黃要武

摘要：為了在網(wǎng)絡(luò)工程與系統(tǒng)集成課程中提高學(xué)生的綜合實(shí)踐能力，增加工程項(xiàng)目經(jīng)驗(yàn)，將實(shí)際網(wǎng)絡(luò)工程項(xiàng)目“企業(yè)網(wǎng)絡(luò)互聯(lián)系統(tǒng)”引入課堂，包括設(shè)計(jì)、安裝、配置和測(cè)試。利用軟件Cisco Packet tracer完成網(wǎng)絡(luò)設(shè)備配置實(shí)驗(yàn)仿真，使每個(gè)學(xué)生僅用一臺(tái)PC完成一個(gè)綜合的網(wǎng)絡(luò)工程項(xiàng)目訓(xùn)練。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)設(shè)計(jì);網(wǎng)絡(luò)互聯(lián);Packet Rracer;仿真實(shí)驗(yàn)

中圖分類(lèi)號(hào)：TP393.1? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）06-0046-03

網(wǎng)絡(luò)工程師是網(wǎng)絡(luò)工程專(zhuān)業(yè)的主要培養(yǎng)目標(biāo)，而應(yīng)聘網(wǎng)絡(luò)工程師時(shí)通常需要工程項(xiàng)目經(jīng)驗(yàn)，這需要畢業(yè)生在畢業(yè)前就做好充分準(zhǔn)備。獲得經(jīng)驗(yàn)的途徑主要有兩條，一個(gè)是依靠網(wǎng)絡(luò)設(shè)備實(shí)驗(yàn)室搭建網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)踐訓(xùn)練，另一個(gè)是通過(guò)校外工作實(shí)習(xí)。但是多數(shù)高校的實(shí)驗(yàn)設(shè)備通常只能滿(mǎn)足一些基本技能的練習(xí);而在短期的社會(huì)工作實(shí)踐中，對(duì)于綜合能力和經(jīng)驗(yàn)均不足的學(xué)生，只能做一些皮毛工作，能力很難得到提高。最好的辦法就是能將實(shí)際工程項(xiàng)目案例引入課堂，讓學(xué)生在實(shí)習(xí)前就能具備一定的工程項(xiàng)目經(jīng)驗(yàn)。我們將“企業(yè)網(wǎng)絡(luò)互聯(lián)系統(tǒng)”經(jīng)過(guò)提煉和適當(dāng)修改，用于學(xué)生網(wǎng)絡(luò)綜合技能訓(xùn)練，并結(jié)合設(shè)備模擬器軟件Cisco Packet tracer完成實(shí)驗(yàn)仿真。經(jīng)過(guò)多輪教學(xué)實(shí)踐驗(yàn)證，既解決了實(shí)驗(yàn)設(shè)備的不足問(wèn)題，又給學(xué)生提供了工程項(xiàng)目經(jīng)驗(yàn)。

1 項(xiàng)目場(chǎng)景

某鋼鐵股份有限公司總部位于市郊區(qū)，主要負(fù)責(zé)生產(chǎn)和管理。公司設(shè)立了一個(gè)分支機(jī)構(gòu)，位于市中心，主要負(fù)責(zé)銷(xiāo)售。公司計(jì)劃實(shí)現(xiàn)企業(yè)的生產(chǎn)和銷(xiāo)售的信息化管理。主要需求如下：

（1）總部共有三個(gè)建筑，主樓、建筑A和建筑B。總部計(jì)算機(jī)用戶(hù)總數(shù)為115，分布在這三個(gè)建筑里的數(shù)量分別為60、25、30。市內(nèi)分支機(jī)構(gòu)用戶(hù)數(shù)量15。總部用戶(hù)需要與分支機(jī)構(gòu)用戶(hù)實(shí)時(shí)連接。

