网络安全与管理项目教程（微课版）【教案】

PAGEPAGE4成都航空职业学院教案课程名称网络安全与管理授课班级主讲教师教研室系(部)使用教材《网络安全与管理项目式教程（微课版）》申巧俐陈良维年第学期成都航空职业学院教案单元标题第一篇ACL及应用（6H）课程类型专业课授课班级授课地点教学目标知识目标理解ACL技术原理；掌握ACL技术的应用。能力目标具有基本IPACL的规划配置能力；具有IPACL的规划配置能力。重点ACL技术原理；基本ACL和IPACL的规划配置难点及解决方法ACL技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动课程导入教师自我介绍、课程介绍--正式授课前任务：（30分钟）1.介绍（与学生建立方便的信息联系通道如班群学习群；教材主要内容及难易度，重点与难点）。2.要求（学习要求课后作业+实训实验报告完成标准；过程性考核依据及办法；期末考查的方式与过关标准）。3.学习效率与素质要求（介绍先进学习方法，修正学习态度与学生价值观，明确学习目标，提高学习效率；做到有方法、有目标、有效果、有效率的学习过程）教学过程中要注意的问题：学习与应用场景角色意识、考核方式、教学环境等从日常网络安全管理维护出发引入ACL技术应用场景学生仔细阅读教材，让他们对课本中的内容有一个大体的直观认识。项目导入由网络安全管理需求，引入课程内容（20分钟）（1）作为公司网络管理员，当公司领导提出下列要求时你该怎么办？为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。（2）学生分小组讨论解决方案概念介绍ACL基本概念（10分钟）访问控制列表ACL（AccessControlList）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。一个ACL通常由若干条“deny｜permit”语句组成，每条语句就是该ACL的一条规则，每条语句中的“deny｜permit”就是与这条规则相对应的处理动作。处理动作“permit”的含义是“允许”处理动作“deny”的含义是“拒绝”ACL是一种应用非常广泛的网络安全技术，配置ACL网络设备的工作过程可分为以下两个步骤：根据事先设定好的报文匹配规则对经过该设备的报文进行匹配；对匹配的报文执行事先设定好的处理动作。ACL应用场景（10分钟）过滤邻居设备间传递的路由信息控制交互访问，以此阻止非法访问设备的行为，如对Console访问实施控制为DDR路由定义感兴趣流为IPsec-VPN定义感兴趣流以多种方式在IOS中实现QOS特性降低如DoSTCPSYN和DoSsmurf攻击理解概念和原理，掌握应用场景和分类工作原理ACL工作原理及语句顺序（10分钟）分类ACL分类（5分钟）根据ACL所具备的特性不同，可将ACL分成不同类型，如：基本ACL、高级ACL、二层ACL、用户自定义ACL其中应用最广泛的是基本ACL和高级ACL。各种类型ACL区别，如表所示：课堂小结总结本课学习内容总结、评价学生在小组活动情况布置学生课后复习和预习内容1.评价在小组活动中的表现2.评价学习后的收获作业布置习题：课后习题课后反思第一次课与学生建立良好师生关系，明确课程要求和基本教学纪律，通过灵活运用教学方法和手段，激发学生对本课程的学习兴趣。基本语法基本ACL命令格式（5分钟）基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。配置基本ACL规则命令具有如下结构：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-rangetime-name]观察、理解记忆基本ACL配置项目案例分析案例1-1基本ACL配置（30分钟）案例背景与要求：某公司网络含外来人员办公区、项目部办工区和财务部办公区。在外来人员办公区中，有一台专供外来人员使用的计算机PC2，IP地址为/24。出于网络安全考虑，需禁止财务部办公区接收PC2发送的IP报文A。为满足此需求，可在路由器R1上配置基本ACL。基本ACL可根据源IP地址信息识别PC2发送的IP报文A，在GE0/0/3接口的出方向（Outbound方向）上拒绝放行IP报文A。结合项目背景，理解技术应用原理操作演示，并验证观察、理解，掌握操作、验证方法项目案例分析，操作演示，并验证案例1-2基本ACL配置实例（30分钟）案例背景与要求：Jan公司有网管办公区、市场部办公区、项目部办公区、财务部办公区和服务器区。出于网络安全考虑，希望只有网管办公区PC1才能通过Telnet方式登录到路由器R1上，其他区域PC不能通过Telnet方式登录到路由器R1。操作演示，并验证总结归纳技术关键点和操作方法（1）分析安全需求；（2）在路由器R1上创建基本ACL。（3）制定基本ACL规则。（4）在路由器的VTY（VirtualTypeTerminal）上应用所配置的基本ACL。课堂小结总结本课学习内容总结、评价学生在小组活动情况布置学生课后复习和预习内容1.评价在小组活动中的表现2.评价学习后的得失作业布置习题：课后习题课后反思对教学内容进行适当地补充，让学生通过本次课的学习，能对ACL有一定的理解，并掌握基本ACL的规划配置。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置习题：提交实训报告本课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解规则与安全需求之间的关系，学会根据需求配置规则语句。

