基于科來網(wǎng)絡分析系統(tǒng)的網(wǎng)絡管理課程實訓設計

1、 基于科來網(wǎng)絡分析系統(tǒng)的“網(wǎng)絡管理”課程實訓設計 一、引言如今，高職教育迅猛發(fā)展，其教學改革不斷深化，在校企合作、工學結合思想的指導下，教學模式發(fā)生了重大變革，“以能力為目標，以實訓項目為載體，以行動導向為特征”的教學模式成為主流?！熬W(wǎng)絡管理”是計算機網(wǎng)絡專業(yè)的一門綜合性、實踐性非常強的專業(yè)技術核心課，是改革的重點課程。教學過程中，如何科學的設計選取教學載體實訓項目，以達到既能充分利用現(xiàn)有的實訓條件，又能將網(wǎng)絡管理員的較多典型工作任務融入到教學過程中，使學生通過實訓項目的實施，提高專業(yè)技能、豐富理論知識、培養(yǎng)綜合能力、提升職業(yè)素養(yǎng)，成為教學設計的重中之重。本文結合“網(wǎng)絡管理”課程的教學實踐，利

2、用科來網(wǎng)絡分析系統(tǒng)，借助虛擬機技術，架構“網(wǎng)絡管理”課程實訓項目，有針對性的強化學生對枯燥理論知識的理解和應用，實訓架構設計簡單，實訓平臺要求較低，容易實現(xiàn)，便于激發(fā)學生學習的積極性和主動性，具有一定的參考價值。二、科來網(wǎng)絡分析系統(tǒng)簡介科來網(wǎng)絡分析系統(tǒng)是集網(wǎng)絡檢測、錯誤診斷、性能優(yōu)化、協(xié)議分析、安全分析為一體的綜合網(wǎng)絡分析系統(tǒng)，可以幫助網(wǎng)絡管理員進行網(wǎng)絡監(jiān)測、網(wǎng)絡故障定位、排查網(wǎng)絡內(nèi)部的安全隱患。科來網(wǎng)絡分析系統(tǒng)通過對若干分析進行設置，包括網(wǎng)絡對象數(shù)據(jù)統(tǒng)計設置、分析模塊設置、診斷設置、日志設置、圖表設置等，針對特定的網(wǎng)絡業(yè)務應用問題提供解決分析方案，使用者可根據(jù)實際分析任務，選擇合適的分析方案

3、?？苼砭W(wǎng)絡分析系統(tǒng)還可以在TCP/IP協(xié)議棧上進行解碼，從物理層開始，自下而上，直至應用層，都可以進行協(xié)議分析。本實訓主要使用科來網(wǎng)絡分析系統(tǒng)中的分析方案，實現(xiàn)網(wǎng)絡監(jiān)測，其統(tǒng)計分析結果顯示方式有圖表視圖、概要視圖、診斷視圖、協(xié)議視圖、物理端點視圖、IP端點視圖、物理會話視圖、IP會話視圖、TCP會話視圖、UDP會話視圖、矩陣視圖、數(shù)據(jù)包視圖、日志視圖及報表等，如圖1所示；使用協(xié)議分析，查看實驗中捕獲的數(shù)據(jù)報文，其分析結果顯示分為報文概要、報文解碼和16進制原始報文三部分，3如圖2所示。圖1：分析方案結果顯示圖圖2：數(shù)據(jù)報文分析結果顯示圖根據(jù)實際監(jiān)控分析的需求不同，結合網(wǎng)絡拓撲圖，科來網(wǎng)絡分析系

