基于eNSP仿真實(shí)現(xiàn)防火墻NAT配置實(shí)訓(xùn)的教學(xué)設(shè)計(jì)

摘? 要：為了突破網(wǎng)絡(luò)安全配置實(shí)訓(xùn)教學(xué)受限于防火墻物理設(shè)備的限制問題，保證每個(gè)學(xué)生的實(shí)訓(xùn)效果，幫助學(xué)生更好的理解網(wǎng)絡(luò)協(xié)議工作原理及組網(wǎng)方式，文章對(duì)eNSP的仿真功能進(jìn)行研究，通過設(shè)計(jì)一個(gè)防火墻NAT配置實(shí)訓(xùn)，虛擬完成公私網(wǎng)之間的地址轉(zhuǎn)換，實(shí)現(xiàn)私網(wǎng)地址和公網(wǎng)設(shè)備互聯(lián)互通，公網(wǎng)設(shè)備可訪問私網(wǎng)服務(wù)器，為網(wǎng)絡(luò)技術(shù)專業(yè)教師提供新的實(shí)訓(xùn)設(shè)計(jì)思路以提升學(xué)生的實(shí)踐能力和相關(guān)技能。

關(guān)鍵詞：eNSP;虛擬仿真;華為防火墻;NAT配置;教學(xué)實(shí)訓(xùn)

Abstract：In order to break the problem of network security configuration training teaching limited to the limitation of firewall physical equipment，to ensure the effectiveness of each students training，and to help students better understand the working principles of network protocols and networking methods. The article studies the simulation function of eNSP. Through the design of a firewall NAT configuration training，virtual address translation between public and private networks is completed，and private network addresses and public network devices are interconnected. The public network equipment can access private network servers，providing network technology professional teachers with new training design ideas to improve studentspractical ability and related skills.

Keywords：eNSP;virtual simulation;Huawei firewall;NAT configuration;teaching training

0? 引? 言

“計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)”課程是職業(yè)院校計(jì)算機(jī)專業(yè)和通信專業(yè)的核心專業(yè)課程之一，該課程的教學(xué)分為理論教學(xué)和實(shí)訓(xùn)教學(xué)兩個(gè)部分[1]。理論教學(xué)目前已較為成熟，而實(shí)訓(xùn)教學(xué)在以往教學(xué)中受到設(shè)備的限制，學(xué)生需要分組才可以進(jìn)行，小組教學(xué)中各個(gè)同學(xué)的積極性不同，難以保證每個(gè)學(xué)生的實(shí)訓(xùn)效果，也難以很好地幫助學(xué)生理解相關(guān)協(xié)議的工作原理和工作方式[2]。筆者作為一個(gè)專科網(wǎng)絡(luò)專業(yè)新進(jìn)教師，上課過程中經(jīng)常會(huì)遇到理論方面講解沒有問題，但由于實(shí)訓(xùn)條件受限，導(dǎo)致學(xué)生實(shí)訓(xùn)實(shí)踐不足，無法深刻理解理論原理，知識(shí)無法得到實(shí)踐，導(dǎo)致很快忘記。為了解決這些問題，本人借助eNSP仿真軟件去實(shí)現(xiàn)課程中“防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)”實(shí)訓(xùn)，進(jìn)行教學(xué)設(shè)計(jì)的嘗試。eNSP軟件是一款由華為公司提供的免費(fèi)的、可擴(kuò)展的、圖形化操作的網(wǎng)絡(luò)仿真工具平臺(tái)[3]，主要對(duì)企業(yè)網(wǎng)絡(luò)路由器、交換機(jī)防火墻和主機(jī)等物理設(shè)備進(jìn)行模擬仿真，較為真實(shí)地呈現(xiàn)設(shè)備實(shí)景，讓學(xué)生可以在沒有真實(shí)物理設(shè)備的情況下進(jìn)行大量模擬練習(xí)，掌握相關(guān)網(wǎng)絡(luò)技術(shù)的知識(shí)[4]。

