張俊玲

（深圳市第一職業(yè)技術(shù)學(xué)校,廣東深圳，518026)

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)是學(xué)生掌握計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的綜合性教學(xué)環(huán)節(jié)，是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)節(jié)的深化與升華，在課堂教學(xué)和實(shí)驗(yàn)的基礎(chǔ)下，學(xué)生分組完成課程設(shè)計(jì)的內(nèi)容。課堂設(shè)計(jì)環(huán)節(jié)難度較實(shí)驗(yàn)提升許多，往往需要更多的硬件設(shè)備，很難達(dá)到讓每組同學(xué)擁有一組網(wǎng)絡(luò)設(shè)備，故而實(shí)際教學(xué)中往往選擇網(wǎng)絡(luò)仿真軟件來實(shí)現(xiàn)，GNS3提供了仿真度較高的路由器和交換機(jī)等設(shè)備，同時(shí)可結(jié)合VMware等虛擬機(jī)模擬PC之間的通信過程，實(shí)驗(yàn)效果較Packet Tracer更佳[1]。

課程以各類不同網(wǎng)絡(luò)實(shí)際需求為背景，以培養(yǎng)學(xué)生解決“復(fù)雜工程問題”的能力為目標(biāo)，要求學(xué)生設(shè)計(jì)并組建符合需求、結(jié)構(gòu)合理、功能完善的網(wǎng)絡(luò)，如校園網(wǎng)或企業(yè)網(wǎng)。要求學(xué)生按照網(wǎng)絡(luò)工程的原則，依照需求分析、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、IP地址規(guī)劃和VLAN劃分、路由設(shè)計(jì)、網(wǎng)絡(luò)仿真實(shí)現(xiàn)與測(cè)試等環(huán)節(jié)進(jìn)行展開，最終實(shí)現(xiàn)符合真實(shí)網(wǎng)絡(luò)功能需求的網(wǎng)絡(luò)設(shè)計(jì)，為今后從事計(jì)算機(jī)網(wǎng)絡(luò)工程的設(shè)計(jì)、維護(hù)與管理，以及后續(xù)專業(yè)課程的學(xué)習(xí)打下堅(jiān)實(shí)的理論和實(shí)踐基礎(chǔ)[2-4]。本文基于GNS3模擬器設(shè)計(jì)與實(shí)現(xiàn)學(xué)校機(jī)房網(wǎng)絡(luò)來說明整個(gè)課程設(shè)計(jì)的實(shí)施過程。

1 相關(guān)技術(shù)

1.1 網(wǎng)絡(luò)工程

網(wǎng)絡(luò)工程是指按計(jì)劃進(jìn)行的以工程化的思想、方式、方法，設(shè)計(jì)、研發(fā)和解決網(wǎng)絡(luò)系統(tǒng)問題的工程。實(shí)現(xiàn)一個(gè)成功的網(wǎng)絡(luò)設(shè)計(jì)案例通常需要對(duì)整個(gè)工程的任務(wù)進(jìn)行分析與分解，主要包括需求分析、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、IP地址規(guī)劃和Vlan劃分、網(wǎng)絡(luò)設(shè)備的選型與配置、交換網(wǎng)絡(luò)與路由網(wǎng)絡(luò)的設(shè)計(jì)、服務(wù)器配置、可靠性設(shè)計(jì)、網(wǎng)絡(luò)實(shí)現(xiàn)、測(cè)試與驗(yàn)收等[5]。

1.2 NAT技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）可以實(shí)現(xiàn)將私有的網(wǎng)絡(luò)地址轉(zhuǎn)換為公有的網(wǎng)絡(luò)地址，通過它們之間的映射關(guān)系，實(shí)現(xiàn)了私網(wǎng)與公網(wǎng)之間的通信。常用的NAT技術(shù)有動(dòng)態(tài)NAT、靜態(tài)NAT和端口多路復(fù)用：靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址，借助于靜態(tài)轉(zhuǎn)換可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問；動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址，當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)，可以采用動(dòng)態(tài)轉(zhuǎn)換的方式；端口多路復(fù)用（Port address Translation，PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，采用端口多路復(fù)用方式內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源[6][7]。

