网络信息安全基础（AIGC版） 教学课件 项目一 路由交换设备的安全配置

任务1路由器安全配置——项目一

路由交换设备的安全配置本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02路由器简介路由器安全配置子任务1配置Cloud云设备03子任务2Console口登录安全配置04子任务3Telnet登录安全配置05子任务4路由器攻击防范06子任务5访问控制列表配置0701任务规划任务规划根据华为路由器安全加固和维护指南，需要完成如下加固任务。（1）配置路由器Console口登录密码；（2）配置路由器AAA用户认证的用户名和密码；（3）配置Telnet远程登录服务的认证方式；（4）配置路由器攻击防范策略；（5）配置路由器访问控制列表（ACL）。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址备注AR1GE0/0/054/24AR2220GE0/0/1/24AR2220PC1Ethernet0/0/1/24网关：54PC2Ethernet0/0/1/24网关：54CloudEthernet0/0/1/24物理机环回地址本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——2.1路由器简介什么是路由器？路由器是一个网络层设备，负责在不同网络或子网之间转发数据包，以实现网络互联和数据传输。路由器收到数据包后，会根据数据包中的目的地址选择一条最优路径，并将数据包转发到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。相关知识——2.2华为路由器安全加固级别相关知识——2.2华为路由器安全加固级别路由器安全加固级别？华为系列路由器、交换机的安全加固策略分为Level-1、Level-2两个级别。其中Level-1代表的是必须配置的安全加固策略。Level-2代表的是加强的安全加固策略，用户可以根据自己的业务有选择地进行配置。相关知识——2.3设备登录安全Console口登录安全Console口（也称串口）属于物理接口。在设备部署、组网上通过物理隔离，可防止恶意用户通过串口登录设备。相关知识——2.3设备登录安全Telnet登录安全可以通过AAA认证、设置强密码、关闭Telnet服务、改变默认端口号、配置ACL等方式一定程度上增强Telnet的安全性。相关知识——2.3设备登录安全SSH远程登录安全SSH(SecureShell)是一种用于远程登录、管理网络设备的协议,它通过加密数据(包括用户名、密码和命令等)的方式保障通信的安全性。相关知识——2.4AAA认证AAA认证认证（Authentication）：确认用户的身份，判断访问者是否为合法的网络用户。授权（Authorization）：对不同用户赋予不同的权限，授权用户可以使用哪些服务。计费（Accounting）：记录用户使用网络资源的情况。相关知识——2.5攻击防范攻击防范攻击防范通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。好学深思奇安信《2023年中国企业勒索病毒攻击态势分析报告》截至2023年10月，全球勒索软件数量同比增长37.75%，勒索软件有效攻击载荷更是激增了57.5%，再次创下历史新高。根据GoUpSec对国内外网络安全攻击事件的统计分析，2023年全球网络攻击的十大主要垂直行业分别是：政府、医疗、通讯、IT、金融、能源、航空、汽车、酒店、零售业等行业。相关知识——2.6访问控制列表访问控制列表访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。相关知识——2.6

访问控制列表分类规则定义描述编号范围基本ACL仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。2000～2999高级ACL既可使用报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。3000～3999二层ACL使用报文的以太网帧头信息来定义规则，如根据源MAC（MediaAccessControl）地址、目的MAC地址、二层协议类型等。4000～4999用户自定义ACL使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。5000～5999用户ACL既可使用IPv4报文的源IP地址或源UCL（UserControlList）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。6000～9999相关知识——2.7华为设备基本命令1）修改系统时间修改华为路由器的时区、时间等。//设置时区为东八区<Huawei>clocktimezoneLocaladd08:00:00//设置当前时间<Huawei>clockdatetime12:00:002024-08-30//修改时间//查询当前时间<Huawei>displayclock相关知识——2.7华为设备基本命令2）修改设备名称进入系统视图，使用sysname修改设备名称。//进入系统视图<Huawei>system-view//在系统视图修改设备名称

[Huawei]sysnameR1相关知识——2.7华为设备基本命令3）设置管理IP给端口设置IP地址。//进入系统视图<Huawei>system-view//进入接口视图[R1]interfaceGigabitEthernet0/0/0//设置IP地址，子网掩码[R1-GigabitEthernet0/0/0]ipaddress24//退出接口视图

