付承彪， 田安紅， 于 龍， 馬 美

(曲靖師范學院 a.信息工程學院;b.城市學院；c.生物資源與食品工程學院，云南 曲靖 655011)

0 引 言

《計算機網(wǎng)絡》課程是信息工程等專業(yè)的專業(yè)基礎(chǔ)課，分為理論和實踐兩部分，理論課上學生普遍反映課程核心內(nèi)容如VPN、NAT、RIP、ACL等知識難于理解。為了便于學生領(lǐng)悟，在實踐課中采取真實設(shè)備組網(wǎng)的方式[1-3]，但在實際的校園網(wǎng)絡建設(shè)中，需要大量昂貴的硬件設(shè)備資源，以及不斷地規(guī)劃建設(shè)工作[4-6]。為解決實際網(wǎng)絡建設(shè)的硬件成本問題，可借助Cisco Packet Tracer仿真軟件來模擬，通過在軟件中規(guī)劃設(shè)計校園網(wǎng)絡[7-10]，并配置相關(guān)命令，測試觀察網(wǎng)絡的運行情況。所得結(jié)果可借鑒于實際中的校園網(wǎng)絡搭建。

首先在軟件中建立網(wǎng)絡結(jié)構(gòu)圖，然后配置相關(guān)的網(wǎng)絡命令，最后實現(xiàn)網(wǎng)絡的互聯(lián)互通，同時通過VPN技術(shù)實現(xiàn)用戶訪問學校網(wǎng)絡的功能。組網(wǎng)涉及《計算機網(wǎng)絡》課程中的關(guān)鍵技術(shù)，如VLAN、DHCP、VPN、NAT、ACL等，這些知識學生難于掌握，通過設(shè)計一個校園網(wǎng)絡系統(tǒng)的實驗，便于學習理解和應用所學知識解決實際問題[11-16]。

1 校園網(wǎng)絡規(guī)劃和需求分析

1.1 綜合實驗組網(wǎng)圖

本文所設(shè)計的基于校園網(wǎng)絡系統(tǒng)的綜合性實驗，主要包含學校內(nèi)網(wǎng)和學校外網(wǎng)兩個部分，在學校的內(nèi)網(wǎng)中包含多個子網(wǎng)絡，學校內(nèi)部網(wǎng)絡之間可以相互訪問，同時也能夠正常地訪問學校外網(wǎng)，而校外終端設(shè)備通過VPN技術(shù)也可以成功訪問學校內(nèi)部網(wǎng)絡。實驗組網(wǎng)圖如圖1所示，在Cisco Packet Tracer模擬軟件中畫出校園網(wǎng)絡系統(tǒng)的拓撲圖。曲靖師范學院的校園建筑中重點包括行政辦公樓、教學樓、學生宿舍、各學院部門、網(wǎng)管中心等，在本試驗中，選擇學校的部分教學區(qū)，如計科系、物理系，行政辦公樓部分部門單位，如人事處、財務處，以及部分學生公寓來模擬校園網(wǎng)絡系統(tǒng)中的重要功能。

圖1 綜合實驗組網(wǎng)圖

1.2 校園網(wǎng)整體層次結(jié)構(gòu)

校園網(wǎng)的整體層次結(jié)構(gòu)如圖2所示，采用的是核心層，匯聚層，接入層的模式。

圖2 校園網(wǎng)整體層次結(jié)構(gòu)圖

1.3 校園網(wǎng)絡拓撲圖設(shè)計

在設(shè)計校園網(wǎng)絡之前，總體規(guī)劃校園網(wǎng)絡的拓撲非常關(guān)鍵，通過規(guī)劃各個部門之間的聯(lián)系，形成一個完整模型圖例。本實驗中，學校采用千兆以態(tài)網(wǎng)技術(shù)，而行政辦公樓、教學樓、圖書館、以及各宿舍樓等是通過光纖接入到核心層。各個接入層的傳輸層的傳輸介質(zhì)采用雙絞線，其拓撲結(jié)構(gòu)如圖3所示。

