H3CSE构建安全优化的广域网v1课程

《局域网组建与维护》课程简介局域网组建与维护课程已成为高职院校计算机教学中的重要课程，是计算机网络技术专业的一门必修核心课程。

本课程主要训练家庭、宿舍、实训室等常见局域网组建和维护所必备的技能和知识。

本课程训练的主要目标见表1。

表1 课程训练的主要目标
本课程的前续课程是《计算机网络基础》《电工电子》《计算机组装与维护》，学生基本掌握了计算机网络的基础知识和必备的技能，如什么是网络、IP地址的组成和作用、模拟电路、数字电路、计算机部件及相关安全操作规程与规范。

其后续课程是《网络设备安装与配置》《网络规划与实现》《网络安全》等设备使用、网络规划设计、网络安全措施等方面的管理与规划课程。

本课程起到承前启后的作用，形成了一条知识链，学生学习完成后能完成局域网络使用、组建、配置、维护和设计等任务。

对一些有代表性的信息进行了分析和整理，主要涉及的岗位如表2所示。

表2 相关岗位信息
对一些有代表性的信息进行了分析和整理，见表1。

表1 职位信息
整个课程遵循从简单到复杂的认知规律,分为基础、进阶、管理与维护4个部分，每个部分设置3个项目，所有技能训练与知识理论学习都围绕这些项目展开，在每个项目下设计了具体的任务和子任务，所有项目链接起来形成了局域网使用、组建、管理与维护的完整的应用体系，共有任务29个，子任务85个。

H3C⽹络技术课程学习笔记讲解H3CNE⽹络技术课程学习笔记第1章计算机⽹络概述⼀、计算机⽹络的演化计算机⽹络⾄今共经历4个时期：第⼀代：以单个计算机为中⼼的远程联机系统（FED前端机）第⼆代：以多个主机通过通信线路互联（IMP接⼝报⽂处理机）第三代：在OSI标准的基础上，具有统⼀⽹络体系结构（OSI）第四代：将多个具有独⽴⼯作能⼒的计算机系统通过通信设备、线路、路由功能完善的⽹络软件实现⽹络资源共享和数据通信的系统（Internet）下⼀代：因特⽹、移动⽹、固话⽹的融合（IPv6）⼆、计算机⽹络的类型按地理覆盖范围：lan、man、wan、Intenet按⽹络拓扑结构：星状、环状、总线、混合状、⽹状按管理模式：对等、C/S三、衡量计算机⽹络的性能指标1、带宽：数字信道上能够传送的最⾼数据传输速率2、时延：传播时延+发送时延+处理时延3、传播时延带宽积：传播时延*带宽四、⽹络标准化组织1、美国国际标准化组织（ANSI）2、电⽓电⼦⼯程师协会（IEEE）3、国际通信联盟（ITU）4、国际标准化组织（ISO）5、电⼦⼯业联合会（EIA）6、通信⼯业联合会（TIA）7、Internet⼯程任务组（IETF）第2章OSI参考模型与TCP IP模型分层的有点：1、促进标准化⼯作，允许供应商开发2、各层间独⽴，把⽹络操作划分成复杂性低的单元3、灵活好⽤，某⼀层变化不会影响到其他层，设计者可专⼼开发模块功能4、各层间通过⼀个接⼝在上下层间通信⼀、了解OSI参考模型和TCP/IP模型的产⽣背景1、OSI（开放式系统互连参考模型）是ISO（国际标准化组织）于1978年所定义的开放式系统模型，它描述了⽹络层次结构，保证了各种类型⽹络技术的兼容性、互操作性。

各⽹络设备⼚商按照此模型的标准来开发⽹络产品，实现彼此的兼容。

2、TCP/IP协议起源于20世纪60年代，由IEEE提出，是⽬前应⽤最⼴、功能最强⼤的⼀个协议，已成为计算机相互通信的标准。

无线网络技术教案-构建H3C无线局域网络实训指导教程学院：电子信息学院授课教师：韩森引言课程的性质、学习目的、参考资料、学习方法、学习要求等第一章WLAN技术背景知识✧无线局域网发展概况✧无线局域网分类✧无线局域网技术与标准✧802.11的发展与主要问题答疑主要内容：主要的无线技术；WLAN网络的优点；WLAN相关组织与标准；802.11协议的发展与主要问题。

小结学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森无线网络技术教案-构建H3C无线局域网络实训指导教程学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森学院：电子信息学院授课教师：韩森。

