王衛(wèi)國 王建 李超凡

摘要：在高等職業(yè)院校計算機網(wǎng)絡課程實踐環(huán)節(jié)的教學實驗中，以校園網(wǎng)絡架構為背景，利用EVE-NG虛擬環(huán)境仿真網(wǎng)絡架構，使用VRRP與MSTP相結(jié)合進行負載與冗余，運用OSPF動態(tài)路由協(xié)議合理規(guī)劃路由區(qū)域，并使用PAT技術訪問互聯(lián)網(wǎng)等技術手段，滿足數(shù)據(jù)轉(zhuǎn)發(fā)、負載均衡等基本需求。邏輯網(wǎng)絡架構具備良好的可拓展性，可依據(jù)實際情況和業(yè)務需求進行拓撲變更與網(wǎng)絡優(yōu)化措施，滿足學生的個性實驗環(huán)境要求，提升學生的實踐能力。

關鍵詞：校園網(wǎng);EVE-NG;虛擬路由冗余;端口多路復用

中圖分類號：G642? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）17-0041-02

開放科學（資源服務）標識碼（OSID）：

1 引言

在計算機網(wǎng)絡的實踐課程中[1]，受限于計算機硬件條件，無法滿足進行中小型網(wǎng)絡架構的仿真實驗。GNS3和eNSP等都類似于用戶軟件，無法做到以教學為中心的交互式模型，而融合多廠商網(wǎng)絡設備的EVE-NG虛擬仿真環(huán)境[2]是深度定制的Ubuntu操作系統(tǒng)，可以直接架構在物理主機或服務器上，適用于局域網(wǎng)內(nèi)的多點訪問。中小型園區(qū)網(wǎng)作為計算機網(wǎng)絡課程的綜合實驗[3]，涉及路由與交換方面的多種類協(xié)議和網(wǎng)絡層次結(jié)構，完全可以涵蓋理論課程的全部知識，從而對學生的實踐能力進行全面了解。本文主旨在于構建多功能分區(qū)的校園網(wǎng)絡層次模型，從各功能分區(qū)的業(yè)務需求分析與設計設備接入和匯聚方式，充分考慮設備備份、鏈路冗余及負載均衡等方面，以雙核心模式進行高速轉(zhuǎn)發(fā)[4]，設置服務器集群與數(shù)據(jù)中心旁掛出口防火墻，保證內(nèi)網(wǎng)安全性，以此構建具備穩(wěn)健性與可擴展性的校園網(wǎng)邏輯網(wǎng)絡架構用于實驗教學，滿足計算網(wǎng)絡實踐教學的虛擬仿真環(huán)境需求。

2 相關技術

EVE-NG（Emulated Virtual Environment–Next Generation）是具備交互式的CS模型[5]，作為服務器端支持Native和HTML Console，融合了Dynamips、IOL、KVM等，可以直接安裝到x86架構的物理主機，也可以通過ova版本導入Vmware進行虛擬環(huán)境搭建。

2.1 多生成樹協(xié)議

MSTP （Multiple Spanning Tree Protocol）是在RSTP的基礎之上運行[6]，為VLAN創(chuàng)建實例（instance）組，將進行相同STP計算的VLAN映射到同一個STP實例中，構建無環(huán)生成樹拓撲結(jié)構，根據(jù)路徑數(shù)維護相同數(shù)目的STP實例，從而節(jié)省系統(tǒng)資源。

2.2 開放式最短路徑優(yōu)先協(xié)議

OSPF（Open Shortest Path First）是典型的鏈路狀態(tài)路由協(xié)議[7]，其核心思想最短路徑優(yōu)先（SPF）使用Dijkstra算法計算路徑最短度量值，支持CIDR和VLSM。路由器鄰居之間進行鏈路狀態(tài)信息交換并動態(tài)更新，從而每個路由器節(jié)點都計算出整張網(wǎng)絡的拓撲結(jié)構。

2.3 虛擬路由器冗余協(xié)議

VRRP（Virtual Router Redundancy Protocol） 保證網(wǎng)絡邊緣設備與整個網(wǎng)絡連接可靠性[8]，VRRP組中所有路由器使用同一個虛擬的IP地址和MAC地址，組內(nèi)路由器優(yōu)先級根據(jù)鏈路的速度，路由器性能，可靠性及管理策略設定。

3 校園網(wǎng)架構設計與實現(xiàn)

