小南伴你学-応用情報-第4期：応用情報技術者過去問題令和2年秋期午後問5

type

Post

status

Published

date

Jan 14, 2026

slug

net1

summary

先下载

Packet Tracer download url： https://www.computernetworkingnotes.com/ccna-study-guide/download-packettracer-for-windows-and-linux.html register cisco account： https://id.cisco.com/ cisco network academy： https://www.netacad.com/

前言

网络是IT领域的基础知识，也是IPA等信息处理考试的重要考点。它不仅是一个独立的知识模块，还和系统架构、セキュリティ、服务器管理等多个领域紧密相关。同时，网络也是企业实际业务运行的核心——无论是内部系统的数据交换、客户服务平台，还是クラウド或VPN等现代信息服务，都离不开稳定、高效的网络支持。

对于初学者来说，网络知识可能比较抽象，比如IP地址、子网划分、路由等概念，如果没有实际操作，很难理解它们在业务中的作用。但一旦掌握了网络原理，就能清楚看到数据在各系统和设备间的流动路径，也更容易排查问题、优化性能，保证关键业务系统稳定运行。

对白帽黑客或系统架构师来说，实际案件的第一步往往就是看懂企业的网络架构图。只有真正理解网络拓扑、设备角色和数据流向，才能发现潜在漏洞、分析威胁，或者设计合理的安全防护方案。因此，学习网络不仅是理论要求，更是解决实际业务问题、保障信息安全的必备技能。

我自己不论是在理解对方公司的网络架构，还是在实际操作中，比如配置虚拟机的VLAN、VPN连接，或者AWS的安全组时，经常需要反复调试，花了很多时间才找到问题。这让我真切地体会到，扎实的网络基础对于实际操作和问题解决是多么重要。

前提知识

理解OSI网络模型

什么是模型？

逆向思维

为什么要模型？没有模型会怎么样？

为什么是7层？没有其中的任意1层会发送什么？

网络分层对应：

第1层物理层：电信号、无线电波等传输媒介

第2层数据链路层：帧、MAC地址、局域网通信

第3层网络层：IP地址、路由

第4层传输层：TCP/UDP、端到端传输

第5层会话层：会话建立、管理

第6层表示层：数据编码、加密

第7层应用层：具体应用协议（HTTP、SMTP、SSH）

比如:物理层

如:虎虎虎！如果加入协议，属于第几层级？

属于军事密码，带有实际的内容并且被加密

• 日本の電信符号（和文符号）で、「突撃」を表す「ト」（・－・－・）と、「Succeed（成功）」の「S」と同じ符号「ラ」（・－・－）を組み合わせたもの。

注意事项

严格按步骤操作

跟着我，仔仔细细的进行网络搭建，网络搭建的每一步都紧密相关，初学者很容易哪步就弄错了，任何一步出错都可能导致整个网络异常。

小错误可能大影响

一处配置错误可能需要长时间 Debug，甚至重新搭建整个网络，浪费时间且影响学习效果。

按顺序理解原理再动手

每个配置步骤背后的原理都要理解清楚，这样即使出错也能快速定位问题。

记录修改和测试结果

每次配置后都建议测试网络连通性，确认正确再进行下一步。

搭网络不是随便连线，而是一步步验证、按顺序完成，理解原理才能学到真正知识。

通过本次的网络搭建，我们将学习到？

1. 数据帧（Frame）和数据包（Packet）的区别是什么？

数据帧（Frame）和数据包（Packet）是不同 OSI 层中的数据单位，主要区别体现在 所在层级、封装内容以及作用范围 上。

数据帧（Frame）

数据帧是 OSI 第二层（数据链路层） 的数据单位，用于在同一物理链路或同一二层网络中传输数据。

数据帧中包含 源 MAC 地址和目的 MAC 地址，交换机依据 MAC 地址对数据帧进行转发。

数据包（Packet）

数据包是 OSI 第三层（网络层） 的数据单位，用于实现跨网络的端到端通信。

数据包中包含 源 IP 地址和目的 IP 地址，路由设备根据 IP 地址进行路径选择和转发。

简要对比：

项目	数据帧（Frame）	数据包（Packet）
OSI 层级	第 2 层（数据链路层）	第 3 层（网络层）
主要地址	MAC 地址	IP 地址
作用范围	同一二层网络	跨网络通信
典型协议	Ethernet、STP、ARP	IP、ICMP

