網(wǎng)絡(luò)設(shè)備安裝與調(diào)試 課件 模塊7、8 網(wǎng)絡(luò)安全接入配置、網(wǎng)絡(luò)設(shè)備維護與故障排除

模塊7 網(wǎng)絡(luò)安全接入配置01任務(wù)1計算機終端接入安全02任務(wù)2交換機接口安全配置03任務(wù)3訪問控制列表配置目錄04任務(wù)4防火墻設(shè)備的配置任務(wù)1計算機終端接入安全任務(wù)描述小明工作后，使用的計算機都攜帶著關(guān)鍵的數(shù)據(jù)文件和商業(yè)機密信息，然而這些數(shù)據(jù)在計算機上存在多種潛在的安全隱患，其中最主要的威脅通常源于個人終端的潛在危險操作。為了最大程度地降低這類情況發(fā)生的可能性，小明采取一系列有針對性的措施來確保終端的安全性。任務(wù)清單

任務(wù)清單如表7-1所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；倡導(dǎo)學(xué)生文明上網(wǎng)的安全意識；培養(yǎng)文明健康綠色安全的網(wǎng)絡(luò)素養(yǎng)；【知識目標(biāo)】了解操作系統(tǒng)的發(fā)展；了解操作系統(tǒng)的安全配置方法；【能力目標(biāo)】能夠配置系統(tǒng)更新；能夠安裝系統(tǒng)補??；能夠維護個人電腦信息安全；任務(wù)重難點【任務(wù)重點】操作系統(tǒng)的賬戶安全配置；系統(tǒng)更新以及補丁的安裝；【任務(wù)難點】賬戶安全的配置；關(guān)閉系統(tǒng)默認(rèn)的共享；任務(wù)內(nèi)容1.操作系統(tǒng)的概述2.操作系統(tǒng)安全配置所需材料實訓(xùn)PC安裝Windows10系統(tǒng);資源連接微課、圖例、PPT課件、實訓(xùn)報告單表7-1計算機終端接入安全——任務(wù)清單任務(wù)1計算機終端接入安全任務(wù)實施7.1操作系統(tǒng)概述

操作系統(tǒng)（OS：OperatingSystem）是管理計算機硬件與軟件資源的計算機程序，同時也是計算機系統(tǒng)的內(nèi)核與基石。操作系統(tǒng)需要處理如管理與配置內(nèi)存、決定系統(tǒng)資源供需的優(yōu)先次序、控制輸入與輸出設(shè)備、操作網(wǎng)絡(luò)與管理文件系統(tǒng)等基本事務(wù)。操作系統(tǒng)也提供一個讓用戶與計算機程序交互的操作界面。操作系統(tǒng)的類型非常多樣，不同機器安裝的操作系統(tǒng)可從簡單到復(fù)雜，可從移動電話的嵌入式系統(tǒng)到超級計算機的大型操作系統(tǒng)。許多操作系統(tǒng)制造者對它涵蓋范疇的定義也不盡一致，例如有些操作系統(tǒng)集成了圖形用戶界面，而有些僅使用命令行界面，而將圖形用戶界面視為一種非必要的應(yīng)用程序，典型的操作系統(tǒng)有如下幾種：

1.Windows操作系統(tǒng)2.UNIX操作系統(tǒng)3.Linux操作系統(tǒng)4.MacOS操作系統(tǒng)5.Netware操作系統(tǒng)6.銀河麒麟操作系統(tǒng)

圖4-1任務(wù)1計算機終端接入安全7.2操作系統(tǒng)安全配置新安裝的操作系統(tǒng)都存在不少漏洞或者配置問題，如果對這些漏洞或者配置問題不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者，進而導(dǎo)致操作系統(tǒng)甚至整個計算機出安全問題。1.賬戶安全策略賬戶是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的賬戶越多，黑客們得到合法用戶的權(quán)限的可能性也就越大。

圖4-1（1）使用組合快捷鍵【W(wǎng)in+R】打開運行對話框，輸入“regedit”并按下回車鍵或點擊確定，打開注冊表管理窗口，如圖7-1所示。圖7-1運行對話框任務(wù)1計算機終端接入安全（2）在注冊表編輯器中，導(dǎo)航到以下路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。（3）在右側(cè)窗口中，右鍵點擊空白區(qū)域，選擇“新建”>“DWORD(32位)值”，將新建的項命名為“LimitLocalAccountCreation”。（4）雙擊“LimitLocalAccountCreation”，將基數(shù)改為十進制，數(shù)值數(shù)據(jù)設(shè)置為你想要的本地用戶數(shù)量限制，例如設(shè)置為10，如圖7-2所示。性也就越大。

圖4-1圖7-2

注冊表編輯任務(wù)1計算機終端接入安全（5）使用組合快捷鍵【W(wǎng)in+R】打開運行對話框，輸入“secpol.msc”按下回車鍵或點擊確定，打開本地安全策略窗口，如圖7-3所示。

圖4-1圖7-3密碼策略任務(wù)1計算機終端接入安全（6）雙擊“密碼長度必須符合復(fù)雜要求”，將其設(shè)置為已啟用，依次雙擊選擇密碼長度最小值將其設(shè)置為“8”，密碼最長使用使用期限，用來限制用戶密碼的最長使用時間為“30天”，如圖7-4所示。

圖4-1圖7-4密碼策略設(shè)置效果任務(wù)1計算機終端接入安全2.關(guān)閉系統(tǒng)默認(rèn)共享操作系統(tǒng)的共享為用戶帶來了方便，也帶來了很多麻煩，經(jīng)常會有病毒通過共享進入計算機。Windows2000/XP/2003/7/10版本的操作系統(tǒng)提供了默認(rèn)共享功能。（1）查看默認(rèn)共享。打開“控制面板”→“管理工具”→“計算機管理”→“系統(tǒng)工具”→“共享文件夾”→“共享”，如圖7-5所示。大部分Windows操作系統(tǒng)的C盤、D盤等默認(rèn)是共享的，這就給黑客的入侵帶來了很大的方便，像“震蕩波”病毒的傳播方式之一就是掃描局域網(wǎng)內(nèi)所有帶共享的主機，然后將病毒上傳到這些主機上，及時的關(guān)閉共享可以有效阻止該類病毒的傳播。

