网络设备安装与调试 课件 模块7、8 网络安全接入配置、网络设备维护与故障排除

模块7 网络安全接入配置01任务1计算机终端接入安全02任务2交换机接口安全配置03任务3访问控制列表配置目录04任务4防火墙设备的配置任务1计算机终端接入安全任务描述小明工作后，使用的计算机都携带着关键的数据文件和商业机密信息，然而这些数据在计算机上存在多种潜在的安全隐患，其中最主要的威胁通常源于个人终端的潜在危险操作。为了最大程度地降低这类情况发生的可能性，小明采取一系列有针对性的措施来确保终端的安全性。任务清单

任务清单如表7-1所示任务目标【素质目标】培养学生规范化操作的职业习惯；倡导学生文明上网的安全意识；培养文明健康绿色安全的网络素养；【知识目标】了解操作系统的发展；了解操作系统的安全配置方法；【能力目标】能够配置系统更新；能够安装系统补丁；能够维护个人电脑信息安全；任务重难点【任务重点】操作系统的账户安全配置；系统更新以及补丁的安装；【任务难点】账户安全的配置；关闭系统默认的共享；任务内容1.操作系统的概述2.操作系统安全配置所需材料实训PC安装Windows10系统;资源连接微课、图例、PPT课件、实训报告单表7-1计算机终端接入安全——任务清单任务1计算机终端接入安全任务实施7.1操作系统概述

操作系统（OS：OperatingSystem）是管理计算机硬件与软件资源的计算机程序，同时也是计算机系统的内核与基石。操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本事务。操作系统也提供一个让用户与计算机程序交互的操作界面。操作系统的类型非常多样，不同机器安装的操作系统可从简单到复杂，可从移动电话的嵌入式系统到超级计算机的大型操作系统。许多操作系统制造者对它涵盖范畴的定义也不尽一致，例如有些操作系统集成了图形用户界面，而有些仅使用命令行界面，而将图形用户界面视为一种非必要的应用程序，典型的操作系统有如下几种：

1.Windows操作系统2.UNIX操作系统3.Linux操作系统4.MacOS操作系统5.Netware操作系统6.银河麒麟操作系统

图4-1任务1计算机终端接入安全7.2操作系统安全配置新安装的操作系统都存在不少漏洞或者配置问题，如果对这些漏洞或者配置问题不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者，进而导致操作系统甚至整个计算机出安全问题。1.账户安全策略账户是黑客们入侵系统的突破口，系统的账户越多，黑客们得到合法用户的权限的可能性也就越大。

图4-1（1）使用组合快捷键【Win+R】打开运行对话框，输入“regedit”并按下回车键或点击确定，打开注册表管理窗口，如图7-1所示。图7-1运行对话框任务1计算机终端接入安全（2）在注册表编辑器中，导航到以下路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。（3）在右侧窗口中，右键点击空白区域，选择“新建”>“DWORD(32位)值”，将新建的项命名为“LimitLocalAccountCreation”。（4）双击“LimitLocalAccountCreation”，将基数改为十进制，数值数据设置为你想要的本地用户数量限制，例如设置为10，如图7-2所示。性也就越大。

图4-1图7-2

注册表编辑任务1计算机终端接入安全（5）使用组合快捷键【Win+R】打开运行对话框，输入“secpol.msc”按下回车键或点击确定，打开本地安全策略窗口，如图7-3所示。

图4-1图7-3密码策略任务1计算机终端接入安全（6）双击“密码长度必须符合复杂要求”，将其设置为已启用，依次双击选择密码长度最小值将其设置为“8”，密码最长使用使用期限，用来限制用户密码的最长使用时间为“30天”，如图7-4所示。

图4-1图7-4密码策略设置效果任务1计算机终端接入安全2.关闭系统默认共享操作系统的共享为用户带来了方便，也带来了很多麻烦，经常会有病毒通过共享进入计算机。Windows2000/XP/2003/7/10版本的操作系统提供了默认共享功能。（1）查看默认共享。打开“控制面板”→“管理工具”→“计算机管理”→“系统工具”→“共享文件夹”→“共享”，如图7-5所示。大部分Windows操作系统的C盘、D盘等默认是共享的，这就给黑客的入侵带来了很大的方便，像“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机，然后将病毒上传到这些主机上，及时的关闭共享可以有效阻止该类病毒的传播。

