基于PacketTracer的網(wǎng)絡安全實驗設計和開發(fā)

童孟軍 柯倩倩 何杰

摘 ?要： 利用Packet Tracer網(wǎng)絡模擬器對計算機網(wǎng)絡課程中的實驗進行了相關的設計和開發(fā)。Packet Tracer網(wǎng)絡模擬器使得原來進行實驗所需要的成本有所減少，在增強學生動手能力的同時，仿真演示也令原本抽象的理論和概念變得生動起來。文章圍繞計算機網(wǎng)絡課程中的網(wǎng)絡安全知識，有針對性地對防火墻的配置及基本實驗過程進行設計，使學生在實戰(zhàn)中掌握知識。

關鍵詞： PacketTracer; 網(wǎng)絡模擬器; 計算機網(wǎng)絡; 課程實驗

中圖分類號：G642.0 ? ? ? ? ?文獻標識碼：A ? ? 文章編號：1006-8228（2020）03-24-04

Design and development of network Security experiment using Packet Tracer

Tong Mengjun1，2， Ke Qianqian1， He Jie1

（1. School of information engineering of Zhejiang A&F University， Lin'an， Hangzhou 311200， China; 2. Zhejiang A&F University Zhengjiang Provincial Key Laboratory of Forestry Intelligent Monitoring andInformation Technology Research）

Abstract： The experiments of computer network course are designed and developed by using Packet Tracer network simulator. Packet Tracer network simulator reduces the experiment cost needed before. While enhancing the students' practical ability， the simulation demonstration also makes the original abstract theory and concept vivid. Focused on the knowledge of network security in the computer network course， this paper purposefully designs the processes of configuration and basic experiment of firewall， so that students can master the knowledge in the actual combat.

Key words： Packet Tracer; network simulator; computer network; course experiment

0 引言

對于計算機等相關專業(yè)來說，計算機網(wǎng)絡可算是一門核心課程。我們在學習計算機網(wǎng)絡的過程中既要著重分析其原理、結(jié)構(gòu)和基本的網(wǎng)絡協(xié)議，又要兼顧學生組建、維護網(wǎng)絡等基本技能的培養(yǎng)[1]。因此，計算機網(wǎng)絡實驗課是不可缺少的。

計算機網(wǎng)絡課程中的實驗往往需要各種網(wǎng)絡硬件設備的支持，比如交換機和路由器，然而，這些硬件的版本升級周期較短，同時售價也不低，這也造成了很多高校在實驗硬件上不達標[2]。將Packet Tracer網(wǎng)絡模擬器應用到計算機網(wǎng)絡的實驗教學中，正好可以很好地解決上面所描述的問題，同時也使計算機網(wǎng)絡教學變得更加生動、易懂。

1 Packet Tracer簡介

Packet Tracer是一個為學習網(wǎng)絡技術(shù)的人員提供設計、配置網(wǎng)絡等功能的仿真軟件[3]。用戶在可視化界面進行簡單操作即可完成網(wǎng)絡拓撲的構(gòu)建，同時，運行該軟件可觀察數(shù)據(jù)包的傳輸、解析過程等，充分了解網(wǎng)絡數(shù)據(jù)傳輸過程。

Packet Tracer簡單的操作和真實的模擬環(huán)境，使學習過程變得便捷[4]。它通過使用一組經(jīng)過簡化的計算機網(wǎng)絡設備和協(xié)議模型，令學習者能夠更好地學習計算機網(wǎng)絡的知識和其中的協(xié)議等。

2 Packet Tracer界面

打開Packet Tracer，默認顯示如圖1所示的界面。

3 Packet Tracer活動向?qū)Ы榻B

活動向?qū)Вˋctivity Wizard）是一個評估工具，它可以允許當前用戶為其他用戶創(chuàng)建一個自定義的拓撲環(huán)境。該工具可以使教師非常容易地為學生創(chuàng)建一個特定的網(wǎng)絡環(huán)境，可以將其理解為一個測試題。當學生在做這個題目的時候，他們可以根據(jù)初始網(wǎng)絡和實驗要求來完成題目，同時他們也可以通過評分系統(tǒng)檢查自己的配置與教師設定好的答案網(wǎng)路是否一致。

當我們進入活動向?qū)υ捒蛞院笪覀兛梢钥吹饺鐖D2所示的界面，該界面窗口的左邊有14個按鈕，它們分別具有14種不同的功能[5]。

⑴ 【W(wǎng)elcome】是一個活動向?qū)У臍g迎界面，它對活動向?qū)У闹饕δ苓M行了簡要的介紹。

⑵ 【Variable Manager】是變量管理器。

⑶ 【Instructions】是活動向?qū)У奈淖志庉嬈鳌?/p>

⑷ 【Answer Network】這個按鈕可以打開一個工作區(qū)，在這里可以給出該初始網(wǎng)絡拓撲的答案。

⑸ 【Scripting】這個按鈕可以通過 JavaScript 等語法來設計Packet Tracer的新功能。

⑹ 【Initial Network】用來設置初始網(wǎng)絡拓撲。

⑺ 【Password】可以為為活動向?qū)гO置密碼。

⑻ 【Test Activity】可以打開Packet Tracer Activity窗口，窗口中顯示我們在【Instructions】里輸入的說明文本，下方設有測試該網(wǎng)絡完成情況的按鈕和重置網(wǎng)絡的按鈕。

