基于科來網(wǎng)絡(luò)分析系統(tǒng)的網(wǎng)絡(luò)管理課程實訓(xùn)設(shè)計

1、 基于科來網(wǎng)絡(luò)分析系統(tǒng)的“網(wǎng)絡(luò)管理”課程實訓(xùn)設(shè)計 一、引言如今，高職教育迅猛發(fā)展，其教學(xué)改革不斷深化，在校企合作、工學(xué)結(jié)合思想的指導(dǎo)下，教學(xué)模式發(fā)生了重大變革，“以能力為目標(biāo)，以實訓(xùn)項目為載體，以行動導(dǎo)向為特征”的教學(xué)模式成為主流?！熬W(wǎng)絡(luò)管理”是計算機網(wǎng)絡(luò)專業(yè)的一門綜合性、實踐性非常強的專業(yè)技術(shù)核心課，是改革的重點課程。教學(xué)過程中，如何科學(xué)的設(shè)計選取教學(xué)載體實訓(xùn)項目，以達到既能充分利用現(xiàn)有的實訓(xùn)條件，又能將網(wǎng)絡(luò)管理員的較多典型工作任務(wù)融入到教學(xué)過程中，使學(xué)生通過實訓(xùn)項目的實施，提高專業(yè)技能、豐富理論知識、培養(yǎng)綜合能力、提升職業(yè)素養(yǎng)，成為教學(xué)設(shè)計的重中之重。本文結(jié)合“網(wǎng)絡(luò)管理”課程的教學(xué)實踐，利

2、用科來網(wǎng)絡(luò)分析系統(tǒng)，借助虛擬機技術(shù)，架構(gòu)“網(wǎng)絡(luò)管理”課程實訓(xùn)項目，有針對性的強化學(xué)生對枯燥理論知識的理解和應(yīng)用，實訓(xùn)架構(gòu)設(shè)計簡單，實訓(xùn)平臺要求較低，容易實現(xiàn)，便于激發(fā)學(xué)生學(xué)習(xí)的積極性和主動性，具有一定的參考價值。二、科來網(wǎng)絡(luò)分析系統(tǒng)簡介科來網(wǎng)絡(luò)分析系統(tǒng)是集網(wǎng)絡(luò)檢測、錯誤診斷、性能優(yōu)化、協(xié)議分析、安全分析為一體的綜合網(wǎng)絡(luò)分析系統(tǒng)，可以幫助網(wǎng)絡(luò)管理員進行網(wǎng)絡(luò)監(jiān)測、網(wǎng)絡(luò)故障定位、排查網(wǎng)絡(luò)內(nèi)部的安全隱患。科來網(wǎng)絡(luò)分析系統(tǒng)通過對若干分析進行設(shè)置，包括網(wǎng)絡(luò)對象數(shù)據(jù)統(tǒng)計設(shè)置、分析模塊設(shè)置、診斷設(shè)置、日志設(shè)置、圖表設(shè)置等，針對特定的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用問題提供解決分析方案，使用者可根據(jù)實際分析任務(wù)，選擇合適的分析方案

3、?？苼砭W(wǎng)絡(luò)分析系統(tǒng)還可以在TCP/IP協(xié)議棧上進行解碼，從物理層開始，自下而上，直至應(yīng)用層，都可以進行協(xié)議分析。本實訓(xùn)主要使用科來網(wǎng)絡(luò)分析系統(tǒng)中的分析方案，實現(xiàn)網(wǎng)絡(luò)監(jiān)測，其統(tǒng)計分析結(jié)果顯示方式有圖表視圖、概要視圖、診斷視圖、協(xié)議視圖、物理端點視圖、IP端點視圖、物理會話視圖、IP會話視圖、TCP會話視圖、UDP會話視圖、矩陣視圖、數(shù)據(jù)包視圖、日志視圖及報表等，如圖1所示；使用協(xié)議分析，查看實驗中捕獲的數(shù)據(jù)報文，其分析結(jié)果顯示分為報文概要、報文解碼和16進制原始報文三部分，3如圖2所示。圖1：分析方案結(jié)果顯示圖圖2：數(shù)據(jù)報文分析結(jié)果顯示圖根據(jù)實際監(jiān)控分析的需求不同，結(jié)合網(wǎng)絡(luò)拓撲圖，科來網(wǎng)絡(luò)分析系

