溫 賀 平

(東莞職業(yè)技術(shù)學(xué)院 信息與教育技術(shù)中心， 廣東 東莞 523808)

0 引 言

在計(jì)算機(jī)網(wǎng)絡(luò)、組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理等課程教學(xué)中，多采用Cisco的Packet Tracer模擬軟件進(jìn)行模擬上機(jī)實(shí)驗(yàn)[]。自2013年斯諾登“棱鏡門(mén)”事件以來(lái)，網(wǎng)絡(luò)安全問(wèn)題在國(guó)內(nèi)各行業(yè)中引起了廣泛的關(guān)注[2]。在國(guó)家信息安全相關(guān)政策的持續(xù)影響下，網(wǎng)絡(luò)實(shí)驗(yàn)設(shè)備國(guó)產(chǎn)化勢(shì)在必行[3]。然而，面對(duì)日新月異發(fā)展的網(wǎng)絡(luò)技術(shù)，相關(guān)課程的教學(xué)實(shí)踐面臨一些新的問(wèn)題，主要包括：① 受限于經(jīng)費(fèi)等條件約束，許多實(shí)驗(yàn)室難以采購(gòu)昂貴的網(wǎng)絡(luò)設(shè)備如防火墻為師生提供實(shí)驗(yàn)環(huán)境；② 實(shí)驗(yàn)設(shè)計(jì)方案多數(shù)是基于Cisco packet tracer平臺(tái)，對(duì)外資設(shè)備具有依賴性；③ 基于國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備的安全組網(wǎng)的實(shí)驗(yàn)設(shè)計(jì)較少，尤其是切合實(shí)際園區(qū)網(wǎng)環(huán)境的方案；④ 實(shí)驗(yàn)設(shè)計(jì)照抄陳年案例，缺乏創(chuàng)新性。因此，設(shè)計(jì)和構(gòu)建基于國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備模擬軟件的安全組網(wǎng)實(shí)驗(yàn)方案[4-8]，此外，通過(guò)實(shí)驗(yàn)?zāi)軌蚣由顚W(xué)生對(duì)安全組網(wǎng)原理的理解以及相關(guān)實(shí)踐技能的掌握。

1 安全園區(qū)網(wǎng)實(shí)驗(yàn)方案

1.1 實(shí)驗(yàn)?zāi)康?/h3>

掌握安全園區(qū)網(wǎng)的關(guān)鍵配置方法，既包括組網(wǎng)中常見(jiàn)的虛擬局域網(wǎng)(Virtual Local Area Network, VLAN)、交換路由配置技術(shù)，還包括防火墻Trust、Untrust和DMZ區(qū)域劃分、交換機(jī)鏈路聚合及NAT配置技術(shù)等。

1.2 模擬器(Enterprise Network Simulation Platform, eNSP)設(shè)備清單

實(shí)驗(yàn)在華為網(wǎng)絡(luò)設(shè)備模擬器eNSP上實(shí)現(xiàn)。包括防火墻USG5500設(shè)備1臺(tái)、路由器1臺(tái)、華為5700三層交換機(jī)1臺(tái)、3700二層交換機(jī)4臺(tái)、Server服務(wù)器共3臺(tái)、PC共3臺(tái)、Client客戶端共4個(gè)，直通線、交叉線和串口線若干。

1.3 實(shí)驗(yàn)總體設(shè)計(jì)

安全園區(qū)網(wǎng)的總體設(shè)計(jì)如圖1所示。實(shí)驗(yàn)網(wǎng)絡(luò)分為T(mén)rust、Untrust和DMZ 3個(gè)區(qū)域。其中，Trust區(qū)域?yàn)閮?nèi)網(wǎng)區(qū)，包含1臺(tái)核心交換機(jī)、3臺(tái)接入交換機(jī)以及PC和終端若干。內(nèi)網(wǎng)區(qū)采用當(dāng)今主流的“扁平化”結(jié)構(gòu)，即只有核心層和接入層，沒(méi)有匯聚層。Untrust區(qū)域包含一臺(tái)外網(wǎng)路由器和測(cè)試終端。DMZ區(qū)域是本實(shí)驗(yàn)的難點(diǎn)的重點(diǎn)，配置了Web、FTP及DNS 3臺(tái)服務(wù)器。

圖1 安全園區(qū)網(wǎng)的總體設(shè)計(jì)圖

1.4 實(shí)驗(yàn)要求

對(duì)于Trust區(qū)域，在SW0下的交換機(jī)及各PC和終端可互連互通的基礎(chǔ)上，有不同要求：① SW1區(qū)域可上外網(wǎng)，可訪問(wèn)DMZ；② SW2區(qū)域不可上外網(wǎng)，可訪問(wèn)dmz；③ SW3區(qū)域不可上外網(wǎng)，不可訪問(wèn)DMZ；④ SW0與SW1-SW3 3臺(tái)接入交換機(jī)配置鏈路聚合，實(shí)現(xiàn)負(fù)載均衡功能。

