基于eNSP的網(wǎng)絡(luò)訪問控制實驗設(shè)計與實現(xiàn)

達新民 劉軍霞

關(guān)鍵詞：網(wǎng)絡(luò)仿真；eNSP；訪問控制列表

0 引言

計算機網(wǎng)絡(luò)是高等學校計算機及相關(guān)專業(yè)重要的課程之一，課程系統(tǒng)介紹了計算機網(wǎng)絡(luò)基本原理和網(wǎng)絡(luò)體系結(jié)構(gòu)，重點圍繞OSI 參考模型、TCP/IP 體系結(jié)構(gòu)講解基本概念和原理，包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、運輸層、應(yīng)用層等主要內(nèi)容[1]。

計算機網(wǎng)絡(luò)知識面廣、內(nèi)容抽象、綜合性強，兼具理論性和實踐性的特點，涉及計算機、數(shù)字通信、電子信息等多領(lǐng)域的技術(shù)。因此在計算機網(wǎng)絡(luò)教學中增設(shè)實驗內(nèi)容，成為多數(shù)高校采用的教學方式，加強實驗教學可以更好地促進學生理解和掌握課程內(nèi)容，提高學生計算機網(wǎng)絡(luò)技術(shù)實踐能力[2-3]。

隨著虛擬化技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)仿真軟件逐步引入到計算機實驗教學中，很好地解決了傳統(tǒng)計算機網(wǎng)絡(luò)實驗室遇到的困境。網(wǎng)絡(luò)仿真軟件可以模擬真實的網(wǎng)絡(luò)設(shè)備，為教學提供靈活、便捷、高效的實驗環(huán)境[4-5]。其中，eNSP（Enterprise Network SimulationPlatform）是一款優(yōu)秀的圖形化網(wǎng)絡(luò)仿真軟件，可以仿真華為的交換機、路由器及WLAN 設(shè)備等，支持大型網(wǎng)絡(luò)模擬，是進行計算機網(wǎng)絡(luò)實驗的較好的仿真平臺[6-7]。

1 實驗技術(shù)原理

訪問控制列表ACL（Access Control Lists）[8-10]是一種基于包過濾的訪問控制技術(shù)，其基本原理是基于ACL 中的條件對數(shù)據(jù)包進行匹配，從而過濾出數(shù)據(jù)包，然后根據(jù)策略決定該數(shù)據(jù)包是否允許通過。

ACL 是一系列規(guī)則的集合，規(guī)則主要由匹配項和動作兩部分構(gòu)成。其中，匹配項就是過濾的條件，基本ACL 中的條件主要包含源IP 地址等，高級ACL 中的條件還可以包含目的IP 地址、端口號等；動作就是處理的策略，即允許或拒絕過濾出的數(shù)據(jù)包。

在路由器的接口應(yīng)用ACL 后，該接口轉(zhuǎn)發(fā)數(shù)據(jù)包時，首先與ACL 規(guī)則中的匹配項逐一比對，對匹配成功的數(shù)據(jù)包，就按照規(guī)則中的動作決定是否轉(zhuǎn)發(fā)。ACL 基本工作原理及處理流程如圖1 所示。

運用ACL 可以有效控制終端對網(wǎng)絡(luò)資源的訪問，提高網(wǎng)絡(luò)性能，控制網(wǎng)絡(luò)流量，保障網(wǎng)絡(luò)安全。

2 實驗設(shè)計

訪問控制技術(shù)是計算機網(wǎng)絡(luò)實驗教學中的一項重要內(nèi)容，也是網(wǎng)絡(luò)訪問控制中最基本、最常用的方法之一。ACL 通過對由器接口轉(zhuǎn)發(fā)的數(shù)據(jù)包進行過濾來實現(xiàn)對特定網(wǎng)絡(luò)的訪問權(quán)限控制。設(shè)計本實驗的目的是讓學生深刻理解ACL 基本原理，掌握ACL應(yīng)用方法和配置過程，提高學生計算機網(wǎng)絡(luò)安全的操作技能。

實驗網(wǎng)絡(luò)邏輯設(shè)計中，設(shè)計有三個局域網(wǎng)和一個服務(wù)器網(wǎng)絡(luò)，對各網(wǎng)絡(luò)之間的訪問根據(jù)需要來控制，具體規(guī)劃見表1。