圖3 網(wǎng)絡拓撲結(jié)構(gòu)圖

1.4 關(guān)鍵技術(shù)之VTP、NAT、ACL

虛擬局域網(wǎng)干道協(xié)議(VLAN Trunking Protocol,VTP)是VLAN中繼協(xié)議。當配置VLAN工作量大時，可以使用VTP協(xié)議。在本實驗中通過VTP協(xié)議來實現(xiàn)VLAN的統(tǒng)一配置和管理。假設(shè)校園網(wǎng)絡中，共存在X個交換機，一共劃分了Y個VLAN，常規(guī)配置是需要在每個交換機上都創(chuàng)建Y個VLAN，共X×Y個VLAN，當X和Y的數(shù)量較大時，配置X×Y個VLAN需要耗費大量的時間。而VTP技術(shù)能夠簡化VLAN的配置任務，管理員在網(wǎng)絡中設(shè)置一個或者多個VTP Server，然后在Server上創(chuàng)建和修改VLAN，VTP協(xié)議會將這些修改通告其他交換機上，這些交換機自動更新VLAN的信息。

網(wǎng)絡地址轉(zhuǎn)換(Network Address Translation，NAT)解決了IP地址不足的問題，且能夠避免網(wǎng)絡外部攻擊，保護網(wǎng)絡內(nèi)部的計算機。在本實驗中的作用是，使得校園網(wǎng)內(nèi)部的私有地址的數(shù)據(jù)包到達NAT設(shè)備，NAT設(shè)備負責把私有IP地址翻譯成外網(wǎng)合法的IP地址，然后再進行轉(zhuǎn)發(fā)數(shù)據(jù)包，實現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)的功能，如圖4所示。當校園網(wǎng)內(nèi)的主機172.16.1.1，需要訪問外部Internet網(wǎng)絡，則主機發(fā)送數(shù)據(jù)包到邊界路由器，而NAT轉(zhuǎn)換功能在邊界路由器當中，路由器能夠識別出數(shù)據(jù)包的源地址172.16.1.1，即為本地IP地址，它的工作是把內(nèi)部本地地址轉(zhuǎn)換為全局地址200.1.1.1，且轉(zhuǎn)化結(jié)果是記錄在NAT表中，此時主機發(fā)送的數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址200.1.1.1，把它發(fā)送到路由器的出口，進一步送到外部網(wǎng)絡當中。此時，外網(wǎng)服務器響應數(shù)據(jù)包，并返回路由器時，路由器再次通過NAT轉(zhuǎn)換表，把全局地址轉(zhuǎn)換為本地地址，實現(xiàn)請求發(fā)送回源主機。

邊界路由器NAT表

內(nèi)部本地地址內(nèi)部全局地址172.16.1.1200.200.1.1172.16.1.2200.200.1.2172.16.1.3200.200.1.3

圖4 NAT地址轉(zhuǎn)換

訪問控制列表(Access Control List，ACL)是路由器和交換機接口的指令列表，檢查數(shù)據(jù)包和過濾數(shù)據(jù)包，它能夠限制網(wǎng)絡的流量，同時提供網(wǎng)絡性能，使得訪問級別安全可靠。它主要用于阻止非法用戶對資源節(jié)點的訪問，以及限制特定用戶的節(jié)點所具備的訪問權(quán)限問題。

1.5 功能需求

(1) 建設(shè)的校園網(wǎng)絡系統(tǒng)能夠提供計算機的軟硬件系統(tǒng)資源，提供各種教學和辦公平臺，服務于教學和科研工作。

(2) 具有可靠的通信功能，如通過NAT和VPN的配置，實現(xiàn)校園網(wǎng)絡成功訪問外部網(wǎng)絡資源，同時外網(wǎng)能夠訪問內(nèi)部網(wǎng)絡資源，最終實現(xiàn)內(nèi)外網(wǎng)絡之間的相互訪問功能。

(3) 滿足信息交流的需求，便于教師對信息資源的及時獲取，以便于查閱和檢索。

(4) 確保所設(shè)計的校園網(wǎng)絡系統(tǒng)安全可靠，同時也需確保實用性、可擴展性和高技術(shù)先進性，滿足學校網(wǎng)絡未來業(yè)務的發(fā)展需要。

2 搭建虛擬實驗環(huán)境

2.1 VTP配置

為了簡化網(wǎng)絡繁重而枯燥的管理，在三層交換機上配置了VTP Server，然后在Server上創(chuàng)建和修改VLAN，VTP協(xié)議將修改信息并更新到其余交換機上。