2. 在一个刚建立完成的网络中，第 1 时间产生的数据，同时也是交换机之间确认拓扑结构的数据叫什么？

在包含二层交换机的以太网中，网络刚建立完成时产生的第一份数据是 STP（生成树协议）的 BPDU 数据帧。

原因如下：

交换机端口启动后，会立即在二层发送 BPDU（Bridge Protocol Data Unit），用于拓扑发现和根桥选举。

STP 工作在 数据链路层，不依赖 IP 地址，也不需要主机参与。

因此，在主机开始发送 ARP、ICMP 或其他业务数据之前，STP 的 BPDU 数据帧已经在网络中持续存在。

3. 第 2 时间产生的数据，为了让 L2 交换机学习 MAC 表、让 L3 设备和主机学习 ARP 表而产生的数据帧，叫什么？

在网络拓扑稳定后，当主机首次进行三层通信时，会产生 ARP（地址解析协议）数据帧，主要包括：

ARP Request（地址解析请求）数据帧

ARP Reply（地址解析应答）数据帧

ARP Request 通常以 以太网广播帧 的形式发送，其作用包括：

L2 交换机

根据 ARP Request 中的 源 MAC 地址，学习并更新 MAC 地址表。

L3 设备（路由器 / 三层交换机 / 防火墙）

从 ARP 报文中获取 IP 与 MAC 的对应关系，更新 ARP 表。

主机

在接收到 ARP Reply 后，记录目标 IP 对应的 MAC 地址，更新本机 ARP 表。

因此，第 2 时间点产生的关键数据是：

承载 ARP 报文的以太网数据帧（ARP Request / ARP Reply）

4. L2 交换机和 L3 设备之间的区别是什么？

L2 交换机和 L3 设备的根本区别在于 是否具备三层转发能力，以及转发依据的地址类型不同。

L2 交换机

工作在 OSI 第二层
根据 MAC 地址表 转发数据帧
不进行 IP 路由选择
主要用于同一 VLAN 或同一二层网络内通信

L3 设备（路由器 / 三层交换机 / 防火墙）

工作在 OSI 第三层
根据 路由表 进行 IP 数据包转发
通过 ARP 表 将下一跳 IP 映射为 MAC 地址
实现不同 VLAN、不同网段之间的通信

5. 什么是 MAC 地址表和 ARP 表？

MAC 地址表（MAC Table）

由交换机维护
记录 MAC 地址与交换机端口的对应关系
用于二层数据帧的转发
通过接收数据帧的 源 MAC 地址 自动学习

ARP 表（ARP Cache）

由主机和三层设备维护
记录 IP 地址与 MAC 地址的对应关系
用于将三层 IP 包封装为二层数据帧
通过 ARP Request / Reply 动态建立

6. 什么是广播帧？

广播帧是指 目的 MAC 地址为 FF:FF:FF:FF:FF:FF 的以太网数据帧。

其特点包括：

在同一 VLAN（广播域）内被所有设备接收

交换机会将广播帧从除入端口外的所有端口转发

常见广播帧协议包括：

ARP Request
DHCP Discover

广播帧用于网络中的 地址发现与初始化通信。

7. 第 3 时间点，用于网络连通性的 ICMP Echo 数据包（Ping），其本质是什么，叫什么？

第 3 时间点产生的是 用于验证网络连通性的 ICMP Echo Request / Reply。

从分层角度看：

ICMP 属于网络层协议

ICMP 报文被封装为 IP 数据包

IP 数据包最终被封装进 以太网数据帧 进行传输

因此，其完整描述为：

承载 ICMP Echo（Ping）报文的以太网数据帧

8. 什么是 CSMA/CD？

CSMA/CD（Carrier Sense Multiple Access / Collision Detection，载波侦听多路访问/冲突检测）是以太网早期用于共享介质的访问控制机制。

作用：

侦听介质：在发送数据前检查链路是否空闲

多路访问：允许多台设备共享同一物理链路

冲突检测：若同时发送导致碰撞，停止发送并等待随机时间重发

局限性：

仅解决“同一物理链路上的冲突”

