項(xiàng)目8以太網(wǎng)網(wǎng)絡(luò)層協(xié)議應(yīng)用2025/7/2313:28目錄8.1項(xiàng)目描述 8.2知識(shí)準(zhǔn)備 8.3操作任務(wù)思考題2025/7/2313:288.1項(xiàng)目描述

1.項(xiàng)目目標(biāo)（1）了解H3C交換機(jī)的工作原理（2）了解華為防火墻的工作原理（3）學(xué)習(xí)H3C交換機(jī)設(shè)備的訪問技術(shù)（4）學(xué)習(xí)華為防火墻的WEB登錄及配置方法（5）掌握H3C三層交換機(jī)的VLAN配置方法，實(shí)現(xiàn)不同VLAN數(shù)據(jù)交換8.1項(xiàng)目描述2.實(shí)踐環(huán)境

表8.1實(shí)訓(xùn)平臺(tái)設(shè)備列表軟件環(huán)境：Putty配置軟件實(shí)驗(yàn)設(shè)備型號(hào)數(shù)量備注S5008PV2-EI1華為三層交換機(jī)USG6101-AC1華為防火墻8.1項(xiàng)目描述3.項(xiàng)目架構(gòu)及任務(wù)（1）項(xiàng)目架構(gòu)本項(xiàng)目通過無線按鈕實(shí)現(xiàn)對(duì)變頻器的控制，項(xiàng)目系統(tǒng)架構(gòu)如圖7.1所示。無線按鈕通過Zigbee協(xié)議與網(wǎng)關(guān)通信，網(wǎng)關(guān)再通過MOodbus/TCP與PLC通信，PLC通過變頻器控制電機(jī)運(yùn)轉(zhuǎn)，最終實(shí)現(xiàn)無線按鈕控制電機(jī)的啟停。8.1項(xiàng)目描述3.項(xiàng)目架構(gòu)及任務(wù)（1）項(xiàng)目架構(gòu)IP地址及網(wǎng)站設(shè)置如下：PLCEthernet接口IP地址設(shè)定為1，子網(wǎng)掩碼；變頻器Ethernet接口IP地址設(shè)定為2，子網(wǎng)掩碼；觸摸屏IP地址設(shè)定為0，子網(wǎng)掩碼；ZBRN1網(wǎng)關(guān)IP地址為3，子網(wǎng)掩碼。8.1項(xiàng)目描述3.項(xiàng)目架構(gòu)及任務(wù)（2）項(xiàng)目任務(wù)系統(tǒng)實(shí)訓(xùn)分3個(gè)任務(wù)，任務(wù)1為交換機(jī)登錄，主要熟練掌握H3C交換機(jī)登錄方法，包括通過Console口登錄、通過Telnet登錄、通過Web網(wǎng)管登錄；任務(wù)2為實(shí)現(xiàn)不同VLAN間通信，使用三層交換技術(shù)實(shí)現(xiàn)編程設(shè)備及SCADA監(jiān)控設(shè)備與PLC通信，確保編程計(jì)算機(jī)PC2可對(duì)PLC及觸摸屏編程，同時(shí)能實(shí)現(xiàn)SCADA服務(wù)器功能；任務(wù)3為實(shí)現(xiàn)實(shí)現(xiàn)設(shè)備可通過防火墻訪問Internet，網(wǎng)絡(luò)邊界處部署了FW作為安全網(wǎng)關(guān)，要求網(wǎng)絡(luò)中只有PC4可訪問Internet，其他設(shè)備不可訪問外網(wǎng)。2025/7/2313:288.2知識(shí)準(zhǔn)備8.2.1二層交換原理8.2.2VLAN技術(shù)8.2.3三層網(wǎng)絡(luò)交換機(jī)8.2.4防火墻技術(shù)2025/7/2313:288.2.1二層交換原理1.交換機(jī)基本功能以太網(wǎng)交換機(jī)工作在數(shù)據(jù)鏈路層，下面我們說的交換機(jī)指的都是以太網(wǎng)交換機(jī)。二層交換機(jī)的二層數(shù)據(jù)交換一般都是使用ASIC（ApplicationSpecificIntegratedCircuit，專用集成電路）的硬件芯片中的CAM表來實(shí)現(xiàn)的，因?yàn)槭怯布D(zhuǎn)發(fā)，所以轉(zhuǎn)發(fā)性能非常高。它的基本功能有三個(gè)：（1）端口帶寬獨(dú)享（2）MAC地址學(xué)習(xí)（3）數(shù)據(jù)幀轉(zhuǎn)發(fā)2025/7/2313:288.2.1二層交換原理2.兩層交換機(jī)工作原理（1）當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)幀，它先讀取包頭中的源MAC地址，然后將該MAC地址與該流量的進(jìn)入接口進(jìn)行綁定、記錄，生成MAC地址表，再轉(zhuǎn)換為CAM表。（2）再去讀取數(shù)據(jù)幀頭中的目的MAC地址，并在地址表中查找相應(yīng)的端口。（3）在CAM表中尋找對(duì)應(yīng)的記錄，若存在記錄，按記錄接口單播轉(zhuǎn)發(fā)，數(shù)據(jù)幀直接復(fù)制到這端口上。