1? 實(shí)訓(xùn)原理

地址轉(zhuǎn)換協(xié)議[5]（Network Address Translation，NAT）是用來實(shí)現(xiàn)地址復(fù)用，節(jié)約IPv4地址資源的一種方法，是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)技術(shù)，它的基本原理極為簡單，即配置了NAT的網(wǎng)絡(luò)設(shè)備根據(jù)事先設(shè)置好的NAT規(guī)則，將地址轉(zhuǎn)換為設(shè)置的地址去進(jìn)行網(wǎng)絡(luò)通信。根據(jù)應(yīng)用場景的不同，NAT可以分為以下三類：

（1）源NAT（Source NAT）：用來使多個(gè)私網(wǎng)用戶能夠同時(shí)訪問Internet。

地址池方式：采用地址池中的公網(wǎng)地址為私網(wǎng)用戶進(jìn)行地址轉(zhuǎn)換，適合大量的私網(wǎng)用戶訪問Internet的場景。

出接口地址方式（Esay IP）：內(nèi)網(wǎng)主機(jī)直接借用公網(wǎng)接口的IP地址訪問Internet，特別適用于公網(wǎng)接口IP地址是動(dòng)態(tài)獲取的情況。

（2）服務(wù)器映射：用來使外網(wǎng)用戶能夠訪問私網(wǎng)服務(wù)器。

靜態(tài)映射（NAT Server）：公網(wǎng)地址和私網(wǎng)地址一對(duì)一進(jìn)行映射，用在公網(wǎng)用戶訪問私網(wǎng)內(nèi)部服務(wù)器的場景。

2? 實(shí)訓(xùn)設(shè)計(jì)構(gòu)想

本實(shí)訓(xùn)模擬一家企業(yè)網(wǎng)絡(luò)環(huán)境，公司購買部分公網(wǎng)地址為100.2.2.8/29，技術(shù)部屬于trust區(qū)域通過源NAT出接口方式（Easy IP）進(jìn)行外網(wǎng)訪問，行政部屬于trust區(qū)域通過源NAT地址池的NAPT方式進(jìn)行外網(wǎng)訪問，財(cái)務(wù)部屬于trust區(qū)域通過源NAT地址池的No-PAT方式進(jìn)行外網(wǎng)訪問，另外DMZ區(qū)域中的兩臺(tái)服務(wù)器配置NAT Server發(fā)布，分別提供FTP服務(wù)及Web服務(wù)讓外網(wǎng)可以訪問。外網(wǎng)部分為untrust區(qū)域。拓?fù)鋱D使用eNSP繪制，如圖1所示。

3? 配置規(guī)劃

根據(jù)訪問控制列表實(shí)訓(xùn)拓?fù)鋱D及模擬企業(yè)環(huán)境的需求，完成如表1所示的IP配置規(guī)劃。

4? 實(shí)訓(xùn)實(shí)施過程

4.1? 基本配置

根據(jù)表1的配置規(guī)劃表完成各防火墻和路由器設(shè)備的基本配置，完成基本配置命令。

4.2? 搭建NAT轉(zhuǎn)換網(wǎng)絡(luò)

4.2.1? 出接口方式

在防火墻上搭建PC1訪問外網(wǎng)的相關(guān)安全規(guī)則及NAT轉(zhuǎn)換規(guī)則，配置完成后進(jìn)行結(jié)果驗(yàn)證，使用PC1ping通客戶端，在防火墻上查看路由會(huì)話信息（需要立馬敲打命令，防火墻會(huì)話中icmp的老化時(shí)間為20秒[4]），結(jié)果如圖2所示，可以知道，10.1.1.1的地址以及轉(zhuǎn)換為100.1.1.1去訪問對(duì)端。