4、統(tǒng)的安裝部署分為以下四種情況：1.共享式網(wǎng)絡(luò)。網(wǎng)絡(luò)拓撲如圖3所示，使用集線器作為網(wǎng)絡(luò)中心通信設(shè)備，由于集線器以共享模式工作，因此，如果需要監(jiān)控分析共享式網(wǎng)絡(luò)內(nèi)部的所有通信數(shù)據(jù)，只需將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在局域網(wǎng)中任意一臺主機上即可。圖3:共享式網(wǎng)絡(luò)監(jiān)控部署圖2.具備鏡像功能的交換式網(wǎng)絡(luò)。網(wǎng)絡(luò)拓撲如圖4所示，使用交換機作為網(wǎng)絡(luò)的中心交換設(shè)備，交換機具備鏡像功能，在交換機上配置端口鏡像，再將科來網(wǎng)絡(luò)協(xié)議分析系統(tǒng)安裝在連接鏡像端口的主機上，此時軟件可以捕獲整個網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。圖4：具備鏡像功能的交換式網(wǎng)絡(luò)監(jiān)控部署圖3.不具備鏡像功能的交換式網(wǎng)絡(luò)。網(wǎng)絡(luò)拓撲如圖5所示，交換機不具有鏡像功能，因此，

5、不能通過端口鏡像實現(xiàn)網(wǎng)絡(luò)監(jiān)控分析，此時，可通過在交換機與路由器（或防火墻）之間串接一個分路器（Tap）或集線器（Hub）來實現(xiàn)。圖5:不具備鏡像功能的交換式網(wǎng)絡(luò)監(jiān)控部署圖4.代理服務(wù)器共享上網(wǎng)。通過代理服務(wù)器直接共享上網(wǎng)的小型局域網(wǎng)，可直接將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在代理服務(wù)器上，但是，要同時監(jiān)控代理服務(wù)器的內(nèi)部網(wǎng)卡和外部網(wǎng)卡的通信數(shù)據(jù)。三、實訓(xùn)總體設(shè)計 （一）實訓(xùn)平臺實訓(xùn)平臺要求：一個內(nèi)部聯(lián)網(wǎng)且與INTERNET相連的計算機機房（科來網(wǎng)絡(luò)分析系統(tǒng)必須網(wǎng)上注冊和激活），網(wǎng)管型交換機，PC機安裝windowsXP操作系統(tǒng)，安裝科來網(wǎng)絡(luò)分系統(tǒng)和VMware虛擬軟件。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖6所示：圖6：網(wǎng)絡(luò)拓

6、撲圖（二）實訓(xùn)設(shè)計思想本實訓(xùn)設(shè)計以能力為導(dǎo)向，利用科來網(wǎng)絡(luò)分析系統(tǒng)和虛擬機技術(shù)，將實訓(xùn)項目分為局域網(wǎng)組建與配置、服務(wù)器管理與配置、網(wǎng)站設(shè)計與發(fā)布、協(xié)議分析以及木馬攻擊演示與監(jiān)測分析等六個模塊，根據(jù)學(xué)時不同，可以在此基礎(chǔ)上靈活架構(gòu)其他任務(wù)。實訓(xùn)中，根據(jù)學(xué)生的專業(yè)基礎(chǔ)掌握程度、興趣愛好、實踐能力、綜合分析能力以及語言文字表達能力等層次高低不同，靈活分組，使每個同學(xué)既能在項目實訓(xùn)過程中充分發(fā)揮優(yōu)勢，又能在團隊協(xié)作過程中取其他同學(xué)之長補己之短、培養(yǎng)團隊協(xié)作精神。每個小組占用一個機柜，各組民主推選一個組長，負責(zé)組織協(xié)調(diào)并監(jiān)督小組成員完成實訓(xùn)項目。 四、實訓(xùn)教學(xué)設(shè)計（一）局域網(wǎng)組建與配置通過局域網(wǎng)組建與配

7、置，訓(xùn)練學(xué)生的局域網(wǎng)組建與基本網(wǎng)絡(luò)配置能力。在分析網(wǎng)絡(luò)通信測試數(shù)據(jù)過程中，加深理解ARP、ICMP等網(wǎng)絡(luò)通信協(xié)議的工作原理。按照如圖6所示網(wǎng)絡(luò)拓撲圖組建局域網(wǎng)，配置網(wǎng)絡(luò)屬性參數(shù)以及交換機端口鏡像，將局域網(wǎng)連接到INTERNET。為了減少實驗室管理人員的工作量，方便管理，實訓(xùn)中，在虛擬機上安裝其他操作系統(tǒng)，如windows2003、linux等，安裝方式可采用光盤安裝或者鏡像文件安裝。為節(jié)省資源，建議采用鏡像文件安裝，方便快捷。安裝過程簡單，手動設(shè)置較少，同時可以在虛擬機內(nèi)外并行工作，提高工作效率。虛擬機上的操作系統(tǒng)安裝完畢，即可設(shè)置虛擬機及內(nèi)部操作系統(tǒng)的網(wǎng)絡(luò)屬性參數(shù)，實現(xiàn)虛擬機與主機互連。VM

