基于PacketTracer的网络安全实验设计和开发
2020-04-09童孟军柯倩倩何杰
童孟军 柯倩倩 何杰
摘 要: 利用Packet Tracer网络模拟器对计算机网络课程中的实验进行了相关的设计和开发。Packet Tracer网络模拟器使得原来进行实验所需要的成本有所减少,在增强学生动手能力的同时,仿真演示也令原本抽象的理论和概念变得生动起来。文章围绕计算机网络课程中的网络安全知识,有针对性地对防火墙的配置及基本实验过程进行设计,使学生在实战中掌握知识。
关键词: PacketTracer; 网络模拟器; 计算机网络; 课程实验
中图分类号:G642.0 文献标识码:A 文章编号:1006-8228(2020)03-24-04
Design and development of network Security experiment using Packet Tracer
Tong Mengjun1,2, Ke Qianqian1, He Jie1
(1. School of information engineering of Zhejiang A&F University, Lin'an, Hangzhou 311200, China; 2. Zhejiang A&F University Zhengjiang Provincial Key Laboratory of Forestry Intelligent Monitoring andInformation Technology Research)
Abstract: The experiments of computer network course are designed and developed by using Packet Tracer network simulator. Packet Tracer network simulator reduces the experiment cost needed before. While enhancing the students' practical ability, the simulation demonstration also makes the original abstract theory and concept vivid. Focused on the knowledge of network security in the computer network course, this paper purposefully designs the processes of configuration and basic experiment of firewall, so that students can master the knowledge in the actual combat.
Key words: Packet Tracer; network simulator; computer network; course experiment
0 引言
對于计算机等相关专业来说,计算机网络可算是一门核心课程。我们在学习计算机网络的过程中既要着重分析其原理、结构和基本的网络协议,又要兼顾学生组建、维护网络等基本技能的培养[1]。因此,计算机网络实验课是不可缺少的。
计算机网络课程中的实验往往需要各种网络硬件设备的支持,比如交换机和路由器,然而,这些硬件的版本升级周期较短,同时售价也不低,这也造成了很多高校在实验硬件上不达标[2]。将Packet Tracer网络模拟器应用到计算机网络的实验教学中,正好可以很好地解决上面所描述的问题,同时也使计算机网络教学变得更加生动、易懂。
1 Packet Tracer简介
Packet Tracer是一个为学习网络技术的人员提供设计、配置网络等功能的仿真软件[3]。用户在可视化界面进行简单操作即可完成网络拓扑的构建,同时,运行该软件可观察数据包的传输、解析过程等,充分了解网络数据传输过程。
Packet Tracer简单的操作和真实的模拟环境,使学习过程变得便捷[4]。它通过使用一组经过简化的计算机网络设备和协议模型,令学习者能够更好地学习计算机网络的知识和其中的协议等。
2 Packet Tracer界面
打开Packet Tracer,默认显示如图1所示的界面。
3 Packet Tracer活动向导介绍
活动向导(Activity Wizard)是一个评估工具,它可以允许当前用户为其他用户创建一个自定义的拓扑环境。该工具可以使教师非常容易地为学生创建一个特定的网络环境,可以将其理解为一个测试题。当学生在做这个题目的时候,他们可以根据初始网络和实验要求来完成题目,同时他们也可以通过评分系统检查自己的配置与教师设定好的答案网路是否一致。
