防御综合实验
需求一
配置vlan
[SW2]int g 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2-GigabitEthernet0/0/2]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2-GigabitEthernet0/0/3]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
子接口接口名称是别名,实际上接口是按照顺序排序
需求二:
配置DHCP协议,具体要求如下
在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。
| 地址池名称 | 网段/掩码 | 网关 | DNS |
|---|---|---|---|
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
配置:
接口配置
[FW1]dhcp enable
[FW1-GigabitEthernet1/0/1.1]dhcp select interface
[FW1-GigabitEthernet1/0/1.2]dhcp select interface
[FW1]dis ip pool ----------------------查看地址池信息
DHCP 给主机分配固定IP:IP MAC绑定
在web界面只能配置接口模式
遇到的问题
防火墙DHCP配置好之后,下边的PC分配不到地址。
解决方法:
将防火墙主接口随机配置一个IP地址或者接口shutdown然后再undo shutdown。
对子接口进行配置的时候,主接口不会受到影响,所以要激活一次主接口,才会给下边的PC分配IP。
需求三
防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默认 | |
| GE1/0/2 | Untrust | 默认 |
配置:
[FW1]firewall zone name Trust_A
[FW1-zone-Trust_A]SET P
[FW1-zone-Trust_A]SET priority 70
[FW1-zone-Trust_A]
Feb 10 2025 15:21:44+08:00 FW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 88, the
change loop count is 0, and the maximum number of records is 4095.
[FW1-zone-Trust_A]add int
[FW1-zone-Trust_A]add interface g
[FW1-zone-Trust_A]add interface GigabitEthernet 1/0/1.2
需求四
防火墙地址组信息
| 设备 | 地址 | 地址组 | 描述信息 |
|---|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server | DMZ区域的OA服 务器 |
| Web Server | 10.0.0.20/32 | DMZ_Server | DMZ区域的Web服 务器 |
| DNS Server | 10.0.0.30/32 | DMZ_Server | DMZ区域的DNS服 务器 |
| Client1(高管) | 172.16.1.90/32 | Trust_A_address | 高管 |
| Client2(财务 部) | 172.16.1.100/32 | Trust_A_address | 财务部 |
| Client3(运维 部) | 172.16.1.0/24 需要去除172.16.1.90和 172.16.1.100。 | Trust_A_address | 运维部 |
| PC1(技术部) | 172.16.2.100/32 | Trust_B_address | 技术部 |
| PC2(市场部) | 172.16.2.0/24 需要去除172.16.2.100。 | Trust_B_address | 市场部 |
| 管理员 | 172.16.1.10/32 | Trust_A_address |
需求五
管理员
为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理
员进行本地认证。
| 项目 | 数据 | 说明 |
|---|---|---|
| 管理员账号密码 | 账号:vtyadmin 密码:admin@123 | |
| 管理员PC的IP地址 | 172.16.1.10/24 | |
| 角色 | service-admin | 拥有业务配置和设备监控权限。 |
| 管理员信任主机 | 172.16.1.0/24 | 登录设备的主机IP地址范围 |
| 认证类型 | 本地认证 |
管理员角色信息
| 名称 | 权限控制项 |
|---|---|
| service-admin | 策略、对象、网络:读写操作 |
| 面板、监控、系统:无 |
配置:
开放telnet权限:
[FW1-GigabitEthernet1/0/1.1]service-manage telnet permit 查看
[FW1-GigabitEthernet1/0/1.1]dis th
2025-02-10 15:57:19.510 +08:00
#
interface GigabitEthernet1/0/1.1vlan-type dot1q 10ip address 172.16.1.254 255.255.255.0alias GE1/0/1.1service-manage telnet permit ----------------已改为允许dhcp select interfacedhcp server ip-range 172.16.1.1 172.16.1.254dhcp server gateway-list 172.16.1.254dhcp server excluded-ip-address 172.16.1.100dhcp server static-bind ip-address 172.16.1.90 mac-address 5489-9833-7586dhcp server dns-list 10.0.0.30
#
return
[FW1-GigabitEthernet1/0/1]int g 1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.3.1 24
[FW1-GigabitEthernet1/0/1]service-manage enable
[FW1-GigabitEthernet1/0/1]service-manage telnet permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW1]telnet server enable---------------确认telnet开启
[FW1]user-interface vty 0 4
[FW1-ui-vty0-4]protocol inbound telnet
[FW1-ui-vty0-4]dis th
2025-02-10 16:11:36.270 +08:00
#
user-interface con 0authentication-mode aaa
user-interface vty 0 4authentication-mode aaaprotocol inbound telnet
user-interface vty 16 20
#
return验证
遇见的问题:
telnet远程登陆不上
解决:
[FW1-GigabitEthernet1/0/1]int g 1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.3.1 24
[FW1-GigabitEthernet1/0/1]service-manage enable
[FW1-GigabitEthernet1/0/1]service-manage telnet permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1.1
可能是因为1/0/1.1的区域没有划分,或者接口没有开启功能。
需求六
1、部门A分为运维部、高层管理、财务部;其中,财务部IP地址为静态IP。高管地址DHCP固定分配。
2、部门B分为研发部和市场部;研发部IP地址为静态IP
3、新建一个认证域,所有用户属于认证域下组织架构
4、根据下表信息,创建企业组织架构
5、用户密码统一为admin@123
6、首次登录必须修改密码
配置
注意:要将防火墙默认安全策略改为允许
最好将default的认证动作改为Portal认证,并将认证顺序改变。
验证
问题:
在验证的过程中,发现不能命中其他认证策略,只能命中默认认证策略
原因:
g1/0/1.1接口的安全区域配置错误,应该配置成Trust-A,但是我配置成了Trust。
修改过后就好了。
需求七
匹配时首先匹配安全策略,然后是认证策略。
验证:
将认证策略关闭,default改为不认证
将认证策略打开,default恢复