“上网要认证，权限有控制”－H3C WiNet安全局域网解决方案一、WiNet安全局域网带来网络管理新概念1.1 、前言随着IT信息化的不断发展，作为IT载体的计算机通信网络在中小企业中具有越来越重要的地位，目前，中小企业已经普遍部署了交换机、路由器等网络设备，实现了网络的连通性，能够完成基本的网络通信功能，对中小企业的进一步发展提供了有力的IT信息化保障。

然而，企业网络管理者很快发现仅具有连通性的、开放的网络随时可能面临各种各样的安全风险，其中，由于缺少合适的用户认证管理系统，企业网络基本处于开放状态，未授权用户可以随时随意接入网络，访问非授权的网络资源，同时，对企业员工缺少网络访问权限的控制，不同部门、不同身份的员工可以互相访问，机密信息泄漏的风险大大增加。

虽然传统的网络用户接入管理AAA系统可以解决上述问题，但价格昂贵，增加中小企业购买成本负担，同时传统AAA认证方案需要安装操作系统服务器软件、数据库软件、AAA认证软件，造成部署复杂，这也增加了中小企业的维护成本。

针对此现状，H3C面向中小企业用户推出了WiNet安全局域网系列产品和解决方案，该系统具有简捷实用的网络管理功能和用户管理功能，在不增加企业任何额外投资的情况下，让中小企业拥有一个“上网要认证、权限有控制”的安全型局域网络。

1.2、方案简介H3C Winet安全局域网解决方案是面向中小型企事业单位量身定做的一套具有网络管理功能和用户管理能力的新型智能安全网络方案，该解决方案建立了一套以用户（帐号）为中心的全新网络管理维护模式，既有效的解决了企事业单位日益关心的网络信息安全控制问题，又通过一系列图形化、自动化的操作极大的提供了网络管理人员的工作效率。

图1 H3C Winet系统架构和管理界面示意图根据设备在WiNet系统中所处地位和功能不同，可把WiNet中的设备分成如下三种角色：A、管理设备：WiNet网管的核心设备，内嵌了WiNet系统，通过收集相关信息来发现设备并形成网络拓扑。

《H3C硬件防火墙》教学进程表总计学习课时为60 课时，其中理论课时为30 课时，实验课时为30 课时，适用专业: TC精英教育各专业使用，各章节课时分配如下：章节号章节名称理论课时分配实验课时分配说明第1章安全优化的广域网概述 2 2第2章传统VPN技术 4 4第3章安全VPN技术10 10第4章BGP/MPLS VPN 10 10第5章增强网络安全性 4 4课时小计30 30课时总计60《H3C硬件防火墙》课程教学大纲课程代码：非标教材(自选)课程性质：选修课先修课程：网络基础适用专业：TC教育各专业使用教材：《路由交换技术第4卷（H3C网络学院系列教程）》清华大学出版社执笔人:王海军审稿人:叶伟一、课程的性质与任务《计算机操作基础》课程是我院所有已开设专业的必修课程。

通过本课程的学习，使学员可以系统的了解安全优化的广域网概述、VPN技术、L2TP VPN、安全VPN技术、BGP/MPLS VPN、增强网络安全性等相关安全知识。

通过实践，培养和提高学员的动手能力，为后面的专业课学习打好基础。

二、课程的考核方法《H3C硬件防火墙》为考查课程，采用做案例方法，即在课程结束后以案例形式进行考核，课程学完后学员可自愿参加H3C公司网络工程师认证考试。

三、课程的目的要求“目的要求”是指通过教师的讲授及学生的认真学习所应达到的教学目的和要求。

结合本课程的教学特点，“目的要求”分为“掌握”、“熟悉”和“了解”三个级别。

“掌握”的内容，要求教师在授课时，进行深入的剖析和讲解，使学生达到彻底明了，能用文字或语言顺畅地表述，并能独立完成操作，同时也是考试的主要内容；“熟悉”的内容，要求教师予以提纲挈领地讲解，使之条理分明，使学生对此内容完全领会，明白其中的道理及其梗概，在考试时会对基本概念、基本知识进行考核；“了解”的内容，要求教师讲清概念及相关内容，使学生具有粗浅的印象。