三個局域網(wǎng)分別代表不同安全要求的網(wǎng)絡(luò)，Server代表提供應(yīng)用服務(wù)的網(wǎng)絡(luò)，根據(jù)功能需求設(shè)計實驗網(wǎng)絡(luò)，實驗網(wǎng)絡(luò)邏輯結(jié)構(gòu)見圖2。

邏輯設(shè)計網(wǎng)中，SW1、SW2、SW3 為接入交換機，分別連接二臺PC 終端，組成各自的局域網(wǎng)；局域網(wǎng)1、局域網(wǎng)2、局域網(wǎng)3 通過路由器R1 進行互連，實現(xiàn)局域網(wǎng)間的互通；Server1 為服務(wù)器，提供網(wǎng)絡(luò)服務(wù)。

3 實驗實現(xiàn)

3.1 實驗拓撲搭建

實驗網(wǎng)絡(luò)物理設(shè)計在華為網(wǎng)絡(luò)仿真軟件eNSP 中仿真實現(xiàn)，按照邏輯設(shè)計圖搭建實驗網(wǎng)絡(luò)[4-7]，網(wǎng)絡(luò)拓撲如圖3 所示。

3.2 網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃

根據(jù)實驗設(shè)計要求，進一步對實驗網(wǎng)絡(luò)物理拓撲中網(wǎng)絡(luò)設(shè)備的接口、IP 參數(shù)等進行設(shè)計，數(shù)據(jù)規(guī)劃情況見表2。

3.3 功能配置

⑴ 基本配置

在實驗網(wǎng)絡(luò)物理拓撲中，按照網(wǎng)絡(luò)接口規(guī)劃表對路由器、交換機等設(shè)備的基本參數(shù)進行配置，如接口IP、Server 和PC 的IP 參數(shù)等。首先，實現(xiàn)3 個局域網(wǎng)、Server1 之間的互通。例如，局域網(wǎng)1 中PC1 與Server1可以連通，如圖4 所示。

⑵ ACL 配置

配置ACL[6-8]是本實驗中的關(guān)鍵步驟，本實驗使用高級ACL 實現(xiàn)對特定網(wǎng)絡(luò)訪問權(quán)限的控制，需要在路由器AR1 中完成，以局域網(wǎng)1 為例說明實現(xiàn)方法。

根據(jù)設(shè)計要求，對于局域網(wǎng)1，允許主機訪問Server1，拒絕訪問其他局域網(wǎng)，據(jù)此配置ACL 中的規(guī)則，方法如下：

[AR1]acl 3000

[AR1-acl-adv-3000]rule 5 permit ip destination

192.168.4.0 0.0.0.255

[AR1-acl-adv-3000]rule 10 deny ip source

192.168.1.0 0.0.0.255

⑶ 應(yīng)用ACL

完成高級ACL 配置后，還需要將其應(yīng)用到路由器AR1 對應(yīng)的接口上，使ACL 生效。這里在連接局域網(wǎng)1 的接口的入方向上應(yīng)用ACL，方法如下：

[AR1] interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

4 實驗測試

實驗所有的配置完成后，對實驗結(jié)果進行測試驗證，檢查配置是否正確、功能是否實現(xiàn)，測試方法采用ping 方式驗證網(wǎng)絡(luò)連通性。

以局域網(wǎng)1 為例，驗證實驗結(jié)果。根據(jù)實驗設(shè)計要求，PC1 可以連通Server1，不能連通其他局域網(wǎng)的PC 終端，測試結(jié)果如圖5、圖6 所示。

同理，可以驗證局域網(wǎng)2、局域網(wǎng)3 訪問其他局域網(wǎng)和服務(wù)器的實驗結(jié)果，均達到實驗設(shè)計要求。

5 結(jié)束語

本實驗是計算機網(wǎng)絡(luò)課程中網(wǎng)絡(luò)安全實驗之一，采用華為eNSP 完成實驗內(nèi)容。實驗過程分為：實驗任務(wù)設(shè)計、邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計、配置實現(xiàn)及實驗結(jié)果測試等五個階段。實驗運用了ACL 包過濾技術(shù)，實現(xiàn)網(wǎng)絡(luò)訪問控制權(quán)限，具體說明了網(wǎng)絡(luò)訪問控制策略配置的基本過程，達到了實驗?zāi)康摹Ｍㄟ^本實驗的學習和實訓，可以培養(yǎng)學生運用基本知識解決具體問題的基本思路，使學生初步掌握配置ACL 的基本方法，幫助其理解計算機網(wǎng)絡(luò)安全知識，提高實踐能力，最終取得良好教學效果。