項目9局域網(wǎng)管理和網(wǎng)絡(luò)安全任務(wù)1配置鏈路聚合任務(wù)2配置和應(yīng)用ACL任務(wù)3配置Windows防火墻項目9局域網(wǎng)管理和網(wǎng)絡(luò)安全背景故事工作過程中學(xué)習(xí)到的技能記憶深刻。小張已經(jīng)在公司實習(xí)了三個多月。在這段時間里，小張?zhí)撔南騃T部門的老員工請教，學(xué)到了不少在課堂上學(xué)不到的東西。一天，小張向IT部的技術(shù)骨干宋哥請教：“宋哥，網(wǎng)絡(luò)里面計算機越來越多了，應(yīng)該從哪些方面提高網(wǎng)絡(luò)性能呢？”“這個問題問得好，它涉及網(wǎng)絡(luò)管理的方方面面，如鏈路聚合，鏈路冗余，訪問列表控制技術(shù)、防火墻技術(shù)……”聽宋哥一席話，小張覺得只有掌握了這些技能，才能真正成為一名令人尊敬的“網(wǎng)管大俠”，想到這兒，小張不禁熱血沸騰了起來。項目9局域網(wǎng)管理和網(wǎng)絡(luò)安全項目描述隨著網(wǎng)絡(luò)設(shè)備逐漸增多，采用的網(wǎng)絡(luò)技術(shù)日趨復(fù)雜化，網(wǎng)絡(luò)運行的不確定性大大增加（它對公司業(yè)務(wù)的影響程度甚至超過了沒有網(wǎng)絡(luò)的情形），網(wǎng)絡(luò)安全與穩(wěn)定、網(wǎng)絡(luò)訪問控制顯得越發(fā)重要。制定網(wǎng)絡(luò)管理策略，是網(wǎng)絡(luò)設(shè)計之初就應(yīng)該考慮的。提高網(wǎng)絡(luò)穩(wěn)定性在技術(shù)上可以采用以太網(wǎng)鏈路聚合，生成冗余鏈路。當(dāng)鏈路都正常時，可以提供較大的帶寬；當(dāng)一條鏈路斷掉時，其流量經(jīng)由其他成員鏈路轉(zhuǎn)發(fā)，從而保證網(wǎng)絡(luò)的暢通。在一個管理完善的網(wǎng)絡(luò)，總是會制定相應(yīng)策略，如對重要的服務(wù)器的訪問控制，對計算機聯(lián)網(wǎng)行為的控制。項目9局域網(wǎng)管理和網(wǎng)絡(luò)安全項目描述本項目學(xué)習(xí)重要的網(wǎng)絡(luò)管理技術(shù)，流程如下：配置鏈路聚合鏈路聚合概念鏈路聚合用途配置鏈路聚合查看聚合狀態(tài)配置和應(yīng)用ACLACL概念A(yù)CL用途配置ACL應(yīng)用ACL查看ACL配置Windows防火墻防火墻概念Windows端口打開/關(guān)閉防火墻設(shè)置防火墻例外創(chuàng)建防火墻入站規(guī)則任務(wù)1配置鏈路聚合學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接5任務(wù)1配置鏈路聚合—學(xué)習(xí)目標(biāo)6（1）理解鏈路聚合的原理、作用；（2）理解鏈路聚合接口和普通以太網(wǎng)接口的區(qū)別；（3）會配置鏈路聚合；（4）會查看聚合狀態(tài)。任務(wù)1配置鏈路聚合學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接7任務(wù)1配置鏈路聚合—準(zhǔn)備工作8（1）在eNSP中用二臺華為3700交換機、4臺PC構(gòu)建拓?fù)鋱D，如圖所示。任務(wù)1配置鏈路聚合學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接99任務(wù)1配置鏈路聚合—任務(wù)實施10（1）了解任務(wù)背景任務(wù)1配置鏈路聚合—任務(wù)實施11（2）初始化配置，要求如下：配置四臺PC的IP地址、網(wǎng)關(guān)等參數(shù)；在SwitchA和SwitchB上創(chuàng)建VLAN10和VLAN20，加入對應(yīng)的端口；分組交換，檢查VLAN配置情況人，命令：disvlid10和disvlid20任務(wù)1配置鏈路聚合—任務(wù)實施12（3）在SwitchA和SwitchB上創(chuàng)建Eth-Trunk1并配置為LACP模式，交換機上的22-24端口加入Eth-Trunk1。以SwitchA上配置為例，過程如下：任務(wù)1配置鏈路聚合—任務(wù)實施13（3）在SwitchA和SwitchB上創(chuàng)建Eth-Trunk1并配置為LACP模式，交換機上的22-24端口加入Eth-Trunk1。