3.1 邏輯網(wǎng)絡架構總體設計

依據(jù)校園網(wǎng)各部分業(yè)務需求，對網(wǎng)絡層次結(jié)構部署嚴格遵守接入層，匯聚層，核心層三層網(wǎng)絡結(jié)構。接入層主要負責用戶管理功能如地址認證，用戶認證，用戶信息收集工作如IP地址、MAC地址、訪問日志，VLAN劃分及二層網(wǎng)絡的隔離與互通[9]。匯聚層主要進行二層的VLAN信息管理與三層網(wǎng)絡路由信息的控制，分割網(wǎng)絡動態(tài)區(qū)域。匯聚層之下一般通過將多個物理線路通過二層Etherchannel捆綁為一個邏輯的Trunk鏈路傳遞數(shù)據(jù)，匯聚層之上通過三層接口與核心交換機互聯(lián)，運行動態(tài)路由協(xié)議，提供局域網(wǎng)之間數(shù)據(jù)轉(zhuǎn)發(fā)。核心層主要負責數(shù)據(jù)高速轉(zhuǎn)發(fā)及匯聚層之上動態(tài)路由協(xié)議控制域劃分，并避免使用路由策略，提高數(shù)據(jù)包轉(zhuǎn)發(fā)效率。

針對校園網(wǎng)各功能分區(qū)可劃分為教學樓區(qū)域、宿舍區(qū)域、辦公樓區(qū)域、行政樓區(qū)域、圖書館區(qū)域、數(shù)據(jù)中心與服務器集群區(qū)域等。其中數(shù)據(jù)中心與服務器區(qū)域采用二層網(wǎng)絡區(qū)域并在匯聚層設備進行相應路由策略進行訪問控制，保證服務器區(qū)域安全性[10]。出口區(qū)域作為內(nèi)網(wǎng)與外網(wǎng)連接點應直連核心層進行高速數(shù)據(jù)轉(zhuǎn)發(fā)，同時將防火墻旁掛到出口設備下，保護內(nèi)網(wǎng)安全。

根據(jù)網(wǎng)絡結(jié)構模型分析設計出如下圖1的邏輯網(wǎng)絡拓撲圖：

3.2 邏輯網(wǎng)絡架構實現(xiàn)方案

接入層提供校園網(wǎng)功能分區(qū)中所有的邊緣設備接入網(wǎng)絡，主要包括二層以太網(wǎng)交換機、無線接入點、終端等設備等。接入層設備應充分考慮全局接入安全性，實現(xiàn)虛擬局域網(wǎng)的劃分、生成樹協(xié)議、IP地址與MAC地址安全綁定、端口隔離、以及簡單網(wǎng)絡管理協(xié)議SNMP與DHCP-Snooping等功能，上聯(lián)至匯聚層進行數(shù)據(jù)轉(zhuǎn)發(fā)時應使用Etherchannel進行物理鏈路邏輯捆綁，從而增大帶寬。接入層交換機通過MSTP生成樹協(xié)議形成無環(huán)拓撲，避免廣播風暴，保證終端設備安全接入。

匯聚層在全局上管理網(wǎng)絡功能分區(qū)的VLAN信息，并運行動態(tài)路由協(xié)議向核心層通告路由信息和傳遞數(shù)據(jù)，進行路由策略與訪問控制。在進行接入層設備的數(shù)據(jù)與路由信息匯聚后，維持接入核心層設備前的數(shù)據(jù)轉(zhuǎn)發(fā)、訪問控制的中介工作，以減輕核心層設備的負荷。匯聚層實現(xiàn)工作組的接入、虛擬局域網(wǎng)之間的路由、源目IP地址及MAC地址過濾、路由策略，數(shù)據(jù)安全等多種功能。匯聚設備采用VRRP進行虛擬路由冗余，提供接入層設備的持續(xù)無障礙連通性。匯聚層設備運行動態(tài)路由協(xié)議OSPF與核心層設備建立鄰居關系，劃分進相應OSPF區(qū)域，傳遞路由信息與數(shù)據(jù)并動態(tài)更新，同時進行路由信息過濾。匯聚層設備是本地網(wǎng)絡的邏輯中心，在實現(xiàn)安全控制和身份驗證時，進行集中式管理，保證核心層的安全和穩(wěn)定。

核心層是校園網(wǎng)絡平臺的骨干網(wǎng)絡中心區(qū)域，是所有數(shù)據(jù)流量的最終承受和匯聚，采用雙核心模式實現(xiàn)設備的冗余備份和可靠的高速傳輸，提供全網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的負載均衡與OSPF域內(nèi)域間路由信息通告，提供快速數(shù)據(jù)轉(zhuǎn)發(fā)和可優(yōu)化的拓展能力。

