2023年7月17日发(作者：)

网络安全区域划分

一、 实验目的

学习如何依据等级保护级别设计安全防护框架，进行网络区域划分，明确安全计算环境、安全区域边界、安全通信网络以及安全管理中心的位置。

二、 实验软硬件要求

华为ensp仿真模拟软件。

三、 等级保护2.0相关要求

应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。（二级、三级、四级）

四、 实现功能

对公司中网络进行区域划分，需求如下：

一、 财务部门机器不能够被除了行政部以外其他部门访问（IT运维区除外）。

二、 公共服务区要能被所有部门访问（生产部除外）。

三、 设立IT运维区对内部网络进行运维和管理，可以管理全网络。

四、 销售部能够与行政部、研发部通信。

五、 研发部能够与策划部、售后部和销售部通信。

六、 行政部能和财务部、销售部通信。

七、 生产部的设备很多，有1000多台，要求要能相互访问。

八、 IT运维区10.1.80.0/24段预留10个左右IP给外来人员办公使用(不能访问其他部门/仅能访问服务器)。

九、 生产部接口需要配置DHCP动态分配IP地址。

十、 公共服务防火墙使用USG6000V，允许内网已有的地址可以访问，最后一条必须是禁止所有访问

vlan划分如下：

部门

财务部

行政部

销售部

生产部

售后部

策划部

研发部

IT运维区

外来办公区

vlan

10

20

30

40

50

60

70

80

90

ip

10.1.10.1-254

10.1.20. 1-254

10.1.30. 1-254

10.1.40.1-10.1.47.254

10.1.50. 1-254

10.1.60. 1-254

10.1.70. 1-254

10.1.80. 1-126

10.1.80. 244-254

说明

与行政部可以通信

与财务部、销售部可以通信

与行政部以及研发部通信

独立区域

与研发部可以通信

与研发部可以通信

与售后部、策划部、销售部可以通信

可达全网

可达公共服务区 公共服务区

100 10.1.100. 1-254

可达全网(生产部除外)

五、 实验原理

VLAN间通信的方法

在华为的交换机上通常能有三种方法来实现。

方法一、通过单臂路由来实现VLAN通信。

以太网子接口常用于vlan间的三层互通和局域网与广域网间的互联。因传统的三层网接口不支持vlan，当收到vlan报文时会当做非法报文而丢弃，通过在子接口上部署终结子接口功能将vlan报文中的vlan标签去掉，从而实现vlan间的三层互通。

方法二、通过SVI接口进行三层转发。

通过三层设备对数据进行路由转发可以实现VLAN间的通信，通过在三层交换机上为各VLAN配置SVI接口，利用三层交换机的路由功能可以实现VLAN间的路由。

方法三、通过hybird接口来实现。

工作在hybird模式下的端口，可以自由控制数据包是否带或者不带vlan标签通过，通过这个特性,可以实现多VLAN之间访问。

本例采用方法三，原因是划分区域比较自由。

六、 实验拓扑

七、 实验操作方法

一、打开网络拓扑，路径为F:学生环境网络与通信安全实验二，

打开桌面上的Ensp软件，

打开实验拓扑

然后在办公楼与生产大楼交换机上建立如下VLAN。

[Huawei]sysname SWA

[SWA] vlan batch 10 20 30 40 50 60 70 80 90 100

SWB配置也是如此，不在重复。

二、配置SWA与SWB大楼间专线。

SWA：

[SWA]int g0/0/1

[SWA-GigabitEthernet0/0/1]port link-type trunk

[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50 60 70 80 90 100

SWB：

[SWB]int g0/0/1

[SWB-GigabitEthernet0/0/1]port link-type trunk

[SWB-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50 60 70 80 90 100

三、为每个端口（部门）分配vlan。

SWA:

[SWA]int g0/0/2

[SWA-GigabitEthernet0/0/2]port hybrid pvid vlan 10 //财务部

[SWA-GigabitEthernet0/0/2]int g0/0/3

[SWA-GigabitEthernet0/0/3]port hybrid pvid vlan 20 //行政部

[SWA-GigabitEthernet0/0/3]int g0/0/4

[SWA-GigabitEthernet0/0/4]port hybrid pvid vlan 30 //销售部

[SWA-GigabitEthernet0/0/4]int g0/0/5

[SWA-GigabitEthernet0/0/5]port hybrid pvid vlan 60 //策划部

[SWA-GigabitEthernet0/0/5]int g0/0/7

[SWA-GigabitEthernet0/0/7]port hybrid pvid vlan 90 //外来人员办公区

[SWA-GigabitEthernet0/0/7]int g0/0/6

[SWA-GigabitEthernet0/0/6]port hybrid pvid vlan 100 //公共服务区

SWB:

[SWB]int g0/0/2

[SWB-GigabitEthernet0/0/2]port hybrid pvid vlan 40 //生产区

[SWB-GigabitEthernet0/0/2]int g0/0/3

[SWB-GigabitEthernet0/0/3]port hybrid pvid vlan 50 //售后部 [SWB-GigabitEthernet0/0/3]int g0/0/4