（2）所有用戶(hù)通過(guò)快速以太網(wǎng)接入，都能訪(fǎng)問(wèn)Internet。

（3）用戶(hù)劃分為三個(gè)部門(mén)，技術(shù)與生產(chǎn)部、銷(xiāo)售部和財(cái)務(wù)部。暫時(shí)所有部門(mén)用戶(hù)都能夠互相訪(fǎng)問(wèn)，以后制定部門(mén)用戶(hù)間的隔離政策。

（4）網(wǎng)絡(luò)布線(xiàn)系統(tǒng)已經(jīng)完成。網(wǎng)絡(luò)信息中心設(shè)在主樓。每個(gè)建筑物網(wǎng)絡(luò)的干線(xiàn)采用多模光纖，用戶(hù)接入均為超五類(lèi)雙絞線(xiàn)。建筑群采用單模光纖連接主樓、建筑A和建筑B。

2 項(xiàng)目分析和設(shè)計(jì)

根據(jù)用戶(hù)需求，設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖1所示，分為總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)兩個(gè)部分?？偛烤W(wǎng)絡(luò)采用二層結(jié)構(gòu)，核心層和接入層。干線(xiàn)采用吉比特以太網(wǎng)連接，用戶(hù)接入采用快速以太網(wǎng)連接。常用的一些服務(wù)器直接千兆連接到核心交換機(jī)。由于每個(gè)建筑僅設(shè)計(jì)一個(gè)配線(xiàn)間，用戶(hù)接入比較集中，所以采用了堆疊技術(shù)?？偛烤W(wǎng)絡(luò)與分支機(jī)構(gòu)互聯(lián)選用租用的專(zhuān)線(xiàn)或以太網(wǎng)線(xiàn)路。內(nèi)部網(wǎng)與Internet之間使用防火墻過(guò)濾數(shù)據(jù)包，提高內(nèi)部網(wǎng)的安全性。

本項(xiàng)目實(shí)現(xiàn)的難點(diǎn)在于，讓所有部門(mén)用戶(hù)都能訪(fǎng)問(wèn)因特網(wǎng)的同時(shí)，還要考慮部門(mén)用戶(hù)間隔離。這需要先采用VLAN技術(shù)隔離部門(mén)用戶(hù)，再通過(guò)三層交換技術(shù)互連所有用戶(hù)，最后還需要在核心交換機(jī)上設(shè)置ACL，限制某個(gè)部門(mén)用戶(hù)與其他部門(mén)的訪(fǎng)問(wèn)。因?yàn)橛脩?hù)需求是以后考慮部門(mén)用戶(hù)間的隔離，所以暫時(shí)可以省略最后一步的ACL配置。這個(gè)ACL的配置可以留給學(xué)生做擴(kuò)展練習(xí)。當(dāng)然，如果用戶(hù)不需要隔離，以上三步配置都沒(méi)必要了。

3 仿真實(shí)現(xiàn)

3.1 搭建網(wǎng)絡(luò)環(huán)境

使用軟件Cisco Packet tracer搭建網(wǎng)絡(luò)模擬環(huán)境如圖2所示。核心交換機(jī)選用一臺(tái)型號(hào)為3560-24FS的三層交換機(jī)（Switch0），防火墻選用路由器（Router3）代替，總部用戶(hù)接入交換機(jī)選用一臺(tái)2950-24（Switch1）代表。對(duì)于外網(wǎng)的模擬，僅有一臺(tái)主機(jī)供測(cè)試即可，這里用三臺(tái)服務(wù)器Web（Server0）、DNS（Server1）、FTP（Server2），以達(dá)更好仿真效果。

3.2 規(guī)劃IP地址

內(nèi)部網(wǎng)使用地址段172.16.0.0/24劃分子網(wǎng)，分配給VLAN1、VLAN2、VLAN3、VLAN4，如表1所示。設(shè)備的管理IP地址分配如表2所示。外網(wǎng)使用公網(wǎng)地址段210.30.108.0/24，由ISP分配給企業(yè)的公網(wǎng)地址段為210.30.108.240/29，企業(yè)Web和FTP網(wǎng)站使用兩個(gè)地址（見(jiàn)表3），其他用于NAT地址池。測(cè)試使用的各PC和服務(wù)器主機(jī)的IP地址分配如表3所示。