图4-1图7-5

计算机管理器查看共享任务1计算机终端接入安全（2）在计算机管理工具页面选中要删除的共享，按下鼠标右键选择停止共享，如图7-6所示。

图4-1图7-6

使用计算机管理停止共享任务1计算机终端接入安全3.更新与安全（1）长时间不更新系统补丁的电脑，一般都会存在安全隐患。在电脑“设置”中找到“更新和安全”，并点击进入该页面，这时可以看到目前的Windows是不是最新的版本，以及上次检查更新的时间。选择“更新”，完成后“立即重新启动”，这样操作系统的很多漏洞便可以及时进行修补，如图7-7所示。

图4-1图7-7更新与安全任务1计算机终端接入安全（2）选择“Windows安全中心选项”，在“Windows安全中心”的“保护区域”当中包括七个选项，依次选择启用或者打开，也可以及时预防安全隐患的发生，如图7-8所示。

图4-1图7-8

系统安全中心任务2交换机接口安全配置任务描述小明身为公司的网络工程师，最近发现公司的网络速度变慢，经过巡查后发现是有些部门的员工通过自己携带的笔记本接入公司网络来下载电影，不仅影响了公司正常业务的进行，还给公司的网络安全带来了隐患。为了解决该问题，小明决定通过对交换机的接口进行安全配置来保障公司网络的正常运行。任务清单

任务清单如表7-2所示任务目标【素质目标】培养学生规范化操作的职业习惯；树立学生的网络安全意识；培养学生分析与解决问题的职业素养；【知识目标】理解交换机接口安全的基本概念；掌握MAC地址学习和绑定的方法；掌握交换机端口安全配置的方法；【能力目标】能够对交换机端口进行安全配置；任务重难点【任务重点】交换机接口的MAC地址绑定；交换机接口的MAC地址学习数量限制；【任务难点】MAC地址的学习数量限制；任务内容1.交换机接口安全及其防护措施；2.交换机接口安全配置方法；所需材料每组提供能接入网络且安装有eNSP软件的计算机一台。资源连接微课、图例、PPT课件、实训报告单表7-2交换机接口安全配置——任务清单任务2交换机接口安全配置任务实施7.3交换机接口安全

交换机接口安全是指在网络交换机上实施一系列措施，以确保只有经过授权的设备和用户能够连接到交换机的特定接口。用户可通过对交换机接口进行安全配置，提高网络的安全性，防止未经授权的设备或用户对网络进行访问。网络交换机通过多种接口安全措施加强网络安全：

1.MAC地址过滤2.端口设置允许连接最大的设备数量3.MAC地址绑定4.远程端口关闭5.虚拟局域网（VLAN）隔离

图4-1任务2交换机接口安全配置7.4交换机接口安全配置

非经授权的计算机接入网络会导致公司信息管理成本上升，不仅会影响公司正常用户对网络的使用，还可能引发严重的网络安全问题。为了解决这个问题，我们可以在接入交换机上配置接口安全功能。通过使用MAC地址绑定，我们不仅能够解决非授权计算机影响正常网络使用的问题，还能有效防范用户利用未绑定MAC地址的接口进行MAC地址泛洪攻击。为了帮助同学们学习和掌握交换机接口安全的配置方法，我们将使用两台型号为S3700的交换机来模拟网络，实验拓扑结构如图7-9所示。

图4-1图7-9接口安全实验拓扑图任务2交换机接口安全配置

1.完成拓扑图基本设置，修改计算机名为PC1、PC2和PC3，修改交换机名为SW1和SW2，并按照图中所示依次连接各个设备（PC3暂时不连接），开启设备。

2.完成计算机的IP配置，并将其IP地址设置为拓扑图中示例，查看计算机的MAC地址，双击PC1，在计算机“命令行”界面中输入“ipconfig”，查看MAC地址，依次查看PC2的MAC地址，如图7-10所示。

图4-1图7-10

查看设备MAC地址任务2交换机接口安全配置

3.在SW1和SW2两个交换机中完成基本配置如下：SW1：<Huawei>system-view[Huawei]sysnameSW1[SW1]undoinfo-centerenableSW2：<Huawei>system-view[Huawei]sysnameSW2[SW2]undoinfo-centerenable

