防火墙入侵于检测——————1、GNS3的安装与使用

GNS3简要介绍

概述

GNS3软件是一个图形化网络模拟器，可以模拟网络设备如交换机、路由器、防火墙、入侵检测等。GNS3可以跨平台部署在Windows、Linux、Mac平台，同时，由于其开源性，所以其被广泛使用。不管是学生、老师、项目工程师、运维工程师等等，都可以用其来搭建网络拓扑，模拟校园网、企业网、政务网、数据中心网等等。

组成

GNS3 是由多个组件集合而成的，包含了 Dynamips 、 Qemu 、 Wireshark 等程序。下面我们对这些组件做一个基本的介绍。 Dynamips 是一个基于虚拟化技术的模拟器 (emulator) ，本身就能够模拟路由器和交换机，但是 Dynamips 是命令行界面的，对于新手而言，还是有很大的挑战，所以 GNS3 在 Dynamips 的基础上，加入了一个非常友好的图形化操作界面。 Qemu 可以允许我们在 GNS3 上面模拟防火墙、入侵检测系统、 Juniper 路由器等。 Wireshark 则可以让我们抓取网络设备之间的数据流并进行底层分析。

学习利器

GNS3 是我们网络工程师入门需要掌握的首要工具，也是帮助我们考取思科网络工程师认证 CCNA/CCNP/CCIE 的好帮手，同时，它也是后续我们部署网络工程项目的首选模拟平台。本书对 GNS3 的安装使用和功能讲解都在 Windows 系统环境下进行 。

GNS3安装调试

下载GNS3

首先需要我们从GNS3官网（http://www.gns3.net/）上下载GNS3。本书所采用的版本为GNS3v0.8.6，建议下载all-in-one版本。

安装GNS3

找到从官网下载或光盘拷贝过来的GNS3安装文件，双击进行安装：

GNS3 安装向导打开后,剩下的事情就是点击next(下一步)或者 Iagree(同意)或者Finish(完成)按钮。其他选项默认，安装过程中，会提示安装WINPCAP、Wireshark等程序，如果电脑以前安装过则不用重复安装，可以自行修改路径。

默认安装其他GNS3插件，重复的可以勾选掉。

安装完成后启动 GNS3,屏幕上会出现设置向导提示，提示用户需要三步的设置便能够正常使用，包括【设置IOS 映像文件路径】、【检查 Dynamips工作是否正常】、【设定IOS 对应的idle-pc值】，后续有详细介绍，点击OK即可。

调试GNS3环境

首先进Edit（编辑）菜单，选择Preferences（首选项），把Language改为中文。之后重启GNS3，便可以进入中文界面。

往下看有个Paths（路径），第一个Projects directory为工程目录，此目录用来存放我们的拓扑文件和配置信息；第二个为OS images directory（OS镜像目录），此目录用来存放各种系统镜像文件。这两个目录都可以自己设定，也可以选用系统默认的，这里我们使用系统默认的目录。

点击左侧的Dynamips，再点击下面的Test Setting来测试dynamips是否正常，如正常则出现如图提示，如失败则检查上面的Executable path to Dynamips路径是否正确：

GNS3需要使用Cisco IOS镜像文件来模拟路由器和交换机。目前支持的 IOS 平台包括CISCO7200、3600 系列(3620, 3640 和 3660)、3700系列(3725, 3745)、2600系列(2610 到2650XM,2691) IOS。点击主界面的Edit 菜单，选择 IOSimage and hypervisors。系统会弹出对话框。点击IOSImages 选项框后面    ，默认打开的目录是上面设置的images路径，然后选定此目录的IOS 文件选择打开。该IOS 文件就会出现在上面的镜像文件信息框中。当然，我们也可以修改默认的镜像文件目录，只要保证目录是全英文路径即可。

GNS3会自动识别此IOS文件的平台和型号，当IOS系统开始运行时，一般会消耗掉我们电脑非常高的CPU使用率，例如100%！所以我们需要降低GNS3的资源消耗，提高GNS3的运行效率。这就需要设置IDLE-PC值。IDLE-PC值是GNS3用于计算系统消耗的参数，它的值直接影响GNS3对我们电脑的CPU资源占用，好的IDLE-PC值可以将CPU占用降低到10%以下。此处，我们需要点击        它会自动计算一个IDLE值，此过程可能会导致系统卡顿，请耐心等待，直到出现下图，点击“保存”按钮存一下当前的设置,然后点击“关闭”按钮返回GNS3 主界面。

