Server	Ethernet0/0/0		10.0.0.30/24

  •  
  • 

  • 设备	接口	VLAN	IP
    百度服务器	Ethernet0/0/0		100.1.1.1/24
    Clinet1	Ethernet0/0/0		DHCP获取(172.16.1.90/24)
    Clinet2	Ethernet0/0/0		172.16.1.100/24
    Clinet3	Ethernet0/0/0		DHCP获取
    PC1	Ethernet0/0/1		172.16.2.100/24
    PC2	Ethernet0/0/1		DHCP获取

  • 
• 需求二
  • 配置DHCP协议 

  • 地址池名称	网段/掩码	网关	DNS
    ahcp-a	172.16.1.0/24	172.16.1.254	10.0.0.30
    dhcp-b	172.16.2.0/24	172.16.2.254	10.0.0.30

  • 在两接口上启动DHCP功能

  • [FW1]interface g1/0/1.1	
    [FW1-GigabitEthernet1/0/1.1]dhcp select interface 
    
    [FW1]interface g1/0/1.2	
    [FW1-GigabitEthernet1/0/1.2]dhcp select interface 
    

  • 
  • 
• 需求三
  • 防火墙安全区域配置

  • 设备	接口	安全区域	优先级
    FW	GE1/0/1.1	Trust_A	70
    	GE1/0/1.2	Trust_B	80
    	GE1/0/0	DMZ	默认
    	GE1/0/2	Untrust	默认

  •  
• 需求四
  •  防火墙地址组信息
  • 
  • 
• 需求五
  • 管理员角色信息

  • 项目	数据	说明
    管理员账号密码	vtyadmin
    管理员PC的IP地址	172.16.1.10/24
    角色	service-admin	拥有业务配置和设备监控权限
    管理员信任主机	172.16.1.0/24	登录设备的主机IP地址范围
    认证类型	本地认证

  • 名称	权限控制项
    service-admin	策略、对象、网络：读写操作
    	面板、监控、系统：无

  • 
  • 
  • 开启telnet服务

  • [FW1]telnet server enable 

• 需求六
  • 用户认证配置

  • 项目	数据
    认证域	openlab portal 接入控制：上网行为管理 新用户认证选项：使用/openlab组权限
    用户组信息
    部门A	A  /openlab
    部门B	B /openlab
    高级管理者	manager  /openlab/A
    运维部	DevOps  /openlab/A
    财务部	FD 用户组所属组：/openlab/A
    技术部	TD 用户组所属组：/openlab/B
    市场部	MD 用户组所属组：/openlab/B
    用户信息
    高管用户	用户登录名：user_001 用户显示名：Super_user 用户所属组：/openlab/A/manager 不允许多人同时使用该账号登录 IP/MAC 绑定方式：双向绑定 IP/MAC地址：Client1的MAC
    运维部用户	用户登录名：DevOps_001 用户显示名：张三 用户所属组：/openlab/A/DevOps 不允许多人同时使用该账号登录
    财务部用户	用户登录名：FD_001 用户显示名：李四 用户所属组：/openlab/A/FD IP/MAC 绑定方式：双向绑定 IP/MAC地址：172.16.1.100 不允许多人同时使用该账号登录
    技术部用户	用户登录名：TD_001...TD_003 用户所属组：/openlab/B/TD 允许多人同时使用该账号登录
    市场部用户	用户登录名：MD_001...MD_005 用户所属组：/openlab/B/MD 不允许多人同时使用该账号登录 账号过期时间：10天

  • 

  • 高级管理者认证策略	名称：policy_auth_01 描述：高级管理者认证策略 源安全区域：Trust_A 目的安全区域：any 源地址/地区:Client1 目的地址/地区：any 认证动作：免认证
    运维部队认证策略	名称：policy_auth_02 描述：运维部_to_DMZ 源安全区域：Trust_A 目的安全区域：dmz 源地址/地区:Client3 目的地址/地区：DMZ_Server 认证动作：Portal认证
    	名称：policy_auth_03 描述：运维部_to_Untrust 源安全区域：Trust_A 目的安全区域：untrust 源地址/地区:Client3 目的地址/地区：any 认证动作：Portal认证
    技术部认证策略	名称：policy_auth_04 描述：技术部_to_DMZ 源安全区域：Trust_B 目的安全区域：dmz 源地址/地区:PC1 目的地址/地区：DMZ_Server 认证动作：匿名认证
    财务部认证策略	名称：policy_auth_05 描述：财务部_to_DMZ 源安全区域：Trust_A 目的安全区域：dmz 源地址/地区:Client2 目的地址/地区：DMZ_Server 认证动作：不认证
    市场部认证策略	名称：policy_auth_06 描述：市场部_to_DMZ 源安全区域：Trust_B 目的安全区域：dmz 源地址/地区:PC2 目的地址/地区：DMZ_Server 认证动作：匿名认证
    	名称：policy_auth_07 描述：市场部_to_Untrust 源安全区域：Trust_B 目的安全区域：untrust 源地址/地区:PC2 目的地址/地区：any 认证动作：Portal认证

    
• 需求七
  • 安全策略配置
  •  
    •