童孟軍 柯倩倩 何杰

摘 ?要： 利用Packet Tracer網(wǎng)絡(luò)模擬器對(duì)計(jì)算機(jī)網(wǎng)絡(luò)課程中的實(shí)驗(yàn)進(jìn)行了相關(guān)的設(shè)計(jì)和開發(fā)。Packet Tracer網(wǎng)絡(luò)模擬器使得原來進(jìn)行實(shí)驗(yàn)所需要的成本有所減少，在增強(qiáng)學(xué)生動(dòng)手能力的同時(shí)，仿真演示也令原本抽象的理論和概念變得生動(dòng)起來。文章圍繞計(jì)算機(jī)網(wǎng)絡(luò)課程中的網(wǎng)絡(luò)安全知識(shí)，有針對(duì)性地對(duì)防火墻的配置及基本實(shí)驗(yàn)過程進(jìn)行設(shè)計(jì)，使學(xué)生在實(shí)戰(zhàn)中掌握知識(shí)。

關(guān)鍵詞： PacketTracer; 網(wǎng)絡(luò)模擬器; 計(jì)算機(jī)網(wǎng)絡(luò); 課程實(shí)驗(yàn)

中圖分類號(hào)：G642.0 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? 文章編號(hào)：1006-8228（2020）03-24-04

Design and development of network Security experiment using Packet Tracer

Tong Mengjun1，2， Ke Qianqian1， He Jie1

（1. School of information engineering of Zhejiang A&F University， Lin'an， Hangzhou 311200， China; 2. Zhejiang A&F University Zhengjiang Provincial Key Laboratory of Forestry Intelligent Monitoring andInformation Technology Research）

Abstract： The experiments of computer network course are designed and developed by using Packet Tracer network simulator. Packet Tracer network simulator reduces the experiment cost needed before. While enhancing the students' practical ability， the simulation demonstration also makes the original abstract theory and concept vivid. Focused on the knowledge of network security in the computer network course， this paper purposefully designs the processes of configuration and basic experiment of firewall， so that students can master the knowledge in the actual combat.

Key words： Packet Tracer; network simulator; computer network; course experiment

0 引言

對(duì)于計(jì)算機(jī)等相關(guān)專業(yè)來說，計(jì)算機(jī)網(wǎng)絡(luò)可算是一門核心課程。我們?cè)趯W(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)的過程中既要著重分析其原理、結(jié)構(gòu)和基本的網(wǎng)絡(luò)協(xié)議，又要兼顧學(xué)生組建、維護(hù)網(wǎng)絡(luò)等基本技能的培養(yǎng)[1]。因此，計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)課是不可缺少的。

計(jì)算機(jī)網(wǎng)絡(luò)課程中的實(shí)驗(yàn)往往需要各種網(wǎng)絡(luò)硬件設(shè)備的支持，比如交換機(jī)和路由器，然而，這些硬件的版本升級(jí)周期較短，同時(shí)售價(jià)也不低，這也造成了很多高校在實(shí)驗(yàn)硬件上不達(dá)標(biāo)[2]。將Packet Tracer網(wǎng)絡(luò)模擬器應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)驗(yàn)教學(xué)中，正好可以很好地解決上面所描述的問題，同時(shí)也使計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)變得更加生動(dòng)、易懂。

1 Packet Tracer簡(jiǎn)介

Packet Tracer是一個(gè)為學(xué)習(xí)網(wǎng)絡(luò)技術(shù)的人員提供設(shè)計(jì)、配置網(wǎng)絡(luò)等功能的仿真軟件[3]。用戶在可視化界面進(jìn)行簡(jiǎn)單操作即可完成網(wǎng)絡(luò)拓?fù)涞臉?gòu)建，同時(shí)，運(yùn)行該軟件可觀察數(shù)據(jù)包的傳輸、解析過程等，充分了解網(wǎng)絡(luò)數(shù)據(jù)傳輸過程。

