基于eNSP的網(wǎng)絡(luò)訪問控制實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

達(dá)新民 劉軍霞

關(guān)鍵詞：網(wǎng)絡(luò)仿真；eNSP；訪問控制列表

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)是高等學(xué)校計(jì)算機(jī)及相關(guān)專業(yè)重要的課程之一，課程系統(tǒng)介紹了計(jì)算機(jī)網(wǎng)絡(luò)基本原理和網(wǎng)絡(luò)體系結(jié)構(gòu)，重點(diǎn)圍繞OSI 參考模型、TCP/IP 體系結(jié)構(gòu)講解基本概念和原理，包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、運(yùn)輸層、應(yīng)用層等主要內(nèi)容[1]。

計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)面廣、內(nèi)容抽象、綜合性強(qiáng)，兼具理論性和實(shí)踐性的特點(diǎn)，涉及計(jì)算機(jī)、數(shù)字通信、電子信息等多領(lǐng)域的技術(shù)。因此在計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中增設(shè)實(shí)驗(yàn)內(nèi)容，成為多數(shù)高校采用的教學(xué)方式，加強(qiáng)實(shí)驗(yàn)教學(xué)可以更好地促進(jìn)學(xué)生理解和掌握課程內(nèi)容，提高學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)踐能力[2-3]。

隨著虛擬化技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)仿真軟件逐步引入到計(jì)算機(jī)實(shí)驗(yàn)教學(xué)中，很好地解決了傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室遇到的困境。網(wǎng)絡(luò)仿真軟件可以模擬真實(shí)的網(wǎng)絡(luò)設(shè)備，為教學(xué)提供靈活、便捷、高效的實(shí)驗(yàn)環(huán)境[4-5]。其中，eNSP（Enterprise Network SimulationPlatform）是一款優(yōu)秀的圖形化網(wǎng)絡(luò)仿真軟件，可以仿真華為的交換機(jī)、路由器及WLAN 設(shè)備等，支持大型網(wǎng)絡(luò)模擬，是進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)的較好的仿真平臺(tái)[6-7]。

1 實(shí)驗(yàn)技術(shù)原理

訪問控制列表ACL（Access Control Lists）[8-10]是一種基于包過濾的訪問控制技術(shù)，其基本原理是基于ACL 中的條件對數(shù)據(jù)包進(jìn)行匹配，從而過濾出數(shù)據(jù)包，然后根據(jù)策略決定該數(shù)據(jù)包是否允許通過。

ACL 是一系列規(guī)則的集合，規(guī)則主要由匹配項(xiàng)和動(dòng)作兩部分構(gòu)成。其中，匹配項(xiàng)就是過濾的條件，基本ACL 中的條件主要包含源IP 地址等，高級(jí)ACL 中的條件還可以包含目的IP 地址、端口號(hào)等；動(dòng)作就是處理的策略，即允許或拒絕過濾出的數(shù)據(jù)包。

在路由器的接口應(yīng)用ACL 后，該接口轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，首先與ACL 規(guī)則中的匹配項(xiàng)逐一比對，對匹配成功的數(shù)據(jù)包，就按照規(guī)則中的動(dòng)作決定是否轉(zhuǎn)發(fā)。ACL 基本工作原理及處理流程如圖1 所示。

運(yùn)用ACL 可以有效控制終端對網(wǎng)絡(luò)資源的訪問，提高網(wǎng)絡(luò)性能，控制網(wǎng)絡(luò)流量，保障網(wǎng)絡(luò)安全。

2 實(shí)驗(yàn)設(shè)計(jì)

訪問控制技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)中的一項(xiàng)重要內(nèi)容，也是網(wǎng)絡(luò)訪問控制中最基本、最常用的方法之一。ACL 通過對由器接口轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行過濾來實(shí)現(xiàn)對特定網(wǎng)絡(luò)的訪問權(quán)限控制。設(shè)計(jì)本實(shí)驗(yàn)的目的是讓學(xué)生深刻理解ACL 基本原理，掌握ACL應(yīng)用方法和配置過程，提高學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)安全的操作技能。

實(shí)驗(yàn)網(wǎng)絡(luò)邏輯設(shè)計(jì)中，設(shè)計(jì)有三個(gè)局域網(wǎng)和一個(gè)服務(wù)器網(wǎng)絡(luò)，對各網(wǎng)絡(luò)之間的訪問根據(jù)需要來控制，具體規(guī)劃見表1。

三個(gè)局域網(wǎng)分別代表不同安全要求的網(wǎng)絡(luò)，Server代表提供應(yīng)用服務(wù)的網(wǎng)絡(luò)，根據(jù)功能需求設(shè)計(jì)實(shí)驗(yàn)網(wǎng)絡(luò)，實(shí)驗(yàn)網(wǎng)絡(luò)邏輯結(jié)構(gòu)見圖2。

邏輯設(shè)計(jì)網(wǎng)中，SW1、SW2、SW3 為接入交換機(jī)，分別連接二臺(tái)PC 終端，組成各自的局域網(wǎng)；局域網(wǎng)1、局域網(wǎng)2、局域網(wǎng)3 通過路由器R1 進(jìn)行互連，實(shí)現(xiàn)局域網(wǎng)間的互通；Server1 為服務(wù)器，提供網(wǎng)絡(luò)服務(wù)。