GNS3拓扑创建

GNS3界面介绍

GNS3 窗口缺省分为四个面板，左侧的面板列出了可用的节点类型（node），在这里我们可以看到各种路由器、防火墙、以太网交换机等图标，当我们需要搭建拓扑时，便从这里拖拽出设备。右侧面板提供Captures（抓包信息）和Topology Summary（拓扑汇总概要信息）。中间部分包括两个面板，上面的面板是我们的主要工作区，用于图形化显示拓扑结构。下面的面板称为 Console面板，显示Dynagen的工作。Dynagen是用于连接到Dynamips程序的调试界面，但是其界面与DOS界面类似，所以在GNS3中并不常用。一般使用中我们经常会关闭Console、Capture、TopologySummary这些窗口，使得整个工作区界面更加整洁。

配置一个路由器

从左侧面板拖动对应的路由器图标到中间的工作区，这样我们就有一个路由器可以配置了，如下：

右键点击“配置”并进入“插槽”选型，插入接口模块，这里选择NM-1FE-TX模块（一个快速以太网口模块），用于实现设备互联。

连接两台路由器

按照之前的方法，再拖一台路由器，配置一个一样的接口模块。之后点击

连接2台设备，再点R1路由器，会弹出我们之前配置的接口，选择f0/0接口，再点R2的f0/0。

之后单击【查看】菜单【show/hide interfacelables】，打开显示接口名

功能。如下图所示：

通过WireShark抓包

右键点击两个路由器之间的线，选择“开始抓包”，弹出一个对话框：

点击“OK”之后便会弹出Wireshark的抓包界面：

若有流量通过，则会出现数据流，下面是通过在R1上发送ICMP分组到R2的过程：

GNS3桥接真机

概述

GNS3可以将虚拟的网络环境与我们外部的真实主机连接在一起，用于实现更进一步的仿真。这样的话，我们便可以通过电脑的浏览器或者管理软件直接管理GNS3内部的路由器了。我们将GNS3的这种功能称为桥接功能。不仅如此，我们还可以将GNS3的网络拓扑和Vmware或VirtualBox等虚拟环境结合，模拟更加大型的网络拓扑，例如我们可以将Vmware里面的主机WindowsServer 2008和GNS3结合起来，这样的话，我们就可以模拟局域网里面的服务器。

在电脑上创建虚拟网卡

在Windows系统中，右键单击计算机，选择“设备管理器”，随便选择一个右侧的硬件，点击“操作”菜单栏的“添加过时硬件”，勾选“安装我手动从列表选择的硬件（高级）”，下一步，选择“网络适配器”，下一步，厂商选择Microsoft，网络适配器选择MicrosoftLoopback Adapter，下一步，完成。系统会自动添加loopback口。之后还需重启我们的电脑。

在GNS3中拖拽“云”，并关联电脑的虚拟网卡

右键点击“云”，之后选择我们电脑的虚拟网卡，并添加：

之后可以通过路由器与之相连，此时意味着我们的真实电脑与GNS3里面的路由器完全“桥接”在一起，并且可以实现通信，从而实现了虚拟和现实的联通。

GNS3模拟防火墙

概述

GNS3 也可以模拟思科的PIX或ASA防火墙。同样的，我们需要采用 PIX 防火墙的映像文件。若防火墙的功能不想受限，我们还需要有效的序列号和激活码:

Key：0xa94b7db5,0x17d768ea,0x63f6e081,0x6d9fadd5

Serial：0x1c9f971c

（在做防火墙实验中，需要采用真机桥接，见本PPT的第四节）

配置PIX防火墙

进入GNS3 的 Edit 菜单，选 Preferences。在左侧面板中点击Qemu。在常规设置中先“测试设置”，如失败则检查qumuwrapper路径是否正确。如成功，则在PIX 标签中，点击 Binary image 后面的按钮，指定 PIX 映像文件的位置。我们也需要配置一下RAM 和接口。配置完成后，点击 save。

选择Qemu下PIX选项，随意输入一个标识符名称，然后导入PIX镜像文件，路径要求是英文路径，并输入有效的激活码和序列号，便可以进行使用了。

参考：GNS3安装使用教学PPT