摘  要：为了突破网络安全配置实训教学受限于防火墙物理设备的限制问题，保证每个学生的实训效果，帮助学生更好的理解网络协议工作原理及组网方式，文章对eNSP的仿真功能进行研究，通过设计一个防火墙NAT配置实训，虚拟完成公私网之间的地址转换，实现私网地址和公网设备互联互通，公网设备可访问私网服务器，为网络技术专业教师提供新的实训设计思路以提升学生的实践能力和相关技能。

关键词：eNSP;虚拟仿真;华为防火墙;NAT配置;教学实训

Abstract：In order to break the problem of network security configuration training teaching limited to the limitation of firewall physical equipment，to ensure the effectiveness of each students training，and to help students better understand the working principles of network protocols and networking methods. The article studies the simulation function of eNSP. Through the design of a firewall NAT configuration training，virtual address translation between public and private networks is completed，and private network addresses and public network devices are interconnected. The public network equipment can access private network servers，providing network technology professional teachers with new training design ideas to improve studentspractical ability and related skills.

Keywords：eNSP;virtual simulation;Huawei firewall;NAT configuration;teaching training

0  引  言

“计算机网络技术”课程是职业院校计算机专业和通信专业的核心专业课程之一，该课程的教学分为理论教学和实训教学两个部分[1]。理论教学目前已较为成熟，而实训教学在以往教学中受到设备的限制，学生需要分组才可以进行，小组教学中各个同学的积极性不同，难以保证每个学生的实训效果，也难以很好地帮助学生理解相关协议的工作原理和工作方式[2]。笔者作为一个专科网络专业新进教师，上课过程中经常会遇到理论方面讲解没有问题，但由于实训条件受限，导致学生实训实践不足，无法深刻理解理论原理，知识无法得到实践，导致很快忘记。为了解决这些问题，本人借助eNSP仿真软件去实现课程中“防火墙网络地址转换技术”实训，进行教学设计的尝试。eNSP软件是一款由华为公司提供的免费的、可扩展的、图形化操作的网络仿真工具平台[3]，主要对企业网络路由器、交换机防火墙和主机等物理设备进行模拟仿真，较为真实地呈现设备实景，让学生可以在没有真实物理设备的情况下进行大量模拟练习，掌握相关网络技术的知识[4]。

1  实训原理

地址转换协议[5]（Network Address Translation，NAT）是用来实现地址复用，节约IPv4地址资源的一种方法，是一种应用非常广泛的网络技术，它的基本原理极为简单，即配置了NAT的网络设备根据事先设置好的NAT规则，将地址转换为设置的地址去进行网络通信。根据应用场景的不同，NAT可以分为以下三类：

（1）源NAT（Source NAT）：用来使多个私网用户能够同时访问Internet。

地址池方式：采用地址池中的公网地址为私网用户进行地址转换，适合大量的私网用户访问Internet的场景。

出接口地址方式（Esay IP）：内网主机直接借用公网接口的IP地址访问Internet，特别适用于公网接口IP地址是动态获取的情况。

（2）服务器映射：用来使外网用户能够访问私网服务器。

静态映射（NAT Server）：公网地址和私网地址一对一进行映射，用在公网用户访问私网内部服务器的场景。

2  实训设计构想

本实训模拟一家企业网络环境，公司购买部分公网地址为100.2.2.8/29，技术部属于trust区域通过源NAT出接口方式（Easy IP）进行外网访问，行政部属于trust区域通过源NAT地址池的NAPT方式进行外网访问，财务部属于trust区域通过源NAT地址池的No-PAT方式进行外网访问，另外DMZ区域中的两台服务器配置NAT Server发布，分别提供FTP服務及Web服务让外网可以访问。外网部分为untrust区域。拓扑图使用eNSP绘制，如图1所示。

3  配置规划

根据访问控制列表实训拓扑图及模拟企业环境的需求，完成如表1所示的IP配置规划。

4  实训实施过程

4.1  基本配置

根据表1的配置规划表完成各防火墙和路由器设备的基本配置，完成基本配置命令。

4.2  搭建NAT转换网络

4.2.1  出接口方式

在防火墙上搭建PC1访问外网的相关安全规则及NAT转换规则，配置完成后进行结果验证，使用PC1ping通客户端，在防火墙上查看路由会话信息（需要立马敲打命令，防火墙会话中icmp的老化时间为20秒[4]），结果如图2所示，可以知道，10.1.1.1的地址以及转换为100.1.1.1去访问对端。

4.2.2  NAPT方式

在防火墙上搭建PC2访问外网的相关安全规则及NAT转换规则，并且为了避免路由环路，在防火墙上配置转换后的全局地址100.2.2.12/32的黑洞路由，这是因为如果外网访问全局地址的话，由于路由器的静态地址和防火墙的默认路由，会导致这个数据包一直在防火墙和路由器之间不断来回传输，直到TTL为0才丢弃[4]。

然后PC2ping通客戶端进行结果验证，结果如图3所示，通过结果可以看到10.2.1.1访问外网会先转换为100.2.2.12去访问。

4.2.3  No-PAT方式

在防火墙上搭建PC3访问外网的相关安全规则及NAT转换规则及黑洞路由，然后通过PC3ping通客户端进行结果验证，从结果可以知道，10.3.1.1转换为100.2.2.10和100.2.2.11中的一个地址去访问外网，如图4所示。

4.2.4  NAT Server方式

在防火墙上搭建外网访问服务器的相关安全规则及NAT Server并开启FTP协议的NAT ALG功能。然后通过响应客户端去访问服务端，可以看到FTP客户端可以获取FTP服务端的文件，HTTP客户端可以访问HTTP服务器，结果如图5所示。

5  结  论

利用eNSP仿真软件可以完美模拟防火墙NAT转换的实训，并且辅助内置的Wireshark软件，可以帮助学生去了解这种转换的协议，让学生对于理论知识有更加深刻的理解，同时也解决了设备不足的情况下，学生有充足的实践经验，学生在安装了eNSP仿真软件后，可以随时随地自主练习，极大提高学生的学习积极性。eNSP仿真软件应用于计算机网络技术实训教学，可以极大地培养学生的创新能力和实践能力，提升学生职业能力和就业能力。

参考文献：

[1] 于鉴桐.信息化环境下的课堂教学设计研究与实践——以移动室内覆盖工程课程为例 [J].湖南邮电职业技术学院学报，2019，18（4）：38-40.

[2] 李妍.信息化整合背景下《计算机网络》课程教学设计研究 [J].计算机产品与流通，2019（9）：266.

[3] 华为技术有限公司.HCNA网络技术学习指南 [M].北京：人民邮电出版社，2015.

[4] 林金山，林金慧.基于面向创新人才培养的《计算机网络》课程教学探讨 [J].当代教育实践与教学研究，2019（19）：43-44.

[5] 徐慧洋，白杰，卢宏旺.华为防火墙技术漫谈 [M].北京：人民邮电出版社，2015.

作者简介：余振养（1989—），男，汉族，广东廉江人，硕士研究生，研究方向：网络安全。