以SwitchA上配置為例，過程如下：任務(wù)1配置鏈路聚合—任務(wù)實施14（4）在SwitchA上配置系統(tǒng)優(yōu)先級為100，使其成為LACP主動端，過程如下：[SwitchA]lacppriority100#范圍0-65535，默認(rèn)為32768（5）在SwitchA上配置活動接口上限閾值為2，過程如下：[SwitchA]intEth-Trunk1[SwitchA-Eth-Trunk1]maxactive-linknumber2#范圍1-8，默認(rèn)為1警告：不能在SwitchB上配置優(yōu)先級和活動接口上限閾值。任務(wù)1配置鏈路聚合—任務(wù)實施15（6）在SwitchA上配置負(fù)載均衡策略，過程如下：[SwitchA]intEth-Trunk1[SwitchA-Eth-Trunk1]load-balancedst-mac（7）在SwitchA上配置接口優(yōu)先級，確定活動鏈路，過程如下：[SwitchA]intg0/0/22[SwitchA-GigabitEthernet0/0/22]lacppriority100[SwitchA-GigabitEthernet0/0/22]intg0/0/23[SwitchA-GigabitEthernet0/0/23]lacppriority100[SwitchA-GigabitEthernet0/0/23]quit提示：未指定的接口為備份鏈路。任務(wù)1配置鏈路聚合—任務(wù)實施16（8）在SwitchA與SwitchB上配置Eth-Trunk1接口允許VLAN10和VLAN20通過。以SwitchA為例，配置過程如下：[SwitchA]intEth-Trunk1[SwitchA-Eth-Trunk1]portlink-typetrunk[SwitchA-Eth-Trunk1]porttrunkallow-passvlan1020任務(wù)1配置鏈路聚合—任務(wù)實施17（9）在SwitchA上輸入命令“diseth1”,查看配置的結(jié)果接口編號大的自動為備份鏈路任務(wù)1配置鏈路聚合—任務(wù)實施18（10）配置過程總結(jié)交換機端口默認(rèn)為access模式，要成為聚合口，要變成Trunk模式；Eth-trunk是虛擬的邏輯接口（也叫聚合端口），可以指定成員；Eth-trunk接口可以指定模式，本任務(wù)為lacp-static;Eth-trunk接口要指定活動接口上限閾值，默認(rèn)為1，即只有一個活動接口，如此就不能負(fù)載分擔(dān)了。該閾值不能大于等于Eth-trunk成員接口數(shù)量;Eth-trunk接口要指定負(fù)載均衡策略，默認(rèn)為dst-mac;交換機上的Lacp必須要指定優(yōu)先級，成為主動端；任務(wù)1配置鏈路聚合學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接1919任務(wù)1配置鏈路聚合—知識鏈接（1）鏈路聚合概念、目標(biāo)20鏈路聚合（LinkAggregation）是將多條物理鏈路捆綁在一起成為一條邏輯鏈路的技術(shù)。本書中所指的鏈路聚合指以太網(wǎng)鏈路聚合（Eth-Trunk）。如圖9-2所示，為三條以太網(wǎng)鏈路，DeviceA與DeviceB之間通過三條以太網(wǎng)物理鏈路相連，將這三條鏈路捆綁在一起，就成為了一條邏輯鏈路，這條邏輯鏈路的最大帶寬等于原先三條以太網(wǎng)鏈路的帶寬總和，從而達(dá)到了增加鏈路帶寬的目的。同時，這三條以太網(wǎng)物理鏈路相互備份，有效地提高了鏈路的可靠性。任務(wù)1配置鏈路聚合—知識鏈接（2）鏈路聚合的注意事項21Eth-Trunk鏈路兩端相連的物理接口的數(shù)量、速率、雙工方式、jumbo、流控方式必須一致。鏈路聚合接口可以作為普通的以太網(wǎng)接口來使用，實現(xiàn)各種路由協(xié)議以及其它業(yè)務(wù)。任務(wù)1配置鏈路聚合—知識鏈接（3）Eth-trunk的活動接口與活動鏈路22轉(zhuǎn)發(fā)的時候鏈路聚合組需要從成員接口中選擇一個或多個接口來進行數(shù)據(jù)轉(zhuǎn)發(fā)。承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)的接口稱為活動接口，不轉(zhuǎn)發(fā)數(shù)據(jù)的接口稱為非活動接口?；顒咏涌趯?yīng)的鏈路稱為活動鏈路，非活動接口對應(yīng)的鏈路稱為非活動鏈路。