Packet Tracer簡(jiǎn)單的操作和真實(shí)的模擬環(huán)境，使學(xué)習(xí)過程變得便捷[4]。它通過使用一組經(jīng)過簡(jiǎn)化的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和協(xié)議模型，令學(xué)習(xí)者能夠更好地學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)的知識(shí)和其中的協(xié)議等。

2 Packet Tracer界面

打開Packet Tracer，默認(rèn)顯示如圖1所示的界面。

3 Packet Tracer活動(dòng)向?qū)Ы榻B

活動(dòng)向?qū)Вˋctivity Wizard）是一個(gè)評(píng)估工具，它可以允許當(dāng)前用戶為其他用戶創(chuàng)建一個(gè)自定義的拓?fù)洵h(huán)境。該工具可以使教師非常容易地為學(xué)生創(chuàng)建一個(gè)特定的網(wǎng)絡(luò)環(huán)境，可以將其理解為一個(gè)測(cè)試題。當(dāng)學(xué)生在做這個(gè)題目的時(shí)候，他們可以根據(jù)初始網(wǎng)絡(luò)和實(shí)驗(yàn)要求來完成題目，同時(shí)他們也可以通過評(píng)分系統(tǒng)檢查自己的配置與教師設(shè)定好的答案網(wǎng)路是否一致。

當(dāng)我們進(jìn)入活動(dòng)向?qū)?duì)話框以后我們可以看到如圖2所示的界面，該界面窗口的左邊有14個(gè)按鈕，它們分別具有14種不同的功能[5]。

⑴ 【W(wǎng)elcome】是一個(gè)活動(dòng)向?qū)У臍g迎界面，它對(duì)活動(dòng)向?qū)У闹饕δ苓M(jìn)行了簡(jiǎn)要的介紹。

⑵ 【Variable Manager】是變量管理器。

⑶ 【Instructions】是活動(dòng)向?qū)У奈淖志庉嬈鳌?/p>

⑷ 【Answer Network】這個(gè)按鈕可以打開一個(gè)工作區(qū)，在這里可以給出該初始網(wǎng)絡(luò)拓?fù)涞拇鸢浮?/p>

⑸ 【Scripting】這個(gè)按鈕可以通過 JavaScript 等語法來設(shè)計(jì)Packet Tracer的新功能。

⑹ 【Initial Network】用來設(shè)置初始網(wǎng)絡(luò)拓?fù)洹?/p>

⑺ 【Password】可以為為活動(dòng)向?qū)гO(shè)置密碼。

⑻ 【Test Activity】可以打開Packet Tracer Activity窗口，窗口中顯示我們?cè)凇綢nstructions】里輸入的說明文本，下方設(shè)有測(cè)試該網(wǎng)絡(luò)完成情況的按鈕和重置網(wǎng)絡(luò)的按鈕。

⑼ 【Check Activity】測(cè)試實(shí)驗(yàn)網(wǎng)絡(luò)。

⑽ 【Save】按鈕的功能是將編寫好的題目保存起來，文件的擴(kuò)展名是.pka。

⑾ 【Save As...】按鈕和【Save】按鈕功能一樣，也是保存為.pka文件。

⑿ 【Save As pkz】按鈕的功能是把題目保存為.pkz文件。

⒀ 【Export As CC】按鈕的功能是導(dǎo)出后綴名為.imscc的文件。

⒁ 【Exit】按鈕的功能是退出活動(dòng)向?qū)А?/p>

4 Packet Tracer實(shí)驗(yàn)設(shè)計(jì)

本次設(shè)計(jì)的實(shí)驗(yàn)涵蓋了路由、防火墻等多個(gè)方面，基本能滿足計(jì)算機(jī)網(wǎng)絡(luò)課程實(shí)驗(yàn)的基本需要，能幫助有針對(duì)性地練習(xí)網(wǎng)絡(luò)實(shí)驗(yàn)的知識(shí)點(diǎn)，還能對(duì)學(xué)習(xí)效果有一個(gè)對(duì)應(yīng)的檢測(cè)。下面通過幾個(gè)典型的實(shí)驗(yàn)案例來說明本次具體的實(shí)驗(yàn)設(shè)計(jì)。