单元标题第一篇ACL及应用（续）（4H）课程类型专业课授课班级授课地点教学目标知识目标理解ACL技术原理；掌握ACL技术的应用。能力目标具有基本IPACL的规划配置能力；具有IPACL的规划配置能力。重点ACL技术原理；基本ACL和IPACL的规划配置难点及解决方法ACL技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动课程导入高级ACL的规划配置高级ACL可以根据IP报文的源IP地址、目的IP地址、协议字段值、优先级值、长度值，TCP报文的源端口号、目的端口号，UDP报文的源端口号、目的端口号等信息来定义规则。基本ACL功能只是高级ACL功能的一个子集，高级ACL可比基本ACL定义出更精准、更复杂、更灵活的。学生仔细阅读教材，理解高级ACL的应用、工作原理。IPACL命令格式针对所有IP报文简化配置命令格式如下：rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcard|any}][source{source-addresssource-wildcard|any}]观察理解项目案例分析案例1-3高级ACL的配置案例背景与要求：本配置示例网络结构与基本ACL网络结构基本一样，不同的是，要求PC2无法接收来自财务部办公区的IP报文B。此情况下，可在路由器R1上配置高级ACL。高级ACL可根据目的IP地址信息识别去往目的地为外来人员办公区的IP报文B，然后在GE0/0/3接口入方向（Inbound方向）上拒绝放行IP报文B结合项目背景，理解技术应用原理操作演示，并验证操作结果项目案例分析，操作演示，并验证案例1-4高级ACL配置示例案例背景与要求：如下图所示，在路由器R1和R2上配置OSPF协议实现网络通信，在路由器R2上配置高级ACL，以满足如下要求：允许主机PC1访问路由器R2的TELNET服务允许主机PC2访问路由器R2的的FTP服务总结归纳技术关键点和操作方法（1）分析安全需求；（2）在路由器R1上创建高级ACL。（3）制定高级ACL规则。（4）在路由器的VTY（VirtualTypeTerminal）上应用所配置的高级ACL。课堂小结总结本课学习内容总结、评价学生在小组活动情况布置学生课后复习和预习内容1.评价在小组活动中的表现2.评价学习后的收获作业布置习题：课后习题课后反思对教学内容进行适当地调整，让学生通过本次课的学习，理解高级ACL的工作原理和应用，并掌握高级ACL的规划配置。灵活运用教学方法和手段，激发学生对本课程的学习兴趣。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置习题：提交实训报告本课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解规则与安全需求之间的关系，学会根据需求配置规则语句。单元标题第二篇网络地址转换（6H）课程类型专业课授课班级授课地点教学目标知识目标理解NAT的工作原理、作用及分类；掌握基本NAT和NAPT的规划配置。能力目标具有基本NAT的规划配置能力；具有NPAT的规划配置能力。重点NAT技术原理；基本NAT和NPAT的规划配置难点及解决方法NAT技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动概念引入NAT基本概念：（15分钟）NAT(NetworkAddressTranslation)网络地址转换，是一种IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，是把内部私有网络地址转换成合法外部公有网络地址的技术。由于当前TCP/IP协议版本IPv4，具有天生缺陷，IP地址数量不够多，难以满足目前爆炸性增长的IP需求；如果专用网络的计算机要访问Internet，则组织机构在连接Internet的设备上至少需要一个公有IP地址，然后采用NAT技术，将内部网络的计算机私有IP地址转换为公有IP地址，从而让使用私有IP地址的计算机能够和Internet中的计算机进行通信。IP地址面临耗尽的问题。RFC1918年专门为私有、内部使用留出3个IP地址块，包括A类、B类、C类地址范围各一块，以满足不同规模私有网络的需要含有私有地址的分组将会在Internet路由器上被丢弃学生仔细阅读教材，让他们对课本中的内容有一个大体的直观认识。NAT分类NAT类型：静态NAT、动态NAT、动态NAPT静态NAT：在路由器中，将内网IP地址固定的转换为外网IP地址，通常应用在允许外网用户访问内网服务器的场景。静态NAT的工作过程如图所示。观察、理解静态NAT规划配置案例1静态NAT配置示例案例背景与要求：如图所示，Jan16公司通过路由器R1接入到Internet，相关背景和需求如下。公司向Internet申请了2个公网IP：200.10.2和200.10.3。