安全策略实验
需求
1、VLAN 2属于办公区VLAN3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web Server
4、生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问web Server,用来更新企业最新产品信息
需求分析
- VLAN划分
- VLAN 2:办公区
- VLAN 3:生产区
- 办公区PC的访问控制
- OA Server访问:
- 允许访问时间:工作日(周一至周五)的早8点到晚6点。
- 其他时间不允许访问。
- Web Server访问:
- 允许任意时间访问。
- 生产区PC的访问控制
- OA Server访问:
- 允许任意时间访问。
- Web Server访问:
- 不允许访问。
- 特例:生产区PC3可以在每周一早10点到早11点访问Web Server。
- 特例访问控制
- 生产区PC3:
- 允许访问Web Server的时间:每周一早10点到早11点。
配置ip地址
- 手动配置ip地址
-
sw2配置:
[sw2]vlan 2
[sw2]vlan 3
access和trunk接口配置
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 2
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access
[sw2-GigabitEthernet0/0/3]port default vlan 3
[sw2-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw2-GigabitEthernet0/0/4]port link-type access
[sw2-GigabitEthernet0/0/4]port default vlan 3 -
接口配置
开启1/0/1.1和1/0/1.2的ping功能
[FW]int g1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]int g1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit
- 设置安全策略
办公区pc在工作日时间(星期1-5,早8-晚6)可以正常访问oa区其他时间不允许
新建地址
work时间段:
测试:
新建安全策略
办公区pc可以任意时刻访问web区
Web地址:
测试:
生产区pc可以任意时刻访问OA,但是不能访问Web
SC地址:
生产区pc可以在每周一早10-11访问Web,用来更新企业最新产品信息
测试:
策略界面:
实验结束
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
