楊 禮，劉 靜

(喀什大學(xué) 計算機科學(xué)與技術(shù)學(xué)院,新疆 喀什 844008)

路由與交換技術(shù)是計算機網(wǎng)絡(luò)工程專業(yè)的一門具有理論性和實踐性的課程,要求學(xué)生具備一定的工程實踐能力[1]。緊抓課程的理論與實踐相結(jié)合,培養(yǎng)學(xué)生的實驗實踐能力,以工程實踐訓(xùn)練為目的[2],本文設(shè)計了一個綜合型的園區(qū)網(wǎng)構(gòu)建實驗項目。由于網(wǎng)絡(luò)實驗室設(shè)備資源有限等問題,將網(wǎng)絡(luò)模擬軟件應(yīng)用到實驗教學(xué)中,降低了實驗室的投資成本,提高了實驗效率[3-4]。在教學(xué)過程中,計算機專業(yè)的學(xué)生對網(wǎng)絡(luò)模擬器的反饋良好。

通常情況下,構(gòu)建大中型的園區(qū)網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu),即接入層、匯聚層和核心層[5-6]。接入層直接面向用戶,匯聚層為接入層設(shè)備提供VLAN間路由,核心層主要用于實現(xiàn)數(shù)據(jù)的可靠性傳輸[5]。文獻(xiàn)[7]給出了一個組建局域網(wǎng)的工程項目實例的實驗。文獻(xiàn)[8]實現(xiàn)了一個兩層結(jié)構(gòu)的小型企業(yè)網(wǎng)絡(luò)的仿真實驗。本文采用了三層網(wǎng)絡(luò)架構(gòu)的組建網(wǎng)絡(luò)思路,進(jìn)一步融合VLAN技術(shù)[9-10]、路由技術(shù)[11]、DNS服務(wù)器[12]和NAT技術(shù)[13]等重要知識點,在Cisco Packet Tracer 6.1模擬軟件上搭建了一個園區(qū)網(wǎng)絡(luò),為學(xué)生的綜合配置和工程實踐能力的訓(xùn)練提供了一個可靠的實驗項目方案。

1 實驗內(nèi)容

1.1 實驗?zāi)繕?biāo)

在模擬軟件上搭建一個三層網(wǎng)絡(luò)架構(gòu)的園區(qū)網(wǎng)模型,完成對交換機、路由器、主機和服務(wù)器的配置,掌握構(gòu)建園區(qū)網(wǎng)絡(luò)常用的技術(shù)手段。

1.2 實驗重點

1)VLAN的劃分。通過對接入層的二層交換機進(jìn)行VLAN劃分實現(xiàn)對網(wǎng)絡(luò)的有效管理,隔離廣播域。

2)交換機虛擬接口 (switch virtual interface,SVI)的配置。利用三層交換機的路由功能實現(xiàn)VLAN間的互連。

3)DHCP地址池的配置。匯聚層設(shè)備為接入層的用戶提供DHCP地址池服務(wù),用戶通過DHCP方式自動獲取IP地址。

4)RIP動態(tài)路由和默認(rèn)路由的配置。通過配置路由為數(shù)據(jù)的轉(zhuǎn)發(fā)提供路由選擇,實現(xiàn)不同網(wǎng)段的連通。

5)服務(wù)器的配置。主要完成對 DNS、FTP、Web和Email服務(wù)的配置,用于對服務(wù)器提供的網(wǎng)絡(luò)服務(wù)的測試。

1.3 實驗難點

實驗配置過程中涉及網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation,NAT)和訪問控制列表(access control list,ACL)兩個關(guān)鍵安全技術(shù)的應(yīng)用,這也成為實驗的難點。

1)NAT技術(shù)的應(yīng)用。

通過NAT技術(shù)可以把內(nèi)網(wǎng)的私有地址轉(zhuǎn)換公網(wǎng)地址,實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)的訪問。本文在出口路由器上使用動態(tài)PAT(port address translation)技術(shù)[1],實現(xiàn)多對一的地址映射；通過配置靜態(tài)PAT實現(xiàn)內(nèi)網(wǎng)對外服務(wù)的發(fā)布。

2)ACL技術(shù)的應(yīng)用。

ACL技術(shù)是一種包過濾安全策略,通過配置ACL技術(shù)可以實現(xiàn)對網(wǎng)絡(luò)流量和流向的控制[1]。需要注意的是,必須把控制列表應(yīng)用到路由器的相應(yīng)接口下才能生效。