无法控制广播域大小，也无法实现逻辑隔离

CSMA/CD 是以太网防止同一链路冲突的机制，但不能管理广播或隔离网络。

9. 既然以太网自带 CSMA/CD 来管理冲突和访问，为什么还要划 VLAN？

CSMA/CD 只能解决物理链路冲突问题，而 **VLAN（虚拟局域网）**解决的是逻辑网络层面的需求：

缩小广播域

每个 VLAN 是独立广播域，广播帧只在 VLAN 内传播

减少不必要的广播，提高网络性能

增强安全性

不同部门或业务划分不同 VLAN

即使物理在同一交换机，也实现逻辑隔离

提高管理灵活性

端口可按部门、业务或楼层划分 VLAN

VLAN 的划分与物理位置无关，便于网络重组

优化性能

减少每个广播域的设备数量

降低二层交换机负载

CSMA/CD 管理物理链路冲突，VLAN 则负责逻辑隔离广播域、提高安全性和管理灵活性。

10. VLAN 是如何实现网络划分的？

VLAN 通过在二层交换机上对端口进行逻辑分组来实现网络划分，其实现方式包括：

端口 VLAN（最常见）

将交换机端口静态划分到不同 VLAN

Trunk 链路

在交换机之间通过 802.1Q 标签传递多个 VLAN 的数据帧

VLAN 标签机制

以太网帧携带 VLAN ID

交换机根据 VLAN ID 决定转发范围

通过 VLAN，不同 VLAN 之间在二层上彼此隔离，必须通过 L3 设备 才能实现通信。

11. Trunk 链路与 Access 链路的区别是什么？

Trunk 链路与 Access 链路是交换机端口的两种工作模式，其主要区别在于 是否传输多个 VLAN 的数据以及是否携带 VLAN 标签。

Access 链路

Access 链路通常用于 连接终端设备（如 PC、服务器、打印机等）

一个 Access 端口 只能属于一个 VLAN

通过 Access 端口发送和接收的以太网数据帧 不携带 VLAN 标签

交换机在内部将该端口收到的数据帧映射到对应的 VLAN 中进行转发

Trunk 链路

Trunk 链路通常用于 交换机与交换机、交换机与三层设备之间的连接

一个 Trunk 端口 可以同时传输多个 VLAN 的数据

以太网数据帧通过 802.1Q（Dot1Q）标签标识所属 VLAN

交换机根据 VLAN 标签判断数据帧属于哪个 VLAN

简要对比

项目	Access 链路	Trunk 链路
典型连接对象	终端设备	交换机 / 三层设备
可承载 VLAN 数量	1 个	多个
是否携带 VLAN 标签	否	是（802.1Q）
主要作用	接入用户网络	传递多个 VLAN

Access 链路负责“接入终端”，Trunk 链路负责“传递 VLAN”。

12. 上行链路（Uplink）与下行链路（Downlink）的区别是什么？

上行链路与下行链路是对网络中链路方向的一种逻辑划分方式，用于描述数据在不同网络层级之间的流向，其区别主要体现在 连接对象、数据流向以及典型用途 上。

上行链路（Uplink）

指 从接入层设备连接到更高层级设备 的链路

数据通常 由低层网络向高层网络传输

常见连接对象：

接入交换机 → 汇聚 / 核心交换机
交换机 → 路由器 / 防火墙

上行链路通常承载：

多个终端的汇聚流量
多 VLAN 数据（常配置为 Trunk）

下行链路（Downlink）

指 从高层级设备连接到低层级设备或终端 的链路

数据通常 由核心或汇聚层向接入层或终端传输

常见连接对象：

汇聚 / 核心交换机 → 接入交换机
接入交换机 → 终端设备

下行链路通常用于：

向用户提供网络接入
连接单一 VLAN 的终端（常配置为 Access）

简要对比

项目	上行链路（Uplink）	下行链路（Downlink）
网络层级方向	低 → 高	高 → 低
典型连接	接入 → 汇聚 / 核心	汇聚 / 接入 → 终端
承载流量	汇聚流量	单终端或少量流量
常见端口模式	Trunk	Access（或 Trunk）