對(duì)于Untrust區(qū)域，有以下要求：① 可以訪問(wèn)Web服務(wù)器，即公網(wǎng)地址的80端口對(duì)外開(kāi)放；② 可以訪問(wèn)FTP服務(wù)器，即公網(wǎng)地址的21端口對(duì)外開(kāi)放；③ DNS服務(wù)器不對(duì)公網(wǎng)開(kāi)放。即Web和FTP服務(wù)器采用NAT配置方法對(duì)外提供服務(wù)。

2 安全園區(qū)網(wǎng)實(shí)驗(yàn)設(shè)計(jì)與構(gòu)建

2.1 實(shí)驗(yàn)網(wǎng)絡(luò)邏輯規(guī)劃

根據(jù)安全園區(qū)網(wǎng)實(shí)驗(yàn)總體設(shè)計(jì)及實(shí)驗(yàn)要求，防火墻USG5500的3個(gè)端口分別對(duì)應(yīng)Trust、Untrust和DMZ 3個(gè)區(qū)域。在Trust區(qū)域規(guī)劃3個(gè)VLAN：vlan 10、vlan 20和vlan30分別對(duì)應(yīng)SW1、SW2和SW3 3臺(tái)交換機(jī)。其中，vlan10區(qū)域可上外網(wǎng)，可訪問(wèn)DMZ；vlan20區(qū)域不可上外網(wǎng)，可訪問(wèn)DMZ；vlan30區(qū)域不可上外網(wǎng)，不可訪問(wèn)DMZ。在SW0上規(guī)劃vlan50用于和FW進(jìn)行通信。防火墻的vlan100對(duì)應(yīng)DMZ區(qū)域的3臺(tái)服務(wù)器。

實(shí)驗(yàn)中總共用到了5個(gè)公網(wǎng)的IP地址，202.1.1.1、202.1.1.2分別用于出口防火墻FW和外網(wǎng)路由器R0的接口地址；202.1.1.3-4用于內(nèi)網(wǎng)區(qū)192.168.10.0/24動(dòng)態(tài)NAT的公網(wǎng)IP地址池；202.1.1.5用于WEB和FTP服務(wù)器的NAT端口地址映射。主要網(wǎng)絡(luò)設(shè)備IP規(guī)劃表及網(wǎng)絡(luò)終端IP規(guī)劃表如表1、2所示，NAT映射表如表3所示。

表1 主要網(wǎng)絡(luò)設(shè)備IP規(guī)劃表

表2 網(wǎng)絡(luò)終端IP規(guī)劃表

2.2 關(guān)鍵網(wǎng)絡(luò)設(shè)備配置實(shí)現(xiàn)

防火墻的配置最關(guān)鍵，既是實(shí)驗(yàn)的重點(diǎn)也是難點(diǎn)。

表3 NAT映射表

在防火墻上進(jìn)行配置。Trust區(qū)域的SW0實(shí)現(xiàn)局域網(wǎng)內(nèi)的互連互通，外網(wǎng)路由器R0主要是模擬內(nèi)網(wǎng)用戶上網(wǎng)測(cè)試，及在外網(wǎng)測(cè)試NAT配置的可用性。

2.2.1防火墻DMZ配置

劃分Trust、Untrust和DMZ 3個(gè)區(qū)域，并將對(duì)應(yīng)的接口加入相應(yīng)的區(qū)域是實(shí)驗(yàn)配置中非常重要的一個(gè)步驟。主要配置代碼如下：

[FW0-GigabitEthernet0/0/2] ip address 192.168.50.2 24 //trust

[FW0-GigabitEthernet0/0/3] ip address 172.16.1.1 24 //untrust

[FW0-Serial0/0/0] ip address 202.1.1.1 24 //dmz

[FW0] firewall zone trust

[FW0-zone-trust] add interface GigabitEthernet 0/0/2

[FW0] firewall zone dmz

[FW0-zone-dmz] add interface GigabitEthernet 0/0/3

[FW0] firewall zone untrust

[FW0-zone-untrust] add interface Serial0/0/0

接下來(lái)，配置域間包過(guò)濾，以滿足網(wǎng)絡(luò)安全訪問(wèn)的要求。值得指出的是防火墻的具有默認(rèn)的包過(guò)濾配置。以USG5500為例，其默認(rèn)包過(guò)濾規(guī)則為允許Local和Trust雙向訪問(wèn)；允許Local訪問(wèn)DMZ及Untrust區(qū)域；其余訪問(wèn)默認(rèn)均禁止。其中，Local是指防火墻本身的接口區(qū)域。因此，為了實(shí)現(xiàn)實(shí)驗(yàn)要求里的SW1區(qū)域可上外網(wǎng)，可訪問(wèn)DMZ；SW2區(qū)域不可上外網(wǎng)，可訪問(wèn)DMZ； SW3區(qū)域不可上外網(wǎng)，不可訪問(wèn)DMZ，關(guān)鍵配置代碼如下：