公司的Web服务器需要以静态NAT方式对外提供服务，映射IP为200.10.3。结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法为各设备接口配置IP地址；在路由器R1配置NAT，将Web服务器映射到200.10.3课堂小结总结本课学习内容总结、评价学生在小组活动情况布置学生课后复习和预习内容1.评价在小组活动中的表现2.评价学习后的收获作业布置习题：课后习题实训报告课后反思通过项目案例演示和实践，帮助学生理解NAT技术原理，学会静态NAT规划配置。动态NAT工作原理动态NAT：将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有地址）。动态NAT和静态NAT的在地址转换上很相似，只是可用的公有IP地址不是被某个专用网络的计算机所永久独自占有。动态NAT的工作过程如图所示。观察、理解动态NAT规划配置、项目案例分析案例2动态NAT配置示例案例背景与要求：如图所示，Jan16公司通过路由器R1接入Internet，相关背景和需求如下。公司向Internet申请了1批公网IP：200.10.1~200.10.20。公司内网计算机（192.168.0/24）可通过路由器R1随机映射到公网，实现内外网互访。结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法（1）分析实际需求；（2）为各设备接口配置IP地址；（3）在路由器R1配置公网IP地址池；（4）在路由器R1配置ACL规则，该规则定义了可用于映射公网的主机；（5）在路由器R1配置动态NAT，将符合ACL规则的主机自动映射到公网地址池IP中。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置习题：提交实训报告本课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解动态NAT与需求之间的关系，学会根据需求配置NAT。单元标题第二篇网络地址转换（续）（4H）课程类型专业课授课班级授课地点教学目标知识目标理解NAT的工作原理、作用及分类；掌握基本NAT和NAPT的规划配置。能力目标具有基本NAT的规划配置能力；具有NPAT的规划配置能力。重点NAT技术原理；基本NAT和NPAT的规划配置难点及解决方法NAT技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动动态NAPT工作原理动态NAPT：以IP地址及端口号（TCP或UDP）为转换条件，将内部网络的私有IP地址及端口号转换成外部公有IP地址及端口号。在静态NAT和动态NAT中，都是“IP地址”到“IP地址”的转换关系，而动态NAPT，则是“IP地址+端口”到“IP地址+端口”的转换关系。动态NAPT的工作过程如图所示。观察、理解NAPT规划配置、项目案例分析NAPT配置示例案例背景与要求：如图所示，Jan16公司通过动态NAT实现了内网主机和公网之间的通信，但随着公司员工的不断增加，有限的公网IP地址已不能满足所有员工上网需求，公司希望采用NAPT来解决更多员工的外网接入需求。结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法为各设备接口配置IP地址；在路由器R1配置公网IP地址池；在路由器R1配置ACL规则，该规则定义了可用于映射公网的主机；在路由器R1配置NAPT，将符合ACL规则的主机自动映射到公网地址池IP中其他NAPT（扩展）静态NAPT：在路由器中以“IP+端口”形式，将内网IP及端口固定转换为外网IP及端口，应用在允许外网用户访问内网计算机特定服务的场景。静态NAPT的工作工程如图所示。EasyIP：EasyIP技术，是NAPT的一种简化情况。EasyIP无需建立公有IP地址资源池，因为EasyIP只会用到一个公有IP地址，该IP地址就是路由器连接公网的出口IP地址。EasyIP会建立并维护一张动态地址及端口映射表，且会将表中公有IP地址绑定成路由器公网出口IP地址；路由器出口IP地址如果发生了变化，表中公有IP地址也会自动跟着变化；路由器出口IP地址可是手工配置，也可是动态分配。下图所示网络是一个小型公司EasyIP的网络拓扑。观察、理解任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置习题：提交实训报告本课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求配置NAPT。单元标题第三篇认证技术及应用（4H）课程类型专业课授课班级授课地点教学目标知识目标理解PPP的工作原理、作用及分类；掌握PPP的规划配置。能力目标具有PPP的规划配置能力。重点PPP技术原理；PPP的规划配置难点及解决方法PPP技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动PPP工作原理PPP：1．PPP是Point-to-PointProtocol的简称，也叫做P2P，目前是TCP/IP网络中最重要的点到点数据链路层协议。2．