4、統(tǒng)的安裝部署分為以下四種情況：1.共享式網(wǎng)絡。網(wǎng)絡拓撲如圖3所示，使用集線器作為網(wǎng)絡中心通信設備，由于集線器以共享模式工作，因此，如果需要監(jiān)控分析共享式網(wǎng)絡內(nèi)部的所有通信數(shù)據(jù)，只需將科來網(wǎng)絡分析系統(tǒng)安裝在局域網(wǎng)中任意一臺主機上即可。圖3:共享式網(wǎng)絡監(jiān)控部署圖2.具備鏡像功能的交換式網(wǎng)絡。網(wǎng)絡拓撲如圖4所示，使用交換機作為網(wǎng)絡的中心交換設備，交換機具備鏡像功能，在交換機上配置端口鏡像，再將科來網(wǎng)絡協(xié)議分析系統(tǒng)安裝在連接鏡像端口的主機上，此時軟件可以捕獲整個網(wǎng)絡中所有的數(shù)據(jù)通訊。圖4：具備鏡像功能的交換式網(wǎng)絡監(jiān)控部署圖3.不具備鏡像功能的交換式網(wǎng)絡。網(wǎng)絡拓撲如圖5所示，交換機不具有鏡像功能，因此，

5、不能通過端口鏡像實現(xiàn)網(wǎng)絡監(jiān)控分析，此時，可通過在交換機與路由器（或防火墻）之間串接一個分路器（Tap）或集線器（Hub）來實現(xiàn)。圖5:不具備鏡像功能的交換式網(wǎng)絡監(jiān)控部署圖4.代理服務器共享上網(wǎng)。通過代理服務器直接共享上網(wǎng)的小型局域網(wǎng)，可直接將科來網(wǎng)絡分析系統(tǒng)安裝在代理服務器上，但是，要同時監(jiān)控代理服務器的內(nèi)部網(wǎng)卡和外部網(wǎng)卡的通信數(shù)據(jù)。三、實訓總體設計 （一）實訓平臺實訓平臺要求：一個內(nèi)部聯(lián)網(wǎng)且與INTERNET相連的計算機機房（科來網(wǎng)絡分析系統(tǒng)必須網(wǎng)上注冊和激活），網(wǎng)管型交換機，PC機安裝windowsXP操作系統(tǒng)，安裝科來網(wǎng)絡分系統(tǒng)和VMware虛擬軟件。網(wǎng)絡拓撲結構如圖6所示：圖6：網(wǎng)絡拓

6、撲圖（二）實訓設計思想本實訓設計以能力為導向，利用科來網(wǎng)絡分析系統(tǒng)和虛擬機技術，將實訓項目分為局域網(wǎng)組建與配置、服務器管理與配置、網(wǎng)站設計與發(fā)布、協(xié)議分析以及木馬攻擊演示與監(jiān)測分析等六個模塊，根據(jù)學時不同，可以在此基礎上靈活架構其他任務。實訓中，根據(jù)學生的專業(yè)基礎掌握程度、興趣愛好、實踐能力、綜合分析能力以及語言文字表達能力等層次高低不同，靈活分組，使每個同學既能在項目實訓過程中充分發(fā)揮優(yōu)勢，又能在團隊協(xié)作過程中取其他同學之長補己之短、培養(yǎng)團隊協(xié)作精神。每個小組占用一個機柜，各組民主推選一個組長，負責組織協(xié)調(diào)并監(jiān)督小組成員完成實訓項目。 四、實訓教學設計（一）局域網(wǎng)組建與配置通過局域網(wǎng)組建與配

7、置，訓練學生的局域網(wǎng)組建與基本網(wǎng)絡配置能力。在分析網(wǎng)絡通信測試數(shù)據(jù)過程中，加深理解ARP、ICMP等網(wǎng)絡通信協(xié)議的工作原理。按照如圖6所示網(wǎng)絡拓撲圖組建局域網(wǎng)，配置網(wǎng)絡屬性參數(shù)以及交換機端口鏡像，將局域網(wǎng)連接到INTERNET。為了減少實驗室管理人員的工作量，方便管理，實訓中，在虛擬機上安裝其他操作系統(tǒng)，如windows2003、linux等，安裝方式可采用光盤安裝或者鏡像文件安裝。為節(jié)省資源，建議采用鏡像文件安裝，方便快捷。安裝過程簡單，手動設置較少，同時可以在虛擬機內(nèi)外并行工作，提高工作效率。虛擬機上的操作系統(tǒng)安裝完畢，即可設置虛擬機及內(nèi)部操作系統(tǒng)的網(wǎng)絡屬性參數(shù)，實現(xiàn)虛擬機與主機互連。VM