4.2.2? NAPT方式

在防火墻上搭建PC2訪問外網(wǎng)的相關(guān)安全規(guī)則及NAT轉(zhuǎn)換規(guī)則，并且為了避免路由環(huán)路，在防火墻上配置轉(zhuǎn)換后的全局地址100.2.2.12/32的黑洞路由，這是因?yàn)槿绻饩W(wǎng)訪問全局地址的話，由于路由器的靜態(tài)地址和防火墻的默認(rèn)路由，會(huì)導(dǎo)致這個(gè)數(shù)據(jù)包一直在防火墻和路由器之間不斷來回傳輸，直到TTL為0才丟棄[4]。

然后PC2ping通客戶端進(jìn)行結(jié)果驗(yàn)證，結(jié)果如圖3所示，通過結(jié)果可以看到10.2.1.1訪問外網(wǎng)會(huì)先轉(zhuǎn)換為100.2.2.12去訪問。

4.2.3? No-PAT方式

在防火墻上搭建PC3訪問外網(wǎng)的相關(guān)安全規(guī)則及NAT轉(zhuǎn)換規(guī)則及黑洞路由，然后通過PC3ping通客戶端進(jìn)行結(jié)果驗(yàn)證，從結(jié)果可以知道，10.3.1.1轉(zhuǎn)換為100.2.2.10和100.2.2.11中的一個(gè)地址去訪問外網(wǎng)，如圖4所示。

4.2.4? NAT Server方式

在防火墻上搭建外網(wǎng)訪問服務(wù)器的相關(guān)安全規(guī)則及NAT Server并開啟FTP協(xié)議的NAT ALG功能。然后通過響應(yīng)客戶端去訪問服務(wù)端，可以看到FTP客戶端可以獲取FTP服務(wù)端的文件，HTTP客戶端可以訪問HTTP服務(wù)器，結(jié)果如圖5所示。

5? 結(jié)? 論

利用eNSP仿真軟件可以完美模擬防火墻NAT轉(zhuǎn)換的實(shí)訓(xùn)，并且輔助內(nèi)置的Wireshark軟件，可以幫助學(xué)生去了解這種轉(zhuǎn)換的協(xié)議，讓學(xué)生對(duì)于理論知識(shí)有更加深刻的理解，同時(shí)也解決了設(shè)備不足的情況下，學(xué)生有充足的實(shí)踐經(jīng)驗(yàn)，學(xué)生在安裝了eNSP仿真軟件后，可以隨時(shí)隨地自主練習(xí)，極大提高學(xué)生的學(xué)習(xí)積極性。eNSP仿真軟件應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)訓(xùn)教學(xué)，可以極大地培養(yǎng)學(xué)生的創(chuàng)新能力和實(shí)踐能力，提升學(xué)生職業(yè)能力和就業(yè)能力。

參考文獻(xiàn)：

[1] 于鑒桐.信息化環(huán)境下的課堂教學(xué)設(shè)計(jì)研究與實(shí)踐——以移動(dòng)室內(nèi)覆蓋工程課程為例 [J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2019，18（4）：38-40.

[2] 李妍.信息化整合背景下《計(jì)算機(jī)網(wǎng)絡(luò)》課程教學(xué)設(shè)計(jì)研究 [J].計(jì)算機(jī)產(chǎn)品與流通，2019（9）：266.

[3] 華為技術(shù)有限公司.HCNA網(wǎng)絡(luò)技術(shù)學(xué)習(xí)指南 [M].北京：人民郵電出版社，2015.

[4] 林金山，林金慧.基于面向創(chuàng)新人才培養(yǎng)的《計(jì)算機(jī)網(wǎng)絡(luò)》課程教學(xué)探討 [J].當(dāng)代教育實(shí)踐與教學(xué)研究，2019（19）：43-44.

[5] 徐慧洋，白杰，盧宏旺.華為防火墻技術(shù)漫談 [M].北京：人民郵電出版社，2015.

作者簡介：余振養(yǎng)（1989—），男，漢族，廣東廉江人，碩士研究生，研究方向：網(wǎng)絡(luò)安全。