⑼ 【Check Activity】測試實驗網(wǎng)絡。

⑽ 【Save】按鈕的功能是將編寫好的題目保存起來，文件的擴展名是.pka。

⑾ 【Save As...】按鈕和【Save】按鈕功能一樣，也是保存為.pka文件。

⑿ 【Save As pkz】按鈕的功能是把題目保存為.pkz文件。

⒀ 【Export As CC】按鈕的功能是導出后綴名為.imscc的文件。

⒁ 【Exit】按鈕的功能是退出活動向?qū)А?/p>

4 Packet Tracer實驗設計

本次設計的實驗涵蓋了路由、防火墻等多個方面，基本能滿足計算機網(wǎng)絡課程實驗的基本需要，能幫助有針對性地練習網(wǎng)絡實驗的知識點，還能對學習效果有一個對應的檢測。下面通過幾個典型的實驗案例來說明本次具體的實驗設計。

4.1 ASA5505防火墻的基本配置

實驗設計背景：

ASA5505防火墻能實現(xiàn)對網(wǎng)絡的安全控制，并且支持多種網(wǎng)絡安全協(xié)議。防火墻是一種網(wǎng)絡隔離技術(shù)，它把內(nèi)部網(wǎng)絡與Internet網(wǎng)絡通過訪問控制和流量控制等方式隔離開來。防火墻一般用在公司等某些區(qū)域的局域網(wǎng)與外部Internet相連的地方，相當于局域網(wǎng)的一個大門，它有控制數(shù)據(jù)進出的權(quán)限[7]，能有效地維護局域網(wǎng)的數(shù)據(jù)安全。

實驗設計要求：

本次實驗中，在PC0和R0中間有一個ASA5505防火墻，用來控制兩者之間的數(shù)據(jù)傳輸。我們需要對防火墻內(nèi)外的網(wǎng)絡做不同的權(quán)限處理，使得PC0可以telnet到防火墻上，但R0不能。還需要實現(xiàn)PC0對R0能ping通。

實驗設計拓撲如圖3所示。

4.2 ASA防火墻靜態(tài)NAT的配置

實驗設計背景：

網(wǎng)絡地址轉(zhuǎn)換NAT，它能夠?qū)⒕钟蚓W(wǎng)中的私有地址通過特定的方式轉(zhuǎn)換為公有地址[8]，達到了隱藏內(nèi)部主機真實IP的效果。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備的訪問。

實驗設計要求：

本實驗中，當PC0訪問外部網(wǎng)絡時，要求不顯示真實的IP地址，而是用公網(wǎng)IP地址代替。這里使用靜態(tài)NAT的方式。

實驗設計拓撲如圖4所示。

實驗設計要點：

靜態(tài)地址轉(zhuǎn)換方式，將PC0的IP地址轉(zhuǎn)換為192.168.2.22。

4.3 ASA5505防火墻inside、outside和dmz之間的通信

實驗設計背景：

在一般的公司或企業(yè)中，都會在接入Internet時使用防火墻來提高公司內(nèi)部網(wǎng)絡的安全性。對于沒有自己服務器的公司，需要在防火墻兩側(cè)設置inside和outside區(qū)域來進行網(wǎng)絡安全控制，而那些有自己服務器的公司一般還會設置一個dmz區(qū)域，稱為非軍事區(qū)，在這里主要放置需要在外網(wǎng)訪問的服務器，如WWW服務器等。這樣，其他人也可以通過公網(wǎng)來訪問該公司的網(wǎng)站等信息。

實驗設計要求：

一公司內(nèi)部使用了ASA防火墻來隔離外部網(wǎng)絡和公司內(nèi)部網(wǎng)絡。公司員工所在網(wǎng)段為192.168.1.0/24，并配置服務器所在網(wǎng)段dmz區(qū)域為172.16.1.0/24。需要實現(xiàn)內(nèi)部主機可以訪問dmz區(qū)域中服務器，內(nèi)部主機可以ping通外部網(wǎng)絡的路由器，外部網(wǎng)絡不能ping通內(nèi)部網(wǎng)絡主機但可以訪問dmz區(qū)域中的WWW服務器和FTP服務器。

實驗設計拓撲如圖5所示。

實驗設計要點：

在防火墻配置靜態(tài)路由，注意應是三個方向，而默認路由要配置在連接Internet的接口上，同時要注意以下幾點。

① 在防火墻上配置多于兩個VLAN時，要使用no forward interface Vlan VLAN_AME來設置不通過某VLAN轉(zhuǎn)發(fā)流量，其實 ASA5505最多只能配置三條VLAN。

