基于PacketTracer的網絡安全實驗設計和開發

童孟軍 柯倩倩 何杰

摘 ?要： 利用Packet Tracer網絡模擬器對計算機網絡課程中的實驗進行了相關的設計和開發。Packet Tracer網絡模擬器使得原來進行實驗所需要的成本有所減少，在增強學生動手能力的同時，仿真演示也令原本抽象的理論和概念變得生動起來。文章圍繞計算機網絡課程中的網絡安全知識，有針對性地對防火墻的配置及基本實驗過程進行設計，使學生在實戰中掌握知識。

關鍵詞： PacketTracer; 網絡模擬器; 計算機網絡; 課程實驗

中圖分類號：G642.0 ? ? ? ? ?文獻標識碼：A ? ? 文章編號：1006-8228（2020）03-24-04

Design and development of network Security experiment using Packet Tracer

Tong Mengjun1，2， Ke Qianqian1， He Jie1

（1. School of information engineering of Zhejiang A&F University， Lin'an， Hangzhou 311200， China; 2. Zhejiang A&F University Zhengjiang Provincial Key Laboratory of Forestry Intelligent Monitoring andInformation Technology Research）

Abstract： The experiments of computer network course are designed and developed by using Packet Tracer network simulator. Packet Tracer network simulator reduces the experiment cost needed before. While enhancing the students' practical ability， the simulation demonstration also makes the original abstract theory and concept vivid. Focused on the knowledge of network security in the computer network course， this paper purposefully designs the processes of configuration and basic experiment of firewall， so that students can master the knowledge in the actual combat.

Key words： Packet Tracer; network simulator; computer network; course experiment

0 引言

對于計算機等相關專業來說，計算機網絡可算是一門核心課程。我們在學習計算機網絡的過程中既要著重分析其原理、結構和基本的網絡協議，又要兼顧學生組建、維護網絡等基本技能的培養[1]。因此，計算機網絡實驗課是不可缺少的。

計算機網絡課程中的實驗往往需要各種網絡硬件設備的支持，比如交換機和路由器，然而，這些硬件的版本升級周期較短，同時售價也不低，這也造成了很多高校在實驗硬件上不達標[2]。將Packet Tracer網絡模擬器應用到計算機網絡的實驗教學中，正好可以很好地解決上面所描述的問題，同時也使計算機網絡教學變得更加生動、易懂。

1 Packet Tracer簡介

Packet Tracer是一個為學習網絡技術的人員提供設計、配置網絡等功能的仿真軟件[3]。用戶在可視化界面進行簡單操作即可完成網絡拓撲的構建，同時，運行該軟件可觀察數據包的傳輸、解析過程等，充分了解網絡數據傳輸過程。

Packet Tracer簡單的操作和真實的模擬環境，使學習過程變得便捷[4]。它通過使用一組經過簡化的計算機網絡設備和協議模型，令學習者能夠更好地學習計算機網絡的知識和其中的協議等。

2 Packet Tracer界面

打開Packet Tracer，默認顯示如圖1所示的界面。

3 Packet Tracer活動向導介紹

活動向導（Activity Wizard）是一個評估工具，它可以允許當前用戶為其他用戶創建一個自定義的拓撲環境。該工具可以使教師非常容易地為學生創建一個特定的網絡環境，可以將其理解為一個測試題。當學生在做這個題目的時候，他們可以根據初始網絡和實驗要求來完成題目，同時他們也可以通過評分系統檢查自己的配置與教師設定好的答案網路是否一致。

當我們進入活動向導對話框以后我們可以看到如圖2所示的界面，該界面窗口的左邊有14個按鈕，它們分別具有14種不同的功能[5]。

⑴ 【Welcome】是一個活動向導的歡迎界面，它對活動向導的主要功能進行了簡要的介紹。

⑵ 【Variable Manager】是變量管理器。

⑶ 【Instructions】是活動向導的文字編輯器。

⑷ 【Answer Network】這個按鈕可以打開一個工作區，在這里可以給出該初始網絡拓撲的答案。

⑸ 【Scripting】這個按鈕可以通過 JavaScript 等語法來設計Packet Tracer的新功能。

⑹ 【Initial Network】用來設置初始網絡拓撲。

⑺ 【Password】可以為為活動向導設置密碼。

⑻ 【Test Activity】可以打開Packet Tracer Activity窗口，窗口中顯示我們在【Instructions】里輸入的說明文本，下方設有測試該網絡完成情況的按鈕和重置網絡的按鈕。

