達新民 劉軍霞

關鍵詞：網(wǎng)絡仿真；eNSP；訪問控制列表

0 引言

計算機網(wǎng)絡是高等學校計算機及相關專業(yè)重要的課程之一，課程系統(tǒng)介紹了計算機網(wǎng)絡基本原理和網(wǎng)絡體系結構，重點圍繞OSI 參考模型、TCP/IP 體系結構講解基本概念和原理，包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、運輸層、應用層等主要內容[1]。

計算機網(wǎng)絡知識面廣、內容抽象、綜合性強，兼具理論性和實踐性的特點，涉及計算機、數(shù)字通信、電子信息等多領域的技術。因此在計算機網(wǎng)絡教學中增設實驗內容，成為多數(shù)高校采用的教學方式，加強實驗教學可以更好地促進學生理解和掌握課程內容，提高學生計算機網(wǎng)絡技術實踐能力[2-3]。

隨著虛擬化技術的不斷發(fā)展，計算機網(wǎng)絡仿真軟件逐步引入到計算機實驗教學中，很好地解決了傳統(tǒng)計算機網(wǎng)絡實驗室遇到的困境。網(wǎng)絡仿真軟件可以模擬真實的網(wǎng)絡設備，為教學提供靈活、便捷、高效的實驗環(huán)境[4-5]。其中，eNSP（Enterprise Network SimulationPlatform）是一款優(yōu)秀的圖形化網(wǎng)絡仿真軟件，可以仿真華為的交換機、路由器及WLAN 設備等，支持大型網(wǎng)絡模擬，是進行計算機網(wǎng)絡實驗的較好的仿真平臺[6-7]。

1 實驗技術原理

訪問控制列表ACL（Access Control Lists）[8-10]是一種基于包過濾的訪問控制技術，其基本原理是基于ACL 中的條件對數(shù)據(jù)包進行匹配，從而過濾出數(shù)據(jù)包，然后根據(jù)策略決定該數(shù)據(jù)包是否允許通過。

ACL 是一系列規(guī)則的集合，規(guī)則主要由匹配項和動作兩部分構成。其中，匹配項就是過濾的條件，基本ACL 中的條件主要包含源IP 地址等，高級ACL 中的條件還可以包含目的IP 地址、端口號等；動作就是處理的策略，即允許或拒絕過濾出的數(shù)據(jù)包。

在路由器的接口應用ACL 后，該接口轉發(fā)數(shù)據(jù)包時，首先與ACL 規(guī)則中的匹配項逐一比對，對匹配成功的數(shù)據(jù)包，就按照規(guī)則中的動作決定是否轉發(fā)。ACL 基本工作原理及處理流程如圖1 所示。

運用ACL 可以有效控制終端對網(wǎng)絡資源的訪問，提高網(wǎng)絡性能，控制網(wǎng)絡流量，保障網(wǎng)絡安全。

2 實驗設計

訪問控制技術是計算機網(wǎng)絡實驗教學中的一項重要內容，也是網(wǎng)絡訪問控制中最基本、最常用的方法之一。ACL 通過對由器接口轉發(fā)的數(shù)據(jù)包進行過濾來實現(xiàn)對特定網(wǎng)絡的訪問權限控制。設計本實驗的目的是讓學生深刻理解ACL 基本原理，掌握ACL應用方法和配置過程，提高學生計算機網(wǎng)絡安全的操作技能。

實驗網(wǎng)絡邏輯設計中，設計有三個局域網(wǎng)和一個服務器網(wǎng)絡，對各網(wǎng)絡之間的訪問根據(jù)需要來控制，具體規(guī)劃見表1。

三個局域網(wǎng)分別代表不同安全要求的網(wǎng)絡，Server代表提供應用服務的網(wǎng)絡，根據(jù)功能需求設計實驗網(wǎng)絡，實驗網(wǎng)絡邏輯結構見圖2。