圖4-1圖7-5

計算機管理器查看共享任務(wù)1計算機終端接入安全（2）在計算機管理工具頁面選中要刪除的共享，按下鼠標(biāo)右鍵選擇停止共享，如圖7-6所示。

圖4-1圖7-6

使用計算機管理停止共享任務(wù)1計算機終端接入安全3.更新與安全（1）長時間不更新系統(tǒng)補丁的電腦，一般都會存在安全隱患。在電腦“設(shè)置”中找到“更新和安全”，并點擊進入該頁面，這時可以看到目前的Windows是不是最新的版本，以及上次檢查更新的時間。選擇“更新”，完成后“立即重新啟動”，這樣操作系統(tǒng)的很多漏洞便可以及時進行修補，如圖7-7所示。

圖4-1圖7-7更新與安全任務(wù)1計算機終端接入安全（2）選擇“Windows安全中心選項”，在“Windows安全中心”的“保護區(qū)域”當(dāng)中包括七個選項，依次選擇啟用或者打開，也可以及時預(yù)防安全隱患的發(fā)生，如圖7-8所示。

圖4-1圖7-8

系統(tǒng)安全中心任務(wù)2交換機接口安全配置任務(wù)描述小明身為公司的網(wǎng)絡(luò)工程師，最近發(fā)現(xiàn)公司的網(wǎng)絡(luò)速度變慢，經(jīng)過巡查后發(fā)現(xiàn)是有些部門的員工通過自己攜帶的筆記本接入公司網(wǎng)絡(luò)來下載電影，不僅影響了公司正常業(yè)務(wù)的進行，還給公司的網(wǎng)絡(luò)安全帶來了隱患。為了解決該問題，小明決定通過對交換機的接口進行安全配置來保障公司網(wǎng)絡(luò)的正常運行。任務(wù)清單

任務(wù)清單如表7-2所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；樹立學(xué)生的網(wǎng)絡(luò)安全意識；培養(yǎng)學(xué)生分析與解決問題的職業(yè)素養(yǎng)；【知識目標(biāo)】理解交換機接口安全的基本概念；掌握MAC地址學(xué)習(xí)和綁定的方法；掌握交換機端口安全配置的方法；【能力目標(biāo)】能夠?qū)粨Q機端口進行安全配置；任務(wù)重難點【任務(wù)重點】交換機接口的MAC地址綁定；交換機接口的MAC地址學(xué)習(xí)數(shù)量限制；【任務(wù)難點】MAC地址的學(xué)習(xí)數(shù)量限制；任務(wù)內(nèi)容1.交換機接口安全及其防護措施；2.交換機接口安全配置方法；所需材料每組提供能接入網(wǎng)絡(luò)且安裝有eNSP軟件的計算機一臺。資源連接微課、圖例、PPT課件、實訓(xùn)報告單表7-2交換機接口安全配置——任務(wù)清單任務(wù)2交換機接口安全配置任務(wù)實施7.3交換機接口安全

交換機接口安全是指在網(wǎng)絡(luò)交換機上實施一系列措施，以確保只有經(jīng)過授權(quán)的設(shè)備和用戶能夠連接到交換機的特定接口。用戶可通過對交換機接口進行安全配置，提高網(wǎng)絡(luò)的安全性，防止未經(jīng)授權(quán)的設(shè)備或用戶對網(wǎng)絡(luò)進行訪問。網(wǎng)絡(luò)交換機通過多種接口安全措施加強網(wǎng)絡(luò)安全：

1.MAC地址過濾2.端口設(shè)置允許連接最大的設(shè)備數(shù)量3.MAC地址綁定4.遠(yuǎn)程端口關(guān)閉5.虛擬局域網(wǎng)（VLAN）隔離

圖4-1任務(wù)2交換機接口安全配置7.4交換機接口安全配置

非經(jīng)授權(quán)的計算機接入網(wǎng)絡(luò)會導(dǎo)致公司信息管理成本上升，不僅會影響公司正常用戶對網(wǎng)絡(luò)的使用，還可能引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全問題。為了解決這個問題，我們可以在接入交換機上配置接口安全功能。通過使用MAC地址綁定，我們不僅能夠解決非授權(quán)計算機影響正常網(wǎng)絡(luò)使用的問題，還能有效防范用戶利用未綁定MAC地址的接口進行MAC地址泛洪攻擊。為了幫助同學(xué)們學(xué)習(xí)和掌握交換機接口安全的配置方法，我們將使用兩臺型號為S3700的交換機來模擬網(wǎng)絡(luò)，實驗拓?fù)浣Y(jié)構(gòu)如圖7-9所示。

圖4-1圖7-9接口安全實驗拓?fù)鋱D任務(wù)2交換機接口安全配置

1.完成拓?fù)鋱D基本設(shè)置，修改計算機名為PC1、PC2和PC3，修改交換機名為SW1和SW2，并按照圖中所示依次連接各個設(shè)備（PC3暫時不連接），開啟設(shè)備。

2.完成計算機的IP配置，并將其IP地址設(shè)置為拓?fù)鋱D中示例，查看計算機的MAC地址，雙擊PC1，在計算機“命令行”界面中輸入“ipconfig”，查看MAC地址，依次查看PC2的MAC地址，如圖7-10所示。

圖4-1圖7-10

查看設(shè)備MAC地址任務(wù)2交換機接口安全配置

3.在SW1和SW2兩個交換機中完成基本配置如下：SW1：<Huawei>system-view[Huawei]sysnameSW1[SW1]undoinfo-centerenableSW2：<Huawei>system-view[Huawei]sysnameSW2[SW2]undoinfo-centerenable