② 在防火墻上配置默認靜態(tài)路由要的下一跳要在outside中，使用“route outside 0.0.0.0 0.0.0.0IP地址”命令。

③ 在做訪問控制列表的時候一定要注意是用在哪個接口的in/out的哪個方向上。

④ 在使用到不同網(wǎng)段或主機時最好先使用object network來定義它的名字。

⑤ 服務器應使用靜態(tài)地址轉(zhuǎn)換，以便于外網(wǎng)對它的特定訪問。

⑥ 使用show xlate來查看NAT轉(zhuǎn)化信息。

4.4 綜合實驗設計

實驗設計背景：

結(jié)合多個知識點，考查學生綜合處理網(wǎng)絡情況的能力。

實驗設計要求：

① 熟練掌握各種網(wǎng)絡設備IP、網(wǎng)關和 DNS服務器的配置。

② 利用防火墻實現(xiàn)訪問控制策略。

③ 學會常用服務的配置，比如DNS，WWW，F(xiàn)TP等。

④ 熟練運用OSPF路由協(xié)議來解決網(wǎng)絡通信問題。

⑤ 在交換機上進行VTP的配置，并創(chuàng)建劃分VLAN。

⑥ 在交換機上配置STP來防止交換機環(huán)路。

⑦利用路由器實現(xiàn)VLAN間通信。

⑧ 使用HSPR協(xié)議提高鏈路的可靠性。

⑨ 使用防火墻的NAT實現(xiàn)地址轉(zhuǎn)換。

⑩ 在路由器上配置遠程登錄VTY口令。

[11] 配置無線路由器和筆記本，并使它們可以訪問WWW服務器。

實驗設計拓撲如圖6所示。

實驗設計要點：

該綜合實驗實際運用了計算機網(wǎng)絡課程中學到的大部分知識，有流量控制、地址轉(zhuǎn)換、VLAN間通信等技術(shù)，完成實驗有一定的難度。從最終的實現(xiàn)效果來看，基本模擬了一個大型的網(wǎng)絡架構(gòu)，以及對冗余鏈路及穩(wěn)定可靠性的實現(xiàn)。

5 實驗設計說明

5.1 實驗設計內(nèi)容

本次實驗設計可實現(xiàn)兩個功能：其一可供學生練習，實驗提供詳細的指導步驟和配置命令，并配有大部分的文字說明，方便學生自主學習，查漏補缺;其二可供教師對學生測試評估，方便教師了解學生的學習情況，進而有針對性地講解學習的內(nèi)容[9]。

5.2 實驗設計特點分析

利用Packet Tracer設計計算機網(wǎng)絡實驗有一定的局限性，因為它只能模擬Cisco設備，而且有部分命令還不能很好地支持。除此之外基本可以滿足學生學習的要求，而且當網(wǎng)絡出現(xiàn)故障的時候，Packet Tracer可表現(xiàn)出強大的排錯能力，這是因為它的仿真模式可以通過觀察數(shù)據(jù)包的轉(zhuǎn)發(fā)過程，來一步步地判斷問題出現(xiàn)的位置以及產(chǎn)生的原因。Packet Tracer的優(yōu)勢還在于它的活動向?qū)Чδ埽瑢τ诳疾鞂W生的學習情況有很好的效果?？偟膩碚f，Packet Tracer還是比較適合教學中使用的。

6 結(jié)束語

本次設計將Cisco Packet Tracer網(wǎng)絡模擬器引入計算機網(wǎng)路課程實驗中，利用Packet Tracer作為教學工具進行網(wǎng)絡安全課程實踐教學。不僅減少了實驗投資成本，培養(yǎng)了學生的動手能力和創(chuàng)造能力，同時也通過仿真演示使抽象的基礎理論和基本概念變得通俗易懂，彌補了實驗內(nèi)容不足等問題。此系統(tǒng)也可結(jié)合多個知識點，同時設置多個測試項目，方便教師檢閱。

參考文獻（References）：

[1] 謝希仁.計算機網(wǎng)絡（第6版）[M].電子工業(yè)出版社，2013.

[2] 薛琴.基于packet tracer的計算機網(wǎng)絡仿真實驗教學[J].實驗室研究與探索，2010.29（2）：57-59

[3] 王明雄.虛擬軟件在高職計算機網(wǎng)絡教學中的應用——以Packet Tracer 為例[J].價值工程，2011.30（27）：115-116

[4] 劉艷軍，杜穎，李曉會.Cisco Packet Tracer在計算機網(wǎng)絡教學中的應用研究[J].無線互聯(lián)科技，2019.16（12）：132-134

[5] 石艷，吳東，梁莉.Packet Tracer在計算機網(wǎng)絡教學中的應用[J].教育現(xiàn)代化，2019，6（44）：122-124，133

[6] Janitor J， Jakab F， Kniewald K. Visual learning tools forteaching/learning computer networks：Cisco networking academy and packet tracer[C]//2010 Sixth International Conference on Networking and Services. IEEE，2010：351-355

[7] Dong Z L Y. LAN Interconnection Based Packet Tracer[J].Science Mosaic，2011：5

[8] 王長明，孟凡英.淺談計算機網(wǎng)絡安全及防范技術(shù)[J]. 科技信息，2011.22：241

[9] 陳建強.基于Packet Tracer的中職“計算機網(wǎng)絡”課程研究性學習設計[J].電腦知識與技術(shù)，2019.15（6）：123-125