1.3 HSRP協(xié)議

熱備份路由器協(xié)議（HSRP）是cisco平臺(tái)一種特有的技術(shù)，是cisco的私有協(xié)議，其設(shè)計(jì)目標(biāo)是支持特定情況下IP流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。換句話說，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的IP地址時(shí)，HSRP協(xié)議能夠保護(hù)第一跳路由器不出故障。

1.4 路由協(xié)議

路由協(xié)議（Routing protocol）是一種指定數(shù)據(jù)包轉(zhuǎn)送方式的網(wǎng)上協(xié)議，通過在路由器之間共享路由信息來支持可路由協(xié)議。主要有靜態(tài)路由和動(dòng)態(tài)路由兩種，靜態(tài)路由是指事先設(shè)置好路由器和主機(jī)中并將路由信息固定的一種方法，特點(diǎn)是簡(jiǎn)單安全，設(shè)置通常是手工操作，因此會(huì)給管理者帶來很大的負(fù)擔(dān)；動(dòng)態(tài)路由是指讓路由協(xié)議在運(yùn)行過程中自動(dòng)的設(shè)置路由控制信息的一種方法，特點(diǎn)是路由信息自動(dòng)生成，適用于相對(duì)較大規(guī)模的網(wǎng)絡(luò)，常用的動(dòng)態(tài)路由協(xié)議有RIP和OSPF協(xié)議[8]。

2 網(wǎng)絡(luò)需求分析

以學(xué)校實(shí)驗(yàn)室網(wǎng)絡(luò)工程項(xiàng)目的應(yīng)用需求為背景，規(guī)劃一個(gè)約10個(gè)機(jī)房500臺(tái)計(jì)算機(jī)的實(shí)驗(yàn)教學(xué)網(wǎng)絡(luò)。要求將各個(gè)機(jī)房連成一個(gè)相對(duì)獨(dú)立的局域網(wǎng)，保證網(wǎng)絡(luò)互相連通，同時(shí)網(wǎng)絡(luò)連通性可控，如某些機(jī)房考試時(shí)能夠禁止該機(jī)房訪問互聯(lián)網(wǎng)。該機(jī)房網(wǎng)絡(luò)接入主干網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)為典型的三層結(jié)構(gòu)。

網(wǎng)絡(luò)中心沒有足夠的公網(wǎng)地址分配給每臺(tái)計(jì)算機(jī)，需要采用地址轉(zhuǎn)換技術(shù)進(jìn)行網(wǎng)絡(luò)規(guī)劃。地址規(guī)劃采用私網(wǎng)地址10.0.0.0/8網(wǎng)段，第二個(gè)字節(jié)代表樓層，第三個(gè)字節(jié)代表房間號(hào)，第四個(gè)字節(jié)表示其在房間中的位置編號(hào)，這樣便于網(wǎng)絡(luò)管理。如從IP地址10.5.4.16可以定位該計(jì)算機(jī)位于5層504機(jī)房16號(hào)機(jī)位。

網(wǎng)絡(luò)中心給實(shí)驗(yàn)機(jī)房提供了115.25.141.129～ 255/24這個(gè)地址段共128個(gè)公有網(wǎng)絡(luò)地址，其中將115.25.141.193～ 254/24作為公網(wǎng)地址，另外一段地址為其他服務(wù)器等設(shè)備使用。經(jīng)過詳細(xì)的分析調(diào)研，可設(shè)定如下網(wǎng)絡(luò)需求：

(1）將所有機(jī)房連成一個(gè)局域網(wǎng)，保證網(wǎng)絡(luò)互聯(lián)互通，合理分配IP和劃分VLAN；

(2）公網(wǎng)地址向網(wǎng)絡(luò)中心申請(qǐng)一個(gè)至少包括128個(gè)公網(wǎng)地址的地址池，采用NAT技術(shù)實(shí)現(xiàn)眾多學(xué)生同時(shí)上網(wǎng)的需求；