8、ware虛擬機有三種網(wǎng)絡連接方式：（1）Bridged方式。這種方式虛擬機使用主機的物理網(wǎng)卡與外界通信，虛擬機網(wǎng)卡的IP地址需要與主機在同一子網(wǎng)內(nèi)。此時的虛擬機和主機，相當于一個局域網(wǎng)上的兩臺獨立的機器，因此，配置虛擬機內(nèi)部IP地址時不能與局域網(wǎng)內(nèi)其他主機沖突。4（2）NAT方式。這種方式的虛擬機可以與主機及處于同一子網(wǎng)的其他虛擬機通信，且提供NAT服務，當虛擬機要與外界通信時，只需將虛擬機網(wǎng)關設置為虛擬機自帶的NAT的IP地址即可。（）Host only方式。這種方式的虛擬主機與NAT類似，只是不提供NAT服務，虛擬機只能與主機通信。根據(jù)本實訓要求，可選用Bridged方式，使每臺主機以及主

9、機內(nèi)的虛擬機組建一個局域網(wǎng)。將科來網(wǎng)絡分析系統(tǒng)安裝在圖6中任意一臺主機上并啟動運行，然后分別在主機和虛擬機的命令控制臺中運行PING命令，測試網(wǎng)絡通斷，查看科來網(wǎng)絡分析系統(tǒng)監(jiān)控狀態(tài)，分析捕獲的數(shù)據(jù)包，體會網(wǎng)關的作用與原理，領會Ping命令的工作過程及原理，深入分析ICMP、ARP等通信協(xié)議的工作原理。（二）服務器管理與配置在虛擬機內(nèi)的操作系統(tǒng)上配置FTP、Web、DNS、DHCP等應用服務器。通過服務器的配置管理，訓練學生管理維護服務器的技能，提高安全意識。各小組可在不同虛擬機上安裝不同的應用服務，并配置服務器，其他主機和虛擬機做客戶端。實驗過程主要訓練學生配置管理服務器，掌握管理配置服務器的

10、技巧，提高安全意識，仔細體會服務器、工作站，對等工作模式、客戶服務器工作模式等抽象概念4。根據(jù)學時不同和學生的興趣，要求搭建滿足一定條件及應用的網(wǎng)絡，難度由低到高，為培養(yǎng)學生的設計和創(chuàng)新能力提供實驗平臺。（三）網(wǎng)站設計與發(fā)布通過設計和實現(xiàn)一個主題網(wǎng)站，訓練學生的網(wǎng)站設計能力和網(wǎng)頁制作方法與技巧，掌握如何將制作好的網(wǎng)站發(fā)布到web服務器上。擬定多個主題網(wǎng)站設計任務，根據(jù)學時不同，靈活設定各主題網(wǎng)站的設計要求，學時緊，可只要求靜態(tài)頁面，學時寬裕，可要求靜態(tài)網(wǎng)頁與動態(tài)網(wǎng)頁結合、并融入各種動畫等。各小組經(jīng)過討論，遵從多數(shù)成員意見任選一個。主題選好之后，小組成員廣泛搜集相關資料，然后討論分析網(wǎng)站定位，規(guī)

11、劃網(wǎng)站功能、結構、內(nèi)容和命名，并確定小組成員分工。接著，由各小組成員完成分派的網(wǎng)站設計制作任務。最后，將所有成員的設計成果組裝，并發(fā)布到web服務器上。實訓過程，學生可充分發(fā)揮自己的優(yōu)勢，大膽設想，結合使用各種網(wǎng)頁制作工具，設計實現(xiàn)自己的創(chuàng)意。（四）協(xié)議分析 通過使用科來網(wǎng)絡分析系統(tǒng)，對網(wǎng)絡應用工作過程進行全程監(jiān)控，訓練學生分析監(jiān)控數(shù)據(jù)的能力，通過詳細解析TCP/IP協(xié)議棧中各層協(xié)議數(shù)據(jù)包內(nèi)容，進一步加深理解TCP、IP、UDP、HTTP、FTP、DNS、DHCP等協(xié)議的工作原理和工作過程。打開運行科來網(wǎng)絡分析系統(tǒng)，在多個客戶端同時測試訪問前述過程配置的服務器， 注意，要盡可能采用不同方式去訪