4.开启交换机口的接口安全，并绑定对应的MAC地址。在SW1的Ethernet0/0/1接口配置StickyMAC。[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]port-securityenable//开启端口安全功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky//开启StickyMAC功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky5489-98F8-4D79vlan1//手动配置一条sticky-mac表项，绑定PC1的MAC地址在交换机上使用displaymac-address命令，查看交换机与计算机之间的接口类型是否变为Sticky，如图7-11所示。

图4-1图7-11查看交换机端口类型任务2交换机接口安全配置

5.在SW1的GE0/0/1接口配置接口安全动态MAC地址。[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]port-securityenable//开启端口安全功能[SW1-GigabitEthernet0/0/1]port-securitymax-mac-num1

//限制安全MAC地址最大数量为1个，默认为1[SW1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown

//配置其他非安全MAC地址数据帧的处理动作为关闭接口6.使用Ping命令测试PC1和PC2，可以看出PC1和PC2之间可以互相通信，如图7-12所示。

图4-1图7-12

连通性侧测试任务2交换机接口安全配置将PC3连接到SW2的任意接口后，用PC1对PC3进行连通性测试。此时，PC1和PC3之间无法互相通信，如图7-13所示。这是因为SW1的GE0/0/1接口被限制只能学习一个MAC地址，当有多台计算机通过时，交换机将发出警告并关闭该接口。

图4-1图7-13连通性测试2

任务2交换机接口安全配置使用displayinterfacebrief|includeGigabitEthernet0/0/1命令查询GigabitEthernet0/0/1接口是否已经关闭，如图7-14所示，此时再次使用PC1与PC2进行连通性测试，发现端口关闭的情况下，两台原本连通的计算机也无法连通，如图7-15所示。

图4-1图7-14查看端口关闭情况图7-15连通性测试3任务3访问控制列表配置任务描述小明作为公司的网络管理员，负责管理和维护公司内部网络的安全性。为了强化网络安全措施，小明计划配置访问控制列表（ACL）以限制对关键网络资源的访问，旨在确保只有经过授权的用户和设备能够访问特定的网络服务和信息。任务清单

任务清单如表7-3所示任务目标【素质目标】培养学生规范化操作的职业习惯；树立学生的网络安全意识；培养学生分析与解决问题的职业素养；【知识目标】了解访问控制列表的基本概念；了解ACL组成元素；了解标准ACL分类；【能力目标】能够熟练掌握ACL的配置；任务重难点【任务重点】交换机接口的MAC地址绑定；交换机接口的MAC地址学习数量限制；【任务难点】MAC地址的学习数量限制；任务内容1.访问控制列表基本概念、组成及分类；2.配置访问控制列表；所需材料每组提供能接入网络且安装有eNSP软件的计算机一台。资源连接微课、图例、PPT课件、实训报告单表7-3访问控制列表配置——任务清单任务3访问控制列表配置任务实施7.5访问控制列表

访问控制列表（AccessControlList，简称ACL）是一种用于管理文件系统、网络设备或其他资源访问权限的列表。ACL包含了一系列规则，这些规则定义了谁可以访问资源以及以何种方式进行访问。ACL常用于操作系统、网络设备、数据库等系统中，以确保对资源的访问受到严格控制。ACL通常包括以下元素：1.用户/组标识符：指定了具体的用户或用户组，这些用户或组将受到ACL规则的影响。2.权限：指定了允许或拒绝的操作类型，如读取、写入、执行等。3.资源标识符：指定了ACL规则适用的资源，可以是文件、目录、网络资源等。

图4-1任务3访问控制列表配置7.5访问控制列表配置

访问控制列表技术主要用于网络层的访问控制，而路由器通常是网络中的设备，负责处理不同子网之间的数据流量，故一般在路由器上配置ACL允许或拒绝特定的数据流，从而实现网络层的访问控制。下面仅从网络安全的角度对ACL的基本配置进行简单介绍。同学们可以由此学习和掌握基本访问控制列表的配置方法，实现只有财务部门可以访问技术部，而销售部不能访问技术部，其网络拓扑图结构如图7-16所示。

图4-1图7-16访问控制列表实验拓扑任务3访问控制列表配置

1.按照图7-16，完成拓扑实验结构，添加3台计算机，将标签名分别更改为PC1、PC2、PC3。其中，PC1代表财务部的主机，PC2为销售部的主机，PC3代表为技术的主机，并分别为其手动添加IP地址、子网掩码和网关，具体配置IP地址详见表7-4。