PPP的成员协议：主要包括链路控制协议（LCP）和网络控制协议（NCP）。（1）LCP：链路控制协议(LCP，LinkControlProtocol)，主要用于数据链路连接的建立、拆除和监控；LCP主要完成MTU（最大传输单元）、质量协议、验证协议、魔术字、协议域压缩、地址和控制域压缩协商等参数的协商；（2）NCP：网络层控制协议族(NCP，NetworkControlProtocol)，主要用于协商在该链路上所传输的数据包的格式与类型，建立和配置不同网络层协议。3．PPP身份认证PPP包含了通信双方身份验证的安全性协议，即在网络层协商IP地址之前，首先必须通过身份验证。PPP身份验证有两种方式：CHAP（Challenge-HandshakeAuthenticationProtocol）PAP（PasswordAuthenticationProtocol）4．PPP基本建链过程可分为如下几个阶段：Dead（链路不可行）阶段Establish（链路建立）阶段Authenticate（验证）阶段Network（网络层协议）阶段Terminate（链路终止）阶段认真听讲、理解PPP规划配置、项目案例分析PPP的基本配置1.在路由器R1和R2的串行连接接口上PPP；2/对拓扑中所有设备进行IP地址配置。3.配置路由器R1的串口IP和PPP<R1>system-view[R1]interfaceserial0/0/1[R1-Serial0/0/1]ipaddress24[R1-Serial0/0/1]link-protocolppp4.配置路由器R2的串口IP和PPP<R2>system-view[R2]interfaceserial0/0/1[R2-Serial0/0/1]ipaddress24[R2-Serial0/0/1]link-protocolppp5.在路由器R1的S0/0/1接口上输入【displayintserial0/0/1】命令，测试PPP封装情况[R1-Serial0/0/1]displayintS0/0/1Serial0/0/1currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2020-01-2015:44:49UTC-08:00Description:HUAWEI,ARSeries,Serial4/0/0InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/24LinklayerprotocolisPPPLCPopened,IPCPopened操作演示，并验证观察理解总结归纳技术关键点和操作方法在配置路由器R1.R2的串口ip在路由器R1的S0/0/1接口上输入【displayintserial0/0/1】注意跟踪抓取PPP的pap认证封装数据归纳总结课后反思PPP的技术原理相对难一些，经过演示操作案例，绝大部分学生能理解。任务布置（1）下发工程实施文件--PPP的PAP认证配置（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求配置PPP的pap认证及数据抓取。操作演示，并验证观察理解总结归纳技术关键点和操作方法在配置路由器R1.R2的串口ip在路由器R1的S0/0/1接口上输入【displayintserial0/0/1】注意跟踪抓取PPP的chap认证封装数据归纳总结任务布置（1）下发工程实施文件--PPP的chap认证配置（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收实训成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求配置PPP的chap认证及数据抓取。单元标题第四篇认证技术及应用（续）（4H）课程类型专业课授课班级授课地点教学目标知识目标理解AAA的工作原理、作用及分类；掌握AAA的规划配置。能力目标具有AAA的规划配置能力。重点AAA技术原理；AAA的规划配置难点及解决方法AAA技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动AAA工作原理AAA:AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。认证：验证用户的身份和可使用的网络服务；授权：依据认证结果开放网络服务给用户；计费：记录用户对各种网络服务的用量，并提供给计费系统。1.AAA支持的认证方式有不认证，本地认证和远端认证。不认证：完全信任用户，不对用户身份进行合法性检查。鉴于安全考虑，这种认证方式很少被采用。本地认证：将用户信息（包括用户名、密码等属性）配置在本地的接入服务器上。本地认证的优点是处理速度快、运营成本低；缺点是存储信息量受设备硬件条件限制。在华为解决方案中，通常使用路由器作为接入服务器。远端认证：将用户信息配置在认证服务器上。AAA支持通过RADIUS协议或HWTACACS协议进行远端认证。2.授权：AAA支持的授权方式有不授权，本地授权和远端授权。不授权：不对用户进行授权处理；本地授权：根据接入服务器上配置的本地用户账号的相关属性进行授权；远端授权：由HWTACACS或RADIUS授权。