基于eNSP的安全園區網實驗設計與構建

溫 賀 平

(東莞職業技術學院 信息與教育技術中心， 廣東 東莞 523808)

0 引 言

在計算機網絡、組網技術與網絡管理等課程教學中，多采用Cisco的Packet Tracer模擬軟件進行模擬上機實驗[]。自2013年斯諾登“棱鏡門”事件以來，網絡安全問題在國內各行業中引起了廣泛的關注[2]。在國家信息安全相關政策的持續影響下，網絡實驗設備國產化勢在必行[3]。然而，面對日新月異發展的網絡技術，相關課程的教學實踐面臨一些新的問題，主要包括：① 受限于經費等條件約束，許多實驗室難以采購昂貴的網絡設備如防火墻為師生提供實驗環境；② 實驗設計方案多數是基于Cisco packet tracer平臺，對外資設備具有依賴性；③ 基于國產網絡設備的安全組網的實驗設計較少，尤其是切合實際園區網環境的方案；④ 實驗設計照抄陳年案例，缺乏創新性。因此，設計和構建基于國產網絡設備模擬軟件的安全組網實驗方案[4-8]，此外，通過實驗能夠加深學生對安全組網原理的理解以及相關實踐技能的掌握。

1 安全園區網實驗方案

1.1 實驗目的

掌握安全園區網的關鍵配置方法，既包括組網中常見的虛擬局域網(Virtual Local Area Network, VLAN)、交換路由配置技術，還包括防火墻Trust、Untrust和DMZ區域劃分、交換機鏈路聚合及NAT配置技術等。

1.2 模擬器(Enterprise Network Simulation Platform, eNSP)設備清單

實驗在華為網絡設備模擬器eNSP上實現。包括防火墻USG5500設備1臺、路由器1臺、華為5700三層交換機1臺、3700二層交換機4臺、Server服務器共3臺、PC共3臺、Client客戶端共4個，直通線、交叉線和串口線若干。

1.3 實驗總體設計

安全園區網的總體設計如圖1所示。實驗網絡分為Trust、Untrust和DMZ 3個區域。其中，Trust區域為內網區，包含1臺核心交換機、3臺接入交換機以及PC和終端若干。內網區采用當今主流的“扁平化”結構，即只有核心層和接入層，沒有匯聚層。Untrust區域包含一臺外網路由器和測試終端。DMZ區域是本實驗的難點的重點，配置了Web、FTP及DNS 3臺服務器。

圖1 安全園區網的總體設計圖

1.4 實驗要求

對于Trust區域，在SW0下的交換機及各PC和終端可互連互通的基礎上，有不同要求：① SW1區域可上外網，可訪問DMZ；② SW2區域不可上外網，可訪問dmz；③ SW3區域不可上外網，不可訪問DMZ；④ SW0與SW1-SW3 3臺接入交換機配置鏈路聚合，實現負載均衡功能。

對于Untrust區域，有以下要求：① 可以訪問Web服務器，即公網地址的80端口對外開放；② 可以訪問FTP服務器，即公網地址的21端口對外開放；③ DNS服務器不對公網開放。即Web和FTP服務器采用NAT配置方法對外提供服務。

2 安全園區網實驗設計與構建

2.1 實驗網絡邏輯規劃

根據安全園區網實驗總體設計及實驗要求，防火墻USG5500的3個端口分別對應Trust、Untrust和DMZ 3個區域。在Trust區域規劃3個VLAN：vlan 10、vlan 20和vlan30分別對應SW1、SW2和SW3 3臺交換機。其中，vlan10區域可上外網，可訪問DMZ；vlan20區域不可上外網，可訪問DMZ；vlan30區域不可上外網，不可訪問DMZ。在SW0上規劃vlan50用于和FW進行通信。防火墻的vlan100對應DMZ區域的3臺服務器。

實驗中總共用到了5個公網的IP地址，202.1.1.1、202.1.1.2分別用于出口防火墻FW和外網路由器R0的接口地址；202.1.1.3-4用于內網區192.168.10.0/24動態NAT的公網IP地址池；202.1.1.5用于WEB和FTP服務器的NAT端口地址映射。主要網絡設備IP規劃表及網絡終端IP規劃表如表1、2所示，NAT映射表如表3所示。