上行链路负责“汇聚并向上送”，下行链路负责“分发并向下送”。

13. 防火墙的作用是什么？

防火墙是一种用于 网络边界安全控制 的设备，其主要作用是 根据安全策略，对进出网络的流量进行检查、控制和防护，从而保障网络的安全性与稳定性。

主要作用

访问控制（Access Control）

根据安全策略，允许或拒绝特定的通信

可基于 IP 地址、端口号、协议类型 等条件进行控制

网络隔离

将不同安全级别的网络区域进行隔离

常见区域包括 内网（Inside）、DMZ、外网（Outside）

状态检测（Stateful Inspection）

跟踪连接状态

只允许符合连接状态的合法数据返回，防止非法访问

地址转换（NAT）

将内部私有 IP 地址转换为公网 IP

隐藏内部网络结构，提高安全性

日志与审计

记录通过或被阻断的流量

便于故障排查和安全审计

防火墙与交换机、路由器的区别

交换机：主要负责二层转发（MAC 地址）

路由器 / L3 设备：负责三层转发（IP 路由）

防火墙：在转发流量的同时，重点关注“是否允许通信”

防火墙的核心作用不是“转发流量”，而是“控制哪些流量可以被转发”。

14. 在企业中最常见的 DMZ 架构里，DMZ 的默认网关存在于哪里？

在企业中最常见的 DMZ（Demilitarized Zone，隔离区）网络架构中，DMZ 的默认网关通常配置在防火墙上，即防火墙的 DMZ 接口。

这样设计的原因是：

安全控制集中化

将 DMZ 的默认网关设置在防火墙上，可以确保所有 DMZ 与外部网络（Internet）以及内部网络（Inside）之间的通信都必须经过防火墙的安全策略检查。

网络隔离性增强

防火墙通过不同安全区域（Outside / DMZ / Inside）的划分，实现 DMZ 与内网之间的严格隔离，防止外部攻击直接进入内部网络。

便于实施 NAT 和访问策略

防火墙通常同时承担 NAT、访问控制和日志审计等功能，将 DMZ 网关放在防火墙上，有利于对服务器发布和访问行为进行统一管理。

在企业中最常见的 DMZ 架构里，DMZ 网络的默认网关位于防火墙的 DMZ 接口上。

这是一种在安全性、可控性和可维护性之间取得平衡的标准企业级设计。

15. 静态路由如何填写

静态路由是由网络管理员手动配置的路由规则，用于告诉三层设备数据应该转发到哪个方向。在企业网络中，静态路由常用于网络结构相对稳定的环境，其主要优势在于路径清晰、行为可控。