其中，RADIUS协议认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。如果在一个授权方案中使用多种授权方式，这些授权方式按照配置顺序生效，不授权方式最后生效。3.计费：用于监控授权用户网络行为和网络资源的使用情况，AAA支持以下两种计费方式。不计费：为用户提供免费上网服务，不产生相关活动日志；计费：通过RADIUS服务器或HWTACACS服务器进行计费。观察、理解AAA规划配置、项目案例分析配置思路：1.配置设备的接口IP；2.在路由器R1配置本地用户admin和public的账户、密码和权限；3.配置路由器的远程登录认证方式为aaa。<Huawei>sys[Huawei]sysnameR1[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress54244.在路由器R1上创建本地用户admin和public，并配置[R1]aaa[R1-aaa]local-useradminpasswordcipheradmin@123[R1-aaa]local-useradminprivilegelevel15[R1-aaa]local-useradminservice-typetelnet[R1-aaa]local-userpublicpasswordcipher123456@p[R1-aaa]local-userpublicprivilegelevel2[R1-aaa]local-userpublicservice-typetelnet5.在路由器R1上启用telnet服务，认证方式为aaa认证[R1]user-interfacevty04[R1-ui-vty0-4]protocolinboundtelnet[R1-ui-vty0-4]authentication-modeaaa6.检测：在路由器上使用【displaylocal-user】命令查看创建[R1]dislocal-userUser-nameStateAuthMaskAdminLeveladminAT15publicAT2Total2user(s)结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法当采用本地方式进行认证和授权时，需在设备上配置用户的认证和授权信息，如用户名、密码、优先级等；以下是在路由器（AAA认证服务器）创建用户，配置密码和优先级的配置，演示如何在路由器创建本地用户jan16，设置密码为huawei@123，权限等级为15即最高权限。[Huawei]aaa[Huawei-aaa]local-userjan16passwordcipherhuawei@123Info:Addanewuser.[Huawei-aaa]local-userjan16privilegelevel15以下是设置用户服务类型的配置，演示如何在路由器中进一步配置用户jan16服务于telnet协议，即终端采用telnet协议远程登录到该路由器时，可以使用jan16作为身份认证信息。[Huawei-aaa]local-userjan16service-typetelnet课后反思AAA认证技术应用较广泛，分类讲解演示，并归纳总结应用，大部分同学能理解掌握任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收实验成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求配置AAA认证。单元标题第五篇网络可靠技术及应用（4H）课程类型专业课授课班级授课地点教学目标知识目标理解链路聚合的概念、工作原理、作用及分类；能力目标具有链路聚合的规划配置能力。重点链路聚合技术原理；链路聚合规划配置。难点及解决方法链路聚合技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动链路聚合工作原理链路聚合技术可以将多个以太网链路捆绑为一条逻辑的以太网链路。因此，在采用通过多条以太网链路连接两台设备的链路聚合设计方案时，所有链路的带宽都可以充分用来转发两台设备之间的流量，如果使用三层链路连接两台设备，这种方案可以起到节省IP地址的作用。1.链路聚合组二层聚合组，是随着二层聚合端口的创建自动生成的，只包含二层以太网端口；三层聚合组，是随着三层聚合端口的创建自动生成的，只包含三层以太网端口。2.链路聚合成员端口状态Selected状态Unselected状态3.链路聚合的实现方式link-aggregationgroup聚合组IP-Trunk组和Eth-Trunk组4.链路聚合的两种模式手动模式、动态协商模式（LACP模式）（1）手动模式：采用Eth-Trunk手动模式时，设备执行链路捆绑，采用负载均衡的方式通过捆绑的链路发送数据；某条线路出现故障后，Eth-Trunk手动模式会使用其他链路发送数据。（2）LACP模式基本概念定义：LACP也称为链路聚合控制协议（LinkAggregationControlProtocol）；作用：为建立链路聚合的设备之间提供协商和维护这条Eth-Trunk的标准；步骤：首先在两边的设备上创建Eth-Trunk逻辑端口，然后将此端口配置为LACP模式，最后再把需要捆绑的物理端口添加到这个Eth-Trunk中。