第七章课后综合练习

实验步骤

需求一：根据下表，完成相关配置

SW2配置：
sysname sw2vlan batch 10 20interface GigabitEthernet0/0/1port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan 10 20interface GigabitEthernet0/0/2port link-type accessport default vlan 10interface GigabitEthernet0/0/3port link-type accessport default vlan 20

FW的配置：
interface GigabitEthernet0/0/0ip address 192.168.10.1 255.255.255.0  ---一定是g0/0/0修改ip地址service-manage all permitinterface GigabitEthernet1/0/0undo shutdowninterface GigabitEthernet1/0/0.1vlan-type dot1q 10ip address 172.16.1.254 255.255.255.0interface GigabitEthernet1/0/0.2vlan-type dot1q 20ip address 172.16.2.254 255.255.255.0interface GigabitEthernet1/0/1undo shutdownip address 10.0.0.254 255.255.255.0interface GigabitEthernet1/0/2undo shutdownip address 100.1.1.10 255.255.255.0

四个服务器根据要求自己配置，这里只展示Web服务器的。

Client2和PC1根据所给出的直接配置。

需求二：配置DHCP协议，具体要求如下

interface GigabitEthernet1/0/0.1dhcp select interface  ---激活地址池interface GigabitEthernet1/0/0.2dhcp select interface

点击高级

注意：随便选择一个Client,勾选DHCP，在命令行输入ipconfig，获取不到信息。

原因：如果只用子接口，不用物理接口，没有被激活过，实际上子接口是不生效的。

解决：在物理接口配置ip地址，让它激活一下。然后可以再 undo ip address.

之后再去试一下，就可以看见信息了。

PC1,PC2的配置：

需求三：防火墙安全区域配置

需求四：防火墙地址组信息

        4.1、首先配置地址组

4.2、配置地址信息

        根据要求配置即可。我把两个特殊的（运维部和市场部）展示出来。

4.3注意的是：/32

需求五：管理员

5.1 新建管理员角色，根据要求勾选

5.2 根据要求创建管理员

点击高级，勾选Telnet

5.3 在设置中开启Telnet

5.4 在ENSP的FW中配置，才能将应用成功

[fw]telnet server enable 
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
[fw]
Aug  6 2025 14:29:50+08:00 fw DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 223, the 
change loop count is 0, and the maximum number of records is 4095.
[fw]user-interface vty 0 4
[fw-ui-vty0-4]display  this
2025-08-06 14:30:18.430 +08:00
#
user-interface con 0authentication-mode aaa
user-interface vty 0 4authentication-mode aaaprotocol inbound ssh
user-interface vty 16 20
#
return
[fw-ui-vty0-4]protocol inbound telnet 
[fw-ui-vty0-4]quit

5.5 在子接口中将Telnet功能打开

5.6 在SW2的vlanif 10接口配置IP地址172.16.1.10/24，进行测试

注意，要配置这条安全策略，不然不会登录成功

需求六：用户认证配置

6.1 新建认证域

6.2 根据要求勾选

        点击下面的 高级

6.3  先建用户组 A B

6.4 再根据要求建立其他用户组。

6.5 新建用户

6.5.1 下图是高管用户的配置：

6.5.2 在配置技术部和市场部的时候可以使用批量新建用户。

6.5.3 配置市场部账号过期时间

6.6 

6.6.1 根据要求勾选

6.6.2 需要注意地址范围，出现重合的话会发生错误。具体一点的地址往上提，地址大的往下移

6.6.3 首次登录需要修改密码

6.6.4 测试

测试前，要写一个test安全策略，动作允许放通所有。

解释：市场部ping DMZ区域，因为认证方式是匿名认证，所以只显示ip，由于防火墙本地已经有了认证通过信息，所以这个Portal认证过程会直接跳过

需求七：安全策略配置

7.1 结果：

7.2 policy_02探讨

        7.2.1

        7.2.1 自定义服务的配置

7.3 policy_06探讨

7.4 policy_11

7.5 做完策略分析是否要调整策略位置