任務(wù)1配置鏈路聚合—知識鏈接（4）考一考23下列語句中，表示以太網(wǎng)口加入鏈路聚合的是：intEth-Trunk1，portlink-typetrunkintg0/0/22，eth-trunk1intEth-Trunk1，maxactive-linknumber2intEth-Trunk1，load-balancedst-macintg0/0/22，lacppriority100intEth-Trunk1，modelacp-static任務(wù)1配置鏈路聚合—知識鏈接（5）考一考24下列語句中，表示鏈路聚合口屬性設(shè)置的是：intEth-Trunk1，portlink-typetrunkintg0/0/22，eth-trunk1intEth-Trunk1，maxactive-linknumber2intEth-Trunk1，load-balancedst-macintg0/0/22，lacppriority100intEth-Trunk1，modelacp-static任務(wù)1配置鏈路聚合—知識鏈接（6）再考一考25下列語句中，表示以太網(wǎng)口屬性設(shè)置的是：intEth-Trunk1，portlink-typetrunkintg0/0/22，eth-trunk1intEth-Trunk1，maxactive-linknumber2intEth-Trunk1，load-balancedst-macintg0/0/22，lacppriority100intEth-Trunk1，modelacp-staticThankyou!項目9局域網(wǎng)管理和網(wǎng)絡(luò)安全任務(wù)1配置鏈路聚合任務(wù)2配置和應(yīng)用ACL任務(wù)3配置Windows防火墻任務(wù)2配置和應(yīng)用ACL學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接28任務(wù)2配置和應(yīng)用ACL—學(xué)習(xí)目標(biāo)29（1）理解ACL的用途；（2）會創(chuàng)建高級ACL及其規(guī)則；（3）會查看ACL；（4）會應(yīng)用ACL。任務(wù)2配置和應(yīng)用ACL學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接30任務(wù)2配置和應(yīng)用ACL—準(zhǔn)備工作31在eNSP中構(gòu)建拓?fù)鋱D（由項目5任務(wù)4圖5-11修改而來），如圖所示。提示：在eNSP中組網(wǎng)時，一臺Server只開啟一個服務(wù)，以免端口沖突。任務(wù)2配置和應(yīng)用ACL學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接3232任務(wù)2配置和應(yīng)用ACL—任務(wù)實施33（1）了解任務(wù)背景VLAN2內(nèi)主機僅在上班時間段可以訪問Server1上的Web站點；VLAN3內(nèi)主機不受上述時間段限制；其他任何地址的流量都不允許訪問Server1。任務(wù)2配置和應(yīng)用ACL—任務(wù)實施34（2）基礎(chǔ)配置，要求如下：設(shè)置各臺主機的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等參數(shù)；在交換機上配置VLAN，指定成員接口；保證各臺主機互相Ping通，操作參考圖9-4；在Server1上配置HttpServer服務(wù)器，操作參考圖9-5；在Client1和Client2上登錄剛創(chuàng)建的HttpServer服務(wù)器，下載所需網(wǎng)頁文件。任務(wù)2配置和應(yīng)用ACL—任務(wù)實施35（3）在交接機S2上定義時間段參數(shù)：permit_web。重復(fù)周期為：工作日（working-day）[S2]time-rangepermit_web09:00to17:00working-day任務(wù)2配置和應(yīng)用ACL—任務(wù)實施36（4）在交接機S2上配置高級ACL，語句如下：最接近目標(biāo)服務(wù)器的接口任務(wù)2配置和應(yīng)用ACL—任務(wù)實施37（4）在S2上，最接近目標(biāo)服務(wù)器的接口上應(yīng)用高級ACL[S2]inte0/0/2[S2-Ethernet0/0/2]traffic-filteroutboundacl3000任務(wù)2配置和應(yīng)用ACL—任務(wù)實施38（6）在S2上，查看創(chuàng)建的ACL規(guī)則，以及應(yīng)用情況任務(wù)2配置和應(yīng)用ACL—任務(wù)實施39（6）配置過程總結(jié)配置基于端口的VLAN；用time-range命令創(chuàng)建時間參數(shù)，以及該時間的重復(fù)周期；創(chuàng)建高級ACL，編號3000-3999，可定義網(wǎng)絡(luò)協(xié)議和端口號，否則只能定義IP地址；定義ACL，步長為5的倍數(shù)，先permit語句，后deny語句；指定ACL應(yīng)用的接口，離目標(biāo)最近為原則。