//配置允許訪問(wèn)外網(wǎng)的IP段

policy interzone trust untrust outbound

policy 0

action permit

policy source 192.168.10.0 0.0.0.255

//配置允許訪問(wèn)dmz的IP段

policy interzone trust dmz outbound

policy 0

action permit

policy source 192.168.10.0 0.0.0.255

policy source 192.168.20.0 0.0.0.255

2.2.2NAT配置

NAT配置包括內(nèi)網(wǎng)IP訪問(wèn)公網(wǎng)和服務(wù)器對(duì)外開(kāi)放端口兩部分，均是在防火墻是進(jìn)行配置實(shí)現(xiàn)。NAT配置關(guān)鍵代碼及描述如下：

//創(chuàng)建NAT地址池1，地址范圍為：202.1.1.3-202.1.1.4。

[FW0] nat address-group 1 202.1.1.3 202.1.1.4

//創(chuàng)建trust和untrust區(qū)域之間的NAT策略，確定進(jìn)行NAT轉(zhuǎn)換的源地址范圍，并且將其與NAT地址池1進(jìn)行綁定。

[FW0] nat-policy interzone trust untrust outbound

[FW0-nat-policy-interzone-trust-untrust-outbound] policy 0

[FW0-…-outbound-0] policy source 192.168.10.0 0.0.0.255

[FW0-…-outbound-0] action source-nat

[FW0-…-outbound-0] address-group 1

//創(chuàng)建兩臺(tái)內(nèi)網(wǎng)服務(wù)器的公網(wǎng)IP與內(nèi)網(wǎng)IP的映射關(guān)系。

[FW0]nat server protocol tcp global 202.1.1.5 www inside 172.16.1.2 80

[FW0]nat server protocol tcp global 202.1.1.5 ftp inside 172.16.1.3 21

2.2.3鏈路聚合配置

3個(gè)接入交換機(jī)分別于SW0配置鏈路聚合功能，以提高網(wǎng)絡(luò)的安全可靠性。以與SW1連接為例，SW0鏈路聚合配置如下：

interface Eth-Trunk1 //鏈路聚合標(biāo)號(hào)1

port link-type trunk //與SW1連接口屬性一致

port trunk allow-pass vlan 10

interface GigabitEthernet0/0/11 //鏈路聚合捆綁g0/0/11

eth-trunk 1

interface GigabitEthernet0/0/21 //鏈路聚合捆綁g0/0/21

eth-trunk 1

其他兩個(gè)交換機(jī)配置方法基本一致，只要修改對(duì)應(yīng)的Eth-Trunk標(biāo)號(hào)即可。

3 實(shí)驗(yàn)驗(yàn)證

3.1 鏈路聚合功能測(cè)試

網(wǎng)絡(luò)測(cè)試一般采用“由近及遠(yuǎn)，由易到難”的測(cè)試步驟。因此，在基礎(chǔ)配置完成的基礎(chǔ)上，首先對(duì)鏈路聚合功能進(jìn)行測(cè)試。通過(guò)測(cè)試SW0與SW1直接的互連互通性及查看SW0的鏈路聚合狀態(tài)，如圖2所示，容易驗(yàn)證配置的可行性。

圖2 SW0與SW1間鏈路聚合狀態(tài)

3.2 內(nèi)網(wǎng)訪問(wèn)外網(wǎng)和DMZ

用ping指令不難驗(yàn)證SW0下的3個(gè)交換機(jī)下的PC和終端不同的訪問(wèn)權(quán)限。此外，還可以通過(guò)PC和終端來(lái)驗(yàn)證DMZ中的服務(wù)器的功能。PC1訪問(wèn)外網(wǎng)的ping指令測(cè)試情況如圖3所示。

圖3 PC1訪問(wèn)外網(wǎng)驗(yàn)證

根據(jù)實(shí)驗(yàn)要求，內(nèi)網(wǎng)的SW1及SW2下的PC及終端應(yīng)該能夠訪問(wèn)DMZ。利用Client2訪問(wèn)FTP的情況如圖4所示。

圖4 內(nèi)網(wǎng)訪問(wèn)FTP驗(yàn)證

DNS是DMZ中一個(gè)重要的服務(wù)。在Server_DNS上配置主機(jī)域名與IP地址對(duì)應(yīng)的記錄，然后在內(nèi)網(wǎng)區(qū)的PC用ping主機(jī)域名，可驗(yàn)證能夠正常解析IP地址。DNS主機(jī)域名與IP地址配置信息及Server_DNS解析功能驗(yàn)證分別如圖5、6所示。