4.1 ASA5505防火墻的基本配置

實(shí)驗(yàn)設(shè)計(jì)背景：

ASA5505防火墻能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全控制，并且支持多種網(wǎng)絡(luò)安全協(xié)議。防火墻是一種網(wǎng)絡(luò)隔離技術(shù)，它把內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)通過訪問控制和流量控制等方式隔離開來。防火墻一般用在公司等某些區(qū)域的局域網(wǎng)與外部Internet相連的地方，相當(dāng)于局域網(wǎng)的一個(gè)大門，它有控制數(shù)據(jù)進(jìn)出的權(quán)限[7]，能有效地維護(hù)局域網(wǎng)的數(shù)據(jù)安全。

實(shí)驗(yàn)設(shè)計(jì)要求：

本次實(shí)驗(yàn)中，在PC0和R0中間有一個(gè)ASA5505防火墻，用來控制兩者之間的數(shù)據(jù)傳輸。我們需要對(duì)防火墻內(nèi)外的網(wǎng)絡(luò)做不同的權(quán)限處理，使得PC0可以telnet到防火墻上，但R0不能。還需要實(shí)現(xiàn)PC0對(duì)R0能ping通。

實(shí)驗(yàn)設(shè)計(jì)拓?fù)淙鐖D3所示。

4.2 ASA防火墻靜態(tài)NAT的配置

實(shí)驗(yàn)設(shè)計(jì)背景：

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT，它能夠?qū)⒕钟蚓W(wǎng)中的私有地址通過特定的方式轉(zhuǎn)換為公有地址[8]，達(dá)到了隱藏內(nèi)部主機(jī)真實(shí)IP的效果。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備的訪問。

實(shí)驗(yàn)設(shè)計(jì)要求：

本實(shí)驗(yàn)中，當(dāng)PC0訪問外部網(wǎng)絡(luò)時(shí)，要求不顯示真實(shí)的IP地址，而是用公網(wǎng)IP地址代替。這里使用靜態(tài)NAT的方式。

實(shí)驗(yàn)設(shè)計(jì)拓?fù)淙鐖D4所示。

實(shí)驗(yàn)設(shè)計(jì)要點(diǎn)：

靜態(tài)地址轉(zhuǎn)換方式，將PC0的IP地址轉(zhuǎn)換為192.168.2.22。

4.3 ASA5505防火墻inside、outside和dmz之間的通信

實(shí)驗(yàn)設(shè)計(jì)背景：

在一般的公司或企業(yè)中，都會(huì)在接入Internet時(shí)使用防火墻來提高公司內(nèi)部網(wǎng)絡(luò)的安全性。對(duì)于沒有自己服務(wù)器的公司，需要在防火墻兩側(cè)設(shè)置inside和outside區(qū)域來進(jìn)行網(wǎng)絡(luò)安全控制，而那些有自己服務(wù)器的公司一般還會(huì)設(shè)置一個(gè)dmz區(qū)域，稱為非軍事區(qū)，在這里主要放置需要在外網(wǎng)訪問的服務(wù)器，如WWW服務(wù)器等。這樣，其他人也可以通過公網(wǎng)來訪問該公司的網(wǎng)站等信息。

實(shí)驗(yàn)設(shè)計(jì)要求：

一公司內(nèi)部使用了ASA防火墻來隔離外部網(wǎng)絡(luò)和公司內(nèi)部網(wǎng)絡(luò)。公司員工所在網(wǎng)段為192.168.1.0/24，并配置服務(wù)器所在網(wǎng)段dmz區(qū)域?yàn)?72.16.1.0/24。需要實(shí)現(xiàn)內(nèi)部主機(jī)可以訪問dmz區(qū)域中服務(wù)器，內(nèi)部主機(jī)可以ping通外部網(wǎng)絡(luò)的路由器，外部網(wǎng)絡(luò)不能ping通內(nèi)部網(wǎng)絡(luò)主機(jī)但可以訪問dmz區(qū)域中的WWW服務(wù)器和FTP服務(wù)器。

