达新民 刘军霞

关键词：网络仿真；eNSP；访问控制列表

0 引言

计算机网络是高等学校计算机及相关专业重要的课程之一，课程系统介绍了计算机网络基本原理和网络体系结构，重点围绕OSI 参考模型、TCP/IP 体系结构讲解基本概念和原理，包括物理层、数据链路层、网络层、运输层、应用层等主要内容[1]。

计算机网络知识面广、内容抽象、综合性强，兼具理论性和实践性的特点，涉及计算机、数字通信、电子信息等多领域的技术。因此在计算机网络教学中增设实验内容，成为多数高校采用的教学方式，加强实验教学可以更好地促进学生理解和掌握课程内容，提高学生计算机网络技术实践能力[2-3]。

随着虚拟化技术的不断发展，计算机网络仿真软件逐步引入到计算机实验教学中，很好地解决了传统计算机网络实验室遇到的困境。网络仿真软件可以模拟真实的网络设备，为教学提供灵活、便捷、高效的实验环境[4-5]。其中，eNSP（Enterprise Network SimulationPlatform）是一款优秀的图形化网络仿真软件，可以仿真华为的交换机、路由器及WLAN 设备等，支持大型网络模拟，是进行计算机网络实验的较好的仿真平台[6-7]。

1 实验技术原理

访问控制列表ACL（Access Control Lists）[8-10]是一种基于包过滤的访问控制技术，其基本原理是基于ACL 中的条件对数据包进行匹配，从而过滤出数据包，然后根据策略决定该数据包是否允许通过。

ACL 是一系列规则的集合，规则主要由匹配项和动作两部分构成。其中，匹配项就是过滤的条件，基本ACL 中的条件主要包含源IP 地址等，高级ACL 中的条件还可以包含目的IP 地址、端口号等；动作就是处理的策略，即允许或拒绝过滤出的数据包。

在路由器的接口应用ACL 后，该接口转发数据包时，首先与ACL 规则中的匹配项逐一比对，对匹配成功的数据包，就按照规则中的动作决定是否转发。ACL 基本工作原理及处理流程如图1 所示。

运用ACL 可以有效控制终端对网络资源的访问，提高网络性能，控制网络流量，保障网络安全。

2 实验设计

访问控制技术是计算机网络实验教学中的一项重要内容，也是网络访问控制中最基本、最常用的方法之一。ACL 通过对由器接口转发的数据包进行过滤来实现对特定网络的访问权限控制。设计本实验的目的是让学生深刻理解ACL 基本原理，掌握ACL应用方法和配置过程，提高学生计算机网络安全的操作技能。

实验网络逻辑设计中，设计有三个局域网和一个服务器网络，对各网络之间的访问根据需要来控制，具体规划见表1。

三个局域网分别代表不同安全要求的网络，Server代表提供应用服务的网络，根据功能需求设计实验网络，实验网络逻辑结构见图2。

逻辑设计网中，SW1、SW2、SW3 为接入交换机，分别连接二台PC 终端，组成各自的局域网；局域网1、局域网2、局域网3 通过路由器R1 进行互连，实现局域网间的互通；Server1 为服务器，提供网络服务。

3 实验实现

3.1 实验拓扑搭建

实验网络物理设计在华为网络仿真软件eNSP 中仿真实现，按照逻辑设计图搭建实验网络[4-7]，网络拓扑如图3 所示。

3.2 网络数据规划

根据实验设计要求，进一步对实验网络物理拓扑中网络设备的接口、IP 参数等进行设计，数据规划情况见表2。

3.3 功能配置

⑴ 基本配置

在实验网络物理拓扑中，按照网络接口规划表对路由器、交换机等设备的基本参数进行配置，如接口IP、Server 和PC 的IP 参数等。首先，实现3 个局域网、Server1 之间的互通。例如，局域网1 中PC1 与Server1可以连通，如图4 所示。

⑵ ACL 配置

配置ACL[6-8]是本实验中的关键步骤，本实验使用高级ACL 实现对特定网络访问权限的控制，需要在路由器AR1 中完成，以局域网1 为例说明实现方法。

根据设计要求，对于局域网1，允许主机访问Server1，拒绝访问其他局域网，据此配置ACL 中的规则，方法如下：

[AR1]acl 3000

[AR1-acl-adv-3000]rule 5 permit ip destination

192.168.4.0 0.0.0.255

[AR1-acl-adv-3000]rule 10 deny ip source

192.168.1.0 0.0.0.255

⑶ 应用ACL

完成高级ACL 配置后，还需要將其应用到路由器AR1 对应的接口上，使ACL 生效。这里在连接局域网1 的接口的入方向上应用ACL，方法如下：

[AR1] interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

4 实验测试

实验所有的配置完成后，对实验结果进行测试验证，检查配置是否正确、功能是否实现，测试方法采用ping 方式验证网络连通性。

以局域网1 为例，验证实验结果。根据实验设计要求，PC1 可以连通Server1，不能连通其他局域网的PC 终端，测试结果如图5、图6 所示。

同理，可以验证局域网2、局域网3 访问其他局域网和服务器的实验结果，均达到实验设计要求。

5 结束语

本实验是计算机网络课程中网络安全实验之一，采用华为eNSP 完成实验内容。实验过程分为：实验任务设计、逻辑网络设计、物理网络设计、配置实现及实验结果测试等五个阶段。实验运用了ACL 包过滤技术，实现网络访问控制权限，具体说明了网络访问控制策略配置的基本过程，达到了实验目的。通过本实验的学习和实训，可以培养学生运用基本知识解决具体问题的基本思路，使学生初步掌握配置ACL 的基本方法，帮助其理解计算机网络安全知识，提高实践能力，最终取得良好教学效果。