在填写静态路由之前，首先需要明确网络拓扑结构，确认各设备接口所连接的网段。

对于设备接口上已经直接连接的网段，系统会自动生成直连路由，因此不需要手动填写。

只有当目标网段并非设备直连网络时，才需要配置静态路由。

静态路由的核心配置要素包括以下三项：

目的网段

子网掩码

下一跳地址

其中，下一跳地址必须是当前设备能够直接到达的三层接口地址，否则该路由将无法生效。

在实际网络通信过程中，数据传输具有双向性。

因此，在填写静态路由时，必须同时考虑数据的去程路由和回程路由。

如果仅配置单向路由，即使一侧能够成功发送数据，另一侧无法返回响应，也会导致通信失败。

默认路由通常配置在网络的出口设备上，例如防火墙或边界路由器，

用于将目的不明确的流量统一转发至上级网络。

对于企业内网中的普通三层设备，一般不需要配置多条默认路由。

需要特别区分的是，ARP 表与路由表的作用不同。

ARP 表用于解析 IP 地址与 MAC 地址之间的对应关系，

而真正决定数据包转发路径的是路由表，ARP 不能替代路由配置。

综上所述，静态路由的配置关键并不在于命令本身，

而在于对整体网络结构的理解。

只要遵循 “直连不写、非直连必写、去回程成对” 的原则，

就能够正确完成静态路由的填写。

常用的查询命令行

一、二层相关查询命令（Frame / MAC / VLAN / STP）

1. 查看 MAC 地址表（验证二层转发是否正常）

常用扩展：

2. 查看 VLAN 信息

用于确认：

VLAN 是否存在

端口是否划分正确

3. 查看端口模式（Access / Trunk）

或单端口：

4. 查看 Trunk 状态

确认：

是否成功成为 Trunk

允许通过的 VLAN 列表

5. 查看 STP 状态（BPDU / 拓扑）

指定 VLAN：

二、ARP / 广播 / 三层基础查询

6. 查看 ARP 表（IP ↔ MAC 映射）

部分设备：

windows：

用于验证：

是否已经产生 ARP Request / Reply

下一跳 MAC 是否解析成功

7. 清空 ARP 表（排错用）

或：

三、三层路由相关查询命令（重点）

8. 查看路由表（最关键）

用于验证：

是否存在直连路由（C）

是否存在静态路由（S）

默认路由是否生效（S*）

9. 只查看静态路由

10. 查看默认路由

11. 查看接口 IP 状态

确认：

IP 是否配置正确

接口是否 up / up

四、连通性与数据流验证（ICMP / Ping）

12. 基本连通性测试（ICMP Echo）

13. 路径测试（逐跳排错）

用于判断：

流量在哪一跳中断

路由是否走错方向

五、防火墙 / 安全策略常用查询（企业常见）

14. 查看接口与安全区域

或（ASA）：

15. 查看访问控制列表（ACL）

16. 查看 NAT 状态

或（旧 ASA）：

六、和「静态路由填写原则」直接对应的检查顺序（实战记忆版）

实际排错时，建议顺序如下：

1️⃣

→ 接口 IP 是否正确

2️⃣

→ 非直连网段是否写了静态路由

3️⃣

→ 静态路由是否生效

4️⃣

→ 下一跳 MAC 是否解析成功

5️⃣

→ 去程、回程是否都通

hands-on

令和2年秋期午後問5

企业网络 Packet Tracer / ASA 完整工作手册

目标

一、网络拓扑概览

区域	设备	功能
总部 DMZ	Web / DNS Server + L2SW1	内网对外服务
总部服务器室	业务服务器 FS1 + L2SW2	内部业务处理
总部办公区	L2SW3 + NPC + PR	员工办公网络
总部 L3	L3SW1 + Router1 + ASA	内部核心交换和防火墙
分支营业所	L3SW2 + L2SW + NPC + FS2 + PR	分支内部网络
WAN	广域以太网	总部↔分支互联
外网模拟	ISP-Router + Google-DNS-PC	模拟公网访问

注：

a、b = 100Mbps（总部外网 / WAN 链路）

c = 10Mbps（分支内部网段）

二、IP 规划（示例，可改）

设备	接口	IP 地址	子网掩码	备注
Web Server	Fa0	192.168.10.1	255.255.255.0	DMZ
DNS Server	Fa0	192.168.10.2	255.255.255.0	DMZ
Business Server	Fa0	192.168.20.1	255.255.255.0	SERVER
FS1	Fa0	192.168.20.2	255.255.255.0	SERVER
NPC1	Fa0	192.168.30.1	255.255.255.0	OFFICE
NPC2	Fa0	192.168.30.2	255.255.255.0	OFFICE
PR1	Fa0	192.168.30.11	255.255.255.0	OFFICE
PR2	Fa0	192.168.30.12	255.255.255.0	OFFICE
FW DMZ	Gi1/1	192.168.10.254	255.255.255.0	对DMZ 内网接口
FW Outside	Gi1/2	10.0.0.1	255.255.255.252	对互联网路由器
Router1	Gi0/0	10.0.0.2	255.255.255.252	ASA
FW Inside	Gi2/2	10.0.1.1	255.255.255.252	对内网3层交换机
Router1	Gi0/1	202.1.1.1	255.255.255.0	外网
L3SW1 VLAN	20	192.168.20.254	255.255.255.0	SERVER区虚拟网关
L3SW1 VLAN	30	192.168.30.254	255.255.255.0	OFFICE区虚拟网关
L3SW1 IP口	Fa0/24	10.0.1.1	255.255.255.252	上行
ISP-Router	Gi0/0	202.1.1.254	255.255.255.0	对 Router1
Router1	Gi0/1	202.1.1.1	255.255.255.252	对ISP
ISP-Router Gi0/1	Gi0/1	8.8.8.1	255.255.255.0	模拟公网
Google-DNS-PC	Fa0	8.8.8.8	255.255.255.0	模拟公网服务器

🚀 企业网安全实验完整配置步骤书

三、服务器配置（GUI 桌面设置）

请在设备的 Desktop -> IP Configuration 中手动配置以下参数：

设备名称	IP 地址	子网掩码	默认网关	其他设置
Web Server	192.168.10.1	255.255.255.0	192.168.10.254	HTTP: On
DNS Server	192.168.10.2	255.255.255.0	192.168.10.254	DNS: www.test.com -> 192.168.10.1
业务服务器	192.168.20.1	255.255.255.0	192.168.20.254	ㅤ
FS1	192.168.20.2	255.255.255.0	192.168.20.254	ㅤ
NPC1	192.168.30.1	255.255.255.0	192.168.30.254	ㅤ
NPC2	192.168.30.2	255.255.255.0	192.168.30.254	ㅤ
PR1	192.168.30.11	255.255.255.0	192.168.30.254	ㅤ
PR2	192.168.30.12	255.255.255.0	192.168.30.254	ㅤ
公网 PC	8.8.8.8	255.255.255.0	8.8.8.1	ㅤ

