基于路由器的包過濾防火墻實驗教學(xué)設(shè)計

錢愛增

摘 要：基于路由器的包過濾防火墻實驗是計算機網(wǎng)絡(luò)課程實驗教學(xué)的重難點之一，本文利用神州數(shù)碼網(wǎng)絡(luò)公司的DCR1702路由器和DCS3926交換機等網(wǎng)絡(luò)設(shè)備對基于標(biāo)準(zhǔn)訪問控制列表和基于擴展訪問控制列表包過濾防火墻進(jìn)行了教學(xué)設(shè)計。

關(guān)鍵詞：訪問控制列表 路由器 防火墻 包過濾

中圖分類號：TP393.2 文獻(xiàn)標(biāo)識碼：A 文章編號：1673-8454（2009）05-0077-03

計算機網(wǎng)絡(luò)作為計算機及相關(guān)專業(yè)的一門專業(yè)基礎(chǔ)課程，對學(xué)生的就業(yè)和專業(yè)發(fā)展都具有重要的作用。[1] 其中基于路由器的包過濾防火墻實驗則是本課程的重難點內(nèi)容之一，不僅理論知識比較抽象，對實驗環(huán)境的硬件要求也很高。為了提高計算機專業(yè)學(xué)生的實踐動手能力，我校投入大量資金組建了計算機網(wǎng)絡(luò)實驗室，能夠滿足從計算機局域網(wǎng)組建到Internet網(wǎng)絡(luò)組建、從傳統(tǒng)IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)實驗環(huán)境的需要，基于該網(wǎng)絡(luò)實驗室的路由器和交換機等設(shè)備，我們對包過濾防火墻相關(guān)實驗進(jìn)行了教學(xué)設(shè)計。

一、學(xué)習(xí)者特征分析

本實驗針對計算機專業(yè)普通本科學(xué)生開設(shè)，在此之前，他們已經(jīng)系統(tǒng)地學(xué)習(xí)過計算機程序設(shè)計、計算機組成原理等課程，并且已經(jīng)做過大量的硬件實驗，具備基本的實踐動手能力。而且，在本實驗之前，他們已經(jīng)做過局域網(wǎng)組建、VLAN劃分、三層交換機路由設(shè)置以及路由器配置等網(wǎng)絡(luò)實驗，根據(jù)以往幾個實驗的經(jīng)驗，多數(shù)同學(xué)都能按照教師講解的理論和實驗內(nèi)容將實驗做出，所以我們本次實驗依然采用下面的方法，首先對本實驗涉及的理論知識進(jìn)行講解，然后將實驗步驟大體講解一遍，對實驗用到的相關(guān)命令具體講解，最后讓同學(xué)們到實驗室進(jìn)行具體操作。

二、實驗教學(xué)目標(biāo)

根據(jù)上述學(xué)習(xí)者特征分析，包過濾防火墻實驗的教學(xué)目標(biāo)確定為通過該實驗讓學(xué)生熟悉在路由器上配置包過濾防火墻的相關(guān)配置命令，掌握在路由器上配置包過濾防火墻的方法與步驟，使學(xué)生的網(wǎng)絡(luò)設(shè)計與組建能力、路由器配置能力、局域網(wǎng)理論知識、Internet理論知識和實踐操作能力等各方面得到綜合提高，這一教學(xué)目標(biāo)與計算機網(wǎng)絡(luò)課程的總體目標(biāo)是一致的。[2] 在本實驗教學(xué)目標(biāo)的基礎(chǔ)上，結(jié)合該實驗內(nèi)容我們把本實驗教學(xué)目標(biāo)分為兩個子目標(biāo)進(jìn)行實現(xiàn)：一是學(xué)生能夠理解標(biāo)準(zhǔn)訪問控制列表的內(nèi)涵，掌握基于標(biāo)準(zhǔn)訪問控制列表的防火墻配置方法；二是學(xué)生能夠理解擴展訪問控制列表與標(biāo)準(zhǔn)訪問控制列表的區(qū)別與聯(lián)系，掌握基于擴展訪問控制列表的防火墻的配置方法。[3] 兩個子目標(biāo)是遞進(jìn)的關(guān)系，圍繞這兩個子目標(biāo)，我們設(shè)計了兩個具體的實驗項目，即基于標(biāo)準(zhǔn)訪問控制列表的包過濾防火墻實驗和基于擴展訪問控制列表的包過濾防火墻實驗。

三、實驗環(huán)境搭建和實驗內(nèi)容選擇

本實驗是在我校計算機網(wǎng)絡(luò)實驗室進(jìn)行的，前文我們提到該實驗室能夠滿足從計算機局域網(wǎng)組建到Internet網(wǎng)絡(luò)組建，從傳統(tǒng)IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)實驗等各種設(shè)備的需要，針對本實驗我們選擇的實驗設(shè)備是2臺DCS3926交換機、2臺DCR1702路由器、2臺PC機、路由器V35背對背連接線和若干根雙絞線。

