用户认证练习实验

拓扑

实验拓扑如下所示：

​

需求 

1. 根据下表，完成相关配置
2.  配置DHCP协议，具体要求如下
   在 FW 上启动 DHCP 功能，并配置不同的全局地址池，为接入网络的终端设备分配 IP 地址。
   Client1 、 Client3 和 PC2 通过 DHCP 获取地址信息。 Client2 和 PC1 手工静态配置。
   Client1 必须通过 DHCP 获取172.16.1.90/24地址。
3. 防火墙安全区域配置
4.  防火墙地址组信息
5. 管理员

   为 FW 配置一个配置管理员。要求管理员可以通过 Telnet 登录到 CLI 界面对 FW 进行管理和维护。FW对管理员进行本地认证。 管理员角色信息
6. 用户认证配置 
   1 、部门 A 分为运维部、高层管理、财务部；其中，财务部 IP 地址为静态 IP 。高管地址 DHCP 固定分配。
   2 、部门 B 分为研发部和市场部；研发部 IP 地址为静态 IP
   3 、新建一个认证域，所有用户属于认证域下组织架构
   4 、根据下表信息，创建企业组织架构
   5 、用户密码统一为 admin@123
   6、首次登录必须修改密码

   1 、高级管理者访问任何区域时，需要使用免认证。

   2 、运维部访问 DMZ 区域时，需要进行 Portal 认证。

   3 、技术部和市场部访问 DMZ 区域时，需要使用匿名认证。

   4 、财务部访问 DMZ 区域时，使用不认证。

   5 、运维部和市场部访问外网时，使用 Portal 认证。

   6、财务部和技术部不能访问外网环境。故不需要认证策略
7. 安全策略配置

   1 、配置 Telnet 策略

   2 、配置 DHCP 策略

   3 、配置 DNS 策略

   4 、部门 A 中分为三个部门，运维部、高管、财务。

   a. 运维部允许随时随地访问 DMZ 区域，并对设备进行管理；

   b. 高管和财务部仅允许访问 DMZ 区域的 OA 和 Web 服务器，并且只有 HTTP 和 HTTPS 权限。

   c. 运维部允许在非工作时间访问互联网环境

   d. 高管允许随时访问互联网环境

   e. 财务部任何时间都不允许访问互联网环境

   5 、部门 B 分为两个部门，技术部和市场部

   a. 技术部允许访问 DMZ 区域中的 web 服务器，并进行管理

   b. 技术部和市场部允许访问 DMZ 区域中的 OA 服务器，并且只有 HTTP 和 HTTPS 权限。

   c. 市场部允许访问互联网环境

   6 、每周末公司服务器需要检修维护，允许运维部访问；即，每周末拒绝除运维部以外的流量访问 DMZ 区域。

   7 、部门 A 和部门 B 不允许存在直接访问流量，如果需要传输文件信息，则需要通过 OA 服务器完成。 --- 依靠默认规则拒绝

   

   

   

配置详细信息 

[FW]interface GigabitEthernet 0/0/0    
[FW-GigabitEthernet0/0/0]service-manage all permit 

需求一，接口配置：

SW2:

[sw2]vlan 10    
[sw2]vlan 20

[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk     
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 
[sw2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2

[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access    
[sw2-GigabitEthernet0/0/3]port default vlan 20

FW:

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add    
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24    
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10

 

需求二，DHCP：

[FW]dhcp enable
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface 

Client1 

查看地址池g1/0/1.1

[FW]display ip pool interface GigabitEthernet1/0/1.1

GigabitEthernet1/0/1.2

需求三，防火墙安全区域划分：

[FW]firewall zone name Trust_B 
[FW-zone-Trust_B]set priority 80
[FW-zone-Trust_B]add interface GigabitEthernet 1/0/1.2--划分接口

DMZ：
[FW]firewall zone dmz     
[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Untrust：
[FW]firewall zone untrust 
[FW-zone-untrust]add interface GigabitEthernet 1/0/2

需求四，防火墙地址组信息：

需求五，管理员

防火墙开启telnet：

[FW-GigabitEthernet1/0/1.1]service-manage telnet permit

开启telnet服务：

[FW]telnet server enable

telnet配置 :

[FW]user-interface vty 0 4    
[FW-ui-vty0-4]protocol inbound telnet

telnet测试:

[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 172.16.1.10 24

管理员： 

需求六，用户认证配置：

openlab：

用户组：

用户信息：

高管

 运维部

财务部 技术部

市场部

 

认证策略：

需求七，安全策略配置：

测试

[FW]display firewall session table 

[FW]display firewall session table verbose

policy_04：policy_05：policy_06:policy_07:policy_08:policy_09:policy_010:

policy_011:

web安全策略界面,安全策略命中次数：