[R1-GigabitEthernet0/0/0]quit//查看接口IP情况[R1]displayipinterfacebrief03子任务1子任务1-1配置Cloud云设备1）任务内容：添加环回网卡、配置Cloud云设备、添加IO接口、桥接到物理机，实现虚拟设备与物理机的连接。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1配置Cloud云设备04子任务2子任务1-2console口登录安全配置2）任务内容：配置console口的密码认证（包括明文密码验证和密文密码验证）、AAA认证（包括用户名和密码）等。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2console口登录安全配置05子任务3子任务1-3Telnet登录安全配置3）任务内容：给路由器配置管理IP、为Telnet配置AAA验证、开启路由器的Telnet服务、使用SecureCRT通过Telnet方式连接路由器。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3Telnet登录安全配置06子任务4子任务1-4

路由器攻击防范4）任务内容：配置路由器，使之能够抵御畸形报文攻击、分片报文攻击、SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击等。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-4

路由器攻击防范07子任务5子任务1-5

访问控制列表（ACL）配置5）任务内容：基于源IP地址的ACL配置、基于时间的ACL配置、基于TCP端口的ACL配置。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-5

访问控制列表（ACL）配置感谢聆听Thanks

课程设计和制作：

高安邦机械工业出版社《网络信息安全基础》教材配套资源任务2交换机安全配置——项目一

路由交换设备的安全配置本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02交换机简介交换机安全配置子任务1配置Cloud云设备03子任务2SSH登录安全配置04子任务3SNMP管理设备安全配置05子任务4ARP的安全配置06子任务5DHCP安全配置07子任务6交换机的端口安全配置0801任务规划任务规划根据华为交换机安全加固和维护指南，需要完成如下加固任务。（1）配置交换机SSH登录密码；（2）配置交换机SNMP管理设备安全；（3）配置交换机ARP的安全；（4）配置交换机DHCP的安全；（5）配置交换机的端口安全。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址备注AR1GE0/0/054/24非法DHCP服务器AR2

GE0/0/054/24合法DHCP服务器GE0/0/1/24与物理机环回地址在同一网络PC1Ethernet0/0/1DHCP方式获取IPDHCP客户端PC2Ethernet0/0/1DHCP方式获取IPDHCP客户端SW1Vlanif100/24S3700CloudEthernet0/0/1桥接到物理机环回地址本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——2.1交换机简介什么是交换机？交换机是一种多端口的网络设备，主要负责在网络中的多个设备之间转发数据包。它通过识别数据包中的源地址和目的地址，将数据包从发送端口转发到接收端口，从而实现设备间的通信。好学深思互联网基建加速国产化

筑牢数字经济自主根基通过使用国产化的路由器和交换机，可以减少对外国技术的依赖，增强国家信息安全，避免潜在的安全风险。此外，国产化还能促进国内信息技术产业的发展，提升整体网络安全水平。中国品牌的华为、中兴通讯、新华三、锐捷网络等企业的路由器和交换机等设备一直在市场上占据重要地位。相关知识——2.2ARP的安全ARP地址解析协议（ARP，AddressResolutionProtocol）是用来将IP地址解析为MAC地址的协议。长期以来，ARP面临着ARP欺骗、ARP泛洪攻击等多种威胁。相关知识——2.3SNMP管理设备的安全SNMP管理设备的安全SNMP（简单网络管理协议，SimpleNetworkManagementProtocol）是广泛应用于TCP/IP网络的网络管理标准协议。SNMP可以通过访问控制和认证加密的方式增强网络的安全性。相关知识——2.4DHCP的安全DHCP的安全动态主机配置协议（DHCP）是一种网络管理协议，用于自动为设备分配IP地址和相关网络配置参数。由于DHCP服务器和客户端之间缺乏认证机制，导致恶意用户可以实施DHCP欺骗、DHCP地址耗尽和DHCP泛洪等攻击行为，影响DHCP服务正常运行。相关知识——2.5交换机的端口安全交换机端口安全端口安全（PortSecurity）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和StickyMAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。03子任务1子任务2-1配置Cloud云设备1）任务内容：添加环回网卡，配置Cloud云设备，添加IO接口，桥接到物理机，实现虚拟设备与物理机的连接。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1配置Cloud云设备04子任务2子任务2-2SSH登录安全配置2）任务内容：配置交换机管理IP地址、配置路由、生成RSA密钥、配置AAA、配置VTY视图、使用SecureCRT连接等。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-2SSH登录安全配置05子任务3子任务2-3SNMP管理设备安全配置3）任务内容：ACL配置（仅允许管理员IP地址访问）、关联SNMP服务于ACL、MIB视图配置、创建用户组、创建SNMP用户等。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-3SNMP管理设备安全配置06子任务4子任务2-4