LACP模式的协商过程确定LACP主动端确定主用链路端口优先级最高的N个端口会与对端建立Eth-Trunk主用链路，其余端口为备用链路。观察、理解链路聚合规划配置、项目案例分析1.项目背景Jan16公司使用2台二层网管交换机组建了公司的局域网，公司运营一段时间后，两台交换机间用户的通信经常出现较大延迟和卡顿现象。为提高交换机间互联的级联带宽，公司要求管理员在两台交换机间的两条千兆链路进行汇聚，提高公司网络传输质量。公司拓扑如图所示，具体要求如下：（1）交换机SW1和SW2通过G0/0/1、G0/0/2两个接口互联，使用链路聚合提高交换机的级联带宽；测试计算机与交换机的接口信息如拓扑所示。2.项目规划设计2台交换机使用G0/0/1和G0/0/2端口进行互联，采用链路聚合的方式提高传输带宽和冗余能力。同时考虑到公司有不同部门VLAN间跨交换机通信的情况，该聚合链路应配置为TRUNK模式。配置步骤如下：（1）配置部门VLAN（2）配置的交换机聚合链路（3）配置测试计算机的IP地址结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法一、手动配置链路聚合步骤：1.创建并进入Eth-Trunk接口，编号为1：inteth-trunk12.向Eth-Trunk接口中添加成员接口:trunkportg0/0/1to0/0/2二、LACP配置链路聚合步骤：1.创建并进入Eth-Trunk接口，编号为1：inteth-trunk22.启用LACP工作模式:modelacp-statiC3.向Eth-Trunk接口中添加成员接口:trunkportg0/0/1to0/0/24.设置LACP系统优先级，配置主动端：5.设置LACP接口优先级：6.设置Eth-Trunk中活动接口的数量7.设置LACP的抢占功能课后反思链路聚合技术应用较广泛，通过工程案例讲解演示，并归纳总结应用，学生模仿操作，绝大部能理解掌握。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收实验成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求规划配置链路聚合。单元标题第六篇网络可靠技术及应用（续）（6H）课程类型专业课授课班级授课地点教学目标知识目标理解VRRP的工作原理及其规划配置。能力目标掌握VRRP的工作原理，学会VRRP的规划配置重点VRRP的工作原理，VRRP的规划配置难点及解决方法VRRP技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动VRRP工作原理1.VRRP定义：虚拟路由器冗余协议（VirtualRouterRedundancyProtocol），是一种容错协议；2.VRRP的作用：VRRP提供了将多台路由器虚拟成一台路由器的服务，它通过虚拟化技术，将多台物理设备在逻辑上合并为一台虚拟设备，同时让物理路由器对外隐藏各自的信息，以便针对其他设备提供一致性的服务。3.VRRP工作过程(1)VRRP组选举出主用路由器（master）①对比优先级优先级最高的成为主用路由器。②对比接口IP地址如果优先级相同，接口IP地址最高

的成为主用路由器。(2)主用路由器发送ARP通告和VRRP通告①用ARP消息通告虚拟IP地址和MAC地址②用VRRP消息通告VRRP头部\组号\优先级等(3)VRRP主用路由器负责转发往返于内外部网络的流量。观察、理解VRRP规划配置、项目案例分析1.VRRP基本配置：在企业拓扑环境中，路由器R1和R2是两台连接企业网关（GW）的路由器，GW通过ISP（服务器提供商）接入Internet；企业网要求管理员使用VRRP实现路由器R1和R2做路由备份，提高外网接入的可靠性。在默认情况下，路由器R1为主用路由器，路由器R2为备用路由器，企业内部用户（如图中的PC10）使用虚拟路由器的IP地址（54）作为网关地址。2.VRRP的负载均衡VRRP负载均衡模式中，Master路由器负责为备份组中的路由器分配虚拟MAC地址，并为来自不同主机的ARP请求应答不同的虚拟MAC地址，从而实现流量在多台路由器之间均衡分担。结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法VRRP的规划部署步骤：1.创建VRRP备份组，指定路由器处于同一个vrrp备份组内，指定备份组号，配置虚拟Ip，这里需要创建两个vrrp备份组（1）进入路由器R1的网关接口：vrrpvrid1virtual-IP54（2）进入路由器R1的网关接口：vrrpvrid2virtual-IP53（3）R2的配置同R12.配置R1的备份组号1的VRRP优先级为110，这样在备份组号1当中，R1是MASTER，R2自动成为BACKUP（1）进入路由器R1的g0/0/0接口配置优先级：vrrpvrid1priority110配置R2的备份组号2的VRRP优先级为110，这样在备份组号2当中，R2是MASTER，R1自动成为BACKUP（2）进入路由器R2的g0/0/0接口配置优先级：vrrpvrid2priority1103.