4.開啟交換機口的接口安全，并綁定對應(yīng)的MAC地址。在SW1的Ethernet0/0/1接口配置StickyMAC。[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]port-securityenable//開啟端口安全功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky//開啟StickyMAC功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky5489-98F8-4D79vlan1//手動配置一條sticky-mac表項，綁定PC1的MAC地址在交換機上使用displaymac-address命令，查看交換機與計算機之間的接口類型是否變?yōu)镾ticky，如圖7-11所示。

圖4-1圖7-11查看交換機端口類型任務(wù)2交換機接口安全配置

5.在SW1的GE0/0/1接口配置接口安全動態(tài)MAC地址。[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]port-securityenable//開啟端口安全功能[SW1-GigabitEthernet0/0/1]port-securitymax-mac-num1

//限制安全MAC地址最大數(shù)量為1個，默認(rèn)為1[SW1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown

//配置其他非安全MAC地址數(shù)據(jù)幀的處理動作為關(guān)閉接口6.使用Ping命令測試PC1和PC2，可以看出PC1和PC2之間可以互相通信，如圖7-12所示。

圖4-1圖7-12

連通性側(cè)測試任務(wù)2交換機接口安全配置將PC3連接到SW2的任意接口后，用PC1對PC3進行連通性測試。此時，PC1和PC3之間無法互相通信，如圖7-13所示。這是因為SW1的GE0/0/1接口被限制只能學(xué)習(xí)一個MAC地址，當(dāng)有多臺計算機通過時，交換機將發(fā)出警告并關(guān)閉該接口。

圖4-1圖7-13連通性測試2

任務(wù)2交換機接口安全配置使用displayinterfacebrief|includeGigabitEthernet0/0/1命令查詢GigabitEthernet0/0/1接口是否已經(jīng)關(guān)閉，如圖7-14所示，此時再次使用PC1與PC2進行連通性測試，發(fā)現(xiàn)端口關(guān)閉的情況下，兩臺原本連通的計算機也無法連通，如圖7-15所示。

圖4-1圖7-14查看端口關(guān)閉情況圖7-15連通性測試3任務(wù)3訪問控制列表配置任務(wù)描述小明作為公司的網(wǎng)絡(luò)管理員，負(fù)責(zé)管理和維護公司內(nèi)部網(wǎng)絡(luò)的安全性。為了強化網(wǎng)絡(luò)安全措施，小明計劃配置訪問控制列表（ACL）以限制對關(guān)鍵網(wǎng)絡(luò)資源的訪問，旨在確保只有經(jīng)過授權(quán)的用戶和設(shè)備能夠訪問特定的網(wǎng)絡(luò)服務(wù)和信息。任務(wù)清單

任務(wù)清單如表7-3所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；樹立學(xué)生的網(wǎng)絡(luò)安全意識；培養(yǎng)學(xué)生分析與解決問題的職業(yè)素養(yǎng)；【知識目標(biāo)】了解訪問控制列表的基本概念；了解ACL組成元素；了解標(biāo)準(zhǔn)ACL分類；【能力目標(biāo)】能夠熟練掌握ACL的配置；任務(wù)重難點【任務(wù)重點】交換機接口的MAC地址綁定；交換機接口的MAC地址學(xué)習(xí)數(shù)量限制；【任務(wù)難點】MAC地址的學(xué)習(xí)數(shù)量限制；任務(wù)內(nèi)容1.訪問控制列表基本概念、組成及分類；2.配置訪問控制列表；所需材料每組提供能接入網(wǎng)絡(luò)且安裝有eNSP軟件的計算機一臺。資源連接微課、圖例、PPT課件、實訓(xùn)報告單表7-3訪問控制列表配置——任務(wù)清單任務(wù)3訪問控制列表配置任務(wù)實施7.5訪問控制列表

訪問控制列表（AccessControlList，簡稱ACL）是一種用于管理文件系統(tǒng)、網(wǎng)絡(luò)設(shè)備或其他資源訪問權(quán)限的列表。ACL包含了一系列規(guī)則，這些規(guī)則定義了誰可以訪問資源以及以何種方式進行訪問。ACL常用于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等系統(tǒng)中，以確保對資源的訪問受到嚴(yán)格控制。ACL通常包括以下元素：1.用戶/組標(biāo)識符：指定了具體的用戶或用戶組，這些用戶或組將受到ACL規(guī)則的影響。2.權(quán)限：指定了允許或拒絕的操作類型，如讀取、寫入、執(zhí)行等。3.資源標(biāo)識符：指定了ACL規(guī)則適用的資源，可以是文件、目錄、網(wǎng)絡(luò)資源等。

圖4-1任務(wù)3訪問控制列表配置7.5訪問控制列表配置

訪問控制列表技術(shù)主要用于網(wǎng)絡(luò)層的訪問控制，而路由器通常是網(wǎng)絡(luò)中的設(shè)備，負(fù)責(zé)處理不同子網(wǎng)之間的數(shù)據(jù)流量，故一般在路由器上配置ACL允許或拒絕特定的數(shù)據(jù)流，從而實現(xiàn)網(wǎng)絡(luò)層的訪問控制。下面僅從網(wǎng)絡(luò)安全的角度對ACL的基本配置進行簡單介紹。同學(xué)們可以由此學(xué)習(xí)和掌握基本訪問控制列表的配置方法，實現(xiàn)只有財務(wù)部門可以訪問技術(shù)部，而銷售部不能訪問技術(shù)部，其網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)如圖7-16所示。

圖4-1圖7-16訪問控制列表實驗拓?fù)淙蝿?wù)3訪問控制列表配置

1.按照圖7-16，完成拓?fù)鋵嶒灲Y(jié)構(gòu)，添加3臺計算機，將標(biāo)簽名分別更改為PC1、PC2、PC3。其中，PC1代表財務(wù)部的主機，PC2為銷售部的主機，PC3代表為技術(shù)的主機，并分別為其手動添加IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，具體配置IP地址詳見表7-4。

圖4-1計算機IP地址網(wǎng)關(guān)PC1/2454PC2/2454PC3/2454表7-4

計算機的IP地址信息2.添加兩臺型號為AR2220的路由器，路由器名稱分別設(shè)置為R1和R2。為R1和R2添加2SA模塊，并添加在Serial1/0/0接口的位置上，如圖7-17所示。圖7-17添加路由器2SA模塊任務(wù)3訪問控制列表配置