图4-1计算机IP地址网关PC1/2454PC2/2454PC3/2454表7-4

计算机的IP地址信息2.添加两台型号为AR2220的路由器，路由器名称分别设置为R1和R2。为R1和R2添加2SA模块，并添加在Serial1/0/0接口的位置上，如图7-17所示。图7-17添加路由器2SA模块任务3访问控制列表配置

3.PC1连接R1的GE0/0/0接口，PC2连接R1的GE0/0/1接口，PC3连接R2的GE0/0/0接口，R1的Serial1/0/0接口连接R2的Serial1/0/0接口，接口IP地址信息如表7-5所示，开启所有设备。

表7-5路由器的接口、IP地址/子网掩码

图4-1设备名称接口IP地址/子网掩码R1GE0/0/054/24GE0/0/154/24Serial1/0/0/24R2GE0/0/054/24Serial1/0/0/24任务3访问控制列表配置4.R1的基本配置如下：<Huawei>system-view[Huawei]sysnameR1[R1]undoinfo-centerenable[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424[R1]interfaceGigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1]ipaddress5424[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipaddress24[R1-Serial1/0/0]quit5.R2的基本配置如下：<Huawei>system-view[Huawei]sysnameR2[R2]undoinfo-centerenable[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress5424[R2]interfaceSerial1/0/0 [R2-Serial1/0/0]ipaddress24[R2-Serial1/0/0]quit

图4-1任务3访问控制列表配置6.配置静态路由，实现全网互通：[R1]iproute-static[R2]iproute-static[R2]iproute-static7.分别查看RA和RB的静态路由信息，如图7-18所示。[RA]displayiprouting-tableprotocolstatic[RB]displayiprouting-tableprotocolstatic图4-1图7-18路由信息任务3访问控制列表配置8.配置基本访问控制列表。[R2]acl2000[R2-acl-basic-2000]ruledenysource55[R2-acl-basic-2000]quit9.查看基本访问控制列表，如图7-19所示。[R2]displayaclall图4-1图7-19查看基本访问控制列表任务3访问控制列表配置10.将访问控制列表应用到接口上。[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filteroutboundacl2000[R2-GigabitEthernet0/0/0]quit11.测试PC1与PC3连通性，结果是互通的，如图7-20所示，测试PC2和PC3之间的连通性，结果是不通的，如图7-21所示。图4-1图7-20连通性测试1图7-21连通性测试2任务4防火墙设备的配置任务描述小明身为企业网络工程师，为隔离不同安全级别的网络，保护企业内部网络免受来自外网的攻击和入侵，于是购买了企业防火墙，通过防火墙用来允许合法流量通过防火墙，禁止非法流量通过防火墙。任务清单

任务清单如表7-6所示任务目标【素质目标】培养学生规范化操作的职业习惯；树立学生的网络安全意识；培养学生分析与解决问题的职业素养；【知识目标】了解防火墙及其工作原理；了解防火墙安全区域的划分；了解防火墙安全策略；【能力目标】能够登录并配置防火墙；能够配置防火强安全策略；任务重难点【任务重点】防火强安全策略配置；【任务难点】防火墙安全区域的划分；防火墙的工作原理；任务内容1.防火墙及其工作原理；2.登录并配置防火墙；所需材料每组提供能接入网络且安装有eNSP软件的计算机一台。资源连接微课、图例、PPT课件、实训报告单表7-6防火墙设备的配置——任务清单任务4防火墙设备的配置任务实施7.6防火墙防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。防火墙位于企业Internet出口保护内网安全，在防火墙上可以指定规则，允许内网的PC访问Internet，禁止Internet外网用户访问内网主机，如图7-22所示。

图4-1图7-22防火墙示意图任务4防火墙设备的配置

防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机通常用来组建局域网，作为局域网通信的重要枢纽，用来快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。防火墙通过将各接口划分到不同的安全区域，从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域（部分机型的独立管理口除外）才能处理流量。安全区域（SecurityZone）是防火墙的重要概念，一般防火墙默认有4个安全区域：1.Local：本地区域，防火墙所有IP都属于这个区域；2.Trust：受信任的区域；3.DMZ：是介于管制和不管制区域之间的区域，一般放置服务器；4.Untrust：一般连接Internet和不属于内网的部分。