⑼ 【Check Activity】測試實驗網絡。

⑽ 【Save】按鈕的功能是將編寫好的題目保存起來，文件的擴展名是.pka。

⑾ 【Save As...】按鈕和【Save】按鈕功能一樣，也是保存為.pka文件。

⑿ 【Save As pkz】按鈕的功能是把題目保存為.pkz文件。

⒀ 【Export As CC】按鈕的功能是導出后綴名為.imscc的文件。

⒁ 【Exit】按鈕的功能是退出活動向導。

4 Packet Tracer實驗設計

本次設計的實驗涵蓋了路由、防火墻等多個方面，基本能滿足計算機網絡課程實驗的基本需要，能幫助有針對性地練習網絡實驗的知識點，還能對學習效果有一個對應的檢測。下面通過幾個典型的實驗案例來說明本次具體的實驗設計。

4.1 ASA5505防火墻的基本配置

實驗設計背景：

ASA5505防火墻能實現對網絡的安全控制，并且支持多種網絡安全協議。防火墻是一種網絡隔離技術，它把內部網絡與Internet網絡通過訪問控制和流量控制等方式隔離開來。防火墻一般用在公司等某些區域的局域網與外部Internet相連的地方，相當于局域網的一個大門，它有控制數據進出的權限[7]，能有效地維護局域網的數據安全。

實驗設計要求：

本次實驗中，在PC0和R0中間有一個ASA5505防火墻，用來控制兩者之間的數據傳輸。我們需要對防火墻內外的網絡做不同的權限處理，使得PC0可以telnet到防火墻上，但R0不能。還需要實現PC0對R0能ping通。

實驗設計拓撲如圖3所示。

4.2 ASA防火墻靜態NAT的配置

實驗設計背景：

網絡地址轉換NAT，它能夠將局域網中的私有地址通過特定的方式轉換為公有地址[8]，達到了隱藏內部主機真實IP的效果。

靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備的訪問。

實驗設計要求：

本實驗中，當PC0訪問外部網絡時，要求不顯示真實的IP地址，而是用公網IP地址代替。這里使用靜態NAT的方式。

實驗設計拓撲如圖4所示。

實驗設計要點：

靜態地址轉換方式，將PC0的IP地址轉換為192.168.2.22。

4.3 ASA5505防火墻inside、outside和dmz之間的通信

實驗設計背景：

在一般的公司或企業中，都會在接入Internet時使用防火墻來提高公司內部網絡的安全性。對于沒有自己服務器的公司，需要在防火墻兩側設置inside和outside區域來進行網絡安全控制，而那些有自己服務器的公司一般還會設置一個dmz區域，稱為非軍事區，在這里主要放置需要在外網訪問的服務器，如WWW服務器等。這樣，其他人也可以通過公網來訪問該公司的網站等信息。

實驗設計要求：

一公司內部使用了ASA防火墻來隔離外部網絡和公司內部網絡。公司員工所在網段為192.168.1.0/24，并配置服務器所在網段dmz區域為172.16.1.0/24。需要實現內部主機可以訪問dmz區域中服務器，內部主機可以ping通外部網絡的路由器，外部網絡不能ping通內部網絡主機但可以訪問dmz區域中的WWW服務器和FTP服務器。

實驗設計拓撲如圖5所示。

實驗設計要點：

在防火墻配置靜態路由，注意應是三個方向，而默認路由要配置在連接Internet的接口上，同時要注意以下幾點。

① 在防火墻上配置多于兩個VLAN時，要使用no forward interface Vlan VLAN_AME來設置不通過某VLAN轉發流量，其實 ASA5505最多只能配置三條VLAN。