3.PC1連接R1的GE0/0/0接口，PC2連接R1的GE0/0/1接口，PC3連接R2的GE0/0/0接口，R1的Serial1/0/0接口連接R2的Serial1/0/0接口，接口IP地址信息如表7-5所示，開啟所有設(shè)備。

表7-5路由器的接口、IP地址/子網(wǎng)掩碼

圖4-1設(shè)備名稱接口IP地址/子網(wǎng)掩碼R1GE0/0/054/24GE0/0/154/24Serial1/0/0/24R2GE0/0/054/24Serial1/0/0/24任務(wù)3訪問控制列表配置4.R1的基本配置如下：<Huawei>system-view[Huawei]sysnameR1[R1]undoinfo-centerenable[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424[R1]interfaceGigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1]ipaddress5424[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipaddress24[R1-Serial1/0/0]quit5.R2的基本配置如下：<Huawei>system-view[Huawei]sysnameR2[R2]undoinfo-centerenable[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress5424[R2]interfaceSerial1/0/0 [R2-Serial1/0/0]ipaddress24[R2-Serial1/0/0]quit

圖4-1任務(wù)3訪問控制列表配置6.配置靜態(tài)路由，實現(xiàn)全網(wǎng)互通：[R1]iproute-static[R2]iproute-static[R2]iproute-static7.分別查看RA和RB的靜態(tài)路由信息，如圖7-18所示。[RA]displayiprouting-tableprotocolstatic[RB]displayiprouting-tableprotocolstatic圖4-1圖7-18路由信息任務(wù)3訪問控制列表配置8.配置基本訪問控制列表。[R2]acl2000[R2-acl-basic-2000]ruledenysource55[R2-acl-basic-2000]quit9.查看基本訪問控制列表，如圖7-19所示。[R2]displayaclall圖4-1圖7-19查看基本訪問控制列表任務(wù)3訪問控制列表配置10.將訪問控制列表應(yīng)用到接口上。[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filteroutboundacl2000[R2-GigabitEthernet0/0/0]quit11.測試PC1與PC3連通性，結(jié)果是互通的，如圖7-20所示，測試PC2和PC3之間的連通性，結(jié)果是不通的，如圖7-21所示。圖4-1圖7-20連通性測試1圖7-21連通性測試2任務(wù)4防火墻設(shè)備的配置任務(wù)描述小明身為企業(yè)網(wǎng)絡(luò)工程師，為隔離不同安全級別的網(wǎng)絡(luò)，保護企業(yè)內(nèi)部網(wǎng)絡(luò)免受來自外網(wǎng)的攻擊和入侵，于是購買了企業(yè)防火墻，通過防火墻用來允許合法流量通過防火墻，禁止非法流量通過防火墻。任務(wù)清單

任務(wù)清單如表7-6所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；樹立學(xué)生的網(wǎng)絡(luò)安全意識；培養(yǎng)學(xué)生分析與解決問題的職業(yè)素養(yǎng)；【知識目標(biāo)】了解防火墻及其工作原理；了解防火墻安全區(qū)域的劃分；了解防火墻安全策略；【能力目標(biāo)】能夠登錄并配置防火墻；能夠配置防火強安全策略；任務(wù)重難點【任務(wù)重點】防火強安全策略配置；【任務(wù)難點】防火墻安全區(qū)域的劃分；防火墻的工作原理；任務(wù)內(nèi)容1.防火墻及其工作原理；2.登錄并配置防火墻；所需材料每組提供能接入網(wǎng)絡(luò)且安裝有eNSP軟件的計算機一臺。資源連接微課、圖例、PPT課件、實訓(xùn)報告單表7-6防火墻設(shè)備的配置——任務(wù)清單任務(wù)4防火墻設(shè)備的配置任務(wù)實施7.6防火墻防火墻是一種網(wǎng)絡(luò)安全設(shè)備，通常位于網(wǎng)絡(luò)邊界，用于隔離不同安全級別的網(wǎng)絡(luò)，保護一個網(wǎng)絡(luò)免受來自另一個網(wǎng)絡(luò)的攻擊和入侵。這種“隔離”不是一刀切，是有控制地隔離，允許合法流量通過防火墻，禁止非法流量通過防火墻。防火墻位于企業(yè)Internet出口保護內(nèi)網(wǎng)安全，在防火墻上可以指定規(guī)則，允許內(nèi)網(wǎng)的PC訪問Internet，禁止Internet外網(wǎng)用戶訪問內(nèi)網(wǎng)主機，如圖7-22所示。

圖4-1圖7-22防火墻示意圖任務(wù)4防火墻設(shè)備的配置

防火墻與路由器、交換機是有區(qū)別的。路由器用來連接不同的網(wǎng)絡(luò)，通過路由協(xié)議保證互聯(lián)互通，確保將報文轉(zhuǎn)發(fā)到目的地；交換機通常用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，用來快速轉(zhuǎn)發(fā)報文；而防火墻主要部署在網(wǎng)絡(luò)邊界，對進出網(wǎng)絡(luò)的訪問行為進行控制，安全防護是其核心特性。路由器與交換機的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。防火墻通過將各接口劃分到不同的安全區(qū)域，從而將接口連接的網(wǎng)絡(luò)劃分為不同的安全級別。防火墻上的接口必須加入安全區(qū)域（部分機型的獨立管理口除外）才能處理流量。安全區(qū)域（SecurityZone）是防火墻的重要概念，一般防火墻默認(rèn)有4個安全區(qū)域：1.Local：本地區(qū)域，防火墻所有IP都屬于這個區(qū)域；2.Trust：受信任的區(qū)域；3.DMZ：是介于管制和不管制區(qū)域之間的區(qū)域，一般放置服務(wù)器；4.Untrust：一般連接Internet和不屬于內(nèi)網(wǎng)的部分。

