目录

 一，vlan的划分及在防火墙上创建单臂路由

二，创建安全区域

三，配置安全策略

四，配置认证策略 

 五，配置NAT策略

---

1.将内网中各个接口能够ping通自己的网关 

2..生产区在工作时间内可以访问服务器区，仅可以访问http服务器

3..办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10                                                                             

4..办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

5..办公区域设备可以访问公网，其他区域不行。

 一，vlan的划分及在防火墙上创建单臂路由

1.划分vlan

[sw6]vlan  batch 2 3
[sw6]int g0/0/2
[sw6-GigabitEthernet0/0/2]port link-type access 
[sw6-GigabitEthernet0/0/2]port default  vlan 2
[sw6-GigabitEthernet0/0/2]int g0/0/3
[sw6-GigabitEthernet0/0/3]port link-t access 
[sw6-GigabitEthernet0/0/3]port default vlan 3
[sw6-GigabitEthernet0/0/3]int g0/0/1
[sw6-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[sw6-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1  
 

cloud配置

防火墙配置

修改防火墙的g0/0/0的IP地址，使防火墙可用在web上进行登录操作

[USG6000V1]int g0/0/0

[USG6000V1-GigabitEthernet0/0/0]  ip add 192.168.100.1 24   和添加的网卡在同一网段
[USG6000V1-GigabitEthernet0/0/0]service-manage  all permit 

 

 两个子接口和防火墙的各个接口都要勾选ping操作

 防火墙接口的IP地址配置

 

 写完默认网关会自动的在路由表中增添一个下一跳为12.0.0.2的缺省路由

 创建单臂路由

 查看路由表

http和ftp配置

 

 测试-接口ping自己的网关

二，创建安全区域

三，配置安全策略

一，生产区在工作时间内可以访问服务器区，仅可以访问http服务器（服务器的ip地址）

 测试

二，办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务

测试

 

10.0.2.10仅可以ping通10.0.3.103

测试

办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

测试

四，配置认证策略 

 五，配置NAT策略

测试