邏輯設計網(wǎng)中，SW1、SW2、SW3 為接入交換機，分別連接二臺PC 終端，組成各自的局域網(wǎng)；局域網(wǎng)1、局域網(wǎng)2、局域網(wǎng)3 通過路由器R1 進行互連，實現(xiàn)局域網(wǎng)間的互通；Server1 為服務器，提供網(wǎng)絡服務。

3 實驗實現(xiàn)

3.1 實驗拓撲搭建

實驗網(wǎng)絡物理設計在華為網(wǎng)絡仿真軟件eNSP 中仿真實現(xiàn)，按照邏輯設計圖搭建實驗網(wǎng)絡[4-7]，網(wǎng)絡拓撲如圖3 所示。

3.2 網(wǎng)絡數(shù)據(jù)規(guī)劃

根據(jù)實驗設計要求，進一步對實驗網(wǎng)絡物理拓撲中網(wǎng)絡設備的接口、IP 參數(shù)等進行設計，數(shù)據(jù)規(guī)劃情況見表2。

3.3 功能配置

⑴ 基本配置

在實驗網(wǎng)絡物理拓撲中，按照網(wǎng)絡接口規(guī)劃表對路由器、交換機等設備的基本參數(shù)進行配置，如接口IP、Server 和PC 的IP 參數(shù)等。首先，實現(xiàn)3 個局域網(wǎng)、Server1 之間的互通。例如，局域網(wǎng)1 中PC1 與Server1可以連通，如圖4 所示。

⑵ ACL 配置

配置ACL[6-8]是本實驗中的關鍵步驟，本實驗使用高級ACL 實現(xiàn)對特定網(wǎng)絡訪問權限的控制，需要在路由器AR1 中完成，以局域網(wǎng)1 為例說明實現(xiàn)方法。

根據(jù)設計要求，對于局域網(wǎng)1，允許主機訪問Server1，拒絕訪問其他局域網(wǎng)，據(jù)此配置ACL 中的規(guī)則，方法如下：

[AR1]acl 3000

[AR1-acl-adv-3000]rule 5 permit ip destination

192.168.4.0 0.0.0.255

[AR1-acl-adv-3000]rule 10 deny ip source

192.168.1.0 0.0.0.255

⑶ 應用ACL

完成高級ACL 配置后，還需要將其應用到路由器AR1 對應的接口上，使ACL 生效。這里在連接局域網(wǎng)1 的接口的入方向上應用ACL，方法如下：

[AR1] interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

4 實驗測試

實驗所有的配置完成后，對實驗結果進行測試驗證，檢查配置是否正確、功能是否實現(xiàn)，測試方法采用ping 方式驗證網(wǎng)絡連通性。

以局域網(wǎng)1 為例，驗證實驗結果。根據(jù)實驗設計要求，PC1 可以連通Server1，不能連通其他局域網(wǎng)的PC 終端，測試結果如圖5、圖6 所示。

同理，可以驗證局域網(wǎng)2、局域網(wǎng)3 訪問其他局域網(wǎng)和服務器的實驗結果，均達到實驗設計要求。

5 結束語

本實驗是計算機網(wǎng)絡課程中網(wǎng)絡安全實驗之一，采用華為eNSP 完成實驗內容。實驗過程分為：實驗任務設計、邏輯網(wǎng)絡設計、物理網(wǎng)絡設計、配置實現(xiàn)及實驗結果測試等五個階段。實驗運用了ACL 包過濾技術，實現(xiàn)網(wǎng)絡訪問控制權限，具體說明了網(wǎng)絡訪問控制策略配置的基本過程，達到了實驗目的。通過本實驗的學習和實訓，可以培養(yǎng)學生運用基本知識解決具體問題的基本思路，使學生初步掌握配置ACL 的基本方法，幫助其理解計算機網(wǎng)絡安全知識，提高實踐能力，最終取得良好教學效果。