四、物理连线规划

L2SW1 Fa0/1 ——— Web Server Fa0

L2SW1 Fa0/2 ——— DNS Server Fa0

L2SW1 Fa0/3 ——— FW G1/1 (DMZ)

FW G1/2 ——— Router1 G0/0 (Outside)

Router1 G0/1 ——— ISP G0/0 (Public)

L3SW1 Gi1/0/1 ——— L2SW2 Fa0/24

L3SW1 Gi1/0/2 ——— L2SW3 Fa0/24

L3SW1 Gi1/0/24 ——— FW G1/4 (Inside) —— 注：避开有Bug的G1/3

五、交换机配置 (L2/L3)

1. L2SW1 (DMZ 接入)

enable
configure terminal
interface range fa0/1-3
 switchport mode access
 no shutdown
exit

2. L2SW2 (VLAN 20 接入)

enable
configure terminal
vlan 20
 name Server
exit
interface range fa0/1-2
 switchport mode access
 switchport access vlan 20
exit
interface fa0/24
 switchport mode trunk
 switchport trunk allowed vlan 20

3. L2SW3 (VLAN 30 接入)

enable
configure terminal
vlan 30
 name Office
exit
interface range fa0/1-2, fa0/11-12
 switchport mode access
 switchport access vlan 30
exit
interface fa0/24
 switchport mode trunk
 switchport trunk allowed vlan 30

4. L3SW1 (核心网关)

enable
configure terminal
ip routing

interface vlan20
 ip address 192.168.20.254 255.255.255.0
 no shutdown
exit
interface vlan30
 ip address 192.168.30.254 255.255.255.0
 no shutdown
exit

interface GigabitEthernet1/0/24
 no switchport
 ip address 10.0.1.1 255.255.255.252
 no shutdown
exit

interface range GigabitEthernet1/0/1-2
 switchport mode trunk

ip route 0.0.0.0 0.0.0.0 10.0.1.2

六、防火墙配置 (ASA 5506-X)

enable
configure terminal

# 接口与安全等级 (Inside 使用 G1/4 规避重叠 Bug)
interface gigabitEthernet1/1
 nameif dmz
 security-level 50
 ip address 192.168.10.254 255.255.255.0
 no shutdown

interface gigabitEthernet1/2
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.252
 no shutdown

interface gigabitEthernet1/4
 nameif inside
 security-level 100
 ip address 10.0.1.2 255.255.255.252
 no shutdown

# 静态路由
route outside 0.0.0.0 0.0.0.0 10.0.0.2
route inside 192.168.20.0 255.255.255.0 10.0.1.1
route inside 192.168.30.0 255.255.255.0 10.0.1.1

# NAT 配置
object network DMZ_POOL
 subnet 192.168.10.0 255.255.255.0
 nat (dmz,outside) dynamic interface

object network INSIDE_VLAN20
 subnet 192.168.20.0 255.255.255.0
 nat (inside,outside) dynamic interface

object network INSIDE_VLAN30
 subnet 192.168.30.0 255.255.255.0
 nat (inside,outside) dynamic interface

# 安全策略与 ICMP
policy-map global_policy
 class inspection_default
  inspect icmp

access-list OUTSIDE_IN extended permit icmp any any
access-group OUTSIDE_IN in interface outside

七、路由器配置 (Router1 & ISP)

1. Router1 (企业边界)

enable
configure terminal
interface gig0/0
 ip address 10.0.0.2 255.255.255.252
 no shutdown
interface gig0/1
 ip address 202.1.1.1 255.255.255.0
 no shutdown

ip route 192.168.10.0 255.255.255.0 10.0.0.1
ip route 192.168.20.0 255.255.255.0 10.0.0.1
ip route 192.168.30.0 255.255.255.0 10.0.0.1
ip route 0.0.0.0 0.0.0.0 202.1.1.254

