基于eNSP仿真實現防火墻NAT配置實訓的教學設計

摘? 要：為了突破網絡安全配置實訓教學受限于防火墻物理設備的限制問題，保證每個學生的實訓效果，幫助學生更好的理解網絡協議工作原理及組網方式，文章對eNSP的仿真功能進行研究，通過設計一個防火墻NAT配置實訓，虛擬完成公私網之間的地址轉換，實現私網地址和公網設備互聯互通，公網設備可訪問私網服務器，為網絡技術專業教師提供新的實訓設計思路以提升學生的實踐能力和相關技能。

關鍵詞：eNSP;虛擬仿真;華為防火墻;NAT配置;教學實訓

Abstract：In order to break the problem of network security configuration training teaching limited to the limitation of firewall physical equipment，to ensure the effectiveness of each students training，and to help students better understand the working principles of network protocols and networking methods. The article studies the simulation function of eNSP. Through the design of a firewall NAT configuration training，virtual address translation between public and private networks is completed，and private network addresses and public network devices are interconnected. The public network equipment can access private network servers，providing network technology professional teachers with new training design ideas to improve studentspractical ability and related skills.

Keywords：eNSP;virtual simulation;Huawei firewall;NAT configuration;teaching training

0? 引? 言

“計算機網絡技術”課程是職業院校計算機專業和通信專業的核心專業課程之一，該課程的教學分為理論教學和實訓教學兩個部分[1]。理論教學目前已較為成熟，而實訓教學在以往教學中受到設備的限制，學生需要分組才可以進行，小組教學中各個同學的積極性不同，難以保證每個學生的實訓效果，也難以很好地幫助學生理解相關協議的工作原理和工作方式[2]。筆者作為一個專科網絡專業新進教師，上課過程中經常會遇到理論方面講解沒有問題，但由于實訓條件受限，導致學生實訓實踐不足，無法深刻理解理論原理，知識無法得到實踐，導致很快忘記。為了解決這些問題，本人借助eNSP仿真軟件去實現課程中“防火墻網絡地址轉換技術”實訓，進行教學設計的嘗試。eNSP軟件是一款由華為公司提供的免費的、可擴展的、圖形化操作的網絡仿真工具平臺[3]，主要對企業網絡路由器、交換機防火墻和主機等物理設備進行模擬仿真，較為真實地呈現設備實景，讓學生可以在沒有真實物理設備的情況下進行大量模擬練習，掌握相關網絡技術的知識[4]。

1? 實訓原理

地址轉換協議[5]（Network Address Translation，NAT）是用來實現地址復用，節約IPv4地址資源的一種方法，是一種應用非常廣泛的網絡技術，它的基本原理極為簡單，即配置了NAT的網絡設備根據事先設置好的NAT規則，將地址轉換為設置的地址去進行網絡通信。根據應用場景的不同，NAT可以分為以下三類：

（1）源NAT（Source NAT）：用來使多個私網用戶能夠同時訪問Internet。

地址池方式：采用地址池中的公網地址為私網用戶進行地址轉換，適合大量的私網用戶訪問Internet的場景。

出接口地址方式（Esay IP）：內網主機直接借用公網接口的IP地址訪問Internet，特別適用于公網接口IP地址是動態獲取的情況。

（2）服務器映射：用來使外網用戶能夠訪問私網服務器。

靜態映射（NAT Server）：公網地址和私網地址一對一進行映射，用在公網用戶訪問私網內部服務器的場景。

2? 實訓設計構想

本實訓模擬一家企業網絡環境，公司購買部分公網地址為100.2.2.8/29，技術部屬于trust區域通過源NAT出接口方式（Easy IP）進行外網訪問，行政部屬于trust區域通過源NAT地址池的NAPT方式進行外網訪問，財務部屬于trust區域通過源NAT地址池的No-PAT方式進行外網訪問，另外DMZ區域中的兩臺服務器配置NAT Server發布，分別提供FTP服務及Web服務讓外網可以訪問。外網部分為untrust區域。拓撲圖使用eNSP繪制，如圖1所示。

3? 配置規劃

根據訪問控制列表實訓拓撲圖及模擬企業環境的需求，完成如表1所示的IP配置規劃。

4? 實訓實施過程

4.1? 基本配置

根據表1的配置規劃表完成各防火墻和路由器設備的基本配置，完成基本配置命令。

4.2? 搭建NAT轉換網絡

4.2.1? 出接口方式

在防火墻上搭建PC1訪問外網的相關安全規則及NAT轉換規則，配置完成后進行結果驗證，使用PC1ping通客戶端，在防火墻上查看路由會話信息（需要立馬敲打命令，防火墻會話中icmp的老化時間為20秒[4]），結果如圖2所示，可以知道，10.1.1.1的地址以及轉換為100.1.1.1去訪問對端。

4.2.2? NAPT方式

在防火墻上搭建PC2訪問外網的相關安全規則及NAT轉換規則，并且為了避免路由環路，在防火墻上配置轉換后的全局地址100.2.2.12/32的黑洞路由，這是因為如果外網訪問全局地址的話，由于路由器的靜態地址和防火墻的默認路由，會導致這個數據包一直在防火墻和路由器之間不斷來回傳輸，直到TTL為0才丟棄[4]。

然后PC2ping通客戶端進行結果驗證，結果如圖3所示，通過結果可以看到10.2.1.1訪問外網會先轉換為100.2.2.12去訪問。

4.2.3? No-PAT方式

在防火墻上搭建PC3訪問外網的相關安全規則及NAT轉換規則及黑洞路由，然后通過PC3ping通客戶端進行結果驗證，從結果可以知道，10.3.1.1轉換為100.2.2.10和100.2.2.11中的一個地址去訪問外網，如圖4所示。

4.2.4? NAT Server方式

在防火墻上搭建外網訪問服務器的相關安全規則及NAT Server并開啟FTP協議的NAT ALG功能。然后通過響應客戶端去訪問服務端，可以看到FTP客戶端可以獲取FTP服務端的文件，HTTP客戶端可以訪問HTTP服務器，結果如圖5所示。

5? 結? 論

利用eNSP仿真軟件可以完美模擬防火墻NAT轉換的實訓，并且輔助內置的Wireshark軟件，可以幫助學生去了解這種轉換的協議，讓學生對于理論知識有更加深刻的理解，同時也解決了設備不足的情況下，學生有充足的實踐經驗，學生在安裝了eNSP仿真軟件后，可以隨時隨地自主練習，極大提高學生的學習積極性。eNSP仿真軟件應用于計算機網絡技術實訓教學，可以極大地培養學生的創新能力和實踐能力，提升學生職業能力和就業能力。

參考文獻：

[1] 于鑒桐.信息化環境下的課堂教學設計研究與實踐——以移動室內覆蓋工程課程為例 [J].湖南郵電職業技術學院學報，2019，18（4）：38-40.

[2] 李妍.信息化整合背景下《計算機網絡》課程教學設計研究 [J].計算機產品與流通，2019（9）：266.

[3] 華為技術有限公司.HCNA網絡技術學習指南 [M].北京：人民郵電出版社，2015.

[4] 林金山，林金慧.基于面向創新人才培養的《計算機網絡》課程教學探討 [J].當代教育實踐與教學研究，2019（19）：43-44.

[5] 徐慧洋，白杰，盧宏旺.華為防火墻技術漫談 [M].北京：人民郵電出版社，2015.

作者簡介：余振養（1989—），男，漢族，廣東廉江人，碩士研究生，研究方向：網絡安全。