圖5 DNS主機(jī)域名與IP地址配置信息

圖6 Server_DNS解析功能驗(yàn)證

3.3 NAT配置驗(yàn)證

服務(wù)器對(duì)外服務(wù)NAT映射驗(yàn)證可以通過(guò)在外網(wǎng)區(qū)域的Client終端進(jìn)行功能測(cè)試的方法來(lái)完成。例如外網(wǎng)訪問(wèn)Server_Web的情況如圖7所示，在外網(wǎng)Client4的瀏覽器中輸入地址http://202.1.1.5/default.htm可以彈出對(duì)應(yīng)的文件頁(yè)面，驗(yàn)證了實(shí)驗(yàn)成功。

圖7 外網(wǎng)訪問(wèn)Server_WEB驗(yàn)證

4 結(jié) 語(yǔ)

基于華為模擬軟件的eNSP的安全園區(qū)網(wǎng)實(shí)驗(yàn)設(shè)計(jì)綜合運(yùn)用了網(wǎng)絡(luò)路由、鏈路聚合、域間包過(guò)濾及NAT配置等技術(shù)，對(duì)于輔助學(xué)生掌握安全網(wǎng)絡(luò)的構(gòu)建和配置方面具有較好的指導(dǎo)作用。同時(shí)，對(duì)提高學(xué)生在華為HCNA、HCNP、HCIE及信息安全工程師等新興的認(rèn)證考試的通過(guò)率方面能起到積極的作用。在此實(shí)驗(yàn)方案基礎(chǔ)上，還可以進(jìn)一步延伸和拓展實(shí)驗(yàn)內(nèi)容。比如，可以結(jié)合SecureCRT、VMWare、GNS3等常用的網(wǎng)絡(luò)軟件構(gòu)建更為綜合的實(shí)驗(yàn)平臺(tái)，根據(jù)不同場(chǎng)景定制設(shè)計(jì)更多豐富的實(shí)驗(yàn)方案，從而達(dá)到更好的教學(xué)效果。

參考文獻(xiàn)(References)：

[1] 田安紅,付承彪. 靜態(tài)路由協(xié)議在模擬仿真器中的設(shè)計(jì)與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)技術(shù)與管理,2014(2):100-103.

[2] 陳左寧,王廣益,胡蘇太,等. 大數(shù)據(jù)安全與自主可控[J]. 科學(xué)通報(bào),2015,(Z1):427-432.

[3] 黃建忠,張滬寅,裴嘉欣. 網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)體系設(shè)計(jì)[J]. 實(shí)驗(yàn)室研究與探索,2016(10):170-174.

[4] 陳 潮,靳慧云,黃安安. VLAN間路由實(shí)驗(yàn)在仿真器中的設(shè)計(jì)與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)技術(shù)與管理,2016(8):129-132.

[5] 孟祥成. 基于eNSP的防火墻仿真實(shí)驗(yàn)[J]. 實(shí)驗(yàn)室研究與探索,2016(4):95-100.

[6] 魯先志,胡海波. 基于開(kāi)源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)[J]. 實(shí)驗(yàn)技術(shù)與管理,2015(7):120-123，155.

[7] 李 永. 基于Packet Tracer的路由綜合實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)室研究與探索,2015(9):111-114.

[8] 溫賀平,曹文梁,劉 慶. 一種模擬校園網(wǎng)的綜合組網(wǎng)實(shí)驗(yàn)設(shè)計(jì)[J]. 實(shí)驗(yàn)室研究與探索,2017(2):141-144.

[9] 施 游．網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試全程指導(dǎo)[M] ．北京：清華大學(xué)出版社，2009.

[10] 褚建立．中小型網(wǎng)絡(luò)組建[M] ．北京：中國(guó)鐵道出版社，2010．

[11] 李林林. 單機(jī)環(huán)境下路由交換技術(shù)綜合實(shí)驗(yàn)設(shè)計(jì)[J]. 實(shí)驗(yàn)室研究與探索,2015(8):115-118.

[12] 吳 迪,薛政,潘 嶸. 基于XEN云平臺(tái)的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)[J]. 實(shí)驗(yàn)室研究與探索,2013(7):62-66.

[13] 徐功文, 劉文學(xué), 張志軍,等. 基于GNS3模擬器的BGP仿真實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)室科學(xué), 2012, 15(6):108-111.

[14] 楊 敏. 基于Packet Tracer的OSPF仿真實(shí)驗(yàn)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(2):83-84.

[15] 譚 娟,黃 永. 利用gns3+ensp組建高校網(wǎng)絡(luò)仿真實(shí)驗(yàn)室[J]. 硅谷,2013,6(20):154，159.