② 在防火墻上配置默認靜態路由要的下一跳要在outside中，使用“route outside 0.0.0.0 0.0.0.0IP地址”命令。

③ 在做訪問控制列表的時候一定要注意是用在哪個接口的in/out的哪個方向上。

④ 在使用到不同網段或主機時最好先使用object network來定義它的名字。

⑤ 服務器應使用靜態地址轉換，以便于外網對它的特定訪問。

⑥ 使用show xlate來查看NAT轉化信息。

4.4 綜合實驗設計

實驗設計背景：

結合多個知識點，考查學生綜合處理網絡情況的能力。

實驗設計要求：

① 熟練掌握各種網絡設備IP、網關和 DNS服務器的配置。

② 利用防火墻實現訪問控制策略。

③ 學會常用服務的配置，比如DNS，WWW，FTP等。

④ 熟練運用OSPF路由協議來解決網絡通信問題。

⑤ 在交換機上進行VTP的配置，并創建劃分VLAN。

⑥ 在交換機上配置STP來防止交換機環路。

⑦利用路由器實現VLAN間通信。

⑧ 使用HSPR協議提高鏈路的可靠性。

⑨ 使用防火墻的NAT實現地址轉換。

⑩ 在路由器上配置遠程登錄VTY口令。

[11] 配置無線路由器和筆記本，并使它們可以訪問WWW服務器。

實驗設計拓撲如圖6所示。

實驗設計要點：

該綜合實驗實際運用了計算機網絡課程中學到的大部分知識，有流量控制、地址轉換、VLAN間通信等技術，完成實驗有一定的難度。從最終的實現效果來看，基本模擬了一個大型的網絡架構，以及對冗余鏈路及穩定可靠性的實現。

5 實驗設計說明

5.1 實驗設計內容

本次實驗設計可實現兩個功能：其一可供學生練習，實驗提供詳細的指導步驟和配置命令，并配有大部分的文字說明，方便學生自主學習，查漏補缺;其二可供教師對學生測試評估，方便教師了解學生的學習情況，進而有針對性地講解學習的內容[9]。

5.2 實驗設計特點分析

利用Packet Tracer設計計算機網絡實驗有一定的局限性，因為它只能模擬Cisco設備，而且有部分命令還不能很好地支持。除此之外基本可以滿足學生學習的要求，而且當網絡出現故障的時候，Packet Tracer可表現出強大的排錯能力，這是因為它的仿真模式可以通過觀察數據包的轉發過程，來一步步地判斷問題出現的位置以及產生的原因。Packet Tracer的優勢還在于它的活動向導功能，對于考察學生的學習情況有很好的效果。總的來說，Packet Tracer還是比較適合教學中使用的。

6 結束語

本次設計將Cisco Packet Tracer網絡模擬器引入計算機網路課程實驗中，利用Packet Tracer作為教學工具進行網絡安全課程實踐教學。不僅減少了實驗投資成本，培養了學生的動手能力和創造能力，同時也通過仿真演示使抽象的基礎理論和基本概念變得通俗易懂，彌補了實驗內容不足等問題。此系統也可結合多個知識點，同時設置多個測試項目，方便教師檢閱。

參考文獻（References）：

[1] 謝希仁.計算機網絡（第6版）[M].電子工業出版社，2013.

[2] 薛琴.基于packet tracer的計算機網絡仿真實驗教學[J].實驗室研究與探索，2010.29（2）：57-59

[3] 王明雄.虛擬軟件在高職計算機網絡教學中的應用——以Packet Tracer 為例[J].價值工程，2011.30（27）：115-116

[4] 劉艷軍，杜穎，李曉會.Cisco Packet Tracer在計算機網絡教學中的應用研究[J].無線互聯科技，2019.16（12）：132-134

[5] 石艷，吳東，梁莉.Packet Tracer在計算機網絡教學中的應用[J].教育現代化，2019，6（44）：122-124，133

[6] Janitor J， Jakab F， Kniewald K. Visual learning tools forteaching/learning computer networks：Cisco networking academy and packet tracer[C]//2010 Sixth International Conference on Networking and Services. IEEE，2010：351-355

[7] Dong Z L Y. LAN Interconnection Based Packet Tracer[J].Science Mosaic，2011：5

[8] 王長明，孟凡英.淺談計算機網絡安全及防范技術[J]. 科技信息，2011.22：241

[9] 陳建強.基于Packet Tracer的中職“計算機網絡”課程研究性學習設計[J].電腦知識與技術，2019.15（6）：123-125