图4-1任务4防火墙设备的配置7.8防火墙综合配置实验

本次实验拓扑如图7-23所示，实验配置目标：Trust区域可以访问全部区域，UnTrust区域可以访问DMZ区域。

图4-1图7-23防火墙综合配置实验拓扑任务4防火墙设备的配置

1.按照拓扑图，添加两台计算机，将标签名修改为PC1和PC2，其中PC1代表内网Trust区域设备，PC2用来表示ISP互联网运营商；添加一台Server服务器，用来模拟DMZ区域的服务器设备群；添加一台USG6000V防火墙设备，用来隔离不同的网络区域，并将其标签修改为FW1；

2.将PC1的Eth0/0/0接口连接到FW1的GE1/0/0接口，将PC2的Eth0/0/0接口连接到FW1的GE1/0/1接口，Server1的Eth0/0/0连接到FW1的GE1/0/2接口，使用直通线连接好所有的设备。设置每台设备接口的IP地址、子网掩码和网关，如表7-7所示，开启所有设备。表7-7设备的IP地址、子网掩码以及网关图4-1设备名称接口IP地址/掩码网关FW1GE1/0/0/24

GE1/0/1/24

GE1/0/2/24

PC1Eth0/0/0/24PC2Eth0/0/0/24Server1Eth0/0/0/24任务4防火墙设备的配置

3.配置FW1，第一次进入FW1配置界面，需要输入账号和密码，初始账号为admin，密码为Admin@123,进入后提示需要修改密码，修改密码必须复合密码复杂性规则，包含大写字母、小写字母、数字及符号，如图7-24所示。

图4-1图7-24防火墙登录界面任务4防火墙设备的配置

4.FW1的基本配置如下：<USG6000V1>system-view[USG6000V1]sysnameFW1[FW1]undoinfo-centerenable[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24[FW1-GigabitEthernet1/0/0]intGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24[FW1-GigabitEthernet1/0/1]intGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]quit5.为FW的接口配置不同的安全区域：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/2[FW1-zone-dmz]quit

图4-1任务4防火墙设备的配置6.配置Ttust区域可以访问DMZ：[FW1]security-policy//进入防火墙安全策略[FW1-policy-security]rulenametrust_to_dmz//创建trust到dmz的规则[FW1-policy-security-rule-trust_to_dmz]source-zonetrust//源域为trust[FW1-policy-security-rule-trust_to_dmz]destination-zonedmz//目标域为dmz[FW1-policy-security-rule-trust_to_dmz]source-address24//源域IP网络地址[FW1-policy-security-rule-trust_to_dmz]destination-address24//目标域IP网络地址[FW1-policy-security-rule-trust_to_dmz]actionpermit//允许通过配置完成后，进行测试，发现Trust区域的PC1可以成功访问DMZ区域的服务器Server1，但是Server1不能访问PC1，如图7-25所示。

图4-1图7-25PC1与服务器相互访问效果任务4防火墙设备的配置7.配置Ttust区域可以访问UnTrust区域：[FW1]security-policy//进入防火墙安全策略[FW1-policy-security]rulenametrust_to_untrust//创建trust到untrust的规则[FW1-policy-security-rule-trust_to_untrust]source-zonetrust//源域为信任域[FW1-policy-security-rule-trust_to_untrust]destination-zoneuntrust//目标域为untrust[FW1-policy-security-rule-trust_to_untrust]source-address24[FW1-policy-security-rule-trust_to_untrust]destination-address24[FW1-policy-security-rule-trust_to_untrust]actionpermit//允许通过配置完成后，进行测试，发现Trust区域的PC1可以成功访问UnTrust区域的PC2，但是PC2不能访问PC1，如图7-26所示。

图4-1图7-26PC1与PC2相互访问效果任务4防火墙设备的配置8.配置UnTrust可以访问DMZ区域：[FW1]security-policy[FW1-policy-security]rulenameuntrust_to_dmz[FW1-policy-security-rule-untrust_to_dmz]source-zoneuntrust[FW1-policy-security-rule-untrust_to_dmz]destination-zonedmz[FW1-policy-security-rule-untrust_to_dmz]source-address24[FW1-policy-security-rule-untrust_to_dmz]destination-address24[FW1-policy-security-rule-untrust_to_dmz]actionpermit配置完成后，进行测试，发现UnTrust区域的PC2可以成功访问DMZ区域的服务器v，但是Server1不能访问PC2，如图7-27所示。