（4）如表中找不到相應(yīng)的端口則把數(shù)據(jù)幀廣播到除流量的入口外的所有端口上，當(dāng)目的機(jī)器對(duì)源機(jī)器回應(yīng)時(shí)，交換機(jī)又可以學(xué)習(xí)目的MAC地址與哪個(gè)端口對(duì)應(yīng)，在下次傳送數(shù)據(jù)時(shí)就不再需要對(duì)所有端口進(jìn)行廣播了。2025/7/2313:288.2.2VLAN技術(shù)1.VLAN概念VLAN，VirtualLocalAreaNetwork，虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)，VLAN內(nèi)的主機(jī)間可以直接通信，而VLAN間不能直接互通，從而將廣播報(bào)文限制在一個(gè)VLAN內(nèi)。VLAN的主要作用是隔離二層廣播，如圖8.1所示。二層廣播，就是目的MAC地址為FF-FF-FF-FF-FF-FF的幀，意思是接收者為所有人，廣播很常見，比如ARP請(qǐng)求、DHCP請(qǐng)求、PPPoE等都使用了廣播，而且病毒攻擊也喜歡使用廣播，除了VLAN，路由器也可以用來隔離廣播。2025/7/2313:288.2.2VLAN技術(shù)2.VLAN的特點(diǎn)（1）區(qū)段化使用VLAN可將一個(gè)廣播域分隔成多個(gè)廣播域，便于管理。（2）靈活性VLAN配置可以通過軟件來實(shí)現(xiàn)，同一VLAN的成員可一個(gè)交換機(jī)，也可跨交換機(jī)實(shí)現(xiàn)VLAN劃分，如圖8.2所示。（3）安全性劃分VLAN后，VLAN之間的通信被隔離，極大限制了病毒爆發(fā)的影響范圍。2025/7/2313:288.2.2VLAN技術(shù)3.VLAN劃分方式：按端口劃分、按MAC地址劃分、按網(wǎng)絡(luò)協(xié)議劃分等按端口劃分：將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，如圖8.3所示。按網(wǎng)絡(luò)端口來劃分VLAN網(wǎng)絡(luò)成員的配置過程簡(jiǎn)單。2025/7/2313:288.2.2VLAN技術(shù)4.VLAN標(biāo)準(zhǔn)當(dāng)前普遍采用的VLAN標(biāo)準(zhǔn)是IEEE802.1Q，以太網(wǎng)幀中加入VLAN標(biāo)簽的格式，如圖8.4所示。TPID：802.1Q標(biāo)簽的指示域，標(biāo)準(zhǔn)值是0x8100。PRI：用戶優(yōu)先級(jí)。用于指示以太網(wǎng)幀的轉(zhuǎn)發(fā)優(yōu)先級(jí)，取值范圍0~7。CFI：規(guī)范格式指示器，總是置為“0”。VID：VLANID，12bit，可使用的VLAN標(biāo)簽值范圍是1~4094。2025/7/2313:288.2.2VLAN技術(shù)5.交換機(jī)接口VLAN模式普通的以太網(wǎng)幀沒有VLAN標(biāo)簽，為untagged幀；如果加了VLAN標(biāo)簽，則稱為tagged幀。交換機(jī)端口僅發(fā)送untagged幀時(shí)，此端口模式為access，端口連接的鏈路稱為access鏈路；交換機(jī)端口發(fā)送tagged幀時(shí)，此端口模式為trunk，端口連接的鏈路稱為trunk鏈路；交換機(jī)端口即可發(fā)送untagged幀，也可發(fā)送tagged幀時(shí)，此端口為hybird端口，端口連接的鏈路為hybird鏈路。2025/7/2313:288.2.3三層網(wǎng)絡(luò)交換機(jī)三層交換機(jī)就是具有部分路由器功能的交換機(jī)，工作在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型的第三層:網(wǎng)絡(luò)層。三層交換技術(shù)就是二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。三層交換機(jī)的三層轉(zhuǎn)發(fā)也是依靠ASIC芯片完成的（路由器的路由功能主要依靠CPU軟件進(jìn)行的），但其中除了二層交換用的CAM表外，還保存有專門用于三層轉(zhuǎn)發(fā)的三層硬件轉(zhuǎn)發(fā)表。普通的二層交換機(jī)配置VLAN可實(shí)現(xiàn)廣播域的隔離，增加了網(wǎng)絡(luò)的安全性。但當(dāng)需要實(shí)現(xiàn)不同VLAN之間通信時(shí)，就需要VLAN間通信。三層交換機(jī)一般通過VLAN劃分二層網(wǎng)絡(luò)并實(shí)現(xiàn)二層交換，同時(shí)能實(shí)現(xiàn)不同VLAN間的三層互訪。2025/7/2313:288.2.4防火墻技術(shù)

