基于路由器的包过滤防火墙实验教学设计
2009-04-03钱爱增
钱爱增
摘 要:基于路由器的包过滤防火墙实验是计算机网络课程实验教学的重难点之一,本文利用神州数码网络公司的DCR1702路由器和DCS3926交换机等网络设备对基于标准访问控制列表和基于扩展访问控制列表包过滤防火墙进行了教学设计。
关键词:访问控制列表 路由器 防火墙 包过滤
中图分类号:TP393.2 文献标识码:A 文章编号:1673-8454(2009)05-0077-03
计算机网络作为计算机及相关专业的一门专业基础课程,对学生的就业和专业发展都具有重要的作用。[1] 其中基于路由器的包过滤防火墙实验则是本课程的重难点内容之一,不仅理论知识比较抽象,对实验环境的硬件要求也很高。为了提高计算机专业学生的实践动手能力,我校投入大量资金组建了计算机网络实验室,能够满足从计算机局域网组建到Internet网络组建、从传统IPv4网络到IPv6网络实验环境的需要,基于该网络实验室的路由器和交换机等设备,我们对包过滤防火墙相关实验进行了教学设计。
一、学习者特征分析
本实验针对计算机专业普通本科学生开设,在此之前,他们已经系统地学习过计算机程序设计、计算机组成原理等课程,并且已经做过大量的硬件实验,具备基本的实践动手能力。而且,在本实验之前,他们已经做过局域网组建、VLAN划分、三层交换机路由设置以及路由器配置等网络实验,根据以往几个实验的经验,多数同学都能按照教师讲解的理论和实验内容将实验做出,所以我们本次实验依然采用下面的方法,首先对本实验涉及的理论知识进行讲解,然后将实验步骤大体讲解一遍,对实验用到的相关命令具体讲解,最后让同学们到实验室进行具体操作。
二、实验教学目标
根据上述学习者特征分析,包过滤防火墙实验的教学目标确定为通过该实验让学生熟悉在路由器上配置包过滤防火墙的相关配置命令,掌握在路由器上配置包过滤防火墙的方法与步骤,使学生的网络设计与组建能力、路由器配置能力、局域网理论知识、Internet理论知识和实践操作能力等各方面得到综合提高,这一教学目标与计算机网络课程的总体目标是一致的。[2] 在本实验教学目标的基础上,结合该实验内容我们把本实验教学目标分为两个子目标进行实现:一是学生能够理解标准访问控制列表的内涵,掌握基于标准访问控制列表的防火墙配置方法;二是学生能够理解扩展访问控制列表与标准访问控制列表的区别与联系,掌握基于扩展访问控制列表的防火墙的配置方法。[3] 两个子目标是递进的关系,围绕这两个子目标,我们设计了两个具体的实验项目,即基于标准访问控制列表的包过滤防火墙实验和基于扩展访问控制列表的包过滤防火墙实验。
三、实验环境搭建和实验内容选择
本实验是在我校计算机网络实验室进行的,前文我们提到该实验室能够满足从计算机局域网组建到Internet网络组建,从传统IPv4网络到IPv6网络实验等各种设备的需要,针对本实验我们选择的实验设备是2台DCS3926交换机、2台DCR1702路由器、2台PC机、路由器V35背对背连接线和若干根双绞线。
实验内容选择的是本实验教学设计中的重要环节,根据前面对学习者特征的分析,在实验内容的选择上,应遵循新颖性、实用性、综合性、拓展性等原则。根据实验教学目标体系和以上原则,本实验共设计了两个子实验,分别是基于标准访问控制列表的包过滤防火墙实验和基于扩展访问控制列表的包过滤防火墙实验。
四、实验教学过程设计
实验教学过程设计实际上就是实验教学实施流程的设计,不同类型的实验项目其实验教学过程的组织方式不同。实验类型一般有:演示实验、验证实验、操作实验、综合实验、设计实验和研究实验等,该实验定位为综合设计性实验,本实验要求学生能根据所学包过滤防火墙理论知识,按照实验目标的要求来设计实验的步骤,利用实验室提供的实验设备单组独立完成实验,实验具体设计步骤如下:
1.基于标准访问控制列表的包过滤防火墙实验
由于学生初次接触到访问控制列表的知识,同时该实验也是后续实验的基础,所以本实验是整个实验的重点和难点,本文实验教学安排两个学时。实验开始前,首先向学生介绍要用到的设备操作命令、访问控制列表的知识和实施步骤等,让学生对该实验有一个完整的认识;然后,再由学生进行实验设计。实验拓扑结构如图1所示,图1中路由器R1和R2通过V35线背对背连接,整个左面方框用来模拟外部网络,右面方框模拟内部网络,本实验主要模拟如何通过在内部网络出口路由器R2的入口上设置访问控制,进而保护内部网络,内网中的服务器在本实验中由一台DCS3926交换机代替。[4]
具体的实验操作流程如图2所示。
路由器R2上的主要配置如下:
(1)创建标准访问控制列表
R2#config //进入路由器配置模式
R2_config#ip access-list standard biaozhun //建立标准访问控制列表biaozhun
R2_config_std_nacl#deny 192.168.1.1 //禁止pc1访问内网服务器
