一、实验拓扑

本实验是在防火墙接口配置实验上，增加几台设备。其防火墙接口配置实验的设备配置已略，详细请看防火墙接口配置实验。

二、实验要求

1、生产区在工作时间（9：00---18：00）内可以访问服务区，仅可以访问http服务器；

2、办公区全天可以访问服务器区，其中，10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10 ；

3、办公区在访问服务器区时采用匿名认证的方式进行上网行为管理；

4、办公区设备可以访问公网，其他区域不行。

三、实验思路

四、实验配置

PC4配置

FW2配置

sys
int g0/0/0
ip add 192.168.100.3 24
service-manage all permit 

登录操作跟FW1一样

AR1配置

sys
int l0
ip add 1.1.1.1 24
int g0/0/0
ip add 12.0.0.1 24
int g0/0/2
ip add 21.0.0.1 24
int g0/0/1
ip add 23.0.0.1 24

FW1配置

要求1的配置：

要求2的配置：

要求3的配置

要求4的配置：

注：NAT策略增加时，需要点击新建安全策略，新建安全策略默认确定即可。若未添加，则NAT业务会被NAT策略中的默认策略拦截。

五、测试