ARP的安全配置4）任务内容：ARP防欺骗配置（包括ARP表项固化、动态ARP检测、ARP防网关冲突等）、防ARP泛洪（包括ARP表项限制、ARP速率限制、ARP表项严格学习、配置ARP端口级防护等）。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-4

ARP的安全配置07子任务5子任务2-5DHCP安全配置5）任务内容：DHCP服务过滤、配置DHCPsnooping合法性检查。08子任务6子任务2-6

交换机的端口安全配置5）任务内容：配置交换机安全MAC功能、配置StickyMAC功能。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-6

交换机的端口安全配置感谢聆听Thanks

课程设计和制作：

高安邦电子工业出版社《网络信息安全基础》教材配套资源任务3防火墙NAT技术应用——项目一

公网用户通过NATServer访问内部服务器课程设计和制作：

徐龙泉，王祯琳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02NAT概述和类型NAT策略NAT处理流程子任务1配置接口IP地址和安全区域03子任务2配置公网用户访问NATServer功能0401任务规划任务规划根据华为交换机安全加固和维护指南，需要完成如下加固任务。

某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务，需要在FW上配置NATServer功能。除了公网接口的IP地址外，公司还向ISP申请了一个IP地址（0）作为内网服务器对外提供服务的地址。其中Router是ISP提供的接入网关。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址备注FWGE0/0/1IP地址：/24安全区域：Untrust实际配置时需要按照ISP的要求进行配置GE0/0/2IP地址：/24安全区域：DMZ内网服务器需要将配置为默认网关NATServerNATServer名称：policy_web公网地址：0私网地址：公网端口：8080私网端口：80通过该映射，使用外网用户能够访问0与物理机环回地址在同一网络NATServer名称：policy_ftp公网地址：0私网地址：公网端口：21私网端口：21通过该映射，使用外网用户能够访问0，且端口号为8080的流量能够送给内网的Web服务器。Web服务器的私网地址为，私网端口号为80。路由缺省路由目的地址：下一跳：54为了内网服务器对外提供的服务流量可以正常转发至ISP的路由器，可以在FW上配置去往Internet的缺省路由。本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——3.1NAT概述和类型什么是NAT？NAT（NetworkAddressTranslation）是一种网络协议，用于将一个IP地址转换为另一个IP地址，或将一个端口号转换为另一个端口号，以实现两个不同的网络之间的通信。NAT通常被用于将一个公网IP地址映射到一个或多个私有IP地址，以便在私有网络中使用Internet服务。NAT的优点是可以将私有网络隐藏在公网后面，提高了网络的安全性；同时，NAT可以节省公网IP地址的使用，因为一个公网IP地址可以被多个私有IP地址共享。相关知识——3.1NAT概述和类型NAT的三种类型根据转换方式的不同，NAT有3种基本类型：源NAT、目的NAT和双向NAT分类转换内容是否转换端口适合场景源NAT当转换源地址时不转换端口源地址否适用于公网地址数量充足的、仅有少量私网用户访问Internet场景。私网地址与公网地址一对一转换当转换源地址时转换端口源地址是适用于大量的私网用户访问Internet场景。大量私网地址转换为少量公网地址相关知识——3.1NAT概述和类型NAT的三种类型根据转换方式的不同，NAT有3种基本类型：源NAT、目的NAT和双向NAT分类转换内容是否转换端口适合场景目的NAT静态目的NAT（包括目的NAT策略和NATServer）：公网地址与私网地址一对一进行映射目的地址可选适用于通过一个公网地址访问一个私网地址，或者多个公网地址访问多个私网地址的场景静态目的NAT（包括目的NAT策略和NATServer）：一个公网端口与私网端口一对一进行映射目的地址可选适用于通过一个公网地址的多个端口访问一个私网地址的多个端口的场景静态目的NAT（包括目的NAT策略和NATServer）：公网地址的多个端口与多个私网地址一对一进行映射目的地址是适用于通过一个公网地址的多个端口访问多个私网地址的场景静态目的NAT（包括目的NAT策略和NATServer）：多个公网地址与一个私网地址的多个端口一对一进行映射目的地址是适用于通过多个公网地址访问一个私网地址的多个端口的场景动态目的NAT（包括目的NAT策略和基于ACL的目的NAT）：公网地址随机转换为目的地址池中的IP地址目的地址可选适用于公网地址与私网地址不存在固定的映射关系，公网地址随机转换为目的地址池中的IP地址的场景相关知识——3.1NAT概述和类型NAT的三种类型根据转换方式的不同，NAT有3种基本类型：源NAT、目的NAT和双向NAT分类转换内容是否转换端口适合场景双向NAT源NAT+静态目的NAT源地址+目的地址可选适用于源地址和目的地址同时需要转换，且目的地址转换前后存在固定映射关系的场景源NAT+动态目的NAT源地址+目的地址可选适用于源地址和目的地址同时需要转换，且目的地址转换前后不存在固定映射关系的场景好学深思互联网基建加速国产化