图4-1图7-27PC2与服务器相互访问效果谢谢模块8网络设备维护与故障排除01任务1设备的例行维护02任务2利用三层交换机实现不同VLAN间的通信目录任务31设备的例行维护任务描述:任务清单小李应聘成为A公司网络管理员，他将从事哪些日常维护工作呢？任务目标【素质目标】在本任务的学习中，融入职业道德教育，培养学生爱岗敬业、认真负责、忠于职守的优秀品质；【知识目标】了解机房环境检查的内容；掌握硬件例行检查的内容和方法；掌握系统日常运维的内容及方法；掌握备份配置文件的方法；【能力目标】能够达到网络管理员日常维护的岗位要求；任务重难点【任务重点】掌握硬件例行检查的内容和方法；定期备份网络设备的配置文件；【任务难点】配置文件备份的方法；任务内容1．例行检查与维护；2．定期备份网络设备的配置文件；所需材料为每组提供能接入网络的计算机一台、无线终端或手持平板一部、无线路由器一台；资源连接微课、图例、PPT课件、实训报告单。8.1例行检查与维护1．机房环境的检查计算机机房环境包括硬件和软件环境，为保证计算机及通信系统稳定可靠地运转，计算机机房环境必须满足计算机等电子设备对温度、湿度、洁净度、防漏、电源质量、防雷、电磁场强度、屏蔽、接地和安全保卫等方面的要求。信息中心机房系统的可靠与否直接关系着通信网络能否正常、持久、稳定地运行。小李每天例行打扫机房，保持整洁；机房温度最好保持在20℃～25℃，相对湿度在40%～60%之间。可以安装空调达到恒温效果，每天进行空调工作状态检查与机房温、湿度检查，及时把温度、湿度调整在适宜区间内。电源、UPS的工作状态。通信机房一般需要24小时每天检查运行，检查机房供电状况非常有必要。任务31设备的例行维护2．硬件例行检查（1）定期检查和清洁设备。每季度对设备进行检查，包括查看连线的稳定性和紧固度；定期清洗设备，除去灰尘和杂物，并确保通风良好。（2）定期查看路由器、交换机状态指示灯状态、发声发热状态。定期监测各端口的工作状态，保障所有端口畅通运行。指示灯分为电源指示灯、网络连接指示灯、无线信号指示灯、有线连接指示灯。源指示灯（PWR）：电源指示灯在路由器正常工作时通常呈现稳定的亮状态。这意味着路由器的电源正常，设备正常工作。网络连接指示灯（WAN）：当路由器与互联网成功连接时，WAN指示灯会稳定亮起。在数据传输过程中，WAN指示灯会根据网络流量的大小，以不同速度闪烁。这表明路由器正在进行数据传输。无线信号指示灯（WLAN/Wi-Fi）：无线信号指示灯在无线网络开启时，呈现持续亮起的状态。当设备通过无线连接传输数据时，指示灯会根据网络流量的大小，以不同速度闪烁。这表示路由器的无线网络功能正常。有线连接指示灯（LAN）：当设备通过有线方式连接路由器时，对应的LAN指示灯会亮起。在数据传输过程中，LAN指示灯会根据网络流量的大小，以不同速度闪烁。这显示路由器的有线网络功能正常。任务31设备的例行维护（3）局域网线路维护线路是局域网连接的重要组成部分，线路的通断直接影响用户使用本地网络，因此线路的维护也非常关键。导致线路故障主要原因有：因水晶头与交换机连接状态