当我们进入活动向导对话框以后我们可以看到如图2所示的界面,该界面窗口的左边有14个按钮,它们分别具有14种不同的功能[5]。
⑴ 【Welcome】是一个活动向导的欢迎界面,它对活动向导的主要功能进行了简要的介绍。
⑵ 【Variable Manager】是变量管理器。
⑶ 【Instructions】是活动向导的文字编辑器。
⑷ 【Answer Network】这个按钮可以打开一个工作区,在这里可以给出该初始网络拓扑的答案。
⑸ 【Scripting】这个按钮可以通过 JavaScript 等语法来设计Packet Tracer的新功能。
⑹ 【Initial Network】用来设置初始网络拓扑。
⑺ 【Password】可以为为活动向导设置密码。
⑻ 【Test Activity】可以打开Packet Tracer Activity窗口,窗口中显示我们在【Instructions】里输入的说明文本,下方设有测试该网络完成情况的按钮和重置网络的按钮。
⑼ 【Check Activity】测试实验网络。
⑽ 【Save】按钮的功能是将编写好的题目保存起来,文件的扩展名是.pka。
⑾ 【Save As...】按钮和【Save】按钮功能一样,也是保存为.pka文件。
⑿ 【Save As pkz】按钮的功能是把题目保存为.pkz文件。
⒀ 【Export As CC】按钮的功能是导出后缀名为.imscc的文件。
⒁ 【Exit】按鈕的功能是退出活动向导。
4 Packet Tracer实验设计
本次设计的实验涵盖了路由、防火墙等多个方面,基本能满足计算机网络课程实验的基本需要,能帮助有针对性地练习网络实验的知识点,还能对学习效果有一个对应的检测。下面通过几个典型的实验案例来说明本次具体的实验设计。
4.1 ASA5505防火墙的基本配置
实验设计背景:
ASA5505防火墙能实现对网络的安全控制,并且支持多种网络安全协议。防火墙是一种网络隔离技术,它把内部网络与Internet网络通过访问控制和流量控制等方式隔离开来。防火墙一般用在公司等某些区域的局域网与外部Internet相连的地方,相当于局域网的一个大门,它有控制数据进出的权限[7],能有效地维护局域网的数据安全。
实验设计要求:
本次实验中,在PC0和R0中间有一个ASA5505防火墙,用来控制两者之间的数据传输。我们需要对防火墙内外的网络做不同的权限处理,使得PC0可以telnet到防火墙上,但R0不能。还需要实现PC0对R0能ping通。
实验设计拓扑如图3所示。
4.2 ASA防火墙静态NAT的配置
实验设计背景:
网络地址转换NAT,它能够将局域网中的私有地址通过特定的方式转换为公有地址[8],达到了隐藏内部主机真实IP的效果。
静态转换是指将内部网络的私有IP地址转换为公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备的访问。
实验设计要求:
本实验中,当PC0访问外部网络时,要求不显示真实的IP地址,而是用公网IP地址代替。这里使用静态NAT的方式。
实验设计拓扑如图4所示。
实验设计要点:
静态地址转换方式,将PC0的IP地址转换为192.168.2.22。
4.3 ASA5505防火墙inside、outside和dmz之间的通信
实验设计背景:
在一般的公司或企业中,都会在接入Internet时使用防火墙来提高公司内部网络的安全性。对于没有自己服务器的公司,需要在防火墙两侧设置inside和outside区域来进行网络安全控制,而那些有自己服务器的公司一般还会设置一个dmz区域,称为非军事区,在这里主要放置需要在外网访问的服务器,如WWW服务器等。这样,其他人也可以通过公网来访问该公司的网站等信息。
实验设计要求:
一公司内部使用了ASA防火墙来隔离外部网络和公司内部网络。公司员工所在网段为192.168.1.0/24,并配置服务器所在网段dmz区域为172.16.1.0/24。需要实现内部主机可以访问dmz区域中服务器,内部主机可以ping通外部网络的路由器,外部网络不能ping通内部网络主机但可以访问dmz区域中的WWW服务器和FTP服务器。
实验设计拓扑如图5所示。
实验设计要点:
在防火墙配置静态路由,注意应是三个方向,而默认路由要配置在连接Internet的接口上,同时要注意以下几点。
① 在防火墙上配置多于两个VLAN时,要使用no forward interface Vlan VLAN_AME来设置不通过某VLAN转发流量,其实 ASA5505最多只能配置三条VLAN。
