基于eNSP的網絡訪問控制實驗設計與實現

達新民 劉軍霞

關鍵詞：網絡仿真；eNSP；訪問控制列表

0 引言

計算機網絡是高等學校計算機及相關專業重要的課程之一，課程系統介紹了計算機網絡基本原理和網絡體系結構，重點圍繞OSI 參考模型、TCP/IP 體系結構講解基本概念和原理，包括物理層、數據鏈路層、網絡層、運輸層、應用層等主要內容[1]。

計算機網絡知識面廣、內容抽象、綜合性強，兼具理論性和實踐性的特點，涉及計算機、數字通信、電子信息等多領域的技術。因此在計算機網絡教學中增設實驗內容，成為多數高校采用的教學方式，加強實驗教學可以更好地促進學生理解和掌握課程內容，提高學生計算機網絡技術實踐能力[2-3]。

隨著虛擬化技術的不斷發展，計算機網絡仿真軟件逐步引入到計算機實驗教學中，很好地解決了傳統計算機網絡實驗室遇到的困境。網絡仿真軟件可以模擬真實的網絡設備，為教學提供靈活、便捷、高效的實驗環境[4-5]。其中，eNSP（Enterprise Network SimulationPlatform）是一款優秀的圖形化網絡仿真軟件，可以仿真華為的交換機、路由器及WLAN 設備等，支持大型網絡模擬，是進行計算機網絡實驗的較好的仿真平臺[6-7]。

1 實驗技術原理

訪問控制列表ACL（Access Control Lists）[8-10]是一種基于包過濾的訪問控制技術，其基本原理是基于ACL 中的條件對數據包進行匹配，從而過濾出數據包，然后根據策略決定該數據包是否允許通過。

ACL 是一系列規則的集合，規則主要由匹配項和動作兩部分構成。其中，匹配項就是過濾的條件，基本ACL 中的條件主要包含源IP 地址等，高級ACL 中的條件還可以包含目的IP 地址、端口號等；動作就是處理的策略，即允許或拒絕過濾出的數據包。

在路由器的接口應用ACL 后，該接口轉發數據包時，首先與ACL 規則中的匹配項逐一比對，對匹配成功的數據包，就按照規則中的動作決定是否轉發。ACL 基本工作原理及處理流程如圖1 所示。

運用ACL 可以有效控制終端對網絡資源的訪問，提高網絡性能，控制網絡流量，保障網絡安全。

2 實驗設計

訪問控制技術是計算機網絡實驗教學中的一項重要內容，也是網絡訪問控制中最基本、最常用的方法之一。ACL 通過對由器接口轉發的數據包進行過濾來實現對特定網絡的訪問權限控制。設計本實驗的目的是讓學生深刻理解ACL 基本原理，掌握ACL應用方法和配置過程，提高學生計算機網絡安全的操作技能。

實驗網絡邏輯設計中，設計有三個局域網和一個服務器網絡，對各網絡之間的訪問根據需要來控制，具體規劃見表1。

三個局域網分別代表不同安全要求的網絡，Server代表提供應用服務的網絡，根據功能需求設計實驗網絡，實驗網絡邏輯結構見圖2。

邏輯設計網中，SW1、SW2、SW3 為接入交換機，分別連接二臺PC 終端，組成各自的局域網；局域網1、局域網2、局域網3 通過路由器R1 進行互連，實現局域網間的互通；Server1 為服務器，提供網絡服務。

3 實驗實現

3.1 實驗拓撲搭建

實驗網絡物理設計在華為網絡仿真軟件eNSP 中仿真實現，按照邏輯設計圖搭建實驗網絡[4-7]，網絡拓撲如圖3 所示。

3.2 網絡數據規劃

根據實驗設計要求，進一步對實驗網絡物理拓撲中網絡設備的接口、IP 參數等進行設計，數據規劃情況見表2。

3.3 功能配置

⑴ 基本配置

在實驗網絡物理拓撲中，按照網絡接口規劃表對路由器、交換機等設備的基本參數進行配置，如接口IP、Server 和PC 的IP 參數等。首先，實現3 個局域網、Server1 之間的互通。例如，局域網1 中PC1 與Server1可以連通，如圖4 所示。

⑵ ACL 配置

配置ACL[6-8]是本實驗中的關鍵步驟，本實驗使用高級ACL 實現對特定網絡訪問權限的控制，需要在路由器AR1 中完成，以局域網1 為例說明實現方法。

根據設計要求，對于局域網1，允許主機訪問Server1，拒絕訪問其他局域網，據此配置ACL 中的規則，方法如下：

[AR1]acl 3000

[AR1-acl-adv-3000]rule 5 permit ip destination

192.168.4.0 0.0.0.255

[AR1-acl-adv-3000]rule 10 deny ip source

192.168.1.0 0.0.0.255

⑶ 應用ACL

完成高級ACL 配置后，還需要將其應用到路由器AR1 對應的接口上，使ACL 生效。這里在連接局域網1 的接口的入方向上應用ACL，方法如下：

[AR1] interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

4 實驗測試

實驗所有的配置完成后，對實驗結果進行測試驗證，檢查配置是否正確、功能是否實現，測試方法采用ping 方式驗證網絡連通性。

以局域網1 為例，驗證實驗結果。根據實驗設計要求，PC1 可以連通Server1，不能連通其他局域網的PC 終端，測試結果如圖5、圖6 所示。

同理，可以驗證局域網2、局域網3 訪問其他局域網和服務器的實驗結果，均達到實驗設計要求。

5 結束語

本實驗是計算機網絡課程中網絡安全實驗之一，采用華為eNSP 完成實驗內容。實驗過程分為：實驗任務設計、邏輯網絡設計、物理網絡設計、配置實現及實驗結果測試等五個階段。實驗運用了ACL 包過濾技術，實現網絡訪問控制權限，具體說明了網絡訪問控制策略配置的基本過程，達到了實驗目的。通過本實驗的學習和實訓，可以培養學生運用基本知識解決具體問題的基本思路，使學生初步掌握配置ACL 的基本方法，幫助其理解計算機網絡安全知識，提高實踐能力，最終取得良好教學效果。