8、ware虛擬機有三種網(wǎng)絡(luò)連接方式：（1）Bridged方式。這種方式虛擬機使用主機的物理網(wǎng)卡與外界通信，虛擬機網(wǎng)卡的IP地址需要與主機在同一子網(wǎng)內(nèi)。此時的虛擬機和主機，相當(dāng)于一個局域網(wǎng)上的兩臺獨立的機器，因此，配置虛擬機內(nèi)部IP地址時不能與局域網(wǎng)內(nèi)其他主機沖突。4（2）NAT方式。這種方式的虛擬機可以與主機及處于同一子網(wǎng)的其他虛擬機通信，且提供NAT服務(wù)，當(dāng)虛擬機要與外界通信時，只需將虛擬機網(wǎng)關(guān)設(shè)置為虛擬機自帶的NAT的IP地址即可。（）Host only方式。這種方式的虛擬主機與NAT類似，只是不提供NAT服務(wù)，虛擬機只能與主機通信。根據(jù)本實訓(xùn)要求，可選用Bridged方式，使每臺主機以及主

9、機內(nèi)的虛擬機組建一個局域網(wǎng)。將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在圖6中任意一臺主機上并啟動運行，然后分別在主機和虛擬機的命令控制臺中運行PING命令，測試網(wǎng)絡(luò)通斷，查看科來網(wǎng)絡(luò)分析系統(tǒng)監(jiān)控狀態(tài)，分析捕獲的數(shù)據(jù)包，體會網(wǎng)關(guān)的作用與原理，領(lǐng)會Ping命令的工作過程及原理，深入分析ICMP、ARP等通信協(xié)議的工作原理。（二）服務(wù)器管理與配置在虛擬機內(nèi)的操作系統(tǒng)上配置FTP、Web、DNS、DHCP等應(yīng)用服務(wù)器。通過服務(wù)器的配置管理，訓(xùn)練學(xué)生管理維護服務(wù)器的技能，提高安全意識。各小組可在不同虛擬機上安裝不同的應(yīng)用服務(wù)，并配置服務(wù)器，其他主機和虛擬機做客戶端。實驗過程主要訓(xùn)練學(xué)生配置管理服務(wù)器，掌握管理配置服務(wù)器的

10、技巧，提高安全意識，仔細體會服務(wù)器、工作站，對等工作模式、客戶服務(wù)器工作模式等抽象概念4。根據(jù)學(xué)時不同和學(xué)生的興趣，要求搭建滿足一定條件及應(yīng)用的網(wǎng)絡(luò)，難度由低到高，為培養(yǎng)學(xué)生的設(shè)計和創(chuàng)新能力提供實驗平臺。（三）網(wǎng)站設(shè)計與發(fā)布通過設(shè)計和實現(xiàn)一個主題網(wǎng)站，訓(xùn)練學(xué)生的網(wǎng)站設(shè)計能力和網(wǎng)頁制作方法與技巧，掌握如何將制作好的網(wǎng)站發(fā)布到web服務(wù)器上。擬定多個主題網(wǎng)站設(shè)計任務(wù)，根據(jù)學(xué)時不同，靈活設(shè)定各主題網(wǎng)站的設(shè)計要求，學(xué)時緊，可只要求靜態(tài)頁面，學(xué)時寬裕，可要求靜態(tài)網(wǎng)頁與動態(tài)網(wǎng)頁結(jié)合、并融入各種動畫等。各小組經(jīng)過討論，遵從多數(shù)成員意見任選一個。主題選好之后，小組成員廣泛搜集相關(guān)資料，然后討論分析網(wǎng)站定位，規(guī)

11、劃網(wǎng)站功能、結(jié)構(gòu)、內(nèi)容和命名，并確定小組成員分工。接著，由各小組成員完成分派的網(wǎng)站設(shè)計制作任務(wù)。最后，將所有成員的設(shè)計成果組裝，并發(fā)布到web服務(wù)器上。實訓(xùn)過程，學(xué)生可充分發(fā)揮自己的優(yōu)勢，大膽設(shè)想，結(jié)合使用各種網(wǎng)頁制作工具，設(shè)計實現(xiàn)自己的創(chuàng)意。（四）協(xié)議分析 通過使用科來網(wǎng)絡(luò)分析系統(tǒng)，對網(wǎng)絡(luò)應(yīng)用工作過程進行全程監(jiān)控，訓(xùn)練學(xué)生分析監(jiān)控數(shù)據(jù)的能力，通過詳細解析TCP/IP協(xié)議棧中各層協(xié)議數(shù)據(jù)包內(nèi)容，進一步加深理解TCP、IP、UDP、HTTP、FTP、DNS、DHCP等協(xié)議的工作原理和工作過程。打開運行科來網(wǎng)絡(luò)分析系統(tǒng)，在多個客戶端同時測試訪問前述過程配置的服務(wù)器， 注意，要盡可能采用不同方式去訪