圖4-1任務(wù)4防火墻設(shè)備的配置7.8防火墻綜合配置實驗

本次實驗拓?fù)淙鐖D7-23所示，實驗配置目標(biāo)：Trust區(qū)域可以訪問全部區(qū)域，UnTrust區(qū)域可以訪問DMZ區(qū)域。

圖4-1圖7-23防火墻綜合配置實驗拓?fù)淙蝿?wù)4防火墻設(shè)備的配置

1.按照拓?fù)鋱D，添加兩臺計算機，將標(biāo)簽名修改為PC1和PC2，其中PC1代表內(nèi)網(wǎng)Trust區(qū)域設(shè)備，PC2用來表示ISP互聯(lián)網(wǎng)運營商；添加一臺Server服務(wù)器，用來模擬DMZ區(qū)域的服務(wù)器設(shè)備群；添加一臺USG6000V防火墻設(shè)備，用來隔離不同的網(wǎng)絡(luò)區(qū)域，并將其標(biāo)簽修改為FW1；

2.將PC1的Eth0/0/0接口連接到FW1的GE1/0/0接口，將PC2的Eth0/0/0接口連接到FW1的GE1/0/1接口，Server1的Eth0/0/0連接到FW1的GE1/0/2接口，使用直通線連接好所有的設(shè)備。設(shè)置每臺設(shè)備接口的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如表7-7所示，開啟所有設(shè)備。表7-7設(shè)備的IP地址、子網(wǎng)掩碼以及網(wǎng)關(guān)圖4-1設(shè)備名稱接口IP地址/掩碼網(wǎng)關(guān)FW1GE1/0/0/24

GE1/0/1/24

GE1/0/2/24

PC1Eth0/0/0/24PC2Eth0/0/0/24Server1Eth0/0/0/24任務(wù)4防火墻設(shè)備的配置

3.配置FW1，第一次進入FW1配置界面，需要輸入賬號和密碼，初始賬號為admin，密碼為Admin@123,進入后提示需要修改密碼，修改密碼必須復(fù)合密碼復(fù)雜性規(guī)則，包含大寫字母、小寫字母、數(shù)字及符號，如圖7-24所示。

圖4-1圖7-24防火墻登錄界面任務(wù)4防火墻設(shè)備的配置

4.FW1的基本配置如下：<USG6000V1>system-view[USG6000V1]sysnameFW1[FW1]undoinfo-centerenable[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24[FW1-GigabitEthernet1/0/0]intGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24[FW1-GigabitEthernet1/0/1]intGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]quit5.為FW的接口配置不同的安全區(qū)域：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/2[FW1-zone-dmz]quit

圖4-1任務(wù)4防火墻設(shè)備的配置6.配置Ttust區(qū)域可以訪問DMZ：[FW1]security-policy//進入防火墻安全策略[FW1-policy-security]rulenametrust_to_dmz//創(chuàng)建trust到dmz的規(guī)則[FW1-policy-security-rule-trust_to_dmz]source-zonetrust//源域為trust[FW1-policy-security-rule-trust_to_dmz]destination-zonedmz//目標(biāo)域為dmz[FW1-policy-security-rule-trust_to_dmz]source-address24//源域IP網(wǎng)絡(luò)地址[FW1-policy-security-rule-trust_to_dmz]destination-address24//目標(biāo)域IP網(wǎng)絡(luò)地址[FW1-policy-security-rule-trust_to_dmz]actionpermit//允許通過配置完成后，進行測試，發(fā)現(xiàn)Trust區(qū)域的PC1可以成功訪問DMZ區(qū)域的服務(wù)器Server1，但是Server1不能訪問PC1，如圖7-25所示。

圖4-1圖7-25PC1與服務(wù)器相互訪問效果任務(wù)4防火墻設(shè)備的配置7.配置Ttust區(qū)域可以訪問UnTrust區(qū)域：[FW1]security-policy//進入防火墻安全策略[FW1-policy-security]rulenametrust_to_untrust//創(chuàng)建trust到untrust的規(guī)則[FW1-policy-security-rule-trust_to_untrust]source-zonetrust//源域為信任域[FW1-policy-security-rule-trust_to_untrust]destination-zoneuntrust//目標(biāo)域為untrust[FW1-policy-security-rule-trust_to_untrust]source-address24[FW1-policy-security-rule-trust_to_untrust]destination-address24[FW1-policy-security-rule-trust_to_untrust]actionpermit//允許通過配置完成后，進行測試，發(fā)現(xiàn)Trust區(qū)域的PC1可以成功訪問UnTrust區(qū)域的PC2，但是PC2不能訪問PC1，如圖7-26所示。

圖4-1圖7-26PC1與PC2相互訪問效果任務(wù)4防火墻設(shè)備的配置8.配置UnTrust可以訪問DMZ區(qū)域：[FW1]security-policy[FW1-policy-security]rulenameuntrust_to_dmz[FW1-policy-security-rule-untrust_to_dmz]source-zoneuntrust[FW1-policy-security-rule-untrust_to_dmz]destination-zonedmz[FW1-policy-security-rule-untrust_to_dmz]source-address24[FW1-policy-security-rule-untrust_to_dmz]destination-address24[FW1-policy-security-rule-untrust_to_dmz]actionpermit配置完成后，進行測試，發(fā)現(xiàn)UnTrust區(qū)域的PC2可以成功訪問DMZ區(qū)域的服務(wù)器v，但是Server1不能訪問PC2，如圖7-27所示。