3.3 配置網(wǎng)絡(luò)設(shè)備

由于配置比較復(fù)雜，為了便于識(shí)別，在圖2中標(biāo)注了每臺(tái)設(shè)備的主要配置內(nèi)容。主要配置思路如下：

（1）局域網(wǎng)的配置。在核心交換機(jī)上設(shè)置VTP Server，劃分VLAN，配置三層交換的VLAN端口地址，設(shè)置Trunk端口，設(shè)置Telnet訪(fǎng)問(wèn)。所有接入交換機(jī)設(shè)置為VTP Client，設(shè)置與核心交換機(jī)連接的端口為T(mén)runk，分配用戶(hù)PC連接的端口到相應(yīng)的VLAN，設(shè)置管理IP地址及Telnet訪(fǎng)問(wèn)。核心交換機(jī)的配置參考如下（接入交換機(jī)的配置略）。

Switch0#show run

！……

hostname Switch0

ip routing

！

interface FastEthernet0/1

switchport access vlan 2

！……

interface Vlan1

ip address 172.16.1.1 255.255.255.0

！

interface Vlan2

ip address 172.16.2.1 255.255.255.0

！

interface Vlan3

ip address 172.16.3.1 255.255.255.0

！

router rip

network 172.16.0.0

！

ip classless

ip route 0.0.0.0 0.0.0.0 172.16.1.3

……

！

line vty 0 4

password 123

login

end

（2）路由的配置。內(nèi)部網(wǎng)配置RIP，分別在Router1、Router2、Router3和三層交換機(jī)Switch0上配置。為了讓內(nèi)部網(wǎng)用戶(hù)訪(fǎng)問(wèn)外網(wǎng)，分別在Router1、Router2和三層交換機(jī)上Switch0上配置默認(rèn)路由，指向外網(wǎng)方向。需要注意，Router1的下一跳地址取決于Switch0的端口F0/1連接的VLAN。這里將Switch0的端口F0/1分配到VLAN2，因此Router1的下一跳地址為VLAN2端口的地址172.16.2.1。Router1配置參考如下（Router2的配置略）。

Router1#show run

！……

hostname Router1

interface FastEthernet0/0

ip address 172.16.2.2 255.255.255.0

duplex auto

speed auto

！

interface Serial0/1/0

ip address 172.16.5.1 255.255.255.0

clock rate 2000000

！

router rip

network 172.16.0.0

！

ip route 0.0.0.0 0.0.0.0 172.16.2.1

！……

line vty 0 4

password 123

login

end

（3）NAT和ACL的配置。在與外網(wǎng)連接的路由器Router3上配置NAT，允許內(nèi)部網(wǎng)172.16.0.0/16地址轉(zhuǎn)換，公網(wǎng)地址池為210.30.108.243～210.30.108.246。設(shè)置指向外網(wǎng)的默認(rèn)路由。ACL。為了保障NAT成功，避免數(shù)據(jù)包通過(guò)RIP訪(fǎng)問(wèn)外網(wǎng)，使用標(biāo)準(zhǔn)ACL過(guò)濾172.16.0.0/16地址的包流向外網(wǎng)。路由器Router3的配置參考如下。