12、問（如合法的和非法的），查看科來網(wǎng)絡(luò)分析系統(tǒng)的監(jiān)控動態(tài)，分析捕獲的數(shù)據(jù)報文，仔細體會領(lǐng)悟HTTP、FTP等各種網(wǎng)絡(luò)應(yīng)用服務(wù)的工作過程和原理，詳細解析經(jīng)典網(wǎng)絡(luò)通信協(xié)議數(shù)據(jù)報文，如TCP、IP、UDP等數(shù)據(jù)報文，進一步理解其工作原理。（五）木馬攻擊演示與監(jiān)測分析通過模擬演示木馬攻擊，使用科來網(wǎng)絡(luò)分析系統(tǒng)監(jiān)控木馬攻擊全過程，分析捕獲的數(shù)據(jù)包，掌握木馬的工作原理和過程，學(xué)會如何防范木馬之類的惡意代碼及其清除方法。木馬程序分為客戶端和服務(wù)器端兩部分，利用客戶端配置生成一個服務(wù)端程序，然后嘗試使用各種方式傳播這個木馬，比如，將木馬與圖片綁定，傳給其他主機；或者利用IE漏洞把木馬下載到目標(biāo)機上運行；還可以將

13、文件上傳到FTP服務(wù)器等。實訓(xùn)中，在小組內(nèi)任意一臺主機上安裝木馬客戶端程序，并配置生成一個服務(wù)端程序，通過前述方式傳播木馬到小組內(nèi)其他主機或虛擬機內(nèi)，在客戶端遠程控制服務(wù)端，如跟蹤目標(biāo)機屏幕、記錄目標(biāo)機各種口令、獲取目標(biāo)機系統(tǒng)信息、限制目標(biāo)機系統(tǒng)功能、遠程操作目標(biāo)機文件、向目標(biāo)機發(fā)送信息等，查看科來網(wǎng)絡(luò)分析系統(tǒng)的監(jiān)控動態(tài)，重點解析診斷視圖、概要視圖、數(shù)據(jù)包視圖顯示的統(tǒng)計分析結(jié)果，掌握木馬攻擊過程和工作原理，嘗試使用各種安全工具或手動方式清除木馬，總結(jié)木馬防御方法。五、結(jié)束語現(xiàn)如今，高職院校的教學(xué)改革如火如荼，紛紛打破傳統(tǒng)的理論與實踐教學(xué)分離的教學(xué)模式，采用“做中學(xué)、學(xué)中悟”的教學(xué)模式。筆者承擔(dān)

14、的計算機網(wǎng)絡(luò)專業(yè)的“網(wǎng)絡(luò)管理”課程，涉及內(nèi)容廣，實踐性強，網(wǎng)絡(luò)通信原理抽象難懂，如何科學(xué)設(shè)計實訓(xùn)項目，使學(xué)生在實訓(xùn)過程中領(lǐng)悟網(wǎng)絡(luò)通信原理、強化職業(yè)技能、提高綜合素質(zhì)是本課題組思考和研究的重要問題。本實訓(xùn)設(shè)計采用科來網(wǎng)絡(luò)分析系統(tǒng)，借助虛擬機技術(shù)搭建實訓(xùn)平臺，融入網(wǎng)絡(luò)管理員的多項典型工作任務(wù)，將局域網(wǎng)組建與配置、服務(wù)器管理與配置、協(xié)議分析、網(wǎng)站設(shè)計與發(fā)布、木馬攻擊演示與監(jiān)測分析等實訓(xùn)任務(wù)有機結(jié)合。實訓(xùn)設(shè)計涵蓋內(nèi)容深而廣，實訓(xùn)架構(gòu)簡單，模塊化設(shè)計可靈活增刪子項目，設(shè)計將抽象的網(wǎng)絡(luò)通信原理的學(xué)習(xí)與實際應(yīng)用相結(jié)合，便于學(xué)生理解和掌握，激發(fā)了學(xué)生的學(xué)習(xí)興趣，教學(xué)效果較好。Reference1王維璽等.網(wǎng)絡(luò)管理M,大連理工大學(xué)出版社,2007,91-1522何增穎.基于虛擬機的入侵檢測實驗設(shè)計J實驗技術(shù)與管理,2011,28（1）：84-873李朝海,習(xí)友寶.基于SNIFFER的“計算機網(wǎng)絡(luò)”課程的實驗設(shè)計J 實驗室研究與探索,2006,25（6）：642-6444趙永禮.基于VMware的計算機實驗教學(xué)設(shè)計J計算機