(3）核心層之間運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議，骨干網(wǎng)區(qū)域采用三臺(tái)核心交換機(jī)以增強(qiáng)可靠性，核心層到匯聚層設(shè)備配置靜態(tài)路由協(xié)議；

(4）服務(wù)器機(jī)房可訪問Internet和被Internet訪問，但是Internet不能訪問機(jī)房的PC。

3 網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃

3.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

機(jī)房網(wǎng)絡(luò)采用三層網(wǎng)絡(luò)結(jié)構(gòu)：接入層、匯聚層、核心層，如圖1所示。各機(jī)房采用1臺(tái)或2臺(tái)48口二層交換機(jī)接入網(wǎng)絡(luò)，同時(shí)為日后擴(kuò)展留有余地，匯聚層和核心層采用三層交換機(jī)接入，且核心層采用路由器進(jìn)行路由備份，由網(wǎng)絡(luò)中心出口路由器采用NAT接入Internet[9][10]。

圖1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

3.2 IP地址規(guī)劃與Vlan劃分

將所有機(jī)房連成一個(gè)局域網(wǎng)，保證網(wǎng)絡(luò)互聯(lián)互通，合理分配 IP 和劃分 Vlan；需求中要求不同的樓層不同機(jī)房要有不同網(wǎng)段的局域網(wǎng)，所以我們將每個(gè)機(jī)房設(shè)為一個(gè)局域網(wǎng)，即分配一個(gè)Vlan（如10.3.1.1）。所有的Vlan在三層交換機(jī)集中分配，注意每個(gè)Vlan的IP地址是每個(gè)機(jī)房的網(wǎng)關(guān)。在三層交換機(jī)開啟路由功能，并配置虛接口IP地址實(shí)現(xiàn)不同Vlan的連通[11]。

地址規(guī)劃采用私網(wǎng)地址 10.0.0.0/8 網(wǎng)段，第二個(gè)字節(jié)代表樓層，第三個(gè)字節(jié)代表房間號(hào)，第四個(gè)字節(jié)表示其在房間中的位置編號(hào)。如從 IP 地址 10.5.4.16 可以定位該計(jì)算機(jī)位于 5 層 504 機(jī)房16號(hào)機(jī)位。網(wǎng)絡(luò)中心給實(shí)驗(yàn)機(jī)房提供了 115.25.141.129～ 255/25這個(gè)地址段共128個(gè)公有網(wǎng)絡(luò)地址，其中將115.25.141.193～ 254/26作為公網(wǎng)地址，115.25.141.129～ 191/26為其他服務(wù)器等設(shè)備使用。

每個(gè)機(jī)房的所有電腦劃分為一個(gè)Vlan，每個(gè)Vlan有50臺(tái)電腦，每個(gè)Vlan的IP范圍，掩碼，網(wǎng)關(guān)等如表1所示（其它機(jī)房的Vlan劃分和IP地址配置與列出的類似）。根據(jù)IP地址規(guī)劃配置各設(shè)備接口的IP地址。

表1 部分機(jī)房IP地址規(guī)劃與VLAN劃分

3.3 路由協(xié)議配置

（1）動(dòng)態(tài)路由

對(duì)于校園網(wǎng)絡(luò)，考慮采用OSPF路由協(xié)議[12][13]，采用動(dòng)態(tài)路由也減少了管理員手工配置路由的負(fù)擔(dān)，需要在網(wǎng)絡(luò)中心邊界路由器R1上和核心交換機(jī)S1上配置OSPF路由協(xié)議以及向外轉(zhuǎn)發(fā)的默認(rèn)路由。

（2）靜態(tài)路由

匯聚層交換機(jī)主要采用靜態(tài)路由的方式來進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，因?yàn)樵搶勇酚杀容^簡(jiǎn)單，主要是將數(shù)據(jù)包路由至核心交換機(jī)，故而采用靜態(tài)路由方式配置簡(jiǎn)單且安全高效。