1．防火墻概念防火墻是用來連接兩個(gè)網(wǎng)絡(luò)，設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，并控制兩個(gè)網(wǎng)絡(luò)之間相互訪問的系統(tǒng)，它包括用于網(wǎng)絡(luò)連接的軟件和硬件以及控制訪問的方案，即一類防范措施的總稱。防火墻=硬件+軟件+控制策略寬松控制策略：除非明確禁止，否則允許。限制控制策略：除非明確允許，否則禁止。2025/7/2313:288.2.4防火墻技術(shù)2．防火墻的接入方式防火墻接入方式主要有透明模式和路由模式。（1）透明模式防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)不發(fā)生變化，如圖8.10所示。2025/7/2313:288.2.4防火墻技術(shù)2．防火墻的接入方式防火墻接入方式主要有透明模式和路由模式。（2）路由模式路由器提供簡(jiǎn)單的路由功能，如圖8.11所示。2025/7/2313:288.2.4防火墻技術(shù)2．防火墻的接入方式防火墻接入方式主要有透明模式和路由模式。

綜合接入模式，將透明接入與路由接入相結(jié)合，如圖8.12所示。2025/7/2313:288.2.4防火墻技術(shù)

5.網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT（NetworkAddressTranslation）主要用于實(shí)現(xiàn)位于內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的功能。當(dāng)局域網(wǎng)內(nèi)的主機(jī)需要訪問外部網(wǎng)絡(luò)時(shí)，通過NAT技術(shù)可以將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，并且多個(gè)私網(wǎng)用戶可以共用一個(gè)公網(wǎng)地址，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址。NAT一般部署在連接內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)關(guān)設(shè)備上，NAT的實(shí)現(xiàn)方式有多種，適用于不同的場(chǎng)景。2025/7/2313:288.2.4防火墻技術(shù)

5.網(wǎng)絡(luò)地址轉(zhuǎn)換（1）靜態(tài)NAT靜態(tài)NAT實(shí)現(xiàn)了私有地址和公有地址的一對(duì)一映射。2025/7/2313:288.2.4防火墻技術(shù)

5.網(wǎng)絡(luò)地址轉(zhuǎn)換（2）動(dòng)態(tài)NAT動(dòng)態(tài)NAT通過使用地址池來實(shí)現(xiàn)，如8.14所示。動(dòng)態(tài)NAT基于地址池來實(shí)現(xiàn)私有地址和公有地址的轉(zhuǎn)換。2025/7/2313:288.2.4防火墻技術(shù)

5.網(wǎng)絡(luò)地址轉(zhuǎn)換（3）NAPT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（NetworkAddressPortTranslation）允許多個(gè)內(nèi)部地址映射到同一個(gè)公有地址的不同端口。2025/7/2313:288.2.4防火墻技術(shù)