網(wǎng)管中心3層交換機上的關(guān)鍵配置(院系配置部分)命令如下：

S1(config)#VTP domain aaa

S1(config)#VTP mode server

S1(config)#vlan 2

S1(config-vlan)#exit

S1(config)#vlan 3

計科系2層交換機switch1關(guān)鍵配置如下：

switch(config)#VTP domain aaa

switch(config)#VTP mode client

switch(config)#int range fa 0/2-24

switch(config-if-range)#switchport access vlan 2

3層交換機上為各VLAN配置IP地址，啟用路由功能，關(guān)鍵配置命令如下：

S1(config)#intvlan 1

S1(config-if)#ip add 172.16.1.4 255.255.255.0

S1(config-if)#no shutdown

S1(config)#interface vlan 2

S1(config-if)#ip address 172.16.10.254 255.255.255.0

S1(config-if)#no shutdown

S1(config)#intvlan 3

S1(config-if)#ip address 172.16.11.254 255.255.255.0

S1(config-if)#no shutdown

S1(config)#ip routing

2.2 配置WEB和DNS服務器

WEB服務器的配置為，首先單擊WEB服務器，選擇HTTP，并在HTTP中選擇On。然后，選擇IP Configuration，配置IP Address：172.16.1.2，Subnet Mask：255.255.255.0，Default Gateway：172.16.1.1。

DNS服務的配置為：首先單擊DNS服務器，選擇DNS，DNS Service選擇單選框On，在Name對中輸入“www.qjnu.edu.cn”，Type中選擇“A Record”，輸入“172.16.1.2”。然后，IP Configuration，配置IP Address：172.16.1.3，Subnet Mask：255.255.255.0，Default Gateway：172.16.1.1。

2.3 動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol, PHCP)配置

在網(wǎng)管中心的3層交換機S1上配置DHCP，為各系自動分配ip地址，關(guān)鍵配置命令如下：

S1(config)#ipdhcp pool wgzx //網(wǎng)管dhcp配置

S1(dhcp-config)#network 172.16.1.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.1.1

S1(dhcp-config)#dns-server 172.16.1.3

S1(config)#ipdhcp pool jkx //計科系dhcp配置

S1(dhcp-config)#network 172.16.10.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.10.254

S1(dhcp-config)#dns-server 172.16.1.3

S1(config)#ipdhcp pool wlx //物理系dhcp配置

S1(dhcp-config)#network 172.16.11.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.11.1

S1(dhcp-config)#dns-server 218.30.1.100

S1(config)#ipdhcp excluded 172.16.1. 172.16.1.10 //排除前10個ip地址

S1(config)#ipdhcp excluded 172.16.10.1 172.16.10.5 //排除前5個ip地址

S1(config)#ipdhcp excluded 172.16.11.1 172.16.11. //排除前5個ip地址

2.4 路由信息協(xié)議(Routing Information Protocol,RIP)配置

在3層交換機上運行RIP協(xié)議，使整個網(wǎng)絡能夠互相訪問，關(guān)鍵配置命令如下：

S1(config)#router rip

S1(config-router)#version 2

S1(config-router)#network 172.16.1.0

S1(config-router)#network 172.16.10.0

S1(config-router)#network 172.16.11.0

單臂路由的配置，配置命令如下：

Router(config)#int fa0/1.1

Router(config-subif)#encapsulation dot1q 5

Router(config-subif)#ip add 172.16.13.254 255.255.255.0

Router(config)#int fa0/1.2

Router(config-subif)#enca

Router(config-subif)#encapsulation dot1q 6

Router(config-subif)#ip add 172.16.14.254 255.255.255.0

配置路由器R0上RIP路由協(xié)議命令如下：

Router(config)#router rip

Router(config-router)#version 2

Router(config-router)#network 172.16.12.0

Router(config-router)#network 172.16.9.0

2.5 虛擬專用網(wǎng)絡(Virtual Private Network,VPN)配置

通過R2和R3路由器來模擬Internet網(wǎng)絡，并將R1和R4進行連接到Internet網(wǎng)絡，同時，R1的fa0/0端口連接到校園網(wǎng)的內(nèi)部，R4的fa0/0端口與遠程辦公室進行連接，遠程辦公和校園網(wǎng)絡的內(nèi)部是通過VPN的配置(GRE Tunnel隧道)進行連接。

R1～R4路由器配置如下：

R1(config)#ip route 0.0.0.0 0.0.0.0 202.96.134.2

R2(config)#ip route 61.0.0.0 255.255.255.0 218.30.1.3

R3(config)#ip route 202.96.134.0 255.255.255.0 218.30.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 61.0.0.3