配置上行接口监视（1）在R1上配置VRRP备份组1上行接口监视，监视上行接口g0/0/1，当此接口断掉时，裁剪优先级60，使优先级变为50，小于R2里VRRP备份组1的优先级100[R1-G0/0/0]vrrpvrid1trackintg0/0/1reduced60（2）在R2上配置VRRP备份组2上行接口监视，监视上行接口g0/0/1，当此接口断掉时，裁剪优先级60，使优先级变为50，小于R1里VRRP备份组2的优先级100[R2-G0/0/0]vrrpvrid2trackintg0/0/1reduced60课后反思VRRP技术应用较广泛，通过工程案例讲解演示，并归纳总结应用，学生模仿操作，绝大部能理解掌握。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收实验成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求规划配置vrrp。单元标题第七篇DHCP技术及应用（4H）课程类型专业课授课班级授课地点教学目标知识目标理解DHCP的概念、工作原理、作用及分类；能力目标具有DHCP的规划配置能力。重点DHCP技术原理；DHCP规划配置。难点及解决方法DHCP技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动DHCP工作原理DHCP工作过程DHCP报文分类：1.DHCP客户端初次接入网络时，会发送DHCP发现报文（DHCPDiscover)，用于查找和定位DHCP服务器。2.DHCP服务器在收到DHCP发现报文后，发送DHCP提供报文(DHCPOffer)，此报文中包含IP地址等配置信息。3.在DHCP客户端收到服务器发送的DHCP提供报文后，会发送DHCP请求报文（DHCPRequest)，另外在DHCP客户端获取IP地址并重启后，同样也会发送DHCP请求报文，用于确认分配的IP地址等配置信息。DHCP客户端获取的IP地址租期快要到期时，也发送DHCP请求报文向服务器申请延长IP地址租期。4.收到DHCP客户端发送的DHCP请求报文后，DHCP服务器会回复DHCP确认报文(DHCPACK)。客户端收到DHCP确认报文后，会将获取的IP地址等信息进行配置和使用。5.如果DHCP服务器收到DHCP-REQUEST报文后，没有找到相应的租约记录，则发送DHCP-NAK报文作为应答，告知DHCP客户端无法分配合适P地址。DHCP客户端通过发送DHCP释放报文（DHCPRelease)来释放IP地址。收到DHCP释放报文后，DHCP服务器可以把该IP地址分配给其他DHCP客户端。观察、理解DHCP规划配置、项目案例分析ARG3系列路由器和X7系列交换机都可以作为DHCP服务器，为主机等设备分配IP地址。DHCP服务器的地址池是用来定义分配给主机的IP地址范围，有两种形式。1.接口地址池为连接到同一网段的主机或终端分配IP地址。可以在服务器的接口下执行dhcpselectinterface命令，配置DHCP服务器采用接口地址池的DHCP服务器模式为客户端分配IP地址。2.全局地址池为所有连接到DHCP服务器的终端分配IP地址。可以在服务器的接口下执行dhcpselectglobal命令，配置DHCP服务器采用全局地址池的DHCP服务器模式为客户端分配IP地址。3.接口地址池的优先级比全局地址池高。配置了全局地址池后，如果又在接口上配置了地址池，客户端将会从接口地址池中获取IP地址。在X7系列交换机上，只能在VLANIF逻辑接口上配置接口地址池。结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法一、规划配置接口地址池的步骤1.启动dhcp服务：dhcpenable2.进入接口（1）配置接口IP地址（2）关联接口跟接口地址池：dhcpselcetinterface（3）配置dhcp服务相关参数:dhcpserverA.配置dns服务器地址：dhcpserverdns-list...B.配置排除保留用的ip地址:dhcpserverexcluded-ip-add...C.配置租约期限：dhcpserverlease...3.测试验证（1）服务器验证：disdhcpstatistics（2）客户端验证：ipconfig/renew二、规划配置全局地址池的步骤1.启动dhcp服务：dhcpenable2.配置全局地址池:ippool@@@（1）配置该地址池可用的网段地址：network网络号mask@@（2）配置网关地址：gateway—listip（3）配置dns服务器地址：dns-listip（4）排除保留用的地址:excluded-ip-address@@（5）配置租约期限：lease@@（6）回到系统视图（7）进入接口，配置接口IP（8）使能接口的dhcp服务功能：dhcpselectglobal3.测试验证（1）服务器验证：disdhcpstatistics（2）客户端验证：ipconfig/renew课后反思DHCP技术应用较广泛，通过工程案例讲解演示，并归纳总结应用，学生模仿操作，绝大部能理解掌握。