5.網(wǎng)絡(luò)地址轉(zhuǎn)換（4）EasyIPEasyIP適用于小規(guī)模局域網(wǎng)中的主機(jī)訪問Internet的場(chǎng)景。許將多個(gè)內(nèi)部地址映射到網(wǎng)關(guān)出接口地址上的不同端口。2025/7/2313:288.2.4防火墻技術(shù)

5.網(wǎng)絡(luò)地址轉(zhuǎn)換（5）NAT服務(wù)器通過配置NAT服務(wù)器,可以使外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器。2025/7/2313:288.3任務(wù)1交換機(jī)登錄任務(wù)要求：熟練掌握H3C交換機(jī)登錄方法，包括通過Console口登錄、通過Telnet登錄、通過Web網(wǎng)管登錄2025/7/2313:288.3任務(wù)1交換機(jī)登錄8.3.1通過Console口登錄交換機(jī)8.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備8.3.3通過HTIP訪問H3C設(shè)備2025/7/2313:288.3.1通過Console口登錄交換機(jī)1.組網(wǎng)需求如圖8.23所示，PC機(jī)的串口通過配置電纜與設(shè)備的Console口連接。要求用戶能通過設(shè)備的Console口登錄到交換機(jī)，并且下次通過Console口登錄時(shí)需要本地認(rèn)證，以提高設(shè)備的安全性。2025/7/2313:288.3.1通過Console口登錄交換機(jī)2.配置思路缺省情況下，用戶通過Console口登錄，認(rèn)證方式為none（即不需要進(jìn)行認(rèn)證）。因此，只要用戶終端的通信參數(shù)配置和交換機(jī)Console口的缺省配置保持一致，就能通過Console口登錄到以太網(wǎng)交換機(jī)上。要對(duì)下次Console口登錄的用戶進(jìn)行本地認(rèn)證，需配置Console口登錄的認(rèn)證方式為scheme，并且需要?jiǎng)?chuàng)建本地用戶和設(shè)置用戶密碼。缺省情況下，本地用戶無服務(wù)類型，能夠訪問的命令級(jí)別為0。因此，需要設(shè)置本地用戶的服務(wù)類型為terminal，能夠訪問的命令級(jí)別為3，才能使用戶成功登錄并在登錄后對(duì)設(shè)備進(jìn)行管理和配置。2025/7/2313:288.3.1通過Console口登錄交換機(jī)3.配置步驟（1）運(yùn)行和設(shè)置終端仿真程序打開PC，在PC上運(yùn)行終端仿真軟件PUTTY2025/7/2313:288.3.1通過Console口登錄交換機(jī)3.配置步驟（2）交換機(jī)連接交換機(jī)啟動(dòng)后會(huì)看到如圖8.26所示信息，表明通過交換機(jī)登錄成功。2025/7/2313:288.3.1通過Console口登錄交換機(jī)3.配置步驟（3）設(shè)置Console口登錄密碼<H3C>system-view[H3C]user-interfaceaux0[H3C-ui-aux0]authentication-modescheme[H3C-ui-aux0]quit[H3C]local-userh3cconsole[H3C-luser-h3cconsole]passwordsimple123456[H3C-luser-h3cconsole]service-typeterminal[H3Ce-luser-h3cconsole]authorization-attributelevel3[H3C-luser-h3cconsole]quit2025/7/2313:288.3.1通過Console口登錄交換機(jī)3.配置步驟（4）驗(yàn)證配置配置完成后，當(dāng)用戶再次通過Console口登錄設(shè)備時(shí)，鍵入回車后，設(shè)備將要求用戶輸入登錄用戶名和密碼，正確輸入用戶名和密碼并回車，登錄界面中將出現(xiàn)命令行提示符（如<H3C>）。2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備1.組網(wǎng)需求及數(shù)據(jù)配置如圖8.27所示，HostA、HostB、HostC到Device均路由可達(dá)?，F(xiàn)要求僅允許來自源IP為6的Telnet用戶無需認(rèn)證就能登錄設(shè)備，并且在登錄后對(duì)設(shè)備進(jìn)行管理和配置，其他IP不能通過Telnet登錄。2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備2.配置思路缺省情況下，設(shè)備的Telnet服務(wù)處于關(guān)閉狀態(tài)。因此需要先通過Console口登錄到設(shè)備開啟設(shè)備的Telnet服務(wù)功能。缺省情況下，通過VTY用戶界面登錄系統(tǒng)所能訪問的命令級(jí)別是0。為了使得用戶能夠?qū)υO(shè)備進(jìn)行管理和配置，需要將VTY用戶界面的命令級(jí)別為3。通過定義ACL規(guī)則，只允許源IP為6的Telnet用戶可以登錄設(shè)備。2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備3.配置步驟通過Console端口配置H3C路由器上的接口，開啟Telnet服務(wù)。同時(shí)建立用戶名為h3c,密碼為123456的用于Telnet訪問的用戶賬號(hào)，配置H3C交換機(jī)作為Telnet服務(wù)器，交換機(jī)默認(rèn)VLAN1虛接口地址為33/24。2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備3.配置步驟#進(jìn)入系統(tǒng)視圖<H3C>system-view[h3c-sw1]sysnameh3c-sw1[h3c-sw1]telnetserverenable[h3c-sw1]local-userh3c

