项目5-任务2-子任务2-教案 配置NAT策略与连通性测试

一、基本信息项目名称防火墙NAT的配置与调试（子任务2：配置NAT策略与连通性测试）课程名称网络设备安装与调试授课班级职业院校计算机大类二年级授课时间2学时（80分钟）授课类型理实一体化、新授课授课地点机房（有网络，可访问超星教学平台及对应网络课程）学情分析1.学生已完成子任务1的网络拓扑搭建与基础配置，掌握防火墙端口IP与安全区域划分，但对NAT策略、安全策略的配置逻辑理解不足。

2.职业院校学生动手意愿强，但对“安全策略与NAT策略的关联”“EasyIP转换原理”等抽象内容理解困难，易出现策略配置遗漏、参数错误等问题。

3.具备基础命令操作能力，但故障排查思维薄弱，难以独立解决连通性测试失败的问题，需细化指引。教学目标【知识目标】

1.掌握NAT核心类型（重点EasyIP）、安全策略的作用，理解NAT转换的工作过程。

2.熟记安全策略、NAT策略及默认路由的核心配置命令。

【能力目标】

1.能独立配置允许内网访问互联网的安全策略与EasyIP类型NAT策略。

2.能通过ping命令、display命令测试连通性并验证NAT转换效果，排查基础故障。

【素质目标】

1.强化网络配置的严谨性，树立“策略优先、配置验证”的运维思维。

2.提升自主排查问题的能力，适配企业网络边界配置岗位需求。教学重点1.EasyIP类型NAT策略的配置命令与操作流程。

2.安全策略与NAT策略的联动配置，默认路由的设置。教学难点1.理解安全策略与NAT策略的配置逻辑关联（安全策略允许流量通行，NAT策略实现地址转换）。

2.连通性测试失败的基础故障排查（策略配置错误、路由缺失等）。教学准备1.硬件：机房计算机、Console线、网线。

2.软件：eNSP模拟器（已保存子任务1拓扑）、SecureCRT终端、超星教学平台（部署策略配置示例、故障排查指南）。

3.教学资源：NAT转换工作流程图、策略配置参数表、常见故障案例集。教学方法项目引领“任务驱动”法为主，辅助演示法、案例分析法、小组协作排查法。二、教学设计教学环节教学内容师生活动设计意图与时间分配环节一：任务导入（10分钟）1.回顾子任务1：检查拓扑与基础配置（防火墙端口IP、安全区域划分），提问“内网PC如何通过防火墙安全访问互联网？私网地址如何转换成公网地址？”

2.明确本任务目标：配置安全策略、EasyIP类型NAT策略及默认路由，实现PC1访问模拟互联网PC3，验证NAT转换效果。

3.讲解核心逻辑：安全策略“放行”流量，NAT策略“转换”地址，默认路由“转发”流量。教师：通过超星平台展示NAT转换示意图，演示未配置策略时PC1ping不通PC3的场景；

学生：回顾旧配置，明确任务核心，理解策略与路由的联动作用。设计意图：衔接子任务1，直击核心问题，铺垫NAT与安全策略的关联知识；时间10分钟。环节二：知识讲解（15分钟）1.NAT核心知识：讲解EasyIP的特点（无需地址池，复用出口公网IP）、NAT转换工作过程（私网地址→公网地址→回传转换）。

2.策略配置知识：区分安全策略（控制流量通行）与NAT策略（地址转换）的作用，讲解两者配置的核心参数（源/目的区域、源/目的地址、动作）。

3.命令拆解：演示安全策略（rulename、source-zone、actionpermit）、NAT策略（actionsource-nateasy-ip）、默认路由（iproute-static0.0.0.00.0.0.0网关）的命令格式，标注易错点（区域匹配、出口接口正确）。教师：结合文件案例拆解命令，用流程图演示NAT转换过程；

学生：记录命令参数，标记疑惑点（如“出口接口如何选择”），建立配置逻辑框架。设计意图：打散文件相关知识，突破“策略配置命令”重点，铺垫“逻辑关联”难点；时间15分钟。环节三：任务实操1（安全策略与NAT策略配置，30分钟）1.配置安全策略：

（1）进入安全策略视图，创建策略policyA；

（2）配置源区域trust、目的区域untrust，源地址192.168.1.0/24，动作permit；

（3）执行displaysecurity-policyrulenamepolicyA验证配置。

2.配置NAT策略：

（1）进入NAT策略视图，创建策略policy_nat；

（2）配置源区域trust、目的区域untrust，源地址192.168.1.0/24，出口接口GE1/0/2，动作source-nateasy-ip；

（3）执行displaynat-policyrulenamepolicy_nat验证配置。

3.小组核对：互相检查策略参数，修正区域不匹配、地址错误等问题。教师：巡视指导，重点纠正“源/目的区域混淆”“出口接口选错”等问题；

学生：按步骤独立配置，小组内交叉验证，记录配置过程中的问题。设计意图：细化实操步骤，落实教学重点，强化策略配置的规范性；时间30分钟。环节四：任务实操2（默认路由配置与连通性测试，20分钟）1.配置默认路由：在防火墙配置iproute-static0.0.0.00.0.0.01.1.1.2（PC3的IP）。

2.连通性测试：

（1）在PC1执行ping1.1.1.2，观察是否连通；

（2）在防火墙执行displayfirewallsessiontable，查看NAT转换记录（私网IP是否转换成1.1.1.1）。

3.故障排查：若ping不通，参考超星平台故障指南，排查策略配置错误、路由缺失、端口未启用等问题。教师：针对性指导故障排查，演示“display命令查看配置”的排查方法；

学生：完成路由配置与测试，自主或小组协作排查问题，记录转换结果。设计意图：突破“故障排查”难点，验证配置效果，提升问题解决能力；时间20分钟。环节五：总结点评（5分钟）1.梳理核心流程：安全策略→NAT策略→默认路由→测试验证。

2.集中纠错：讲解常见错误（如安全策略未放行、NAT出口接口错误）及解决方法。

3.知识拓展：简要提及EasyIP在中小企业的应用场景，衔接岗位需求。教师：点评学生实操成果，总结配置关键要点；

学生：整理排查经验，巩固配置逻辑，明确岗位应用价值。设计意图：巩固学习成果，形成知识体系，强化岗位适配认知；时间5分钟。三、课后作业和教学反思课后作业1.重新配置安全策略、NAT策略及默认路由，截图NAT转换记录上传至超星平台。

2.尝试修改源地址为192.168.2.0/24，重新配置NAT策略并测试连通性。教学反思1.部分学生对策略参数关联理解不足，需增加“参数匹配”专项练习。

2.故障排查依赖教师指导，需在超星平台补充“一步一查”流程视频。

3.实操时间分配合理，但个别学生命令输入不熟练，需强化命令记忆与指法练习。四