项目5-任务3-子任务2-教案 配置NAT Server策略

一、基本信息项目名称防火墙NATServer的配置与调试（子任务2：配置NATServer策略）课程名称网络设备安装与调试授课班级职业院校计算机大类二年级授课时间2学时（80分钟）授课类型理实一体化、新授课授课地点机房（有网络，可访问超星教学平台及对应网络课程）学情分析1.学生已完成子任务1的网络拓扑搭建、各设备基础配置及防火墙安全区域划分，熟悉eNSP模拟器与命令行操作，掌握防火墙基础配置技能。

2.职业院校学生动手能力强，但对NATServer策略的配置逻辑、端口映射原理、安全策略与NATServer的联动关系理解较浅，抽象思维薄弱。

3.易出现NATServer策略参数配置错误、安全策略未放行、端口映射不匹配等问题，需通过细化实操步骤、结合文件配置示例，强化策略配置规范性，提升故障排查能力。教学目标【知识目标】

1.掌握NATServer策略的核心原理（公网IP+端口映射内网服务器IP+端口），理解端口映射的作用与配置逻辑。

2.熟记NATServer策略、安全策略及静态路由的核心配置命令，掌握文件中NATServer的配置要求。

【能力目标】

1.能独立配置NATServer策略，实现公网IP+端口与内网Web、FTP服务器的映射。

2.能配置安全策略放行流量、配置静态路由，完成连通性测试与NATServer映射验证，排查基础故障。

【素质目标】

1.养成严谨的策略配置习惯，树立“策略配置+验证测试”的运维思维，理解企业服务器对外提供服务的安全配置逻辑。

2.提升策略配置与故障排查能力，培养小组协作意识，适配网络运维岗位中边界安全配置的实操需求。教学重点1.NATServer策略的配置命令与操作流程（结合文件要求，实现Web、FTP服务器的端口映射）。

2.安全策略（放行Untrust到DMZ区域流量）与静态路由的配置，确保外网能访问内网服务器。教学难点1.理解NATServer策略的参数配置逻辑（公网IP、公网端口、内网服务器IP、内网端口的匹配关系）。

2.排查连通性测试失败的基础故障（策略配置错误、路由缺失、端口映射不匹配）。教学准备1.硬件：机房计算机、Console线、网线。

2.软件：eNSP模拟器（已保存子任务1拓扑）、SecureCRT终端、超星教学平台（部署文件NATServer配置示例、故障排查指南）。

3.教学资源：文件中的NATServer配置步骤、端口映射示意图、安全策略配置示例、常见故障案例、验证命令手册。教学方法项目引领“任务驱动”法为主，辅助演示法、小组合作法、纠错指导法、案例分析法。二、教学设计教学环节教学内容师生活动设计意图与时间分配环节一：任务导入（10分钟）1.回顾子任务1：检查拓扑、设备IP配置及防火墙安全区域划分，提问“已完成拓扑与基础配置，如何通过NATServer策略，让外网PC1访问内网Web、FTP服务器？”

2.明确任务：结合文件任务描述，本节课核心完成子任务2——配置NATServer策略、安全策略及静态路由，实现PC1（外网）访问Web、FTP服务器，验证映射效果。

3.讲解核心逻辑：NATServer实现端口映射，安全策略放行流量，静态路由保障路由可达，三者联动实现外网访问内网服务器。教师：通过超星平台展示文件NATServer配置示例，演示未配置策略时PC1无法访问服务器的场景；

学生：回顾旧知，结合文件理解任务意义，明确策略配置的核心要求与逻辑关联。设计意图：衔接子任务1，直击NATServer策略配置核心问题，铺垫策略配置逻辑；时间10分钟。环节二：知识讲解（15分钟）1.NATServer核心知识：结合文件知识准备，讲解NATServer的配置逻辑（公网IP+端口映射内网服务器IP+端口），区分Web（80端口）、FTP（21端口）的端口映射差异。