[h3c-sw1-luser-h3c]passwordsimple123456

[h3c-sw1-luser-h3c]service-typetelnet2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備3.配置步驟

[h3c-sw1-luser-h3c]authorization-attributelevel3

[h3c-sw1-luser-h3c]user-interfacevty04

[h3c-sw1-ui-vty0-4]authentication-modescheme

[h3c-sw1-ui-vty0-4]protocolinboundtelnet

[h3c-sw1-ui-vty0-4]userprivilegelevel3

[h3c-sw1-ui-vty0-4]terminaltypevt100

[h3c-sw1-ui-vty0-4]idle-timeout20

[h3c-sw1-ui-vty0-4]history-commandmax-size15[h3c-sw1-ui-vty0-4]quit2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備3.配置步驟[h3c-sw1]aclnumber2000[h3c-sw1-acl-basic-2000][h3c-sw1-acl-basic-2000]rule1permitsource60[h3c-sw1-acl-basic-2000]rule2denysourceany[h3c-sw1-acl-basic-2000]quit[h3c-sw1]user-interfacevty015[h3c-sw1-ui-vty0-15]acl2000inbound[h3c-sw1-ui-vty0-4]quit[h3c-sw1]save2025/7/2313:288.3.2通過Telnet遠(yuǎn)程訪問H3C設(shè)備4.驗(yàn)證配置通過PC上的Telnet客戶端訪問H3C交換機(jī)，具體步驟如下：（1）正確設(shè)置HostA的IP地址信息，地址為6/24，子網(wǎng)掩碼為。（2）打開PC的PUTTY軟件，如圖8.28所示，協(xié)議選擇Telnet，主機(jī)名為33，端口為23，點(diǎn)擊open按鈕登錄交換機(jī)，進(jìn)入命令行視圖，正確輸入用戶名h3c和密碼123456之后，可以在命令行下對(duì)H3C交換機(jī)發(fā)出各種指令。2025/7/2313:288.3.3通過HTIP訪問H3C設(shè)備