1.4 實驗步驟

本文實驗按以下步驟進(jìn)行:

1)選擇設(shè)備類型,完成網(wǎng)絡(luò)拓?fù)涞拇罱ǎ?/p>

2)進(jìn)行設(shè)備之間的互連,進(jìn)行VLAN和IP地址的規(guī)劃,內(nèi)網(wǎng)使用192.168.0.0的私有地址,外網(wǎng)使用200.100.1.0和202.102.1.0的公網(wǎng)合法網(wǎng)址；

3)進(jìn)行網(wǎng)絡(luò)設(shè)備的配置,并檢查配置文檔；4)驗證實驗結(jié)果。

2 實驗過程

2.1 設(shè)備選型

本文的實驗在Cisco Packet Tracer 6.1軟件平臺上進(jìn)行模擬,選用2590-24型的二層交換機組成接入層的主要設(shè)備,選用3560-24PS型的三層交換機作為匯聚層和核心層的設(shè)備,Router-PT型的路由器作為連接內(nèi)、外部網(wǎng)絡(luò)的連接設(shè)備。根據(jù)需要對設(shè)備重新命名,比如匯聚層設(shè)備可以根據(jù)拼音進(jìn)行命名HJ1、HJ2,以便于對設(shè)備進(jìn)行標(biāo)識。拓?fù)浣Y(jié)構(gòu)如圖1所示。

2.2 設(shè)備連接

為了實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互連互通,需要完成設(shè)備之間的連接,采取RIP動態(tài)路由和默認(rèn)路由的方式實現(xiàn)不同網(wǎng)段的連通；在出口路由器上配置NAT實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)的訪問,以保護(hù)內(nèi)網(wǎng)主機信息。設(shè)備之間通過IP或VLAN的方式進(jìn)行連接[6]。本文的實驗中網(wǎng)絡(luò)設(shè)備之間采取以下的連接方式:

1)在路由器的端口下直接配置IP地址；

2)二層交換機與三層交換之間通過配置Trunk模式或相同VLAN的方式進(jìn)行連接；

3)匯聚層與核心層的交換機之間通過配置IP地址的方式實現(xiàn)連接。

關(guān)鍵網(wǎng)絡(luò)設(shè)備的VLAN及IP信息如表1所示。設(shè)備連接端口的配置信息如表2所示。

表1 網(wǎng)絡(luò)設(shè)備VLAN信息

表2 設(shè)備端口IP配置

表2 (續(xù)表)

3 實驗仿真與驗證

3.1 網(wǎng)絡(luò)設(shè)備配置

在設(shè)備的配置過程,首先對需要配置靜態(tài)IP地址的設(shè)備進(jìn)行配置,然后從接入層、匯聚層、核心層、路由器到服務(wù)器的順序進(jìn)行配置。經(jīng)過配置之后,在設(shè)備中運行running-config命令可以查看設(shè)備的詳細(xì)配置信息。

1)接入層設(shè)備配置。

在接入層上完成基于交換機端口的VLAN劃分,實現(xiàn)對廣播流量的控制[9]。以JR1的配置為例,主要配置命令為:

interface FastEthernet0/1

switchport accessvlan 10

interface FastEthernet0/24

switchport mode trunk

2)匯聚層設(shè)備配置。

經(jīng)過配置SVI虛擬接口實現(xiàn)VLAN間路由[10],通過DHCP配置實現(xiàn)VLAN 10、VLAN 20、VLAN 30和VLAN 40所屬的主機自動獲取IP地址,設(shè)置路由實現(xiàn)不同網(wǎng)段的通信,以HJ1的SVI和DHCP地址池的配置為例,主要配置命令為:

interfacevlan 10

ip address 192.168.10.1 255.255.255.0

interfacevlan 20

ip address 192.168.20.1 255.255.255.0

ip dhcp excluded-address 192.168.10.1

ip dhcp excluded-address 192.168.20.1

ip dhcp pool vlan10

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 192.168.0.254

ip dhcp pool vlan20

network 192.168.20.0 255.255.255.0

default-router 192.168.20.1

dns-server 192.168.0.254

3)核心層設(shè)備配置。

在核心層進(jìn)行端口IP地址、RIP路由、默認(rèn)路由的配置,通過VLAN實現(xiàn)與服務(wù)器群的連接,主要配置命令為:

router rip

version 2

network 192.168.0.0

network 192.168.1.0

network 192.168.2.0

network 192.168.3.0

no auto-summary

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.3.2

4)路由器配置。

在出口路由器R1上應(yīng)用ACL和NAT技術(shù),實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互聯(lián)。通過在R1中設(shè)置內(nèi)網(wǎng)、外網(wǎng)出口,完成ACL列和NAT的配合使用,實現(xiàn)了內(nèi)網(wǎng)對外網(wǎng)的訪問和外網(wǎng)的主機對內(nèi)網(wǎng)服務(wù)器的訪問上的控制,路由器R1的主要配置命令為:

interface FastEthernet0/0

ip address 192.168.3.2 255.255.255.0

ip nat inside

interface Serial2/0

ip address 200.100.1.1 255.255.255.0

ip nat outside

clock rate 64000

router rip

version 2

network 192.168.3.0

network 200.100.1.0

no auto-summary

ip nat inside source list 1 interface Serial2/0 overload

ip nat inside source static tcp 192.168.0.2 80 200.100.1.1 80

ip nat inside source static tcp 192.168.0.2 20 200.100.1.1 20

ip nat inside source static tcp 192.168.0.2 21 200.100.1.1 21

ip nat inside source static tcp 192.168.0.2 25 200.100.1.1 25

ip nat inside source static tcp 192.168.0.2 110 200.100.1.1 110

ip route 0.0.0.0 0.0.0.0 200.100.1.2

access-list 1 permit 192.168.10.0 0.0.0.255

access-list 1 permit 192.168.20.0 0.0.0.255

access-list 1 permit 192.168.30.0 0.0.0.255

access-list 1 permit 192.168.40.0 0.0.0.255

5)服務(wù)器配置。

內(nèi)網(wǎng)服務(wù)器區(qū)設(shè)置Server0和Server1兩臺服務(wù)器。其中,Server0提供 DNS服務(wù),Server1提供web、ftp和email服務(wù),在ftp和email服務(wù)中均設(shè)置兩個用戶名user1和user2。Server2提供Internet服務(wù)和PC4訪問內(nèi)網(wǎng)服務(wù)器的DNS功能。服務(wù)器Server0和Server2的DNS配置如圖2和圖3所示。

圖2 Server0的DNS設(shè)置

圖3 Server2的DNS設(shè)置

3.2 實驗結(jié)果驗證

1)內(nèi)網(wǎng)的主機能夠通過匯聚層交換機提供的DHCP地址池自動獲取IP地址,使用ping命令測試主機之間可以互通。

2)DNS服務(wù)器實現(xiàn)對域名的解析,內(nèi)網(wǎng)主機可以訪問內(nèi)網(wǎng)和外網(wǎng),如圖4和圖5所示。

圖4 PC2訪問內(nèi)網(wǎng)web服務(wù)

圖5 PC3訪問外網(wǎng)www服務(wù)

3)外網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器,以PC4訪問內(nèi)網(wǎng)的ftp服務(wù)為例,結(jié)果如圖6所示。

圖6 PC4訪問內(nèi)網(wǎng)ftp服務(wù)

4)NAT技術(shù)的驗證。

以下是PC1與PC4之間執(zhí)行的tracert命令以及執(zhí)行后的路由跟蹤結(jié)果。

PC＞tracert 202.102.1.3

10 ms 0 ms 0 ms 192.168.20.1

21 ms 0 ms 0 ms 192.168.1.2

30 ms 0 ms 1 ms 192.168.3.2

41 ms 0 ms 0 ms 200.100.1.2

50 ms 0 ms 1 ms 202.102.1.3

PC＞tracert 192.168.20.2

10 ms 1 ms 1 ms 202.102.1.1

22 ms 1 ms 0 ms 200.100.1.1

31 ms 1 ms 1 ms 192.168.3.1

41 ms 1 ms 1 ms 192.168.1.1

51 ms 1ms 1 ms 200.100.1.1

NAT轉(zhuǎn)換信息如圖7所示。

圖7 NAT Table結(jié)果

4 結(jié)束語

本文以網(wǎng)絡(luò)工程專業(yè)路由與交換技術(shù)課程的實驗教學(xué)為目標(biāo),設(shè)計了一個綜合性的構(gòu)建園區(qū)網(wǎng)絡(luò)的實驗項目,利用模擬軟件完整地完成了園區(qū)網(wǎng)絡(luò)的構(gòu)建過程。通過該實驗,有效地提高了學(xué)生對網(wǎng)絡(luò)關(guān)鍵技術(shù)的理解和運用能力。學(xué)生對實驗的積極性較高,實驗教學(xué)的反饋結(jié)果良好。