文章目录
用户认证练习实验
一、实验拓扑
二、实验需求及配置
前提配置:开启防火墙的web页面
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit
需求一:根据下表,完成相关配置
| 设备 | 接口 | VLAN | 接口类型 |
|---|---|---|---|
| SW2 | GE0/0/2 | vlan 10 | Access |
| GE0/0/3 | vlan 20 | Access | |
| GE0/0/1 | vlan list : 10 20 | Trunk |
| 设备 | 接口 | VLAN | IP |
|---|---|---|---|
| FW | GE1/0/1.1 | 10 | 172.16.1.254/24 |
| GE1/0/1.2 | 20 | 172.16.2.254/24 | |
| GE1/0/0 | / | 10.0.0.254/24 | |
| GE1/0/2 | / | 100.1.1.10/24 | |
| OA Server | Ethernet0/0/0 | 10.0.0.10/24 | |
| Web server | Ethernet0/0/0 | 10.0.0.20/24 | |
| DNS Server | Ethernet0/0/0 | 10.0.0.30/24 | |
| 百度服务器 | Ethernet0/0/0 | 100.1.1.124 | |
| Clinet1 | Ethernet0/0/0 | DHCP获取(172.16.1.90/24 | |
| Clinet2 | Ethernet0/0/0 | 172.16.1.100/24 | |
| Clinet3 | Ethernet0/0/0 | DHCP获取 | |
| PC1 | Ethernet0/0/1 | 172.16.2.100/24 | |
| PC2 | Ethernet0/0/1 | DHCP获取 |
配置如下:
[SW2]vlan batch 10 20 ----------创建vlan 10和vlan 20
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
FW接口IP配置:
GE1/0/0接口:
GE1/0/1.1子接口:
GE1/0/1.2子接口:
GE1/0/2接口:
OA IP:
Web IP:
DNS IP:
百度服务器:
Clinet2:
PC1:
创建DNS服务器域名:
Web Server域名:www.aliyun.com/10.0.0.20
百度服务器域名:www.baidu.com/100.1.1.1
需求二:配置DHCP协议,具体要求如下
在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
Client1、client3和PC2通过DHCP获取地址信息。client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。
| 地址池名称 | 网段/掩码 | 网关 | DNS |
|---|---|---|---|
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
FW的Web界面配置DHCP时,只支持配置接口方式的地址池,分配的地址范围必须是接口IP地址所在的网段;并且,需要手工在命令行界面开启dhcp功能才行。
配置如下:
[FW]dhcp enable -----启动DHCP协议(无需配置地址池)
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
查看并修改DHCP地址池的相关信息:
根据需求一,排除IP:172.16.1.100:
根据需求一,排除IP:172.16.2.100:
查看DHCP分配地址情况:
Clinet1:
Clinet3:
PC2:
需求三:防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/1.1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默认 | |
| GE1/0/2 | Untrust | 默认 |
Trust_A:
Trust_B:
dmz:
unturst:
需求四:防火墙地址组信息
| 设备 | 地址 | 地址组 | 描述信息 |
|---|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server | DMZ区域的OA服务器 |
| Web Server | 10.0.0.20/32 | DMZ_Server | DMZ区域的Web服务器 |
| DNS Server | 10.0.0.30/32 | DMZ_Server | DMZ区域的DNS服务器 |
| Client1(高管) | 172.16.1.90/32 | Trust_A_adress | 高管 |
| Client2(财务部) | 172.16.1.100/32 | Trust_A_adress | 财务部 |