圖4-1圖7-27PC2與服務(wù)器相互訪問效果謝謝模塊8網(wǎng)絡(luò)設(shè)備維護與故障排除01任務(wù)1設(shè)備的例行維護02任務(wù)2利用三層交換機實現(xiàn)不同VLAN間的通信目錄任務(wù)31設(shè)備的例行維護任務(wù)描述:任務(wù)清單小李應(yīng)聘成為A公司網(wǎng)絡(luò)管理員，他將從事哪些日常維護工作呢？任務(wù)目標(biāo)【素質(zhì)目標(biāo)】在本任務(wù)的學(xué)習(xí)中，融入職業(yè)道德教育，培養(yǎng)學(xué)生愛崗敬業(yè)、認(rèn)真負(fù)責(zé)、忠于職守的優(yōu)秀品質(zhì)；【知識目標(biāo)】了解機房環(huán)境檢查的內(nèi)容；掌握硬件例行檢查的內(nèi)容和方法；掌握系統(tǒng)日常運維的內(nèi)容及方法；掌握備份配置文件的方法；【能力目標(biāo)】能夠達到網(wǎng)絡(luò)管理員日常維護的崗位要求；任務(wù)重難點【任務(wù)重點】掌握硬件例行檢查的內(nèi)容和方法；定期備份網(wǎng)絡(luò)設(shè)備的配置文件；【任務(wù)難點】配置文件備份的方法；任務(wù)內(nèi)容1．例行檢查與維護；2．定期備份網(wǎng)絡(luò)設(shè)備的配置文件；所需材料為每組提供能接入網(wǎng)絡(luò)的計算機一臺、無線終端或手持平板一部、無線路由器一臺；資源連接微課、圖例、PPT課件、實訓(xùn)報告單。8.1例行檢查與維護1．機房環(huán)境的檢查計算機機房環(huán)境包括硬件和軟件環(huán)境，為保證計算機及通信系統(tǒng)穩(wěn)定可靠地運轉(zhuǎn)，計算機機房環(huán)境必須滿足計算機等電子設(shè)備對溫度、濕度、潔凈度、防漏、電源質(zhì)量、防雷、電磁場強度、屏蔽、接地和安全保衛(wèi)等方面的要求。信息中心機房系統(tǒng)的可靠與否直接關(guān)系著通信網(wǎng)絡(luò)能否正常、持久、穩(wěn)定地運行。小李每天例行打掃機房，保持整潔；機房溫度最好保持在20℃～25℃，相對濕度在40%～60%之間?？梢园惭b空調(diào)達到恒溫效果，每天進行空調(diào)工作狀態(tài)檢查與機房溫、濕度檢查，及時把溫度、濕度調(diào)整在適宜區(qū)間內(nèi)。電源、UPS的工作狀態(tài)。通信機房一般需要24小時每天檢查運行，檢查機房供電狀況非常有必要。任務(wù)31設(shè)備的例行維護2．硬件例行檢查（1）定期檢查和清潔設(shè)備。每季度對設(shè)備進行檢查，包括查看連線的穩(wěn)定性和緊固度；定期清洗設(shè)備，除去灰塵和雜物，并確保通風(fēng)良好。（2）定期查看路由器、交換機狀態(tài)指示燈狀態(tài)、發(fā)聲發(fā)熱狀態(tài)。定期監(jiān)測各端口的工作狀態(tài)，保障所有端口暢通運行。指示燈分為電源指示燈、網(wǎng)絡(luò)連接指示燈、無線信號指示燈、有線連接指示燈。源指示燈（PWR）：電源指示燈在路由器正常工作時通常呈現(xiàn)穩(wěn)定的亮狀態(tài)。這意味著路由器的電源正常，設(shè)備正常工作。網(wǎng)絡(luò)連接指示燈（WAN）：當(dāng)路由器與互聯(lián)網(wǎng)成功連接時，WAN指示燈會穩(wěn)定亮起。在數(shù)據(jù)傳輸過程中，WAN指示燈會根據(jù)網(wǎng)絡(luò)流量的大小，以不同速度閃爍。這表明路由器正在進行數(shù)據(jù)傳輸。無線信號指示燈（WLAN/Wi-Fi）：無線信號指示燈在無線網(wǎng)絡(luò)開啟時，呈現(xiàn)持續(xù)亮起的狀態(tài)。當(dāng)設(shè)備通過無線連接傳輸數(shù)據(jù)時，指示燈會根據(jù)網(wǎng)絡(luò)流量的大小，以不同速度閃爍。這表示路由器的無線網(wǎng)絡(luò)功能正常。有線連接指示燈（LAN）：當(dāng)設(shè)備通過有線方式連接路由器時，對應(yīng)的LAN指示燈會亮起。在數(shù)據(jù)傳輸過程中，LAN指示燈會根據(jù)網(wǎng)絡(luò)流量的大小，以不同速度閃爍。這顯示路由器的有線網(wǎng)絡(luò)功能正常。任務(wù)31設(shè)備的例行維護（3）局域網(wǎng)線路維護線路是局域網(wǎng)連接的重要組成部分，線路的通斷直接影響用戶使用本地網(wǎng)絡(luò)，因此線路的維護也非常關(guān)鍵。導(dǎo)致線路故障主要原因有：因水晶頭與交換機連接狀態(tài)

異常導(dǎo)致故障；因水晶頭與信息點端口的連接狀態(tài)