2.策略关联知识：讲解安全策略（放行Untrust→DMZ区域的Web、FTP流量）与NATServer策略的联动关系，说明静态路由（保障外网与内网服务器路由可达）的作用。

3.命令拆解：结合文件配置步骤，演示NATServer策略（natserver、protocol、global、inside）、安全策略（rulename、source-zone、destination-zone）、静态路由（iproute-static）的核心命令，标注易错点（端口匹配错误、区域设置错误）。教师：结合文件案例拆解命令，用示意图演示端口映射过程与策略联动逻辑；

学生：记录命令参数与配置要点，标记疑惑点，建立策略配置的知识框架。设计意图：打散文件相关知识，突破“NATServer策略命令”重点，铺垫“参数配置逻辑”难点；时间15分钟。环节三：任务实操1（静态路由与安全策略配置，25分钟）1.配置静态路由（贴合文件要求）：

（1）登录FW，配置静态路由指向内网服务器网段：iproute-static；

（2）登录R1，配置静态路由指向公网端口映射地址：iproute-static1551。

2.配置安全策略（放行流量）：

（1）进入FW安全策略视图，创建策略policy_natserver；

（2）配置源区域Untrust、目的区域DMZ，源地址/24，目的地址/24，动作permit；

（3）执行displaysecurity-policyrulenamepolicy_natserver验证配置。

3.小组核对：互相检查路由与安全策略参数，修正区域不匹配、路由网段错误等问题。教师：巡视指导，重点纠正“路由网段错误”“安全区域混淆”等问题，引导学生使用验证命令检查配置；

学生：按步骤独立配置，小组内交叉验证，记录配置过程中的问题并及时修正。设计意图：落实“安全策略、静态路由”重点，为NATServer策略配置铺垫，强化策略联动意识；时间25分钟。环节四：任务实操2（NATServer策略配置，25分钟）1.配置Web服务器NATServer策略（结合文件要求）：

（1）进入FWNAT策略视图，创建策略server_web；

（2）配置协议tcp，公网地址1、公网端口80，内网地址、内网端口80；

（3）执行displaynatserver命令，验证Web服务器映射配置。

2.配置FTP服务器NATServer策略：

（1）创建策略server_ftp，配置协议tcp；

（2）公网地址1、公网端口21，内网地址、内网端口21；

（3）执行displaynatserver命令，验证FTP服务器映射配置。

3.小组核对：互相检查NATServer策略的端口、IP匹配关系，修正参数配置错误。教师：巡视指导，重点纠正“端口不匹配”“IP地址写错”等问题，结合文件配置示例指导学生规范操作；

学生：独立完成NATServer策略配置，执行验证命令，小组内核对成果，记录易错点。设计意图：突破“NATServer策略配置”重点与“参数匹配”难点，强化策略配置规范性，贴合文件要求；时间25分钟。环节五：任务实操3（连通性测试与故障排查，5分钟）1.连通性测试：

（1）在PC1（外网）打开浏览器，输入1，测试能否访问Web服务器；

（2）在PC1使用FTP命令，连接1，测试能否访问FTP服务器。

2.映射验证：在FW执行displaynatsessiontable命令，查看NATServer映射记录。

3.故障排查：若访问失败，参考超星平台故障指南，排查策略配置错误、路由缺失、端口映射不匹配等问题并修复。教师：针对性指导故障排查，演示“display命令查看配置”的排查方法；

学生：完成测试与验证，自主或小组协作排查问题，记录映射验证结果，上传测试截图至超星平台。设计意图：验证策略配置效果，突破“故障排查”难点，巩固本节课核心技能；时间5分钟。三、课后作业和教学反思课后作业1.重新配置NATServer策略、安全策略及静态路由，截图Web、FTP访问结果与NAT映射记录，上传至超星平台。

2.结合文件配置步骤，整理NATServer策略的核心命令，提交简易笔记。教学反思1.部分学生NATServer策略端口匹配错误，需强化端口与服务器的对应练习。

2.个别学生安全策略区域设置错误，需