Router3#show run

！……

hostname Router3

interface FastEthernet0/0

ip address 172.16.1.3 255.255.255.0

ip nat inside

duplex auto

speed auto

！

interface FastEthernet0/1

ip address 210.30.108.1 255.255.255.0

ip access-group 10 out

ip nat outside

duplex auto

speed auto

！

router rip

network 172.16.0.0

！

ip nat pool to-internet 210.30.108.243 210.30.108.246 netmask 255.255.255.0

ip nat inside source list 1 pool to-internet overload

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

！

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 10 deny 172.16.0.0 0.0.255.255

access-list 10 permit any

！……

line vty 0 4

password 123

login

end

4 網(wǎng)絡(luò)系統(tǒng)的測(cè)試

第一步，測(cè)試局域網(wǎng)。驗(yàn)證PC1、PC2和PC3之間能夠ping通，確認(rèn)VTP、VLAN配置、三層交換和PC的IP設(shè)置等正確。

第二步，測(cè)試RIP路由。驗(yàn)證PC4與路由器Router3的端口F0/0（地址172.16.1.3）的網(wǎng)絡(luò)連通性，確認(rèn)RIP配置正確。

第三步，測(cè)試Internet訪(fǎng)問(wèn)。驗(yàn)證內(nèi)部網(wǎng)的任何一臺(tái)PC與外部網(wǎng)的任何一臺(tái)Server之間的連通性，并檢查路由器Router3的NAT轉(zhuǎn)換統(tǒng)計(jì)，確認(rèn)Router3的NAT、ACL、默認(rèn)路由以及Server的IP設(shè)置等正確。Router3的NAT轉(zhuǎn)換統(tǒng)計(jì)參考如下，如果不能顯示類(lèi)似的地址轉(zhuǎn)換數(shù)據(jù)，說(shuō)明NAT沒(méi)有工作，可以從ACL、NAT等設(shè)置逐一檢查。

Router#show ip nat translations

Pro? Inside global? ? ?Inside local? ? ? ?Outside local? ? ? Outside global

icmp 210.30.108.243：15 172.16.4.5：15? ? ? 210.30.108.242：15? 210.30.108.242：15

icmp 210.30.108.243：16 172.16.4.5：16? ? ? 210.30.108.242：16? 210.30.108.242：16

icmp 210.30.108.243：17 172.16.4.5：17? ? ? 210.30.108.242：17? 210.30.108.242：17

icmp 210.30.108.243：18 172.16.4.5：18? ? ? 210.30.108.242：18? 210.30.108.242：18

第四步，測(cè)試Telnet管理。驗(yàn)證PC1能夠通過(guò)管理IP地址分別Telnet到各個(gè)設(shè)備。

第五步，如果能進(jìn)一步適當(dāng)設(shè)置DNS、Web和FTP服務(wù)器，還可以在PC上測(cè)試，通過(guò)瀏覽器訪(fǎng)問(wèn)外網(wǎng)的網(wǎng)站主機(jī)，測(cè)試結(jié)果參考如圖3所示。服務(wù)器配置部分可以留給學(xué)生選做。

5 結(jié)束語(yǔ)

本項(xiàng)目將實(shí)際的工程項(xiàng)目案例以仿真形式引入課堂，對(duì)提高學(xué)生的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)、設(shè)備的安裝和配置等綜合能力效果明顯。如果能將更多的實(shí)際工程案例以這種方式引入課堂教學(xué)中，對(duì)學(xué)生應(yīng)聘網(wǎng)絡(luò)工程師一定會(huì)幫助很大。由于篇幅有限，文中略去了一些簡(jiǎn)單的內(nèi)容，在實(shí)際運(yùn)用時(shí)需適當(dāng)補(bǔ)充。本項(xiàng)目?jī)?nèi)容也可以供網(wǎng)絡(luò)工程師實(shí)際應(yīng)用參考。同時(shí)也應(yīng)當(dāng)清楚，模擬仿真雖然優(yōu)點(diǎn)很多，仍然存在諸多不足，只能用于初級(jí)階段的網(wǎng)絡(luò)工程專(zhuān)業(yè)學(xué)習(xí)。使用真實(shí)設(shè)備搭建網(wǎng)絡(luò)環(huán)境仍然是最佳的能力訓(xùn)練方式。

【通聯(lián)編輯：代影】