| Client3(运维部) | 172.16.1.0/24 需要去除172.16.1.90和172.16.1.100 | Trust_A_adress | 运维部 |
| PC1(技术部) | 172.16.2.100/32 | Trust_B_adress | 技术部 |
| PC2(市场部) | 172.16.2.0/24 需要去除172.16.2.100 | Trust_B_adress | 市场部 |
| 管理员 | 172.16.1.10/32 | Trust_A_adress |
创建地址:
创建地址组:
需求五:管理员
为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理员进行本地认证。
| 项目 | 数据 | 说明 |
|---|---|---|
| 管理员账号密码 | 账号:vtyadmin 密码:admin@123 | |
| 管理员PC的IP地址 | 172.16.1.10/24 | |
| 角色 | service-admin | 拥有业务配置和设备监控权限。 |
| 管理员信任主机 | 172.16.1.0/24 | 登录设备的主机IP地址范围 |
| 认证类型 | 本地认证 |
管理员角色信息
| 名称 | 权限控制项 |
|---|---|
| service-admin | 策略、对象、网络:读写操作 |
| 面板、监控、系统:无 |
配置如下:
1,开启GE1/0/1.1子接口的telnet服务,方便管理员进行telnet登录:
使用命令行开启:
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage telnet permit
或在web界面开启该服务:
2,创建管理员角色:
3,创建管理员:
开启防火墙设备的telnet服务:
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet ----修改入方向接口的协议为telnet
防火墙设备和其他设备不同,没有默认开启telnet服务。
测试:(以SW2为例,在SW2上创建一个用户并尝试登录FW)
需求六:用户认证配置
1、部门A分为运维部、高层管理、财务部:其中,财务部IP地址为静态IP。高管地址DHCP固定分配
2、部门B分为研发部和市场部;研发部IP地址为静态IP
3、新建一个认证域,所有用户属于认证域下组织架构
4、根据下表信息,创建企业组织架构
5、用户密码统一为admin@123
6、首次登录必须修改密码
配置如下:
1,新建认证域:
2,修改认证域设置:
3,创建用户组信息:
4,创建用户信息:
高级用户:
运维部用户:
财务部用户:
技术部用户:
市场部用户:
1、高级管理者访问任何区域时,需要使用免认证。
2、运维部访问DMZ区域时,需要进行Portal认证。
3、技术部和市场部访问DMZ区域时,需要使用匿名认证。
4、财务部访问DMZ区域时,使用不认证。
5、运维部和市场部访问外网时,使用Porta1认证。
6、财务部和技术部不能访问外网环境。故不需要认证策略
配置如下:
1,配置认证策略:
在配置完认证策略后,需要根据具体需要更改策略的顺序即优先级,使策略完全生效。一般策略顺序:先精细,后粗犷。
2,更改defulat的认证动作,防止出现异常认证不通过的情况:
3,设置首次登录必须修改密码:
认证策略仅仅是让防火墙来判断那些用户可以正常访问网络资源,并且方便对所有用户进行管理。只要你是合法通过认证的用户,就可以访问网络资源。-----认证策略并不能阻挡对网络资源的访问能力,该能力由安全策略来实现。
需求七:安全策略配置
1、配置Telnet策略
2、配置DHCP策略
3、配置DNS策略
4、部门A中分为三个部门,运维部、高管、财务。
a.运维部允许随时随地访问DMZ区域,并对设备进行管理;
b.高管和财务部仅允许访问DMZ区域的OA和web服务器,并且只有HTTP和HTTPS权限。
C.运维部允许在非工作时间访问互联网环境
d.高管允许随时访问互联网环境
e.财务部任何时间都不允许访问互联网环境
5、部门B分为两个部门,技术部和市场部
a.技术部允许访问DMZ区域中的web服务器,并进行管理
b.技术部和市场部允许访问DMZ区域中的OA服务器,并且只有HTTP和HTTPS权限。
C.市场部允许访问互联网环境
6、每周末公司服务器需要检修维护,允许运维部访问;即,每周末拒绝除运维部以外的流量访问DMZ区域。
7、部门A和部门B不允许存在直接访问流量,如果需要传输文件信息,则需要通过OA服务器完成。---依靠默认规则拒绝
配置如下:
策略顺序可以根据相关测试需要相应的进行调整。
三、测试
1,在进行DHCP地址获取测试时(以Clinet3为例),如果遇见客户端地址分配不下来,可以通过对主接口随便配置一个IP解决:
[FW]int g 1/0/1
[FW-GigabitEthernet1/0/1]ip add 192.168.1.1 24
配置前:
配置后:
2,测试认证策略(以运维部访问Untrust区域为例)
3,测试安全策略(以高管访问互联网为例)
扫一扫
887
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
