基于eNSP的安全园区网实验设计与构建

2018-05-21温贺平

实验室研究与探索 2018年4期

温贺平

(东莞职业技术学院信息与教育技术中心，广东东莞 523808)

0 引言

在计算机网络、组网技术与网络管理等课程教学中，多采用Cisco的Packet Tracer模拟软件进行模拟上机实验[]。自2013年斯诺登“棱镜门”事件以来，网络安全问题在国内各行业中引起了广泛的关注[2]。在国家信息安全相关政策的持续影响下，网络实验设备国产化势在必行[3]。然而，面对日新月异发展的网络技术，相关课程的教学实践面临一些新的问题，主要包括：① 受限于经费等条件约束，许多实验室难以采购昂贵的网络设备如防火墙为师生提供实验环境；② 实验设计方案多数是基于Cisco packet tracer平台，对外资设备具有依赖性；③ 基于国产网络设备的安全组网的实验设计较少，尤其是切合实际园区网环境的方案；④ 实验设计照抄陈年案例，缺乏创新性。因此，设计和构建基于国产网络设备模拟软件的安全组网实验方案[4-8]，此外，通过实验能够加深学生对安全组网原理的理解以及相关实践技能的掌握。

1 安全园区网实验方案

1.1 实验目的

掌握安全园区网的关键配置方法，既包括组网中常见的虚拟局域网(Virtual Local Area Network, VLAN)、交换路由配置技术，还包括防火墙Trust、Untrust和DMZ区域划分、交换机链路聚合及NAT配置技术等。

1.2 模拟器(Enterprise Network Simulation Platform, eNSP)设备清单

实验在华为网络设备模拟器eNSP上实现。包括防火墙USG5500设备1台、路由器1台、华为5700三层交换机1台、3700二层交换机4台、Server服务器共3台、PC共3台、Client客户端共4个，直通线、交叉线和串口线若干。

1.3 实验总体设计

安全园区网的总体设计如图1所示。实验网络分为Trust、Untrust和DMZ 3个区域。其中，Trust区域为内网区，包含1台核心交换机、3台接入交换机以及PC和终端若干。内网区采用当今主流的“扁平化”结构，即只有核心层和接入层，没有汇聚层。Untrust区域包含一台外网路由器和测试终端。DMZ区域是本实验的难点的重点，配置了Web、FTP及DNS 3台服务器。

图1 安全园区网的总体设计图

1.4 实验要求

对于Trust区域，在SW0下的交换机及各PC和终端可互连互通的基础上，有不同要求：① SW1区域可上外网，可访问DMZ；② SW2区域不可上外网，可访问dmz；③ SW3区域不可上外网，不可访问DMZ；④ SW0与SW1-SW3 3台接入交换机配置链路聚合，实现负载均衡功能。

对于Untrust区域，有以下要求：① 可以访问Web服务器，即公网地址的80端口对外开放；② 可以访问FTP服务器，即公网地址的21端口对外开放；③ DNS服务器不对公网开放。即Web和FTP服务器采用NAT配置方法对外提供服务。

2 安全园区网实验设计与构建

2.1 实验网络逻辑规划

根据安全园区网实验总体设计及实验要求，防火墙USG5500的3个端口分别对应Trust、Untrust和DMZ 3个区域。在Trust区域规划3个VLAN：vlan 10、vlan 20和vlan30分别对应SW1、SW2和SW3 3台交换机。其中，vlan10区域可上外网，可访问DMZ；vlan20区域不可上外网，可访问DMZ；vlan30区域不可上外网，不可访问DMZ。在SW0上规划vlan50用于和FW进行通信。防火墙的vlan100对应DMZ区域的3台服务器。

实验中总共用到了5个公网的IP地址，202.1.1.1、202.1.1.2分别用于出口防火墙FW和外网路由器R0的接口地址；202.1.1.3-4用于内网区192.168.10.0/24动态NAT的公网IP地址池；202.1.1.5用于WEB和FTP服务器的NAT端口地址映射。主要网络设备IP规划表及网络终端IP规划表如表1、2所示，NAT映射表如表3所示。

表1 主要网络设备IP规划表

表2 网络终端IP规划表

2.2 关键网络设备配置实现

防火墙的配置最关键，既是实验的重点也是难点。

表3 NAT映射表

在防火墙上进行配置。Trust区域的SW0实现局域网内的互连互通，外网路由器R0主要是模拟内网用户上网测试，及在外网测试NAT配置的可用性。

2.2.1防火墙DMZ配置

划分Trust、Untrust和DMZ 3个区域，并将对应的接口加入相应的区域是实验配置中非常重要的一个步骤。主要配置代码如下：

[FW0-GigabitEthernet0/0/2] ip address 192.168.50.2 24 //trust

[FW0-GigabitEthernet0/0/3] ip address 172.16.1.1 24 //untrust

[FW0-Serial0/0/0] ip address 202.1.1.1 24 //dmz

[FW0] firewall zone trust

[FW0-zone-trust] add interface GigabitEthernet 0/0/2

[FW0] firewall zone dmz

[FW0-zone-dmz] add interface GigabitEthernet 0/0/3

[FW0] firewall zone untrust

[FW0-zone-untrust] add interface Serial0/0/0

接下来，配置域间包过滤，以满足网络安全访问的要求。值得指出的是防火墙的具有默认的包过滤配置。以USG5500为例，其默认包过滤规则为允许Local和Trust双向访问；允许Local访问DMZ及Untrust区域；其余访问默认均禁止。其中，Local是指防火墙本身的接口区域。因此，为了实现实验要求里的SW1区域可上外网，可访问DMZ；SW2区域不可上外网，可访问DMZ； SW3区域不可上外网，不可访问DMZ，关键配置代码如下：