[SWB-GigabitEthernet0/0/4]port hybrid pvid vlan 70 //售后部

[SWB-Vlanif80]int g0/0/5

[SWB-GigabitEthernet0/0/5]port hybrid pvid vlan 80 //IT运维区

四、根据需求来设置VLAN的untagged参数。

（1）财务部可以与行政部、公共服务区和IT运维区通信。

[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 10 20 80 100

（2）行政部可以与财务部、销售部、公共服务区和IT运维区通信。

[SWA-GigabitEthernet0/0/3]port hybrid untagged vlan 10 20 30 80 100

（3）销售部可以与行政部、研发部公共服务区和IT运维区通信。

[SWA-GigabitEthernet0/0/4]port hybrid untagged vlan 20 30 70 80 100

（4）生产部可以与IT运维区通信。

[SWB-GigabitEthernet0/0/2]port hybrid untagged vlan 40 80

（5）售后部可以与研发部、公共服务区和IT运维区通信。

[SWB-GigabitEthernet0/0/3]port hybrid untagged vlan 50 70 80 100

（6）策划部可以与研发部、公共服务区和IT运维区通信。

[SWA-GigabitEthernet0/0/5]port hybrid untagged vlan 60 70 80 100

（7）研发部可以与售后部、策划部、销售部、公共服务区和IT运维区通信。

[SWB-GigabitEthernet0/0/4]port hybrid untagged vlan 30 50 60 70 80 100

（8）IT运维区、公共服务区可达全网。

[SWB-GigabitEthernet0/0/5]port hybrid untagged vlan 10 20 30 40 50 60 70 80 90 1

00

（8）公共服务区可达全网（生产部除外）。

[SWA-GigabitEthernet0/0/6]port hybrid untagged vlan 10 20 30 50 60 70 80 90 100

（9）外来办公区可达公共服务区

[SWA-GigabitEthernet0/0/7]port hybrid untagged vlan 90 100

五、配置PC地址。

PC名称

财务部

行政部

销售部

生产部

售后部

策划部

研发部

IT运维区

外来办公区

公共服务区

10.1.10.2/16

10.1.20.2/16

10.1.30.2/16

DHCP获取

10.1.50.2/16

10.1.60.2/16

10.1.70.2/16

10.1.80.2/25

10.1.80.202/16

10.1.100.2/16

IP地址

六、配置生产区的DHCP协议。

[SWB]dhcp enable

[SWB]int vlan 40

[SWB-Vlanif40]ip add 10.1.47.254 21

[SWB-Vlanif40]dhcp select interface

[SWB-Vlanif40]dhcp server forbidden-ip 10.1.47.254

七、配置防火墙。

本地虚拟网卡配置IP地址为192.168.0.1，连接防火墙的g0/0/0口，如下图所示。

步骤1、修改网络接口

浏览器访问192.168.0.1:8443

输入默认用户名密码admin/Admin@123登陆防火墙，并修改原始密码。

首先进入【网络】-【接口】-【编辑】，将连接SWA与公共服务区的两个接口改为二层模式

步骤2、创建地址对象

进入【对象】-【地址】，创建公共服务区地址和内网地址两个对象，如图所示

步骤3、创建安全策略，允许内网地址访问公共服务区地址。

进入【策略】-【安全策略】，添加允许内网地址访问公共服务区地址规则

至此，整个实验配置完成。

八、验证配置。

验证功能需求。

（1）财务部可以与行政部、公共服务区和IT运维区通信。

进入代表财务部的PC主机，【右键】-【设置】-【命令行】

ping 10.1.20.2 //财务部到行政部

ping 10.1.80.2 //财务部到IT运维区

ping 10.1.100.2 //财务部到公共服务区

（2）行政部可以与财务部、销售部、公共服务区和IT运维区通信。

与财务部第一步已经验证过了，不再验证。

进入代表行政部的PC主机，【右键】-【设置】-【命令行】

ping 10.1.30.2 //行政部到销售部

ping 10.1.80.2 //行政部到IT运维区

ping 10.1.100.2 //行政部到公共服务区

（3）销售部可以与行政部、研发部公共服务区和IT运维区通信。

与行政部第二步已经验证过了，不再验证。

进入代表销售部的PC主机，【右键】-【设置】-【命令行】

ping 10.1.70.2 //销售部到研发部

ping 10.1.80.2 //销售部到IT运维区

ping 10.1.100.2 //销售部到公共服务区

（4）生产部可以与IT运维区通信。

进入代表生产部的PC主机，【右键】-【设置】

更改IPV4配置为DHCP，

切换到【命令行】，输入Ipconfig /renew，观察是否获取了合法IP。

ping 10.1.80.2 生产部到IT运维区

（5）售后部可以与研发部、公共服务区和IT运维区通信。

ping 10.1.70.2 //售后部到研发部

ping 10.1.100.2 //售后部到公共服务区

ping 10.1.80.2 //售后部到IT运维区通信

（6）策划部可以与研发部、公共服务区和IT运维区通信。

ping 10.1.70.2 //策划部到研发部

ping 10.1.100.2 //策划部到公共服务区

ping 10.1.80.2 //策划部到IT运维区通信

（7）研发部可以与售后部、策划部、销售部、公共服务区和IT运维区通信。

与售后部、策划部、销售部已在前面步骤验证过，不在重复。

ping 10.1.100.2 //研发部到公共服务区

ping 10.1.80.2 //研发部到IT运维区通信

（8）外来办公区可达公共服务区

ping 10.1.100.2 //外来办公区到公共服务区

（9）IT运维区可达全网。

前面步骤验证过了，不在重复。

（10）公共服务区可达全网（生产部除外）。

前面步骤验证过了，不在重复。

至此，验证成功，实验结束。

八、 注意事项

 网络区域划分的实现特定需求的方法不止一种。

 网络拓扑的的URL为：F:学生环境网络与通信安全实验二

九、 附加实验

实验内容：在原来的拓扑基础上，使用三层路由转发来实现特定VLAN间可以相互通信。

步骤命令截图：