表1 主要網絡設備IP規劃表

表2 網絡終端IP規劃表

2.2 關鍵網絡設備配置實現

防火墻的配置最關鍵，既是實驗的重點也是難點。

表3 NAT映射表

在防火墻上進行配置。Trust區域的SW0實現局域網內的互連互通，外網路由器R0主要是模擬內網用戶上網測試，及在外網測試NAT配置的可用性。

2.2.1防火墻DMZ配置

劃分Trust、Untrust和DMZ 3個區域，并將對應的接口加入相應的區域是實驗配置中非常重要的一個步驟。主要配置代碼如下：

[FW0-GigabitEthernet0/0/2] ip address 192.168.50.2 24 //trust

[FW0-GigabitEthernet0/0/3] ip address 172.16.1.1 24 //untrust

[FW0-Serial0/0/0] ip address 202.1.1.1 24 //dmz

[FW0] firewall zone trust

[FW0-zone-trust] add interface GigabitEthernet 0/0/2

[FW0] firewall zone dmz

[FW0-zone-dmz] add interface GigabitEthernet 0/0/3

[FW0] firewall zone untrust

[FW0-zone-untrust] add interface Serial0/0/0

接下來，配置域間包過濾，以滿足網絡安全訪問的要求。值得指出的是防火墻的具有默認的包過濾配置。以USG5500為例，其默認包過濾規則為允許Local和Trust雙向訪問；允許Local訪問DMZ及Untrust區域；其余訪問默認均禁止。其中，Local是指防火墻本身的接口區域。因此，為了實現實驗要求里的SW1區域可上外網，可訪問DMZ；SW2區域不可上外網，可訪問DMZ； SW3區域不可上外網，不可訪問DMZ，關鍵配置代碼如下：

//配置允許訪問外網的IP段

policy interzone trust untrust outbound

policy 0

action permit

policy source 192.168.10.0 0.0.0.255

//配置允許訪問dmz的IP段

policy interzone trust dmz outbound

policy 0

action permit

policy source 192.168.10.0 0.0.0.255

policy source 192.168.20.0 0.0.0.255

2.2.2NAT配置

NAT配置包括內網IP訪問公網和服務器對外開放端口兩部分，均是在防火墻是進行配置實現。NAT配置關鍵代碼及描述如下：

//創建NAT地址池1，地址范圍為：202.1.1.3-202.1.1.4。

[FW0] nat address-group 1 202.1.1.3 202.1.1.4

//創建trust和untrust區域之間的NAT策略，確定進行NAT轉換的源地址范圍，并且將其與NAT地址池1進行綁定。

[FW0] nat-policy interzone trust untrust outbound

[FW0-nat-policy-interzone-trust-untrust-outbound] policy 0

[FW0-…-outbound-0] policy source 192.168.10.0 0.0.0.255

[FW0-…-outbound-0] action source-nat

[FW0-…-outbound-0] address-group 1

//創建兩臺內網服務器的公網IP與內網IP的映射關系。

[FW0]nat server protocol tcp global 202.1.1.5 www inside 172.16.1.2 80

[FW0]nat server protocol tcp global 202.1.1.5 ftp inside 172.16.1.3 21

2.2.3鏈路聚合配置

3個接入交換機分別于SW0配置鏈路聚合功能，以提高網絡的安全可靠性。以與SW1連接為例，SW0鏈路聚合配置如下：

interface Eth-Trunk1 //鏈路聚合標號1

port link-type trunk //與SW1連接口屬性一致

port trunk allow-pass vlan 10

interface GigabitEthernet0/0/11 //鏈路聚合捆綁g0/0/11

eth-trunk 1

interface GigabitEthernet0/0/21 //鏈路聚合捆綁g0/0/21

eth-trunk 1

其他兩個交換機配置方法基本一致，只要修改對應的Eth-Trunk標號即可。

3 實驗驗證

3.1 鏈路聚合功能測試

網絡測試一般采用“由近及遠，由易到難”的測試步驟。因此，在基礎配置完成的基礎上，首先對鏈路聚合功能進行測試。通過測試SW0與SW1直接的互連互通性及查看SW0的鏈路聚合狀態，如圖2所示，容易驗證配置的可行性。