方便對(duì)H3C設(shè)備進(jìn)行配置和維護(hù)，H3C設(shè)備提供了Web網(wǎng)管功能。H3C設(shè)備提供一個(gè)內(nèi)置的Web服務(wù)器，可以通過瀏覽器登錄到H3C設(shè)備上，使用Web界面直觀地配置和維護(hù)H3C設(shè)備。H3C設(shè)備支持兩種內(nèi)置的Web登錄方式，即HTTP登錄和HTTPS登錄。2025/7/2313:288.3.3通過HTIP訪問H3C設(shè)備1.組網(wǎng)需求如圖8.29所示，PC2、PC3到h3c-sw1均路由可達(dá)。某管理員想使用Web網(wǎng)管登錄交換機(jī)對(duì)交換機(jī)進(jìn)行遠(yuǎn)程管理。出于安全考慮，需要對(duì)通過Web網(wǎng)管登錄的用戶進(jìn)行控制，僅允許來自源IP為/24網(wǎng)段的Web用戶登錄交換機(jī)。2025/7/2313:288.3.3通過HTIP訪問H3C設(shè)備2.配置思路缺省情況下，用戶不能通過Web登錄到設(shè)備上，需要通過Console口登錄到設(shè)備上，開啟設(shè)備的Web登錄功能（開啟HTTP或HTTPS協(xié)議）。本例以HTTP協(xié)議為例。要使用戶能通過Web登錄設(shè)備需創(chuàng)建本地用戶和本地認(rèn)證密碼，并且配置用戶的服務(wù)類型和Web登錄的用戶級(jí)別。2025/7/2313:288.3.3通過HTIP訪問H3C設(shè)備3.交換機(jī)配置（通過cosole口登錄交換機(jī)，進(jìn)行WEB服務(wù)器配置）<h3c-sw1>system-view[h3c-sw1]iphttpenable[h3c-sw1]local-useradmin[h3c-sw1-luser-admin]passwordsimpleadmin[h3c-sw1-luser-admin]service-typeweb[h3c-sw1-luser-admin]authorization-attributelevel3[h3c-sw1-luser-admin]quit[h3c-sw1]aclnumber2030[h3c-sw1-acl-basic-2030]rule1permitsource55[h3c-sw1-acl-basic-2030]quit[h3c-sw1]iphttpacl20302025/7/2313:288.3.3通過HTIP訪問H3C設(shè)備4.配置驗(yàn)證通過瀏覽器登錄交換機(jī)，在Web網(wǎng)管終端(PC)的瀏覽器地址欄內(nèi)輸入2（Web網(wǎng)管終端和以太網(wǎng)交換機(jī)之間要路由可達(dá)），瀏覽器會(huì)顯示W(wǎng)eb網(wǎng)管的登錄頁面，如圖8.30所示，輸入用戶名admin和密碼admin及提示的驗(yàn)證碼，并選擇登錄使用的語言，點(diǎn)擊<登錄>按鈕后即可登錄，顯示W(wǎng)eb網(wǎng)管初始頁面，如圖8.31所示。2025/7/2313:288.4任務(wù)2實(shí)現(xiàn)不同VLAN間通信任務(wù)要求：使用三層交換技術(shù)實(shí)現(xiàn)編程設(shè)備及SCADA監(jiān)控設(shè)備與PLC通信，確保編程計(jì)算機(jī)PC2可對(duì)PLC及觸摸屏編程，同時(shí)能實(shí)現(xiàn)SCADA服務(wù)器功能。2025/7/2313:288.4任務(wù)2實(shí)現(xiàn)不同VLAN間通信8.4.1系統(tǒng)結(jié)構(gòu)8.4.2交換機(jī)配置8.4.3測(cè)試驗(yàn)證2025/7/2313:288.4.1系統(tǒng)結(jié)構(gòu)系統(tǒng)拓?fù)淙鐖D8.32所示，PC2為編程計(jì)算機(jī)，與PLC屬于同一VLAN10；SCADA服務(wù)器PC3屬于VLAN30，H3C-SW2為不可配置二層交換機(jī)，H3C-SW1為可配置三層交換機(jī)，通過配置口對(duì)H3C-SW1進(jìn)行配置，使PC3可與PLC通信，實(shí)現(xiàn)PC3可對(duì)基于PLC控制系統(tǒng)進(jìn)行監(jiān)控；PC4屬于VLAN40可實(shí)現(xiàn)外部上網(wǎng)。2025/7/2313:288.4.2交換機(jī)配置通過console口登錄交換機(jī)，輸入賬號(hào)及密碼，登錄成功后，首先創(chuàng)建VLAN,其次設(shè)置端口工作模式，最后VLAN接口地址，實(shí)現(xiàn)VLAN間路由。<h3c-sw1>sys[h3c-sw1]vlan10[h3c-sw1-vlan10]quit[h3c-sw1]vlan20[h3c-sw1-vlan20]quit[h3c-sw1]vlan30[h3c-sw1-vlan30]quit[h3c-sw1]vlan40[h3c-sw1–vlan40]quit2025/7/2313:288.4.2交換機(jī)配置[h3c-sw1]port-groupmanual2[h3c-sw1-port-group-manual-2]groupGigabitEthernet1/0/1[h3c-sw1-port-group-manual-2]groupGigabitEthernet1/0/2[h3c-sw1-port-group-manual-2]groupGigabitEthernet1/0/3[h3c-sw1-port-group-manual-2]portlink-typeaccess[h3c-sw1-port-group-manual-2]portaccessvlan10[h3c-sw1-port-group-manual-2]quit[h3c-sw1]interfaceGigabitEthernet1/0/6[h3c-sw1-GigabitEthernet1/0/6]portlink-typeaccess[h3c-sw1-GigabitEthernet1/0/6]portaccessvlan20[h3c-sw1-GigabitEthernet1/0/6]quit2025/7/2313:288.4.2交換機(jī)配置#配置Eth1/0/4可通過VLAN30[h3c-sw1]interfaceGigabitEthernet1/0/4[h3c-sw1-GigabitEthernet1/0/4]portlink-typeaccess[h3c-sw1-GigabitEthernet1/0/4]portaccessvlan30[h3c-sw1-GigabitEthernet1/0/4]quit#配置Eth1/0/5可通過VLAN40[h3c-sw1]interfaceGigabitEthernet1/0/5[h3c-sw1-GigabitEthernet1/0/5]portlink-typeaccess[h3c-sw1-GigabitEthernet1/0/5]portaccessvlan40[h3c-sw1-GigabitEthernet1/0/5]quit2025/7/2313:288.4.2交換機(jī)配置[h3c-sw1]interfaceVlan10[h3c-sw1-Vlan-interface10]ipadd24[h3c-sw1-interface10]quit[h3c-sw1]interfaceVlan20[h3c-sw1-Vlan-interface20]ipadd5424[h3c-sw1-interface20]quit[h3c-sw1]intvlan30[h3c-sw1-Vlan-interface30]ipadd24[h3c-sw1-interface30]quit[h3c-sw1]interfaceVlan40[h3c-sw1-Vlan-interface40]ipadd24[h3c-sw1-interface40]quit2025/7/2313:288.4.2交換機(jī)配置#出口路由