异常导致故障；因水晶头与信息点端口的连接状态

异常导致故障；因模块端口连接异常导致故障；

因双绞线老化或损坏导致故障；

因水晶头接触不良导致故障。任务31设备的例行维护3．系统的日常维护小李定期提取路由器、交换机运行日志，根据日志分析设备运行情况。华为路由器日志是记录路由器操作信息的重要工具。下面是华为路由器日志查看的不同方式。（1）通过网络管理系统界面直接查看日志信息。这种方式需要登录到路由器的Web界面，进入日志查看页面。在页面上，用户可以通过筛选条件查看所需的日志信息。这种方式适用于需要快速查看特定时间段内的日志信息的情况。（2）通过执行命令displaylogbuffer[sizevalue|modulemodule-name|levelseverity]*，可以查看日志缓冲区记录的信息。这种方式可以在控制台或远程终端上查看。用户可以通过设置不同的筛选条件来查看不同级别的日志信息。这种方式适用于需要查看详细日志信息的情况。（3）通过执行命令displaydiag-logfilecfcard2:/log/，可以直接打开路由器日志文件。这种方式需要先通过命令行进入诊断模式，然后使用命令查看日志文件。这种方式适用于需要查看历史日志信息的情况。4．计算机网络病毒监测小李为重要的服务器安装了360杀毒软件。360杀毒软件是广受欢迎的免费杀毒软件，采用智能引擎技术，根据用户不同情况，智能选择最佳引擎组合。360杀毒软件是360安全中心出品的一款免费的云安全杀毒软件。360杀毒软件具有以下优点：查杀率高、资源占用少、升级迅速等。任务31设备的例行维护任务31设备的例行维护当今几乎每一个网络都会配置一些专用的外部存储设备，而这些设备确实在不少灾难性的数据失事中发挥了扭转乾坤的作用。实际上，这些备份装置的费用只占服务器硬件的10%，而它却能为用户提供100%的数据保护，从而避免10倍甚至百倍的经济损失。小李定期备份路由、交换设备的配置文件。以路由器为例，开启路由器的FTP服务，从本地计算机访问华为网络设备的FTP服务，下载备份文件。具体步骤为：1．让计算机和要进行备份的路由器处在同一网段，注意测试连通性。2．在路由器上开启FTP服务，并配置aaa认证的用户和密码。8.2定期备份网络设备的配置文件3．在本地计算机登录FTP服务器并下载配置文件。binary命令将数据的传输模式设置为二进制模式（还有一种模式为ASCII）。lcdd:\命令设置从FTP服务器下载的文件保存的位置，这里的保存位置设置为d盘根目录（可自行设置）。之后下载的备份文件就保存在本地计算机的d盘根目录了。任务32网络故障排除任务描述:任务清单A公司网络管理员小李接到研发部电话，该部门计算机无法上网。于是小李紧急奔赴现场进行故障排检。任务目标【素质目标】在本任务的学习中，融入职业道德教育，培养学生爱岗敬业、认真负责、忠于职守的优秀品质；【知识目标】掌握使用ipconfig命令查看网络配置的方法；掌握使用ping命令测试网络连通性的方法；了解ARP原理及ARP病毒的危害；掌握使用tracert、routeprint、Netstat等命令查看网络路由信息的方法；【能力目标】能够及时排检网络故障，锁定故障点；任务重难点【任务重点】使用ping命令排除故障点的方法；【任务难点】对ARP原理的理解；对路由表结构的掌握；任务内容1．使用ipconfig命令查看网络配置；2．使用ping命令测试网络连通性；3．使用arp命令查看网络地址缓存；4．使用tracert命令查看网络路由信息；5．使用routeprint命令查看本机网络路由表；6．使用netstat命令统计网络信息；所需材料为每组提供能接入网络的计算机一台、无线终端或手持平板一部、无线路由器一台；资源连接微课、图例、PPT课件、实训报告单。8.3使用ipconfig命令查看网络配置Ipconfig命令的使用方法Ipconfig命令的使用方法分为不带参数与带参数使用两种。不带参数的Ipconfig命令显示DNS后缀、IP地址、子网掩码、默认网关等基本信息。相对而言，带参数的Ipconfig命令显示的信息更为丰富、具体。（1）不带参数的Ipconfig命令打开计算机的Windows操作系统，从“开始”菜单中打开RUN（运行）窗口，或通过组合键“WIN+R”打开RUN（运行）窗口。输入CMD命令，打开命令窗口，输入ipconfig并按回车键，运行结果如图所示。任务32网络故障排除（2）带参数all参数：如图8-2所示。带all参数还会显示物理地址、DHCP信息等更为详实的配置信息。其命令格式为ipconfig/all，运行结果如图所示。任务32网络故障排除3．ipconfig命令在维修中的作用在维修中ipconfig命令主要用来检查TCP/IP的配置是否正确，以及释放或重新获得DHCP下发的动态IP地址。release和renew参数：其用法是ipconfig/release、ipconfig/renew。如果输入ipconfig/release，那么所有端口租用的IP地址便重新交付给DHCP服务器；如果输入ipconfig/renew，那么本地计算机便与DHCP服务器取得联系，租用一个IP地址。在大多数情况下，网卡被重新赋予和以前相同的IP地址。任务32网络故障排除8.4使用ping命令测试网络连通性1．ping命令及其排除故障的原理ping命令是在判断网络故障时经常使用的命令。掌握ping命令的各类使用技巧能够帮助我们排除不少网络故障。ping命令是Windows系统自带的可执行命令，通过它不仅可以检查网络是否连通，还可以分析判定网络出故障的节点。其原理是网络上的机器都有唯一的IP地址，给目标IP地址发送一个数据包，对方就要返回一个一样大小的数据包，根据返回的数据包我们能够确定目标主机的存在，能够初步判断与目标机器是否是连通的、时延多少。如果返回的数据包正常则证明与目标主机是连通的，反之不通，则二者之间必然存在故障。2．ping命令的使用方法打开计算机Windows操作系统，从“开始”菜单打RUN（运行）窗口，或通过组合键“WIN+R”打开RUN（运行）窗口，输入CMD命令，打开命令窗口。然后输入ping命令。ping命令的格式是：pingIP地址。例如，ping。需要注意的是，ping与IP地址之间需要有空格，否则报错。不一定非得pingIP地址，也能够直接ping主机域名，这样就能够获得主机的IP地址。任务32网络故障排除3．ping命令参数的使用参