圖2 SW0與SW1間鏈路聚合狀態

3.2 內網訪問外網和DMZ

用ping指令不難驗證SW0下的3個交換機下的PC和終端不同的訪問權限。此外，還可以通過PC和終端來驗證DMZ中的服務器的功能。PC1訪問外網的ping指令測試情況如圖3所示。

圖3 PC1訪問外網驗證

根據實驗要求，內網的SW1及SW2下的PC及終端應該能夠訪問DMZ。利用Client2訪問FTP的情況如圖4所示。

圖4 內網訪問FTP驗證

DNS是DMZ中一個重要的服務。在Server_DNS上配置主機域名與IP地址對應的記錄，然后在內網區的PC用ping主機域名，可驗證能夠正常解析IP地址。DNS主機域名與IP地址配置信息及Server_DNS解析功能驗證分別如圖5、6所示。

圖5 DNS主機域名與IP地址配置信息

圖6 Server_DNS解析功能驗證

3.3 NAT配置驗證

服務器對外服務NAT映射驗證可以通過在外網區域的Client終端進行功能測試的方法來完成。例如外網訪問Server_Web的情況如圖7所示，在外網Client4的瀏覽器中輸入地址http://202.1.1.5/default.htm可以彈出對應的文件頁面，驗證了實驗成功。

圖7 外網訪問Server_WEB驗證

4 結 語

基于華為模擬軟件的eNSP的安全園區網實驗設計綜合運用了網絡路由、鏈路聚合、域間包過濾及NAT配置等技術，對于輔助學生掌握安全網絡的構建和配置方面具有較好的指導作用。同時，對提高學生在華為HCNA、HCNP、HCIE及信息安全工程師等新興的認證考試的通過率方面能起到積極的作用。在此實驗方案基礎上，還可以進一步延伸和拓展實驗內容。比如，可以結合SecureCRT、VMWare、GNS3等常用的網絡軟件構建更為綜合的實驗平臺，根據不同場景定制設計更多豐富的實驗方案，從而達到更好的教學效果。

參考文獻(References)：

[1] 田安紅,付承彪. 靜態路由協議在模擬仿真器中的設計與實現[J]. 實驗技術與管理,2014(2):100-103.

[2] 陳左寧,王廣益,胡蘇太,等. 大數據安全與自主可控[J]. 科學通報,2015,(Z1):427-432.

[3] 黃建忠,張滬寅,裴嘉欣. 網絡安全虛擬仿真實驗教學體系設計[J]. 實驗室研究與探索,2016(10):170-174.

[4] 陳 潮,靳慧云,黃安安. VLAN間路由實驗在仿真器中的設計與實現[J]. 實驗技術與管理,2016(8):129-132.

[5] 孟祥成. 基于eNSP的防火墻仿真實驗[J]. 實驗室研究與探索,2016(4):95-100.

[6] 魯先志,胡海波. 基于開源架構的虛擬網絡安全實驗平臺[J]. 實驗技術與管理,2015(7):120-123，155.

[7] 李 永. 基于Packet Tracer的路由綜合實驗設計與實現[J]. 實驗室研究與探索,2015(9):111-114.

[8] 溫賀平,曹文梁,劉 慶. 一種模擬校園網的綜合組網實驗設計[J]. 實驗室研究與探索,2017(2):141-144.

[9] 施 游．網絡規劃設計師考試全程指導[M] ．北京：清華大學出版社，2009.

[10] 褚建立．中小型網絡組建[M] ．北京：中國鐵道出版社，2010．

[11] 李林林. 單機環境下路由交換技術綜合實驗設計[J]. 實驗室研究與探索,2015(8):115-118.

[12] 吳 迪,薛政,潘 嶸. 基于XEN云平臺的網絡安全實驗教學[J]. 實驗室研究與探索,2013(7):62-66.

[13] 徐功文, 劉文學, 張志軍,等. 基于GNS3模擬器的BGP仿真實驗的設計與實現[J]. 實驗室科學, 2012, 15(6):108-111.

[14] 楊 敏. 基于Packet Tracer的OSPF仿真實驗[J]. 網絡安全技術與應用,2016(2):83-84.

[15] 譚 娟,黃 永. 利用gns3+ensp組建高校網絡仿真實驗室[J]. 硅谷,2013,6(20):154，159.