需求一

配置vlan

[SW2]int g 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access 
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2-GigabitEthernet0/0/2]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2-GigabitEthernet0/0/3]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk 
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20

子接口接口名称是别名，实际上接口是按照顺序排序

需求二：

配置DHCP协议，具体要求如下

在FW上启动DHCP功能，并配置不同的全局地址池，为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。

地址池名称	网段/掩码	网关	DNS
dhcp-a	172.16.1.0/24	172.16.1.254	10.0.0.30
dhcp-b	172.16.2.0/24	172.16.2.254	10.0.0.30

配置：

接口配置
[FW1]dhcp enable
[FW1-GigabitEthernet1/0/1.1]dhcp select interface 
[FW1-GigabitEthernet1/0/1.2]dhcp select interface 

[FW1]dis ip pool ----------------------查看地址池信息

DHCP 给主机分配固定IP：IP MAC绑定

在web界面只能配置接口模式

遇到的问题

防火墙DHCP配置好之后，下边的PC分配不到地址。

解决方法：

将防火墙主接口随机配置一个IP地址或者接口shutdown然后再undo shutdown。

对子接口进行配置的时候，主接口不会受到影响，所以要激活一次主接口，才会给下边的PC分配IP。

需求三

防火墙安全区域配置

设备	接口	安全区域	优先级
FW	GE1/0/1	Trust_A	70
	GE1/0/1.2	Trust_B	80
	GE1/0/0	DMZ	默认
	GE1/0/2	Untrust	默认

配置：

[FW1]firewall zone name Trust_A
[FW1-zone-Trust_A]SET P	
[FW1-zone-Trust_A]SET priority 70
[FW1-zone-Trust_A]
Feb 10 2025 15:21:44+08:00 FW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 88, the 
change loop count is 0, and the maximum number of records is 4095.
[FW1-zone-Trust_A]add int	
[FW1-zone-Trust_A]add interface g	
[FW1-zone-Trust_A]add interface GigabitEthernet 1/0/1.2

需求四

防火墙地址组信息

设备	地址	地址组	描述信息
OA Server	10.0.0.10/32	DMZ_Server	DMZ区域的OA服 务器
Web Server	10.0.0.20/32	DMZ_Server	DMZ区域的Web服 务器
DNS Server	10.0.0.30/32	DMZ_Server	DMZ区域的DNS服 务器
Client1(高管)	172.16.1.90/32	Trust_A_address	高管
Client2(财务 部)	172.16.1.100/32	Trust_A_address	财务部
Client3(运维 部)	172.16.1.0/24 需要去除172.16.1.90和 172.16.1.100。	Trust_A_address	运维部
PC1(技术部)	172.16.2.100/32	Trust_B_address	技术部
PC2(市场部)	172.16.2.0/24 需要去除172.16.2.100。	Trust_B_address	市场部
管理员	172.16.1.10/32	Trust_A_address

需求五

管理员

为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理
员进行本地认证。

项目	数据	说明
管理员账号密码	账号：vtyadmin 密码：admin@123
管理员PC的IP地址	172.16.1.10/24
角色	service-admin	拥有业务配置和设备监控权限。
管理员信任主机	172.16.1.0/24	登录设备的主机IP地址范围
认证类型	本地认证

管理员角色信息

名称	权限控制项
service-admin	策略、对象、网络：读写操作
	面板、监控、系统：无

配置：

开放telnet权限：
[FW1-GigabitEthernet1/0/1.1]service-manage telnet permit 查看
[FW1-GigabitEthernet1/0/1.1]dis th
2025-02-10 15:57:19.510 +08:00
#
interface GigabitEthernet1/0/1.1vlan-type dot1q 10ip address 172.16.1.254 255.255.255.0alias GE1/0/1.1service-manage telnet permit  ----------------已改为允许dhcp select interfacedhcp server ip-range 172.16.1.1 172.16.1.254dhcp server gateway-list 172.16.1.254dhcp server excluded-ip-address 172.16.1.100dhcp server static-bind ip-address 172.16.1.90 mac-address 5489-9833-7586dhcp server dns-list 10.0.0.30
#
return

[FW1-GigabitEthernet1/0/1]int g 1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.3.1 24
[FW1-GigabitEthernet1/0/1]service-manage enable
[FW1-GigabitEthernet1/0/1]service-manage telnet permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW1]telnet server enable---------------确认telnet开启
[FW1]user-interface vty 0 4
[FW1-ui-vty0-4]protocol inbound telnet 
[FW1-ui-vty0-4]dis th
2025-02-10 16:11:36.270 +08:00
#
user-interface con 0authentication-mode aaa
user-interface vty 0 4authentication-mode aaaprotocol inbound telnet
user-interface vty 16 20
#
return

验证

遇见的问题：
telnet远程登陆不上
解决：
[FW1-GigabitEthernet1/0/1]int g 1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.3.1 24
[FW1-GigabitEthernet1/0/1]service-manage enable
[FW1-GigabitEthernet1/0/1]service-manage telnet permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1.1
可能是因为1/0/1.1的区域没有划分，或者接口没有开启功能。

需求六

1、部门A分为运维部、高层管理、财务部；其中，财务部IP地址为静态IP。高管地址DHCP固定分配。
2、部门B分为研发部和市场部；研发部IP地址为静态IP
3、新建一个认证域，所有用户属于认证域下组织架构
4、根据下表信息，创建企业组织架构
5、用户密码统一为admin@123
6、首次登录必须修改密码

配置

需求七

匹配时首先匹配安全策略，然后是认证策略。