上述配置完成后，可知R1能測試通R4的公網(wǎng)接口se1/0，R4能測試通R1的公網(wǎng)接口se1/0。

測試圖如5、6所示。

圖5 R1能測試通R4的公網(wǎng)接口se1/0

圖6 R4能測試通R1的公網(wǎng)接口se1/0

但R1和R4不能測試通過私網(wǎng)接口fa0/0，需要進行GRE Tunnel隧道配置，命令如下：

R1(config)#interface tunnel 0 //創(chuàng)建Tunnel接口，編號為0

R1(config-if)#tunnel source serial1/0 //指定Tunnel的源接口為serial1/0

R1(config-if)#tunnel destination 61.0.0.4 //指定Tunnel的目的IP地址，路由器以此地址為目的地址重新封裝VPN數(shù)據(jù)包

R1(config-if)#ip add 172.16. 14.1 255.255.255.0 //配置隧道接口上的IP地址，創(chuàng)建隧道后，可以吧隧道看成是一條專線

R4(config)#interface tunnel 0 //創(chuàng)建Tunnel接口，編號為0，Tunnel接口的編號本地有效，不必和對方的一致

R4(config-if)#tunnel source serial1/0

R4(config-if)#tunnel destination 202.96.134.1

R4(config-if)#ip address 172.16.14.4 255.255.255.0

R1測試R4上的隧道接口(ip地址為172.16.14.4)，如圖7所示。

圖7 R1測試R4上的隧道接口

R4測試R1上的隧道接口(ip地址為172.16.14.1)，如圖8所示。

圖8 R4測試R1上的隧道接口

RIP路由協(xié)議配置如下:

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#network 172.16.0.0

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#network 172.16.4.0

配置完成之后，查看R1和R4的路由表可知，遠程辦公室的網(wǎng)絡已經(jīng)學習到校園網(wǎng)內(nèi)部的路由，校園網(wǎng)內(nèi)部也學到遠程辦公室的路由，路由的下一跳為隧道另一端的地址，此時遠程辦公室就能與校園網(wǎng)內(nèi)部進行訪問了。

2.6 NAT配置

通過上述的配置命令后，現(xiàn)在校園網(wǎng)內(nèi)部還不能訪問外部網(wǎng)Internet，若要訪問外部網(wǎng)絡Internet，還需要配置NAT，關(guān)鍵配置命令如下：

Router(config)#int fa0/0

Router(config-if)#ip add 172.16.19.254 255.255.255.0

Router(config-if)#no shut

Router(config)#int fa0/1

Router(config-if)#ip add 200.200.200.1 255.255.255.0

Router(config-if)#no shut

Router(config)#router rip

Router(config-router)#version 2

Router(config-router)#no auto-summary

Router(config-router)#network 172.16.19.0

Router(config)#ipnat pool nat_pool 200.200.200.1 200.200.200.1 netmask 255.255.255.0

Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255

Router(config)#ipnat inside source list 1 pool nat_pool overload

3 實驗仿真結(jié)果

3.1 系統(tǒng)之間的連通性測試

在校園網(wǎng)絡內(nèi)部任選一臺機子測試它與其他機子的連通性，以財務處的機子PC8為例做測試。測試財務處與人事處之間的連通性，測試財務處與物理系之間的連通性，測試財務處與計科系之間的連通性，測試財務處與宿舍公寓的連通性，結(jié)果給出財務處與人事處的連通性如圖9所示。

圖9 財務處主機PC8測試人事處主機的連通性

3.2 DHCP的測試

如圖10所示，物理系的主機能正常自動獲取ip地址。同理，計科系的主機也能正常自動獲取ip地址。

3.3 RIP協(xié)議的測試

在路由器R0上測試，運行如下圖11所示。

3.4 NAT配置的測試

在內(nèi)網(wǎng)3層交換機S1上測試內(nèi)網(wǎng)訪問外網(wǎng)如下所示：

S1#ping 200.200.200.1

Type escape sequence to abort.