2. ISP-Router (模拟公网)

enable
configure terminal
interface gig0/0
 ip address 202.1.1.254 255.255.255.0
 no shutdown
interface gig0/1
 ip address 8.8.8.1 255.255.255.0
 no shutdown

ip route 192.168.0.0 255.255.0.0 202.1.1.1
ip route 10.0.0.0 255.255.255.252 202.1.1.1

八、验证与测试

内网激活：NPC1 先 ping 192.168.30.254（激活 L3SW1 的 ARP 表）。

网关测试：NPC1 ping 10.0.1.2（确认内网到防火墙通顺）。

DMZ 测试：Web Server ping 8.8.8.8，浏览器访问 www.test.com。

外网测试：NPC1 ping 8.8.8.8（全路径 NAT 测试）。

事务所并网手册 (事务所 IPS Gig0/2)

1、事务所设备 IP 规划 (GUI 配置)

请在事务所设备的 Desktop -> IP Configuration 中录入：

设备名称	IP 地址	子网掩码	默认网关
FS2	172.16.10.1	255.255.255.0	172.16.10.254
Laptop1	172.16.10.10	255.255.255.0	172.16.10.254
Laptop2	172.16.10.11	255.255.255.0	172.16.10.254
Printer0	172.16.10.20	255.255.255.0	172.16.10.254

2、物理连线规划 (事务所互联网出口)

请严格按照以下物理接口进行连接，特别是 IPS 的 Gig0/2 接口：

内部汇聚连线：

L3SW2 Gi1/0/10 <---> Router2 Gig0/1

互联网安全连线：

Router2 Gig0/0 <---> IPS Gig0/2 (使用 Gig0/2 接口连接路由器)
IPS Gig0/1 <---> ISP2 (互联网出口)

广域网专线连接：

L3SW2 Gi1/0/1 <---> 总部 L3SW1 Gi1/0/23

3、事务所核心交换机配置 (L3SW2)

设置本地网关并实现专线与外网的分流。

enable
configure terminal
hostname L3SW2
ip routing

! 1. 事务所内网网段
vlan 10
 name Jimusho
exit
interface vlan 10
 ip address 172.16.10.254 255.255.255.0
 no shutdown

! 2. 连接 Router2 的上行口 (三层口)
interface GigabitEthernet1/0/10
 no switchport
 ip address 172.16.20.1 255.255.255.252
 no shutdown

! 3. 广域网专线接口 (三层口)
interface GigabitEthernet1/0/1
 no switchport
 ip address 10.1.1.2 255.255.255.252
 no shutdown

! 4. 路由：总部流量走专线，外网流量走本地 Router2
ip route 192.168.0.0 255.255.0.0 10.1.1.1
ip route 0.0.0.0 0.0.0.0 172.16.20.2

请在 L3SW2 上执行以下命令，将连接终端的端口正式划归 VLAN 10：

! 5. 接入端口配置（将 FS2, NPC, PR 正式划入 VLAN 10）
interface range GigabitEthernet1/0/11 - 2
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast    ! 可选：让端口快速进入转发状态
 no shutdown
exit

interface range GigabitEthernet1/0/2 - 2
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast    ! 可选：让端口快速进入转发状态
 no shutdown
exit

4、事务所路由器配置 (Router2)

在 Router2 上完成 NAT 转换，使内网设备能通过 IPS 访问互联网。

enable
configure terminal
hostname Router2

! 接 L3SW2 侧
interface gig0/1
 ip address 172.16.20.2 255.255.255.252
 ip nat inside
 no shutdown

! 接 IPS Gig0/2 侧
interface gig0/0
 ip address 203.0.113.2 255.255.255.252
 ip nat outside
 no shutdown

! NAT 转换规则
access-list 1 permit 172.16.10.0 0.0.0.255
ip nat inside source list 1 interface gig0/0 overload

! 静态路由
ip route 0.0.0.0 0.0.0.0 203.0.113.1
ip route 172.16.10.0 255.255.255.0 172.16.20.1

5、总部端同步配置 (L3SW1)

确保总部核心交换机能够通过专线回访事务所网段。

! 总部核心 L3SW1

interface GigabitEthernet1/0/23
ip route 172.16.10.0 255.255.255.0 10.1.1.2

6、验证测试项

路径验证 (Simulation Mode)：

从 Laptop1 ping 8.8.8.8。

观察 PDU 路径：Laptop1 -> L3SW2 -> Router2 -> IPS (Gig0/2 输入) -> IPS (Gig0/1 输出) -> ISP2。