四、教学内容第1章安全优化的广域网概述［学习课时］本章共需要学习 4 课时，其中理论课为 2 课时，实验课为 2 课时［目的要求］1．了解远程网络连接需求分类2．熟悉远程网络连通性需求3．掌握远程网络安全性需求4. 熟练掌握远程网络优化性需求［教学内容］1．远程连接需求分类1.1 连通性需求1.2 安全性需求1.3 优化性需求2．远程连通性需求2.1 园区及大型分支机构之间2.2 中型分支机构2.3 小型分支机构/SOHO/移动办公人员3、远程安全性需求3.1 广域网传输安全性3.2 节点/站点安全性3.3 接入安全性等4. 远程优化性需求［作业及实验］1、远程连接需求分类及需求。

H3C网络安全技术与网络部署目次摘要 ................................................................................................................ 错误！未定义书签。

目次 . (1)1 绪论 (3)1.1 研究意义和背景 (3)1.2 目前研究现状 (3)1.2.1 局域网内部安全 (4)1.2.2 远程接入和边界安全 (5)1.2.4 路由安全 (6)1.3 研究内容和拟解决的问题 (7)1.4 结语 (7)2 网络安全概述 (8)2.1 网络安全的基本概念 (8)2.2 网络安全的特征 (9)2.3 网络安全策略 (9)2.3.1 网络物理安全策略 (9)2.3.2 网络访问控制策略 (10)2.3.3 网络信息加密策略 (10)2.3.4 网络安全管理策略 (10)3 局域网安全 (11)3.1 基于H3C系列交换机VLAN的应用 (11)3.2 基于VLAN的PVLAN技术的应用 (13)3.3 利用GVRP协议来管理VLAN (14)3.4 H3C交换机设备之间的端口汇聚 (14)3.5 启用端口镜像对流量进行监控 (15)3.6 构建安全的STP生成树体系 (17)3.7 多层交换体系中部署VRRP (18)3.8 IRF技术的应用 (19)4 边界网络安全 (21)4.1 NAT技术的应用 (22)4.2 ACL技术的应用 (22)4.3 VPN技术的应用 (24)4.3.1 IPsec VPN的应用 (25)4.3.2 IPsec 上的GRE隧道 (26)4.3.3 二层VPN技术L2TP的应用 (26)4.3.4 SSL VPN技术的应用 (27)4.3.5 DVPN技术的应用 (27)4.3.6 VPN技术在MPLS网络中的应用 (28)4.4 H3C SecPath系列防火墙/VPN的部署 (29)4.5 H3C的各类安全模块 (31)4.5.1 H3C SecBlade FW模块 (31)4.5.2 H3C SSL VPN模块 (32)4.5.3 H3C ASM 防病毒模块 (34)4.5.4 H3C NSM 网络监控模块 (35)4.6 H3C的IPS和UTM设备 (35)5 身份认证与访问控制 (38)5.1 AAA安全服务 (38)5.2 EAD安全解决方案 (40)5.3 802.1X身份认证 (41)5.4 设备安全 (42)5.4.1 物理安全 (43)5.4.2 登录方式和用户帐号 (43)5.4.3 SNMP协议的应用 (44)5.4.4 NTP协议的应用 (45)5.4.4 禁用不安全的服务 (45)6 路由安全 (47)6.1 静态路由协议 (47)6.1.1 利用静态路由实现负载分担 (47)6.1.2 利用静态路由实现路由备份 (47)6.2 OSPF路由协议 (48)6.2.1 OSPF身份验证 (48)6.2.2 分层路由 (48)6.2.3 可靠的扩散机制 (49)6.2.4 OSPF LSDB过载保护 (50)6.2.5 DR\BDR的选举和路由器ID的标识 (50)6.3 BGP路由协议 (50)6.3.1 BGP报文保护 (50)6.3.2 BGP对等体组Peer Group (51)6.3.3 BGP负载均衡 (51)6.3 操纵路由选择更新 (52)6.4.1 路由重分发 (52)6.4.2 静态路由和默认路由 (53)6.4.3 路由分发列表和映射表 (54)6.4.4 操纵管理距离 (54)7 网络攻击的趋势和主流的网络攻击 (55)7.1 ARP攻击 (56)7.2 DDOS攻击 (56)7.3 TCP SYN攻击 (57)7.4 口令攻击 (58)7.5 缓冲区溢出攻击 (58)7.6 蠕虫病毒 (58)7.7 Land 攻击 (59)7.8 Vlan攻击 (59)1 绪论1.1 研究意义和背景计算机网络安全已引起世界各国的关注，我国近几年才逐渐开始在高等教育中渗透计算机网络安全方面的基础知识和网络安全技术应用知识。