實驗內(nèi)容選擇的是本實驗教學(xué)設(shè)計中的重要環(huán)節(jié)，根據(jù)前面對學(xué)習(xí)者特征的分析，在實驗內(nèi)容的選擇上，應(yīng)遵循新穎性、實用性、綜合性、拓展性等原則。根據(jù)實驗教學(xué)目標(biāo)體系和以上原則，本實驗共設(shè)計了兩個子實驗，分別是基于標(biāo)準(zhǔn)訪問控制列表的包過濾防火墻實驗和基于擴展訪問控制列表的包過濾防火墻實驗。

四、實驗教學(xué)過程設(shè)計

實驗教學(xué)過程設(shè)計實際上就是實驗教學(xué)實施流程的設(shè)計，不同類型的實驗項目其實驗教學(xué)過程的組織方式不同。實驗類型一般有：演示實驗、驗證實驗、操作實驗、綜合實驗、設(shè)計實驗和研究實驗等，該實驗定位為綜合設(shè)計性實驗，本實驗要求學(xué)生能根據(jù)所學(xué)包過濾防火墻理論知識，按照實驗?zāi)繕?biāo)的要求來設(shè)計實驗的步驟，利用實驗室提供的實驗設(shè)備單組獨立完成實驗，實驗具體設(shè)計步驟如下：

1.基于標(biāo)準(zhǔn)訪問控制列表的包過濾防火墻實驗

由于學(xué)生初次接觸到訪問控制列表的知識，同時該實驗也是后續(xù)實驗的基礎(chǔ)，所以本實驗是整個實驗的重點和難點，本文實驗教學(xué)安排兩個學(xué)時。實驗開始前，首先向?qū)W生介紹要用到的設(shè)備操作命令、訪問控制列表的知識和實施步驟等，讓學(xué)生對該實驗有一個完整的認(rèn)識；然后，再由學(xué)生進(jìn)行實驗設(shè)計。實驗拓?fù)浣Y(jié)構(gòu)如圖1所示，圖1中路由器R1和R2通過V35線背對背連接，整個左面方框用來模擬外部網(wǎng)絡(luò)，右面方框模擬內(nèi)部網(wǎng)絡(luò)，本實驗主要模擬如何通過在內(nèi)部網(wǎng)絡(luò)出口路由器R2的入口上設(shè)置訪問控制，進(jìn)而保護(hù)內(nèi)部網(wǎng)絡(luò)，內(nèi)網(wǎng)中的服務(wù)器在本實驗中由一臺DCS3926交換機代替。[4]

具體的實驗操作流程如圖2所示。

路由器R2上的主要配置如下：

（１）創(chuàng)建標(biāo)準(zhǔn)訪問控制列表

R2#config //進(jìn)入路由器配置模式

R2_config#ip access-list standard biaozhun //建立標(biāo)準(zhǔn)訪問控制列表biaozhun

R2_config_std_nacl#deny 192.168.1.1 //禁止pc1訪問內(nèi)網(wǎng)服務(wù)器

R2_config_std_nacl#deny 192.168.1.2 //禁止pc2訪問內(nèi)網(wǎng)服務(wù)器

R2_config_std_nacl#deny 192.168.1.3 //禁止pc3訪問內(nèi)網(wǎng)服務(wù)器

R2_config_std_nacl#permit any //允許其他計算機訪問內(nèi)網(wǎng)

（２）將標(biāo)準(zhǔn)訪問控制列表應(yīng)用到路由器R2serial0/2口的in方向上

R2#config

R2_config#interface serial 0/2 //進(jìn)入串口0/2

R2_config_s0/2#ip access-group biaozhun in //將標(biāo)準(zhǔn)訪問控制列表biaozhun應(yīng)用到s0/2的in方向上

（３）測試

配置完畢后，在pc1、pc2和pc3上分別用ping命令測試，結(jié)果是都不能訪問內(nèi)網(wǎng)server。

2.基于擴展訪問控制列表的包過濾防火墻實驗

該實驗是前一個實驗的擴展，從理論上講，增加了服務(wù)端口的概念，所以本實驗仍然安排兩個學(xué)時。本實驗要求對外網(wǎng)中的不同用戶分類控制，如pc1不能ping通內(nèi)網(wǎng)server，pc2不能訪問內(nèi)網(wǎng)server的telnet服務(wù)，pc3不能訪問內(nèi)網(wǎng)server的Web服務(wù)。實驗所需設(shè)備同實驗1，需要在內(nèi)網(wǎng)server上啟動telnet和Web服務(wù)，實驗拓?fù)浣Y(jié)構(gòu)見圖1。