12、問（如合法的和非法的），查看科來網(wǎng)絡分析系統(tǒng)的監(jiān)控動態(tài)，分析捕獲的數(shù)據(jù)報文，仔細體會領悟HTTP、FTP等各種網(wǎng)絡應用服務的工作過程和原理，詳細解析經(jīng)典網(wǎng)絡通信協(xié)議數(shù)據(jù)報文，如TCP、IP、UDP等數(shù)據(jù)報文，進一步理解其工作原理。（五）木馬攻擊演示與監(jiān)測分析通過模擬演示木馬攻擊，使用科來網(wǎng)絡分析系統(tǒng)監(jiān)控木馬攻擊全過程，分析捕獲的數(shù)據(jù)包，掌握木馬的工作原理和過程，學會如何防范木馬之類的惡意代碼及其清除方法。木馬程序分為客戶端和服務器端兩部分，利用客戶端配置生成一個服務端程序，然后嘗試使用各種方式傳播這個木馬，比如，將木馬與圖片綁定，傳給其他主機；或者利用IE漏洞把木馬下載到目標機上運行；還可以將

13、文件上傳到FTP服務器等。實訓中，在小組內(nèi)任意一臺主機上安裝木馬客戶端程序，并配置生成一個服務端程序，通過前述方式傳播木馬到小組內(nèi)其他主機或虛擬機內(nèi)，在客戶端遠程控制服務端，如跟蹤目標機屏幕、記錄目標機各種口令、獲取目標機系統(tǒng)信息、限制目標機系統(tǒng)功能、遠程操作目標機文件、向目標機發(fā)送信息等，查看科來網(wǎng)絡分析系統(tǒng)的監(jiān)控動態(tài)，重點解析診斷視圖、概要視圖、數(shù)據(jù)包視圖顯示的統(tǒng)計分析結果，掌握木馬攻擊過程和工作原理，嘗試使用各種安全工具或手動方式清除木馬，總結木馬防御方法。五、結束語現(xiàn)如今，高職院校的教學改革如火如荼，紛紛打破傳統(tǒng)的理論與實踐教學分離的教學模式，采用“做中學、學中悟”的教學模式。筆者承擔

14、的計算機網(wǎng)絡專業(yè)的“網(wǎng)絡管理”課程，涉及內(nèi)容廣，實踐性強，網(wǎng)絡通信原理抽象難懂，如何科學設計實訓項目，使學生在實訓過程中領悟網(wǎng)絡通信原理、強化職業(yè)技能、提高綜合素質(zhì)是本課題組思考和研究的重要問題。本實訓設計采用科來網(wǎng)絡分析系統(tǒng)，借助虛擬機技術搭建實訓平臺，融入網(wǎng)絡管理員的多項典型工作任務，將局域網(wǎng)組建與配置、服務器管理與配置、協(xié)議分析、網(wǎng)站設計與發(fā)布、木馬攻擊演示與監(jiān)測分析等實訓任務有機結合。實訓設計涵蓋內(nèi)容深而廣，實訓架構簡單，模塊化設計可靈活增刪子項目，設計將抽象的網(wǎng)絡通信原理的學習與實際應用相結合，便于學生理解和掌握，激發(fā)了學生的學習興趣，教學效果較好。Reference1王維璽等.網(wǎng)絡管理M,大連理工大學出版社,2007,91-1522何增穎.基于虛擬機的入侵檢測實驗設計J實驗技術與管理,2011,28（1）：84-873李朝海,習友寶.基于SNIFFER的“計算機網(wǎng)絡”課程的實驗設計J 實驗室研究與探索,2006,25（6）：642-6444趙永禮.基于VMware的計算機實驗教學設計J計算機