異常導(dǎo)致故障；因模塊端口連接異常導(dǎo)致故障；

因雙絞線老化或損壞導(dǎo)致故障；

因水晶頭接觸不良導(dǎo)致故障。任務(wù)31設(shè)備的例行維護3．系統(tǒng)的日常維護小李定期提取路由器、交換機運行日志，根據(jù)日志分析設(shè)備運行情況。華為路由器日志是記錄路由器操作信息的重要工具。下面是華為路由器日志查看的不同方式。（1）通過網(wǎng)絡(luò)管理系統(tǒng)界面直接查看日志信息。這種方式需要登錄到路由器的Web界面，進入日志查看頁面。在頁面上，用戶可以通過篩選條件查看所需的日志信息。這種方式適用于需要快速查看特定時間段內(nèi)的日志信息的情況。（2）通過執(zhí)行命令displaylogbuffer[sizevalue|modulemodule-name|levelseverity]*，可以查看日志緩沖區(qū)記錄的信息。這種方式可以在控制臺或遠(yuǎn)程終端上查看。用戶可以通過設(shè)置不同的篩選條件來查看不同級別的日志信息。這種方式適用于需要查看詳細(xì)日志信息的情況。（3）通過執(zhí)行命令displaydiag-logfilecfcard2:/log/，可以直接打開路由器日志文件。這種方式需要先通過命令行進入診斷模式，然后使用命令查看日志文件。這種方式適用于需要查看歷史日志信息的情況。4．計算機網(wǎng)絡(luò)病毒監(jiān)測小李為重要的服務(wù)器安裝了360殺毒軟件。360殺毒軟件是廣受歡迎的免費殺毒軟件，采用智能引擎技術(shù)，根據(jù)用戶不同情況，智能選擇最佳引擎組合。360殺毒軟件是360安全中心出品的一款免費的云安全殺毒軟件。360殺毒軟件具有以下優(yōu)點：查殺率高、資源占用少、升級迅速等。任務(wù)31設(shè)備的例行維護任務(wù)31設(shè)備的例行維護當(dāng)今幾乎每一個網(wǎng)絡(luò)都會配置一些專用的外部存儲設(shè)備，而這些設(shè)備確實在不少災(zāi)難性的數(shù)據(jù)失事中發(fā)揮了扭轉(zhuǎn)乾坤的作用。實際上，這些備份裝置的費用只占服務(wù)器硬件的10%，而它卻能為用戶提供100%的數(shù)據(jù)保護，從而避免10倍甚至百倍的經(jīng)濟損失。小李定期備份路由、交換設(shè)備的配置文件。以路由器為例，開啟路由器的FTP服務(wù)，從本地計算機訪問華為網(wǎng)絡(luò)設(shè)備的FTP服務(wù)，下載備份文件。具體步驟為：1．讓計算機和要進行備份的路由器處在同一網(wǎng)段，注意測試連通性。2．在路由器上開啟FTP服務(wù)，并配置aaa認(rèn)證的用戶和密碼。8.2定期備份網(wǎng)絡(luò)設(shè)備的配置文件3．在本地計算機登錄FTP服務(wù)器并下載配置文件。binary命令將數(shù)據(jù)的傳輸模式設(shè)置為二進制模式（還有一種模式為ASCII）。lcdd:\命令設(shè)置從FTP服務(wù)器下載的文件保存的位置，這里的保存位置設(shè)置為d盤根目錄（可自行設(shè)置）。之后下載的備份文件就保存在本地計算機的d盤根目錄了。任務(wù)32網(wǎng)絡(luò)故障排除任務(wù)描述:任務(wù)清單A公司網(wǎng)絡(luò)管理員小李接到研發(fā)部電話，該部門計算機無法上網(wǎng)。于是小李緊急奔赴現(xiàn)場進行故障排檢。任務(wù)目標(biāo)【素質(zhì)目標(biāo)】在本任務(wù)的學(xué)習(xí)中，融入職業(yè)道德教育，培養(yǎng)學(xué)生愛崗敬業(yè)、認(rèn)真負(fù)責(zé)、忠于職守的優(yōu)秀品質(zhì)；【知識目標(biāo)】掌握使用ipconfig命令查看網(wǎng)絡(luò)配置的方法；掌握使用ping命令測試網(wǎng)絡(luò)連通性的方法；了解ARP原理及ARP病毒的危害；掌握使用tracert、routeprint、Netstat等命令查看網(wǎng)絡(luò)路由信息的方法；【能力目標(biāo)】能夠及時排檢網(wǎng)絡(luò)故障，鎖定故障點；任務(wù)重難點【任務(wù)重點】使用ping命令排除故障點的方法；【任務(wù)難點】對ARP原理的理解；對路由表結(jié)構(gòu)的掌握；任務(wù)內(nèi)容1．使用ipconfig命令查看網(wǎng)絡(luò)配置；2．使用ping命令測試網(wǎng)絡(luò)連通性；3．使用arp命令查看網(wǎng)絡(luò)地址緩存；4．使用tracert命令查看網(wǎng)絡(luò)路由信息；5．使用routeprint命令查看本機網(wǎng)絡(luò)路由表；6．使用netstat命令統(tǒng)計網(wǎng)絡(luò)信息；所需材料為每組提供能接入網(wǎng)絡(luò)的計算機一臺、無線終端或手持平板一部、無線路由器一臺；資源連接微課、圖例、PPT課件、實訓(xùn)報告單。8.3使用ipconfig命令查看網(wǎng)絡(luò)配置Ipconfig命令的使用方法Ipconfig命令的使用方法分為不帶參數(shù)與帶參數(shù)使用兩種。不帶參數(shù)的Ipconfig命令顯示DNS后綴、IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等基本信息。相對而言，帶參數(shù)的Ipconfig命令顯示的信息更為豐富、具體。（1）不帶參數(shù)的Ipconfig命令打開計算機的Windows操作系統(tǒng)，從“開始”菜單中打開RUN（運行）窗口，或通過組合鍵“WIN+R”打開RUN（運行）窗口。輸入CMD命令，打開命令窗口，輸入ipconfig并按回車鍵，運行結(jié)果如圖所示。任務(wù)32網(wǎng)絡(luò)故障排除（2）帶參數(shù)all參數(shù)：如圖8-2所示。帶all參數(shù)還會顯示物理地址、DHCP信息等更為詳實的配置信息。其命令格式為ipconfig/all，運行結(jié)果如圖所示。任務(wù)32網(wǎng)絡(luò)故障排除3．ipconfig命令在維修中的作用在維修中ipconfig命令主要用來檢查TCP/IP的配置是否正確，以及釋放或重新獲得DHCP下發(fā)的動態(tài)IP地址。release和renew參數(shù)：其用法是ipconfig/release、ipconfig/renew。如果輸入ipconfig/release，那么所有端口租用的IP地址便重新交付給DHCP服務(wù)器；如果輸入ipconfig/renew，那么本地計算機便與DHCP服務(wù)器取得聯(lián)系，租用一個IP地址。在大多數(shù)情況下，網(wǎng)卡被重新賦予和以前相同的IP地址。任務(wù)32網(wǎng)絡(luò)故障排除8.4使用ping命令測試網(wǎng)絡(luò)連通性1．ping命令及其排除故障的原理ping命令是在判斷網(wǎng)絡(luò)故障時經(jīng)常使用的命令。掌握ping命令的各類使用技巧能夠幫助我們排除不少網(wǎng)絡(luò)故障。ping命令是Windows系統(tǒng)自帶的可執(zhí)行命令，通過它不僅可以檢查網(wǎng)絡(luò)是否連通，還可以分析判定網(wǎng)絡(luò)出故障的節(jié)點。其原理是網(wǎng)絡(luò)上的機器都有唯一的IP地址，給目標(biāo)IP地址發(fā)送一個數(shù)據(jù)包，對方就要返回一個一樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包我們能夠確定目標(biāo)主機的存在，能夠初步判斷與目標(biāo)機器是否是連通的、時延多少。如果返回的數(shù)據(jù)包正常則證明與目標(biāo)主機是連通的，反之不通，則二者之間必然存在故障。2．ping命令的使用方法打開計算機Windows操作系統(tǒng)，從“開始”菜單打RUN（運行）窗口，或通過組合鍵“WIN+R”打開RUN（運行）窗口，輸入CMD命令，打開命令窗口。然后輸入ping命令。ping命令的格式是：pingIP地址。例如，ping。需要注意的是，ping與IP地址之間需要有空格，否則報錯。不一定非得pingIP地址，也能夠直接ping主機域名，這樣就能夠獲得主機的IP地址。任務(wù)32網(wǎng)絡(luò)故障排除3．ping命令參數(shù)的使用參