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收实验成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求规划配置DHCP。单元标题第八篇VPN技术及应用（4H）课程类型专业课授课班级授课地点教学目标知识目标理解VPN的概念、工作原理、作用及分类；理解GRE工作原理及其规划配置。能力目标具有GRE的规划配置能力。重点VPN技术原理；GRE的工作原理；GRE的规划配置难点及解决方法GRE技术原理及灵活运用，通过多实践掌握该技术的灵活运用。教学方法任务驱动法、小组讨论法、实验法、案例教学法教学手段与课前准备安装好ENSP及相关实验环境、教学课件、实验案例教学过程设计（分教学步骤列出内容、时间安排、教学方法、训练项目、素材等）过程教师活动学生活动Vpn工作原理Vpn:虚拟专用网络（VirtualPrivateNetwork，VPN）在公用网络（通常是互联网）上建立临时的、安全的连接，是一条穿过非安全网络的安全、稳定的隧道，可以低成本实现异地网络的互联或者出差员工访问企业网络。VPN采取了多种加密技术保证了数据在公共网络传输时的安全。要实现深圳、北京两地网络的互联。传统的方法是向运营商租用专线构建广域网（WAN），这样的通信方案必然导致高昂的网络通信和维护费用。2.VPN隧道:虚拟通道，逻辑链路，实现端到端的传输3.按照用途分类远程接入VPN（AccessVPN）内联网VPN（IntranetVPN）外联网VPNVPN（Extranet）按照技术分类按连接方式Sitetosite(站点对站点，网络到网络)Remoteaccess（远程接入，移动用户远程接入）观察、理解GRE规划配置、项目案例分析4.按照技术分类VPN按照使用的协议分类主要有：PPTPVPN、L2TPVPN、IPSecVPN、GREVPN、BGP/MPLSVPN、VPLS、EVPN、SSLVPN等。PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议IPSec、GRE是第三层隧道协议BGP/MPLS在二层和三层头部之间插入新的字段，是2.5层隧道协议VPLS是一种基于IP/MPLS和以太网技术的二层虚拟专用网技术EVPN全称是EthernetVirtualPrivateNetwork，这是一个基于BGP和MPLS的二层VPNSSLVPN工作在传输层和应用层之间，算是传输层隧道协议。按连接方式Sitetosite(站点对站点，网络到网络)Remoteaccess（远程接入，移动用户远程接入）5.GRE是一个三层协议，能够将各种不同的数据包封装成IP包，然后通过IP网络进行传输。它能对IP包或非IP包进行再封装，在原始包头的前面增加一个GRE包头和一个新IP包头，采用明文传送，在IP中的协议号为47建立到远程节点路由的虚拟点到点链路，中间跨越IP互联网络。6.GRE的特点GRE被定义为IETF标准。IP用协议号47来标识GRE数据包。GRE支持任何OSI第3层协议的封装。GRE协议本身是无状态的，它默认情况下不包括任何流量控制机制。GRE没有任何有力的安全机制来保护其有效载荷GRE报头和隧道IP报头一起，为隧道数据包添加了至少24个字节的额外开销。7.GRE的应用多协议、多业务本地网通过单一骨干网传输扩大了包含步跳数限制协议（RIP）的应用范围组建VPN8.GRE数据包结合项目背景，理解技术应用原理操作演示，并验证总结归纳技术关键点和操作方法GRE的Tunnel接口，需要指定其协议类型为GRE、源地址或源接口、目的地址和Tunnel接口IP地址1、Tunnel的源地址或源接口：报文传输协议中的源地址或源接口。隧道的源地址就是实际发送报文的接口IP地址，即Router_1的GE1/0/0的IP地址；隧道的源接口就是实际发送报文的接口，即Router_1的GE1/0/02、Tunnel的目的端地址：报文传输协议中的目的地址。隧道的目的地址就是实际接收报文的接口IP地址，即Router_2的GE1/0/0的IP地址3、Tunnel接口IP地址：为了在Tunnel接口上启用动态路由协议，或使用静态路由协议发布Tunnel接口，需要为Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公网地址，甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址时，由于Tunnel接口本身没有IP地址，无法在此接口上启用动态路由协议，必须配置静态路由或策略路由才能实现设备间的连通性。课后反思GREVPN技术应用较广泛，通过工程案例讲解演示，并归纳总结应用，学生模仿操作，绝大部能理解掌握。任务布置（1）下发工程实施文件（2）讲解任务要求理解任务要求学生实训组织、布置、指导学生完成本堂课的实训任务，指导、解答问题，检查学生实训成果上机完成实训作业课堂小结总结本课学习内容总结、评价学生活动情况布置下次课预习内容1.评价实训情况2.评价实训收获作业布置完成实训任务验收实验成果课后反思根据学生实训完成情况，适当调整实训项目难度，重点让学生在实训过程中理解技术原理与需求之间如何转换，学会根据需求规划配置GRE。单元标题第八篇VPN技术及应用（续）（4H）课程类型专业课授课班级授课地