数功

能-tping指定的主机，直到停止。若要查看统计信息并继续操作，键入Ctrl+Break；若要停止，键入Ctrl+C-n

count发送指定的数据包数，默认发送4个-l

size

指定发送的数据包的大小，默认发送的数据包大小为32B-f

在数据包中设置“不分段”标记（仅适用于IPv4），这样数据包就不会被路由上的网关分段-i

TTL将“生存时间”字段设置为TTL指定的值-r

count记录计数跃点的路由（仅适用于IPv4），最多记录9个-w

timeout指定超时间隔，单位为ms-4强制使用IPv4-6强制使用IPv4任务32网络故障排除4．ping命令的返回信息（1）当返回信息为“ReplyfromX.X.X.X:bytes=XXtime<XmsTTL=XXX”时，表示与IP地址为X.X.X.X的目标主机连通正常。（2）当返回信息为“requesttimedout”时，意味着请求超时，说明网络不通或网络状态不佳。存在4种情况。第一种情况，对方机器故障、已关机，或者网络上根本没有这个地址；第二种情况，对方与自己不在同一网段内，或通过路由也无法找到对方；第三种情况，对方确实存在，但设置了ICMP数据包过滤（比如防火墙设置）；第四种情况，对方错误设置了IP地址。（3）当返回信息是“destinationhostUnreachable”时，说明对方主机不存在或者没有跟对方建立连接。第一种情况可能是对方与自己不在同一网段内，而自己又未设置默认的路由，第二种情况可能是网线出了故障。这里要说明一下“destinationhostunreachable”和“timedout”的区别。如果所经过的路由器的路由表中具有到达目标的路由，而目标因为其他原因不可到达，这时候会出现“timeout”提示，而如果路由表中连到达目标的路由都没有，那就会出现“destinationhostunreachable”提示。（4）当返回信息为“badIPaddress”时，表示可能没有连接到DNS服务器，所以无法解析这个IP地址，也可能是IP地址不存在。任务32网络故障排除5．ping命令排除故障的方法（1）ping。是本地循环地址，如果无法ping通，则说明本机TCP/IP协议不能正常工作了。（2）ping本机IP地址。通则表示网卡正常，否则网卡出现故障。（3）ping同网段IP地址。不通表明网线或交换机出现故障，通则进行下一步排检。（4）ping网关IP地址。不通则表明网关出现故障，通则进行下一步排检。（5）ping网络中的主机域名。例如ping。不通说明DNS服务器出现问题。（6）ping远程IP地址。不通则表明网络连接出现问题。任务32网络故障排除8.5使用arp命令查看网络地址缓存ARP是TCP/IP协议族中的一个重要协议，用于确定对应IP地址的网卡物理地址。在《网络基础》先导课程中我们学习过OSI参考模型，了解IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的。ARP协议工作时，首先请求主机发送一个含有其希望到达的IP地址的以太网广播