實(shí)驗(yàn)設(shè)計(jì)拓?fù)淙鐖D5所示。

實(shí)驗(yàn)設(shè)計(jì)要點(diǎn)：

在防火墻配置靜態(tài)路由，注意應(yīng)是三個(gè)方向，而默認(rèn)路由要配置在連接Internet的接口上，同時(shí)要注意以下幾點(diǎn)。

① 在防火墻上配置多于兩個(gè)VLAN時(shí)，要使用no forward interface Vlan VLAN_AME來設(shè)置不通過某VLAN轉(zhuǎn)發(fā)流量，其實(shí) ASA5505最多只能配置三條VLAN。

② 在防火墻上配置默認(rèn)靜態(tài)路由要的下一跳要在outside中，使用“route outside 0.0.0.0 0.0.0.0IP地址”命令。

③ 在做訪問控制列表的時(shí)候一定要注意是用在哪個(gè)接口的in/out的哪個(gè)方向上。

④ 在使用到不同網(wǎng)段或主機(jī)時(shí)最好先使用object network來定義它的名字。

⑤ 服務(wù)器應(yīng)使用靜態(tài)地址轉(zhuǎn)換，以便于外網(wǎng)對(duì)它的特定訪問。

⑥ 使用show xlate來查看NAT轉(zhuǎn)化信息。

4.4 綜合實(shí)驗(yàn)設(shè)計(jì)

實(shí)驗(yàn)設(shè)計(jì)背景：

結(jié)合多個(gè)知識(shí)點(diǎn)，考查學(xué)生綜合處理網(wǎng)絡(luò)情況的能力。

實(shí)驗(yàn)設(shè)計(jì)要求：

① 熟練掌握各種網(wǎng)絡(luò)設(shè)備IP、網(wǎng)關(guān)和 DNS服務(wù)器的配置。

② 利用防火墻實(shí)現(xiàn)訪問控制策略。

③ 學(xué)會(huì)常用服務(wù)的配置，比如DNS，WWW，F(xiàn)TP等。

④ 熟練運(yùn)用OSPF路由協(xié)議來解決網(wǎng)絡(luò)通信問題。

⑤ 在交換機(jī)上進(jìn)行VTP的配置，并創(chuàng)建劃分VLAN。

⑥ 在交換機(jī)上配置STP來防止交換機(jī)環(huán)路。

⑦利用路由器實(shí)現(xiàn)VLAN間通信。

⑧ 使用HSPR協(xié)議提高鏈路的可靠性。

⑨ 使用防火墻的NAT實(shí)現(xiàn)地址轉(zhuǎn)換。

⑩ 在路由器上配置遠(yuǎn)程登錄VTY口令。

[11] 配置無線路由器和筆記本，并使它們可以訪問WWW服務(wù)器。

實(shí)驗(yàn)設(shè)計(jì)拓?fù)淙鐖D6所示。

實(shí)驗(yàn)設(shè)計(jì)要點(diǎn)：

該綜合實(shí)驗(yàn)實(shí)際運(yùn)用了計(jì)算機(jī)網(wǎng)絡(luò)課程中學(xué)到的大部分知識(shí)，有流量控制、地址轉(zhuǎn)換、VLAN間通信等技術(shù)，完成實(shí)驗(yàn)有一定的難度。從最終的實(shí)現(xiàn)效果來看，基本模擬了一個(gè)大型的網(wǎng)絡(luò)架構(gòu)，以及對(duì)冗余鏈路及穩(wěn)定可靠性的實(shí)現(xiàn)。