[h3c-sw1]iproute-static#創(chuàng)建IPv4高級(jí)ACL3000

[Switch]aclnumber3000[Switch-acl-adv-3000]rulepermitipsource55destination55[Switch-acl-adv-3000]ruledenysourceip[Switch-acl-adv-3000]quit#配置包過濾功能，應(yīng)用IPv4高級(jí)ACL3000對(duì)端口GigabitEthernet1/0/1收到的IP報(bào)文進(jìn)行過濾。[Switch]interfacegigabitethernet1/0/5[Switch-GigabitEthernet1/0/1]packet-filter3000outbound2025/7/2313:288.4.3測(cè)試驗(yàn)證設(shè)置PC2的IP地址0/24，使用Ping命令測(cè)試與PLC的通信，顯示如圖8.33所示，表明相同VLAN的終端可以通信；設(shè)置PC3的IP地址0/24，使用Ping命令測(cè)試與PLC的通信，測(cè)試通信正常，表明不同VLAN通過三層交換實(shí)現(xiàn)互聯(lián)；設(shè)置PC4的IP地址0/24，使用Ping命令測(cè)試與PLC的通信，不能進(jìn)行通信，表明通過控制訪問列表實(shí)現(xiàn)了隔離技術(shù)。2025/7/2313:288.5任務(wù)3實(shí)現(xiàn)設(shè)備可通過防火墻訪問Internet任務(wù)要求：網(wǎng)絡(luò)邊界處部署了FW作為安全網(wǎng)關(guān)，要求網(wǎng)絡(luò)中只有PC4可訪Internet，其他設(shè)備不可訪問外網(wǎng)。2025/7/2313:288.5任務(wù)3實(shí)現(xiàn)設(shè)備可通過防火墻訪問Internet8.5.1系統(tǒng)結(jié)構(gòu)8.5.2防火墻登錄8.5.3通過靜態(tài)IP接入互聯(lián)網(wǎng)2025/7/2313:288.5.1系統(tǒng)結(jié)構(gòu)系統(tǒng)架構(gòu)如圖8.34所示，H3C-SW1交換機(jī)配置與任務(wù)2相同，要求PC4能正常上外網(wǎng)，其他設(shè)備不能上外網(wǎng)，登錄Web配置界面，進(jìn)行防火墻配置，實(shí)現(xiàn)通過靜態(tài)IP接入互聯(lián)網(wǎng)。2025/7/2313:28