圖10 圖中顯示IP地址自動獲取成功

圖11 圖中顯示R0的為RIP協(xié)議

Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 s:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/4/16 ms

S1#enable

S1#ping 200.200.200.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.10, timeout is 2 s:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

現(xiàn)在校園網(wǎng)內(nèi)部就能訪問Internet，并且也能夠訪問遠程辦公室。

3.5 VPN配置的測試

用遠程辦公室主機測試校園網(wǎng)內(nèi)部，如圖12所示，成功與校園網(wǎng)內(nèi)部進行訪問。

圖12 遠程辦公室主機測試校園內(nèi)網(wǎng)圖

4 結(jié) 論

本文通過在Cisco Packet Tracer模擬軟件中搭建校園網(wǎng)絡系統(tǒng)，并配置實現(xiàn)校園網(wǎng)絡的相關(guān)功能，即內(nèi)部網(wǎng)絡互聯(lián)互通，外部網(wǎng)絡能夠通過VPN訪問校園網(wǎng)絡資源。使得學生掌握計算機網(wǎng)絡課程中的關(guān)鍵知識，并能把這些理論知識成功地運用在實踐中，為學生今后從事實際的網(wǎng)絡組建奠定了一定的知識。同時，模擬軟件提供的配置命令，與實際組網(wǎng)中的設(shè)備命令一致，降低了硬件資源成本，虛擬校園網(wǎng)絡可以直接運用到實際組網(wǎng)，對實際組網(wǎng)起到很好的參考價值。同時這種教學模式在我院的計算機網(wǎng)絡課程中，已經(jīng)開展，通過綜合答辯方式考核學生的理解，實踐效果好。

參考文獻(References)：

[1] 周江偉.校園網(wǎng)絡系統(tǒng)構(gòu)建完善分析[J].長春教育學院學報,2013,29(15):96,102.

[2] 劉百祥,趙澤宇,張 凱.面向校園信息化業(yè)務特征的虛擬化平臺架構(gòu)[J].華東師范大學學報(自然科學版),2015(S1):274-282.

[3] 薛 調(diào),王躍虎,高景祥.網(wǎng)絡教學平臺的發(fā)展定位及服務設(shè)計[J].圖書館工作與研究,2010(1):81-84.

[4] 孔慶偉.基于SDN的高校校園網(wǎng)設(shè)計及應用研究[J].山東社會科學,2015(S2):280-281.

[5] 郭曉東,焦 亮,仇一泓,等.基于Click和NS2的多路徑域間路由仿真器的設(shè)計與實現(xiàn)[J].山東大學學報(理學版),2013,48(11):36-43.

[6] 范國渠.一種關(guān)聯(lián)云計算的高校網(wǎng)絡惡意攻擊檢測模型[J].科技通報,2012,28(8):153-155.

[7] 程思寧,耿 強,姜文波,等.虛擬仿真技術(shù)在電類實驗教學中的應用與實踐[J].實驗技術(shù)與管理,2013,30(7):94-97.

[8] 張梁斌,高 昆,梁世斌.基于Packet Tracer的小型企業(yè)網(wǎng)絡應用架構(gòu)的仿真實驗[J].實驗室研究與探索,2012,31(10):372-37.

[9] 杜興勇,劉海東.創(chuàng)新計算機網(wǎng)絡實驗教學與實驗平臺的改革探索[J].中國成人教育,2009(16): 149-150.

[10] 田海江.網(wǎng)絡組網(wǎng)虛擬實驗系統(tǒng)設(shè)計與實現(xiàn)[J]. 重慶郵電大學學報(自然科學版),2008(S1):67-69,92.

[11] 周 舸,余 欣,朱镕申.計算機網(wǎng)絡技術(shù)基礎(chǔ)[M].北京:人民郵電出版社,2014.

[12] 蘇東梅. 基于Packet Tracer設(shè)計網(wǎng)絡綜合實踐項目的應用研究[J].數(shù)字技術(shù)與應用,2013(10):24-25.

[13] 琚生根,陳 黎,周 剛,等.“計算機網(wǎng)絡”實驗課程的教學探討[J].實驗技術(shù)與管理,2013,30(4): 159-161.

[14] 張 衛(wèi),愈黎陽.計算機網(wǎng)絡工程[M].北京:清華大學出版社,2010.

[15] 金偉祖,陳顯濤.可持續(xù)的計算機網(wǎng)絡綜合性創(chuàng)新實驗項目[J].實驗室研究與探索,2014,33(4):187-190,236.

[16] 張清平,謝 鵬.基于Cisco ISL和IEEE802.1Q的VLAN間通信原理及仿真分析[J].計算機與現(xiàn)代化,2009,172(12):150-153.