5 實(shí)驗(yàn)設(shè)計(jì)說明

5.1 實(shí)驗(yàn)設(shè)計(jì)內(nèi)容

本次實(shí)驗(yàn)設(shè)計(jì)可實(shí)現(xiàn)兩個(gè)功能：其一可供學(xué)生練習(xí)，實(shí)驗(yàn)提供詳細(xì)的指導(dǎo)步驟和配置命令，并配有大部分的文字說明，方便學(xué)生自主學(xué)習(xí)，查漏補(bǔ)缺;其二可供教師對(duì)學(xué)生測(cè)試評(píng)估，方便教師了解學(xué)生的學(xué)習(xí)情況，進(jìn)而有針對(duì)性地講解學(xué)習(xí)的內(nèi)容[9]。

5.2 實(shí)驗(yàn)設(shè)計(jì)特點(diǎn)分析

利用Packet Tracer設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)有一定的局限性，因?yàn)樗荒苣MCisco設(shè)備，而且有部分命令還不能很好地支持。除此之外基本可以滿足學(xué)生學(xué)習(xí)的要求，而且當(dāng)網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候，Packet Tracer可表現(xiàn)出強(qiáng)大的排錯(cuò)能力，這是因?yàn)樗姆抡婺Ｊ娇梢酝ㄟ^觀察數(shù)據(jù)包的轉(zhuǎn)發(fā)過程，來一步步地判斷問題出現(xiàn)的位置以及產(chǎn)生的原因。Packet Tracer的優(yōu)勢(shì)還在于它的活動(dòng)向?qū)Чδ?，?duì)于考察學(xué)生的學(xué)習(xí)情況有很好的效果?？偟膩碚f，Packet Tracer還是比較適合教學(xué)中使用的。

6 結(jié)束語

本次設(shè)計(jì)將Cisco Packet Tracer網(wǎng)絡(luò)模擬器引入計(jì)算機(jī)網(wǎng)路課程實(shí)驗(yàn)中，利用Packet Tracer作為教學(xué)工具進(jìn)行網(wǎng)絡(luò)安全課程實(shí)踐教學(xué)。不僅減少了實(shí)驗(yàn)投資成本，培養(yǎng)了學(xué)生的動(dòng)手能力和創(chuàng)造能力，同時(shí)也通過仿真演示使抽象的基礎(chǔ)理論和基本概念變得通俗易懂，彌補(bǔ)了實(shí)驗(yàn)內(nèi)容不足等問題。此系統(tǒng)也可結(jié)合多個(gè)知識(shí)點(diǎn)，同時(shí)設(shè)置多個(gè)測(cè)試項(xiàng)目，方便教師檢閱。

參考文獻(xiàn)（References）：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第6版）[M].電子工業(yè)出版社，2013.

[2] 薛琴.基于packet tracer的計(jì)算機(jī)網(wǎng)絡(luò)仿真實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)室研究與探索，2010.29（2）：57-59

[3] 王明雄.虛擬軟件在高職計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中的應(yīng)用——以Packet Tracer 為例[J].價(jià)值工程，2011.30（27）：115-116

[4] 劉艷軍，杜穎，李曉會(huì).Cisco Packet Tracer在計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中的應(yīng)用研究[J].無線互聯(lián)科技，2019.16（12）：132-134

[5] 石艷，吳東，梁莉.Packet Tracer在計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中的應(yīng)用[J].教育現(xiàn)代化，2019，6（44）：122-124，133

[6] Janitor J， Jakab F， Kniewald K. Visual learning tools forteaching/learning computer networks：Cisco networking academy and packet tracer[C]//2010 Sixth International Conference on Networking and Services. IEEE，2010：351-355

[7] Dong Z L Y. LAN Interconnection Based Packet Tracer[J].Science Mosaic，2011：5

[8] 王長(zhǎng)明，孟凡英.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J]. 科技信息，2011.22：241

[9] 陳建強(qiáng).基于Packet Tracer的中職“計(jì)算機(jī)網(wǎng)絡(luò)”課程研究性學(xué)習(xí)設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2019.15（6）：123-125