數(shù)功

能-tping指定的主機，直到停止。若要查看統(tǒng)計信息并繼續(xù)操作，鍵入Ctrl+Break；若要停止，鍵入Ctrl+C-n

count發(fā)送指定的數(shù)據(jù)包數(shù)，默認(rèn)發(fā)送4個-l

size

指定發(fā)送的數(shù)據(jù)包的大小，默認(rèn)發(fā)送的數(shù)據(jù)包大小為32B-f

在數(shù)據(jù)包中設(shè)置“不分段”標(biāo)記（僅適用于IPv4），這樣數(shù)據(jù)包就不會被路由上的網(wǎng)關(guān)分段-i

TTL將“生存時間”字段設(shè)置為TTL指定的值-r

count記錄計數(shù)躍點的路由（僅適用于IPv4），最多記錄9個-w

timeout指定超時間隔，單位為ms-4強制使用IPv4-6強制使用IPv4任務(wù)32網(wǎng)絡(luò)故障排除4．ping命令的返回信息（1）當(dāng)返回信息為“ReplyfromX.X.X.X:bytes=XXtime<XmsTTL=XXX”時，表示與IP地址為X.X.X.X的目標(biāo)主機連通正常。（2）當(dāng)返回信息為“requesttimedout”時，意味著請求超時，說明網(wǎng)絡(luò)不通或網(wǎng)絡(luò)狀態(tài)不佳。存在4種情況。第一種情況，對方機器故障、已關(guān)機，或者網(wǎng)絡(luò)上根本沒有這個地址；第二種情況，對方與自己不在同一網(wǎng)段內(nèi)，或通過路由也無法找到對方；第三種情況，對方確實存在，但設(shè)置了ICMP數(shù)據(jù)包過濾（比如防火墻設(shè)置）；第四種情況，對方錯誤設(shè)置了IP地址。（3）當(dāng)返回信息是“destinationhostUnreachable”時，說明對方主機不存在或者沒有跟對方建立連接。第一種情況可能是對方與自己不在同一網(wǎng)段內(nèi)，而自己又未設(shè)置默認(rèn)的路由，第二種情況可能是網(wǎng)線出了故障。這里要說明一下“destinationhostunreachable”和“timedout”的區(qū)別。如果所經(jīng)過的路由器的路由表中具有到達目標(biāo)的路由，而目標(biāo)因為其他原因不可到達，這時候會出現(xiàn)“timeout”提示，而如果路由表中連到達目標(biāo)的路由都沒有，那就會出現(xiàn)“destinationhostunreachable”提示。（4）當(dāng)返回信息為“badIPaddress”時，表示可能沒有連接到DNS服務(wù)器，所以無法解析這個IP地址，也可能是IP地址不存在。任務(wù)32網(wǎng)絡(luò)故障排除5．ping命令排除故障的方法（1）ping。是本地循環(huán)地址，如果無法ping通，則說明本機TCP/IP協(xié)議不能正常工作了。（2）ping本機IP地址。通則表示網(wǎng)卡正常，否則網(wǎng)卡出現(xiàn)故障。（3）ping同網(wǎng)段IP地址。不通表明網(wǎng)線或交換機出現(xiàn)故障，通則進行下一步排檢。（4）ping網(wǎng)關(guān)IP地址。不通則表明網(wǎng)關(guān)出現(xiàn)故障，通則進行下一步排檢。（5）ping網(wǎng)絡(luò)中的主機域名。例如ping。不通說明DNS服務(wù)器出現(xiàn)問題。（6）ping遠(yuǎn)程IP地址。不通則表明網(wǎng)絡(luò)連接出現(xiàn)問題。任務(wù)32網(wǎng)絡(luò)故障排除8.5使用arp命令查看網(wǎng)絡(luò)地址緩存ARP是TCP/IP協(xié)議族中的一個重要協(xié)議，用于確定對應(yīng)IP地址的網(wǎng)卡物理地址。在《網(wǎng)絡(luò)基礎(chǔ)》先導(dǎo)課程中我們學(xué)習(xí)過OSI參考模型，了解IP數(shù)據(jù)包在局域網(wǎng)內(nèi)部傳輸時并不是靠IP地址而是靠MAC地址來識別目標(biāo)的，因此IP地址與MAC地址之間就必須存在一種對應(yīng)關(guān)系，而ARP協(xié)議就是用來確定這種對應(yīng)關(guān)系的。ARP協(xié)議工作時，首先請求主機發(fā)送一個含有其希望到達的IP地址的以太網(wǎng)廣播