4 驗證與分析

對于整個設計方案的效果驗證主要以教學樓區(qū)域的網(wǎng)絡環(huán)境作為測試，主要包含域內(nèi)MSTP結(jié)合VRRP在雙核心模式校園網(wǎng)中的應用，多實例Instance通過STP或RSTP計算生成以確定主根交換機，備份設備在主設備或鏈路失效后成為根交換機提供流量傳輸路徑。VRRP備份組中Master和Backup設備進行主備協(xié)商，協(xié)商完畢產(chǎn)生虛擬網(wǎng)關設備，生成虛擬IP與MAC地址，當主設備或鏈路故障后，備份設備瞬時切換角色，承擔數(shù)據(jù)流量轉(zhuǎn)發(fā)，保證網(wǎng)絡服務的不間斷性。

OSPF動態(tài)路由協(xié)議進行區(qū)域劃分及域內(nèi)路由策略，雙核心及下連數(shù)據(jù)中心劃分為進程號為110的OSPF Area 0，將服務器集群區(qū)劃分為OSPF Area 1，將出口區(qū)域劃分為OSPF Area 2，預定將核心設備設置為各網(wǎng)段的DR，如下圖2所示，避免LSA泛洪造成的協(xié)商數(shù)據(jù)包過多影響網(wǎng)絡性能，減少了LSDB交互時所需的帶寬和路由器開銷，加強了OSPF動態(tài)運行穩(wěn)定性。

校園網(wǎng)均采用192.168.0.0/16地址段進行私有網(wǎng)段劃分，當內(nèi)部設備訪問Internet時，需要將私有IP地址轉(zhuǎn)換為公有IP地址并進行端口復用，測試方法是在出口設備上查看Access-lists的匹配情況及NAT的轉(zhuǎn)換列表。通過查看得知，私網(wǎng)地址成功轉(zhuǎn)換為公有IP地址并以端口復用的方式訪問Internet，如下圖3所示：

5 結(jié)語

針對高職院校的計算機網(wǎng)絡實踐課程，具備多廠商虛擬仿真環(huán)境的EVE-NG解決了計算機硬件條件的不足，在交互模式上更加具有優(yōu)勢，便于學生以C/S模型的方式進行http/https的任意連接。本文所設計的校園網(wǎng)絡架構模型，在運用了多種類網(wǎng)絡協(xié)議的同時，兼顧了網(wǎng)絡架構的穩(wěn)健性與可擴展性，也便于學生在虛擬仿真環(huán)境中進行實踐訓練和拓展，增強了學生的實踐能力，以此提高教學質(zhì)量。

參考文獻：

[1] 夏秋菊.中職計算機網(wǎng)絡課程教學改革的探索與實踐[J].中國管理信息化，2020，23（23）：231-232.

[2] 曹雪峰，傅冬穎，于萬國，等.基于EVE-NG的虛擬網(wǎng)絡實踐教學平臺設計與實現(xiàn)[J].實驗技術與管理，2019，36（6）：158-161，166.

[3] 蔣建軍，陳靖棟.新一代校園網(wǎng)絡架構的仿真與優(yōu)化研究[J].現(xiàn)代電子技術，2016，39（14）：69-72.

[4] 陳岳.園區(qū)級校園網(wǎng)絡規(guī)劃與方案設計[J].信息技術與信息化，2020（11）：167-170.

[5] 唐燈平，凌興宏.基于EVE-NG模擬器搭建網(wǎng)絡互聯(lián)技術實驗仿真平臺[J].實驗室研究與探索，2018，37（5）：145-148.

[6] 李獻軍，張少芳，李巖.基于MSTP的網(wǎng)絡通信負載均衡的實現(xiàn)[J].電腦編程技巧與維護，2019（5）：149-150.

[7] 郭麗，劉海燕.基于Packet Tracer的OSPF多區(qū)域中LSA的類型研究[J].電腦知識與技術，2020，16（36）：1-2.

[8] 甘衛(wèi)民，李檢輝.基于華為VRP下的VRRP仿真實驗分析[J].網(wǎng)絡安全技術與應用，2020（5）：31-33.

[9] 陳岳.園區(qū)級校園網(wǎng)絡規(guī)劃與方案設計[J].信息技術與信息化，2020（11）：167-170.

[10] 李宗鋒.計算機網(wǎng)絡安全技術在校園網(wǎng)絡建設中的應用[J].電子技術與軟件工程，2019（15）：175-176.

【通聯(lián)編輯：王力】