實驗操作流程如圖3所示。

路由器R2上的主要配置如下：

（１）創(chuàng)建擴展訪問控制列表

R2#config

R2_config#ip access-list extended kuozhan //建立擴展訪問控制列表kuozhan

R2_config_ext_nacl#deny icmp 192.168.1.1 255.255.255.255 any //禁止pc1ping內(nèi)網(wǎng)server

R2_config_ext_nacl#deny tcp 192.168.1.2 255.255.255.255 anyeq 23 //禁止pc2訪問內(nèi)網(wǎng)server遠(yuǎn)程訪問服務(wù)telnet

R2_config_ext_nacl# deny tcp 192.168.1.3 255.255.255.255 anyeq 80 //禁止pc3訪問內(nèi)網(wǎng)server web服務(wù)

R2_config_ext_nacl#permit ip any any //允許其他計算機訪問內(nèi)網(wǎng)

（２）將擴展列表kuozhan應(yīng)用到路由器R2serial0/2口的in方向上

R2#config

R2_config#interface serial 0/2

R2_config_s0/2#ip access-group kuozhan in//將擴展訪問列表kuozhan應(yīng)用到R2串口的in方向上

（３）測試

配置完畢后進(jìn)行測試，結(jié)果如下：pc1不能ping通內(nèi)網(wǎng)server，但能訪問內(nèi)網(wǎng)server的telnet和Web服務(wù)；pc2不能訪問內(nèi)網(wǎng)server的telnet服務(wù)，但能訪問內(nèi)網(wǎng)server的Web服務(wù)，也能ping通內(nèi)網(wǎng)server；pc3不能訪問內(nèi)網(wǎng)server的Web服務(wù)，但能ping通內(nèi)網(wǎng)server，也能訪問內(nèi)網(wǎng)server的telnet服務(wù)。

通過做這樣一個綜合性、設(shè)計性較強的實驗，學(xué)生綜合運用所學(xué)理論知識的能力得到很大提高，基本達(dá)到了培養(yǎng)學(xué)生綜合實驗?zāi)芰Φ哪康?，實現(xiàn)了學(xué)校通過實驗提高學(xué)生基本素質(zhì)的目標(biāo)。

五、實驗教學(xué)效果評價

實驗教學(xué)效果的評價方法很多，結(jié)合網(wǎng)絡(luò)實驗課程教學(xué)的特點，我們主要通過兩種方式評價計算機網(wǎng)絡(luò)課程的實驗教學(xué)，即書寫實驗報告和實踐操作。其中實踐操作評價又可分為：實物演習(xí)式評價和模擬演習(xí)式評價。所謂實物演習(xí)即學(xué)生操作真實設(shè)備，參與真實網(wǎng)絡(luò)組建和配置等針對現(xiàn)場實物的操作方式。通過參加這些真實的實踐、實習(xí)、組建等活動，來檢驗實驗教學(xué)的效果。所謂模擬演習(xí)即借助于模擬軟件創(chuàng)設(shè)的虛擬實驗環(huán)境來設(shè)計并組建相關(guān)的虛擬操作方式，通過模擬實習(xí)也可以檢測實驗教學(xué)的效果。

本實驗是學(xué)生在網(wǎng)絡(luò)實驗室真實環(huán)境中進(jìn)行的，輔導(dǎo)教師可針對學(xué)生實驗過程中實驗設(shè)計的成功率和實驗所用的時間來檢測實驗教學(xué)的效果，并及時給予有針對性的幫助和指導(dǎo)。

本實驗教學(xué)的設(shè)計是針對計算機專業(yè)學(xué)生進(jìn)行的，所以在目標(biāo)定位、實驗內(nèi)容、實驗項目的確定及實驗過程的組織方式等方面都體現(xiàn)了計算機專業(yè)的特色，并考慮了計算機專業(yè)的需求，具有一定的專業(yè)針對性。本實驗對其他專業(yè)的學(xué)生學(xué)習(xí)有一定的指導(dǎo)性，對于教授本實驗課程的教師有一定的借鑒意義。?筅

參考文獻(xiàn):

[1]米偉娜,王海燕.基于Boson netsim虛擬平臺的VLAN實驗教學(xué)設(shè)計[J].現(xiàn)代教育技術(shù),2008,18(10):121-124.

[2]徐建東,王海燕.計算機網(wǎng)絡(luò)技術(shù)實驗教學(xué)設(shè)計[J].寧波大學(xué)學(xué)報,2004,(2):38-45.

[3]石碩.交換機/路由器及其配置[M].北京:電子工業(yè)出版社,2007:38-45.

[4]甘剛.網(wǎng)絡(luò)設(shè)備配置與管理[M].北京:清華大學(xué)出版社,2007:213-221.