业务访问验证：

Laptop1 访问总部 Web Server (192.168.10.1)。

此时路径不经过 IPS，而是直接通过广域网专线直达总部。

IPS 安全拦截：

尝试从 Laptop1 发起恶意攻击模拟（如设置 IPS 拦截特定协议），验证 IPS 是否起到过滤作用。

7、修正 NAT 配置

# 建立映射
object network WEB_SRV_PUB
 host 192.168.10.1
 # 将私网 192.168.10.1 映射到公网 10.0.0.1
 nat (dmz,outside) static 10.0.0.1
exit

8、添加 ACL 放行权限

这一步是解决“包被丢弃”的关键，它告诉防火墙：允许外部流量访问内部服务器的 80 端口。

# 1. 允许 HTTP (80)
access-list OUTSIDE_IN extended permit tcp any host 192.168.10.1 eq 80

# 2. 允许 HTTPS (443) - 可选但建议加上
access-list OUTSIDE_IN extended permit tcp any host 192.168.10.1 eq 443

# 3. 将访问控制列表应用到 outside 接口（如果之前应用过，这步会自动覆盖/确认）
access-group OUTSIDE_IN in interface outside

10、清理缓存并生效

ASA 有转换表缓存，修改配置后执行以下命令可以确保新策略立即被应用。

# 在特权模式（#号结尾）下执行
clear xlate
clear conn

11、配置完成后的最终检查

完成上述操作后，请在 ASA 上输入以下指令确认结果：

show access-list：

确认是否出现了 permit tcp any host 192.168.10.1 eq 80 这一行。

show xlate：

确认映射关系仍然存在。

12、验证测试项

路径验证 (Simulation Mode)：

从 Laptop1 ping 8.8.8.8。

观察 PDU 路径：Laptop1 -> L3SW2 -> Router2 -> IPS (Gig0/2 输入) -> IPS (Gig0/1 输出) -> ISP2。

业务访问验证：

Laptop1 访问总部 Web Server (192.168.10.1)。

此时路径不经过 IPS，而是直接通过广域网专线直达总部。

IPS 安全拦截：

尝试从 Laptop1 发起恶意攻击模拟（如设置 IPS 拦截特定协议），验证 IPS 是否起到过滤作用。

先下载

前言

前提知识

注意事项

通过本次的网络搭建，我们将学习到？

Access 链路

Trunk 链路

简要对比

简要对比

hands-on

令和2年秋期午後問5

目标

一、网络拓扑概览

二、IP 规划（示例，可改）

🚀 企业网安全实验完整配置步骤书

三、 服务器配置（GUI 桌面设置）

四、 物理连线规划

五、 交换机配置 (L2/L3)

1. L2SW1 (DMZ 接入)

2. L2SW2 (VLAN 20 接入)

3. L2SW3 (VLAN 30 接入)

4. L3SW1 (核心网关)

六、 防火墙配置 (ASA 5506-X)

七、 路由器配置 (Router1 & ISP)

1. Router1 (企业边界)

2. ISP-Router (模拟公网)

八、 验证与测试

事务所并网手册 (事务所 IPS Gig0/2)

1、 事务所设备 IP 规划 (GUI 配置)

2、 物理连线规划 (事务所互联网出口)

3、 事务所核心交换机配置 (L3SW2)

4、 事务所路由器配置 (Router2)

5、 总部端同步配置 (L3SW1)

6、 验证测试项

7、 修正 NAT 配置

8、 添加 ACL 放行权限

10、 清理缓存并生效

11、 配置完成后的最终检查

12、 验证测试项

三、服务器配置（GUI 桌面设置）

四、物理连线规划

五、交换机配置 (L2/L3)

六、防火墙配置 (ASA 5506-X)

七、路由器配置 (Router1 & ISP)

八、验证与测试

1、事务所设备 IP 规划 (GUI 配置)

2、物理连线规划 (事务所互联网出口)

3、事务所核心交换机配置 (L3SW2)

4、事务所路由器配置 (Router2)

5、总部端同步配置 (L3SW1)

6、验证测试项

7、修正 NAT 配置

8、添加 ACL 放行权限

10、清理缓存并生效

11、配置完成后的最终检查

12、验证测试项