筑牢数字经济自主根基通过使用国产化的路由器和交换机，可以减少对外国技术的依赖，增强国家信息安全，避免潜在的安全风险。此外，国产化还能促进国内信息技术产业的发展，提升整体网络安全水平。中国品牌的华为、中兴通讯、新华三、锐捷网络等企业的路由器和交换机等设备一直在市场上占据重要地位。相关知识——3.2NAT策略什么是NAT策略？

防火墙（FW）的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。地址池类型包括源地址池（NATNo-PAT、NAPT、三元组NAT、SmartNAT）和目的地址池。根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式。相关知识——3.2NAT策略什么是NAT策略？

防火墙（FW）的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出接口、服务、时间段。根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换。目的NAT策略不支持配置目的安全区域和出接口。相关知识——3.2NAT策略什么是NAT策略？

防火墙（FW）的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。动作包括源地址转换或者目的地址转换。无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。相关知识——3.3NAT处理流程NAT处理流程不同的NAT类型对应不同的NAT策略，在FW上处理顺序不同（1）FW收到报文后，查找NATServer生成的Server-Map表。（2）查找基于ACL的目的NAT。（3）查找NAT策略中目的NAT。（4）根据报文当前的信息查找路由（包括策略路由）。（5）查找安全策略。（6）查找NAT策略中源NAT。（7）FW发送报文。03子任务1子任务3-1配置接口IP地址和安全区域1）任务内容：完成网络基本参数配置.本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1配置Cloud云设备04子任务2子任务3-2配置公网用户访问NATServer功能2）任务内容：完成配置安全策略，允许外部网络用户访问内部服务器。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-2SSH登录安全配置感谢聆听Thanks

课程设计和制作：

徐龙泉，王祯琳电子工业出版社《网络信息安全基础》教材配套资源任务4VPN技术的应用——项目一IPSecVPN配置课程设计和制作：

徐龙泉，王祯琳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02VPN简介VPN的应用场景VPN按架构分类IPSecVPN简介子任务1配置FW_A的基础配置03子任务2配置FW_A的IPSec策略04子任务3配置FW_B的基础配置05子任务4配置FW_B的IPSec策略0601任务规划任务规划根据华为交换机安全加固和维护指南，需要完成如下加固任务。企业A与企业B之间需要跨互联网相互访问业务，由于业务涉及公司机密，希望通过保密的方式进行业务互访。本任务以网络A与网络B模拟企业A与企业B，网络A和网络B通过FW1和FW2连接到Internet。通过组网实现FW1和FW2之间建立IKE方式的IPSec隧道，网络A和网络B的用户可通过IPSec隧道互相访问，访问过程中在互联网的报文被IPSecVPN的加密，达到保密需求。本任务采用华为模拟器eNSP实施。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址安全区域FW1GE0/0/1/24untrustGE0/0/3/24trustFW2GE0/0/1/24untrustGE0/0/3/24trust本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——4.1VPN简介VPNVPN(VirtualPrivateNetwork)，又称虚拟专用网，是一种运用通用网络（如Internet）建立专用网络的技术。其主要作用是通过一种加密算法将源端网络通信数据，封装成一个特定的数据包，在隧道网络中进行传输，然后在目标端网络解包还原出源端数据。相关知识——4.1VPN简介VPNVPN技术能够利用公用网络提供的资源，同时对数据进行加密和身份验证，保障网络传输的安全性和隐私保密，使得企业和个人用户在使用公网进行远程或者分支机构间通讯时，既可享受专线般安全可靠，同时兼具互联网的低廉和方便。此外，VPN技术能够实现虚拟专用网络的隔离，使得隧道内和隧道外两个网络环境相互隔离，从而在网络上实现安全的通信。相关知识——4.1VPN简介VPN的整体概念简介（1）虚拟“虚拟”是VPN的实现方式。既然是通过封装方式建立逻辑隧道来跨越公有网络传输数据，这就意味着VPN不同于租用专线网络所采用的物理连接方式。从理论上说，这表示只要通信双方在协议层面可以互通，它们就可以建立起逻辑的网络。相关知识——4.1VPN简介VPN的整体概念简介（2）专用“专用”描述了VPN的一大核心需求，也就是让跨越公共媒介的通信方获得类似于连接在同一个网络中的通信体验。VPN最初的目的就是为了让同一家企业能够跨越公共媒介进行通信。相关知识——4.1VPN简介VPN的整体概念简介（3）网络VPN常常是一条点对点的隧道，但这些VPN隧道也可以组成复杂的网络，实现多点之间的资源共享。在实际使用中，VPN拓扑也包含了点对点连接、星型（hub-and-spoke）连接等不同的网络结构。好学深思互联网基建加速国产化