任務(wù)2配置和應(yīng)用ACL學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接4040任務(wù)2配置和應(yīng)用ACL—知識鏈接（1）認(rèn)識ACL41訪問控制列表（AccessControlList，簡稱ACL）可以根據(jù)相關(guān)規(guī)則，對報文進行分類，實現(xiàn)對不同類型報文的不同處理。任務(wù)2配置和應(yīng)用ACL—知識鏈接（2）ACL語句格式42高級ACL語句基本ACL語句任務(wù)2配置和應(yīng)用ACL—知識鏈接（3）ACL語句43任務(wù)2配置和應(yīng)用ACL—知識鏈接（4）調(diào)用ACL的方法44提示：如果只應(yīng)用ACL的某些規(guī)則號，則命令如下：traffic-filteroutbound|inboundACL編號rule規(guī)則號任務(wù)2配置和應(yīng)用ACL—知識鏈接（5）考一考45以下語句中，定義允許規(guī)則的有：rule5permitsource55destination5rule15permiticmpsourceanyrule20denyipsourceanytraffic-filteroutboundacl3000time-rangepermit_web09:00to17:00working-dayacl3000Thankyou!項目9局域網(wǎng)管理和網(wǎng)絡(luò)安全任務(wù)1配置鏈路聚合任務(wù)2配置和應(yīng)用ACL任務(wù)3配置Windows防火墻任務(wù)3配置Windows高級防火墻學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接48任務(wù)3配置Windows高級防火墻—學(xué)習(xí)目標(biāo)49（1）掌握防火墻有關(guān)知識要點；（2）掌握常用的Windows端口；（3）熟悉打開和關(guān)閉Windows防火墻、設(shè)置防火墻例外、配置Windows高級防火墻入站規(guī)則的步驟。任務(wù)3配置Windows高級防火墻學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接50任務(wù)3配置Windows高級防火墻—準(zhǔn)備工作51（1）WindowsServer2016主機一臺；（2）客戶機一臺，安裝SuperScan軟件。任務(wù)3配置Windows高級防火墻學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接5252任務(wù)3配置Windows高級防火墻—任務(wù)實施53（1）啟用防火墻任務(wù)3配置Windows高級防火墻—任務(wù)實施54（2）設(shè)置例外任務(wù)3配置Windows高級防火墻—任務(wù)實施55（3）客戶端SuperScan掃描結(jié)果任務(wù)3配置Windows高級防火墻—任務(wù)實施56（4）制定入站規(guī)則，以小組為單位完成以下操作：調(diào)用SuperScan，查看3389端口被打開的狀態(tài)；創(chuàng)建具有管理員權(quán)限的賬號，設(shè)置密碼；調(diào)用“遠(yuǎn)程桌面”，相互訪問小組內(nèi)的計算機；創(chuàng)建“禁用遠(yuǎn)程桌面”的防火墻規(guī)則，丟棄對TCP3389端口的報文；運行SuperScan，查看3389端口被打開的狀態(tài)；再次調(diào)用“遠(yuǎn)程桌面”，相互訪問小組內(nèi)的計算機。任務(wù)3配置Windows高級防火墻學(xué)習(xí)目標(biāo)準(zhǔn)備工作任務(wù)實施知識鏈接5757任務(wù)3配置Windows高級防火墻—知識鏈接（1）防火墻基本概念58防火墻（Firewall）是一項協(xié)助確保信息安全的設(shè)備，它在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造安全網(wǎng)關(guān)（SecurityGateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。任務(wù)3配置Windo