② 在防火墙上配置默认静态路由要的下一跳要在outside中,使用“route outside 0.0.0.0 0.0.0.0IP地址”命令。
③ 在做访问控制列表的时候一定要注意是用在哪个接口的in/out的哪个方向上。
④ 在使用到不同网段或主机时最好先使用object network来定义它的名字。
⑤ 服务器应使用静态地址转换,以便于外网对它的特定访问。
⑥ 使用show xlate来查看NAT转化信息。
4.4 综合实验设计
实验设计背景:
结合多个知识点,考查学生综合处理网络情况的能力。
实验设计要求:
① 熟练掌握各种网络设备IP、网关和 DNS服务器的配置。
② 利用防火墙实现访问控制策略。
③ 学会常用服务的配置,比如DNS,WWW,FTP等。
④ 熟练运用OSPF路由协议来解决网络通信问题。
⑤ 在交换机上进行VTP的配置,并创建划分VLAN。
⑥ 在交换机上配置STP来防止交换机环路。
⑦利用路由器实现VLAN间通信。
⑧ 使用HSPR协议提高链路的可靠性。
⑨ 使用防火墙的NAT实现地址转换。
⑩ 在路由器上配置远程登录VTY口令。
[11] 配置无线路由器和笔记本,并使它们可以访问WWW服务器。
实验设计拓扑如图6所示。
实验设计要点:
该综合实验实际运用了计算机网络课程中学到的大部分知识,有流量控制、地址转换、VLAN间通信等技术,完成实验有一定的难度。从最终的实现效果来看,基本模拟了一个大型的网络架构,以及对冗余链路及稳定可靠性的实现。
5 实验设计说明
5.1 实验设计内容
本次实验设计可实现两个功能:其一可供学生练习,实验提供详细的指导步骤和配置命令,并配有大部分的文字说明,方便学生自主学习,查漏补缺;其二可供教师对学生测试评估,方便教师了解学生的学习情况,进而有针对性地讲解学习的内容[9]。
5.2 实验设计特点分析
利用Packet Tracer设计计算机网络实验有一定的局限性,因为它只能模拟Cisco设备,而且有部分命令还不能很好地支持。除此之外基本可以满足学生学习的要求,而且当网络出现故障的时候,Packet Tracer可表现出强大的排错能力,这是因为它的仿真模式可以通过观察数据包的转发过程,来一步步地判断问题出现的位置以及产生的原因。Packet Tracer的优势还在于它的活动向导功能,对于考察学生的学习情况有很好的效果。总的来说,Packet Tracer还是比较适合教学中使用的。
6 结束语
本次设计将Cisco Packet Tracer网络模拟器引入计算机网路课程实验中,利用Packet Tracer作为教学工具进行网络安全课程实践教学。不仅减少了实验投资成本,培养了学生的动手能力和创造能力,同时也通过仿真演示使抽象的基础理论和基本概念变得通俗易懂,弥补了实验内容不足等问题。此系统也可结合多个知识点,同时设置多个测试项目,方便教师检阅。
参考文献(References):
[1] 謝希仁.计算机网络(第6版)[M].电子工业出版社,2013.
[2] 薛琴.基于packet tracer的计算机网络仿真实验教学[J].实验室研究与探索,2010.29(2):57-59
[3] 王明雄.虚拟软件在高职计算机网络教学中的应用——以Packet Tracer 为例[J].价值工程,2011.30(27):115-116
[4] 刘艳军,杜颖,李晓会.Cisco Packet Tracer在计算机网络教学中的应用研究[J].无线互联科技,2019.16(12):132-134
[5] 石艳,吴东,梁莉.Packet Tracer在计算机网络教学中的应用[J].教育现代化,2019,6(44):122-124,133
[6] Janitor J, Jakab F, Kniewald K. Visual learning tools forteaching/learning computer networks:Cisco networking academy and packet tracer[C]//2010 Sixth International Conference on Networking and Services. IEEE,2010:351-355
[7] Dong Z L Y. LAN Interconnection Based Packet Tracer[J].Science Mosaic,2011:5
[8] 王长明,孟凡英.浅谈计算机网络安全及防范技术[J]. 科技信息,2011.22:241
[9] 陈建强.基于Packet Tracer的中职“计算机网络”课程研究性学习设计[J].电脑知识与技术,2019.15(6):123-125