筑牢数字经济自主根基通过使用国产化的路由器和交换机，可以减少对外国技术的依赖，增强国家信息安全，避免潜在的安全风险。此外，国产化还能促进国内信息技术产业的发展，提升整体网络安全水平。中国品牌的华为、中兴通讯、新华三、锐捷网络等企业的路由器和交换机等设备一直在市场上占据重要地位。相关知识——4.2VPN的应用场景VPN的应用场景VPN技术因其灵活性和安全性，在多种场景下都是保障数据安全和网络访问的重要工具。VPN的应用场景非常广泛，以下是一些常见的应用实例：（1）远程办公。企业员工可以通过VPN远程访问公司内部网络，以便在任何地方进行工作。（2）跨地域网络连接。通过VPN，多个地理位置不同的网络可以连接起来，实现安全通信，方便数据共享和协作。（3）加密通信。VPN可以加密数据传输，保障通信的安全性和隐私性。相关知识——4.2VPN的应用场景VPN的应用场景VPN技术因其灵活性和安全性，在多种场景下都是保障数据安全和网络访问的重要工具。VPN的应用场景非常广泛，以下是一些常见的应用实例：（4）公共Wi-Fi网络。通过连接VPN，可以避免在公共Wi-Fi网络中敏感数据被黑客窃取。（5）商务用途。允许公司将分支机构和远程用户连接到内部网络上，以便进行文件共享、视频会议等等。（6）保护个人计算机和设备。VPN提供加密和防火墙保护，可以保护设备免受网络攻击和病毒感染。相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（1）站点到站点VPN顾名思义，站点到站点VPN就是在两个站点之间跨越某个网络建立VPN。因此站点到站点VPN连接的是两个站点中的一台VPN端点设备，目的是以这个端点设备作为VPN隧道的起点和终点，在两个站点之间建立起服务于这两个站点之间通信的逻辑信道。相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（1）站点到站点VPN在两个站点之间跨越网络建立VPN连接连接两个站点中的VPN端点设备（防火墙、路由器、三层交换机等）以端点设备作为VPN隧道的起点和终点典型技术：IPSecVPN、GREoverIPsec作用：服务于两个站点之间的通信相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（2）远程接入VPN顾名思义，站点到站点VPN就是在两个站点之间跨越某个网络建立VPN。因此站点到站点VPN连接的是两个站点中的一台VPN端点设备，目的是以这个端点设备作为VPN隧道的起点和终点，在两个站点之间建立起服务于这两个站点之间通信的逻辑信道。相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（2）远程接入VPN远程用户通过移动设备拨号与网络建立VPN连接使远程用户能够安全访问网络中的各类资源典型场景：出差员工连接企业网络典型技术：基于客户端的IPSecVPN、SSLVPN相关知识——2.3VPN按架构分类VPN按架构分类

如果按照其他的分类方式，上述VPN有可能产生新的组合。例如，如果按照VPN解决方案的实施主体来看，则VPN可以分为企业VPN和运营商VPN。其中，站点到站点VPN和远程接入VPN（按照架构分类）都属于企业VPN，而MPLSVPN（按照协议分类）则属于运营商VPN。相关知识——2.4IPSecVPN简介IPSecVPN简介IPSecVPN（InternetProtocolSecurityVirtualPrivateNetwork）是一种基于IP层的加密技术，提供数据传输过程中的安全性和完整性。IPSec不是一项协议，而是包含了多种元素的框架，使用者可以对多种元素的具体实现办法进行选择，这些元素包括封装协议、认证和加密算法、密钥管理方式、封装模式等。使用者可以根据实施规模和需求，来选择不同的具体实现方法，从而获得灵活的安全通信通道。相关知识——2