实验需求：

1、生产区在工作时间内可以访问服务器区，仅可以访问http服务器。

2、办公区全天可以访问服务器区，其中，10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10。

3、办公区在访问服务器区是采用匿名认证的方式进行上网行为管理。

4、办公区设备可以访问公网，其他区域不行。

第一步、规划IP

第二步、给LSW3配置

[LSW3]vlan batch 2 3
​
[LSW3]interface g0/0/2  
[LSW3-GigabitEthernet0/0/2]port link-type access 
[LSW3-GigabitEthernet0/0/2]port default vlan 2
​
[LSW3]interface g0/0/3  
[LSW3-GigabitEthernet0/0/3]port link-type access 
[LSW3-GigabitEthernet0/0/3]port default vlan 3
​
[LSW3]interface g0/0/1
[LSW3-GigabitEthernet0/0/1]port link-type trunk 
[LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LSW3-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

第三步、给防火墙进行配置

[NGFW]interface g0/0/0  
[NGFW-GigabitEthernet0/0/0]ip address 172.89.209.137 24
[NGFW-GigabitEthernet0/0/0]service-manage all permit 

配置GE 1/0/0接口

配置GE 1/0/1接口

①新建两个安全区域，分别为生产区（SC）和办公区（BG)

第五步、做策略

第六步、配置办公区在访问服务器区时采用匿名认证的方法。

从办公区访问http服务器

第七步、做NAT转换。

给ISP配置

[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 12.0.0.2 24
[ISP]q	
[ISP]interface LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24

---