3 實(shí)驗(yàn)實(shí)現(xiàn)

3.1 實(shí)驗(yàn)拓?fù)浯罱?/p>

實(shí)驗(yàn)網(wǎng)絡(luò)物理設(shè)計(jì)在華為網(wǎng)絡(luò)仿真軟件eNSP 中仿真實(shí)現(xiàn)，按照邏輯設(shè)計(jì)圖搭建實(shí)驗(yàn)網(wǎng)絡(luò)[4-7]，網(wǎng)絡(luò)拓?fù)淙鐖D3 所示。

3.2 網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃

根據(jù)實(shí)驗(yàn)設(shè)計(jì)要求，進(jìn)一步對實(shí)驗(yàn)網(wǎng)絡(luò)物理拓?fù)渲芯W(wǎng)絡(luò)設(shè)備的接口、IP 參數(shù)等進(jìn)行設(shè)計(jì)，數(shù)據(jù)規(guī)劃情況見表2。

3.3 功能配置

⑴ 基本配置

在實(shí)驗(yàn)網(wǎng)絡(luò)物理拓?fù)渲校凑站W(wǎng)絡(luò)接口規(guī)劃表對路由器、交換機(jī)等設(shè)備的基本參數(shù)進(jìn)行配置，如接口IP、Server 和PC 的IP 參數(shù)等。首先，實(shí)現(xiàn)3 個(gè)局域網(wǎng)、Server1 之間的互通。例如，局域網(wǎng)1 中PC1 與Server1可以連通，如圖4 所示。

⑵ ACL 配置

配置ACL[6-8]是本實(shí)驗(yàn)中的關(guān)鍵步驟，本實(shí)驗(yàn)使用高級(jí)ACL 實(shí)現(xiàn)對特定網(wǎng)絡(luò)訪問權(quán)限的控制，需要在路由器AR1 中完成，以局域網(wǎng)1 為例說明實(shí)現(xiàn)方法。

根據(jù)設(shè)計(jì)要求，對于局域網(wǎng)1，允許主機(jī)訪問Server1，拒絕訪問其他局域網(wǎng)，據(jù)此配置ACL 中的規(guī)則，方法如下：

[AR1]acl 3000

[AR1-acl-adv-3000]rule 5 permit ip destination

192.168.4.0 0.0.0.255

[AR1-acl-adv-3000]rule 10 deny ip source

192.168.1.0 0.0.0.255

⑶ 應(yīng)用ACL

完成高級(jí)ACL 配置后，還需要將其應(yīng)用到路由器AR1 對應(yīng)的接口上，使ACL 生效。這里在連接局域網(wǎng)1 的接口的入方向上應(yīng)用ACL，方法如下：

[AR1] interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

4 實(shí)驗(yàn)測試

實(shí)驗(yàn)所有的配置完成后，對實(shí)驗(yàn)結(jié)果進(jìn)行測試驗(yàn)證，檢查配置是否正確、功能是否實(shí)現(xiàn)，測試方法采用ping 方式驗(yàn)證網(wǎng)絡(luò)連通性。

以局域網(wǎng)1 為例，驗(yàn)證實(shí)驗(yàn)結(jié)果。根據(jù)實(shí)驗(yàn)設(shè)計(jì)要求，PC1 可以連通Server1，不能連通其他局域網(wǎng)的PC 終端，測試結(jié)果如圖5、圖6 所示。

同理，可以驗(yàn)證局域網(wǎng)2、局域網(wǎng)3 訪問其他局域網(wǎng)和服務(wù)器的實(shí)驗(yàn)結(jié)果，均達(dá)到實(shí)驗(yàn)設(shè)計(jì)要求。

5 結(jié)束語

本實(shí)驗(yàn)是計(jì)算機(jī)網(wǎng)絡(luò)課程中網(wǎng)絡(luò)安全實(shí)驗(yàn)之一，采用華為eNSP 完成實(shí)驗(yàn)內(nèi)容。實(shí)驗(yàn)過程分為：實(shí)驗(yàn)任務(wù)設(shè)計(jì)、邏輯網(wǎng)絡(luò)設(shè)計(jì)、物理網(wǎng)絡(luò)設(shè)計(jì)、配置實(shí)現(xiàn)及實(shí)驗(yàn)結(jié)果測試等五個(gè)階段。實(shí)驗(yàn)運(yùn)用了ACL 包過濾技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制權(quán)限，具體說明了網(wǎng)絡(luò)訪問控制策略配置的基本過程，達(dá)到了實(shí)驗(yàn)?zāi)康摹Ｍㄟ^本實(shí)驗(yàn)的學(xué)習(xí)和實(shí)訓(xùn)，可以培養(yǎng)學(xué)生運(yùn)用基本知識(shí)解決具體問題的基本思路，使學(xué)生初步掌握配置ACL 的基本方法，幫助其理解計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)，提高實(shí)踐能力，最終取得良好教學(xué)效果。