R2_config_std_nacl#deny 192.168.1.2 //禁止pc2访问内网服务器
R2_config_std_nacl#deny 192.168.1.3 //禁止pc3访问内网服务器
R2_config_std_nacl#permit any //允许其他计算机访问内网
(2)将标准访问控制列表应用到路由器R2serial0/2口的in方向上
R2#config
R2_config#interface serial 0/2 //进入串口0/2
R2_config_s0/2#ip access-group biaozhun in //将标准访问控制列表biaozhun应用到s0/2的in方向上
(3)测试
配置完毕后,在pc1、pc2和pc3上分别用ping命令测试,结果是都不能访问内网server。
2.基于扩展访问控制列表的包过滤防火墙实验
该实验是前一个实验的扩展,从理论上讲,增加了服务端口的概念,所以本实验仍然安排两个学时。本实验要求对外网中的不同用户分类控制,如pc1不能ping通内网server,pc2不能访问内网server的telnet服务,pc3不能访问内网server的Web服务。实验所需设备同实验1,需要在内网server上启动telnet和Web服务,实验拓扑结构见图1。
实验操作流程如图3所示。
路由器R2上的主要配置如下:
(1)创建扩展访问控制列表
R2#config
R2_config#ip access-list extended kuozhan //建立扩展访问控制列表kuozhan
R2_config_ext_nacl#deny icmp 192.168.1.1 255.255.255.255 any //禁止pc1ping内网server
R2_config_ext_nacl#deny tcp 192.168.1.2 255.255.255.255 anyeq 23 //禁止pc2访问内网server远程访问服务telnet
R2_config_ext_nacl# deny tcp 192.168.1.3 255.255.255.255 anyeq 80 //禁止pc3访问内网server web服务
R2_config_ext_nacl#permit ip any any //允许其他计算机访问内网
(2)将扩展列表kuozhan应用到路由器R2serial0/2口的in方向上
R2#config
R2_config#interface serial 0/2
R2_config_s0/2#ip access-group kuozhan in//将扩展访问列表kuozhan应用到R2串口的in方向上
(3)测试
配置完毕后进行测试,结果如下:pc1不能ping通内网server,但能访问内网server的telnet和Web服务;pc2不能访问内网server的telnet服务,但能访问内网server的Web服务,也能ping通内网server;pc3不能访问内网server的Web服务,但能ping通内网server,也能访问内网server的telnet服务。
通过做这样一个综合性、设计性较强的实验,学生综合运用所学理论知识的能力得到很大提高,基本达到了培养学生综合实验能力的目的,实现了学校通过实验提高学生基本素质的目标。
五、实验教学效果评价
实验教学效果的评价方法很多,结合网络实验课程教学的特点,我们主要通过两种方式评价计算机网络课程的实验教学,即书写实验报告和实践操作。其中实践操作评价又可分为:实物演习式评价和模拟演习式评价。所谓实物演习即学生操作真实设备,参与真实网络组建和配置等针对现场实物的操作方式。通过参加这些真实的实践、实习、组建等活动,来检验实验教学的效果。所谓模拟演习即借助于模拟软件创设的虚拟实验环境来设计并组建相关的虚拟操作方式,通过模拟实习也可以检测实验教学的效果。
本实验是学生在网络实验室真实环境中进行的,辅导教师可针对学生实验过程中实验设计的成功率和实验所用的时间来检测实验教学的效果,并及时给予有针对性的帮助和指导。
本实验教学的设计是针对计算机专业学生进行的,所以在目标定位、实验内容、实验项目的确定及实验过程的组织方式等方面都体现了计算机专业的特色,并考虑了计算机专业的需求,具有一定的专业针对性。本实验对其他专业的学生学习有一定的指导性,对于教授本实验课程的教师有一定的借鉴意义。?筅
参考文献:
[1]米伟娜,王海燕.基于Boson netsim虚拟平台的VLAN实验教学设计[J].现代教育技术,2008,18(10):121-124.
[2]徐建东,王海燕.计算机网络技术实验教学设计[J].宁波大学学报,2004,(2):38-45.
[3]石硕.交换机/路由器及其配置[M].北京:电子工业出版社,2007:38-45.
[4]甘刚.网络设备配置与管理[M].北京:清华大学出版社,2007:213-221.