//配置允许访问外网的IP段

policy interzone trust untrust outbound

policy 0

action permit

policy source 192.168.10.0 0.0.0.255

//配置允许访问dmz的IP段

policy interzone trust dmz outbound

policy 0

action permit

policy source 192.168.10.0 0.0.0.255

policy source 192.168.20.0 0.0.0.255

2.2.2NAT配置

NAT配置包括内网IP访问公网和服务器对外开放端口两部分，均是在防火墙是进行配置实现。NAT配置关键代码及描述如下：

//创建NAT地址池1，地址范围为：202.1.1.3-202.1.1.4。

[FW0] nat address-group 1 202.1.1.3 202.1.1.4

//创建trust和untrust区域之间的NAT策略，确定进行NAT转换的源地址范围，并且将其与NAT地址池1进行绑定。

[FW0] nat-policy interzone trust untrust outbound

[FW0-nat-policy-interzone-trust-untrust-outbound] policy 0

[FW0-…-outbound-0] policy source 192.168.10.0 0.0.0.255

[FW0-…-outbound-0] action source-nat

[FW0-…-outbound-0] address-group 1

//创建两台内网服务器的公网IP与内网IP的映射关系。

[FW0]nat server protocol tcp global 202.1.1.5 www inside 172.16.1.2 80

[FW0]nat server protocol tcp global 202.1.1.5 ftp inside 172.16.1.3 21

2.2.3链路聚合配置

3个接入交换机分别于SW0配置链路聚合功能，以提高网络的安全可靠性。以与SW1连接为例，SW0链路聚合配置如下：

interface Eth-Trunk1 //链路聚合标号1

port link-type trunk //与SW1连接口属性一致

port trunk allow-pass vlan 10

interface GigabitEthernet0/0/11 //链路聚合捆绑g0/0/11

eth-trunk 1

interface GigabitEthernet0/0/21 //链路聚合捆绑g0/0/21

eth-trunk 1

其他两个交换机配置方法基本一致，只要修改对应的Eth-Trunk标号即可。

3 实验验证

3.1 链路聚合功能测试

网络测试一般采用“由近及远，由易到难”的测试步骤。因此，在基础配置完成的基础上，首先对链路聚合功能进行测试。通过测试SW0与SW1直接的互连互通性及查看SW0的链路聚合状态，如图2所示，容易验证配置的可行性。

图2 SW0与SW1间链路聚合状态

3.2 内网访问外网和DMZ

用ping指令不难验证SW0下的3个交换机下的PC和终端不同的访问权限。此外，还可以通过PC和终端来验证DMZ中的服务器的功能。PC1访问外网的ping指令测试情况如图3所示。

图3 PC1访问外网验证

根据实验要求，内网的SW1及SW2下的PC及终端应该能够访问DMZ。利用Client2访问FTP的情况如图4所示。

图4 内网访问FTP验证

DNS是DMZ中一个重要的服务。在Server_DNS上配置主机域名与IP地址对应的记录，然后在内网区的PC用ping主机域名，可验证能够正常解析IP地址。DNS主机域名与IP地址配置信息及Server_DNS解析功能验证分别如图5、6所示。

图5 DNS主机域名与IP地址配置信息

图6 Server_DNS解析功能验证

3.3 NAT配置验证

服务器对外服务NAT映射验证可以通过在外网区域的Client终端进行功能测试的方法来完成。例如外网访问Server_Web的情况如图7所示，在外网Client4的浏览器中输入地址http://202.1.1.5/default.htm可以弹出对应的文件页面，验证了实验成功。

图7 外网访问Server_WEB验证

4 结语

基于华为模拟软件的eNSP的安全园区网实验设计综合运用了网络路由、链路聚合、域间包过滤及NAT配置等技术，对于辅助学生掌握安全网络的构建和配置方面具有较好的指导作用。同时，对提高学生在华为HCNA、HCNP、HCIE及信息安全工程师等新兴的认证考试的通过率方面能起到积极的作用。在此实验方案基础上，还可以进一步延伸和拓展实验内容。比如，可以结合SecureCRT、VMWare、GNS3等常用的网络软件构建更为综合的实验平台，根据不同场景定制设计更多丰富的实验方案，从而达到更好的教学效果。

参考文献(References)：

[1] 田安红,付承彪. 静态路由协议在模拟仿真器中的设计与实现[J]. 实验技术与管理,2014(2):100-103.

[2] 陈左宁,王广益,胡苏太,等. 大数据安全与自主可控[J]. 科学通报,2015,(Z1):427-432.

[3] 黄建忠,张沪寅,裴嘉欣. 网络安全虚拟仿真实验教学体系设计[J]. 实验室研究与探索,2016(10):170-174.

[4] 陈潮,靳慧云,黄安安. VLAN间路由实验在仿真器中的设计与实现[J]. 实验技术与管理,2016(8):129-132.

[5] 孟祥成. 基于eNSP的防火墙仿真实验[J]. 实验室研究与探索,2016(4):95-100.

[6] 鲁先志,胡海波. 基于开源架构的虚拟网络安全实验平台[J]. 实验技术与管理,2015(7):120-123，155.

[7] 李永. 基于Packet Tracer的路由综合实验设计与实现[J]. 实验室研究与探索,2015(9):111-114.

[8] 温贺平,曹文梁,刘庆. 一种模拟校园网的综合组网实验设计[J]. 实验室研究与探索,2017(2):141-144.

[9] 施游．网络规划设计师考试全程指导[M] ．北京：清华大学出版社，2009.

[10] 褚建立．中小型网络组建[M] ．北京：中国铁道出版社，2010．

[11] 李林林. 单机环境下路由交换技术综合实验设计[J]. 实验室研究与探索,2015(8):115-118.