3.4 NAT訪問外部網(wǎng)絡(luò)

(1）動(dòng)態(tài) NAT

各內(nèi)部網(wǎng)絡(luò)通過動(dòng)態(tài)NAT訪問Internet，即私有IP地址轉(zhuǎn)換為公有IP地址，由于公網(wǎng)IP數(shù)量有限，故而采用動(dòng)態(tài)地址池方式進(jìn)行地址轉(zhuǎn)換，其中地址池起始地址為115.25.141.193～ 254/24。

(2）靜態(tài) NAT

對(duì)于服務(wù)器等設(shè)備，由于需要供外網(wǎng)進(jìn)行訪問，需要提供給外網(wǎng)訪問的公網(wǎng)IP地址，而服務(wù)器本身采用私有IP地址，故而需要采用靜態(tài)NAT對(duì)地址進(jìn)行轉(zhuǎn)換，在網(wǎng)絡(luò)中心邊界路由器上的配置靜態(tài)NAT，其中192.168.1.1為服務(wù)器配置的靜態(tài)私有IP地址，而115.25.141.129為外網(wǎng)訪問服務(wù)器的公有地址。

3.5 核心路由備份

核心層兩臺(tái)核心路由器Router1和Router3，讓Router3作為Router1的熱路由備份，并且與Router1的設(shè)置基本完全相同，只是個(gè)別的IP設(shè)置有些區(qū)別（主要與同一路由器上不能設(shè)置同一網(wǎng)段有關(guān)）。通過HSRP讓Router1作為主路由器來實(shí)現(xiàn)路由的優(yōu)先選擇級(jí)別，即將Router1的優(yōu)先級(jí)設(shè)置的比Router3的優(yōu)先級(jí)高（standby 1 priority –命令）。還要配置監(jiān)聽端口，以便模擬路由器故障。（注意虛擬地址只在主路由器Router1上配置，當(dāng)Router1出故障時(shí)Router3會(huì)自動(dòng)獲取虛擬地址）

4 GNS3仿真實(shí)現(xiàn)與測(cè)試

基于GNS3模擬器對(duì)上述網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行配置實(shí)現(xiàn)[14][15]，拓?fù)鋱D如圖2所示。

圖2 拓?fù)鋱D

采用ping命令來測(cè)試不同網(wǎng)段之間的連通性，測(cè)試結(jié)果如表 2所示。該測(cè)試結(jié)果表明，屬于不同樓層不同機(jī)房Vlan的PC之間可以連通，并且均能訪問Internet，屬于服務(wù)器機(jī)房Vlan11的服務(wù)器可以訪問Internet，其它機(jī)房Vlan的PC可以訪問服務(wù)器，外網(wǎng)PC能夠訪問服務(wù)器對(duì)外提供的公網(wǎng)IP地址，而外網(wǎng)PC不能訪問機(jī)房的PC設(shè)備，該配置滿足機(jī)房所提出的對(duì)于網(wǎng)絡(luò)連通性方面的需求。

表2 連通性測(cè)試結(jié)果

通過在核心交換機(jī)和網(wǎng)絡(luò)中心邊界路由器上show ip route命令查看路由表，可以看到S1上的路由表項(xiàng)有到各VLAN和Fa0/0口的直連路由和向外轉(zhuǎn)發(fā)數(shù)據(jù)包的默認(rèn)路由，R1上的路由表項(xiàng)有直連路由以及通過OSPF協(xié)議獲取到的到各機(jī)房的動(dòng)態(tài)路由以及向外轉(zhuǎn)發(fā)的默認(rèn)路由。值得注意的是，實(shí)際網(wǎng)絡(luò)中，外網(wǎng)路由器ESW9的路由表不應(yīng)該知道內(nèi)部網(wǎng)絡(luò)的路由信息，即應(yīng)該僅包含直連路由信息。

內(nèi)網(wǎng)PC1訪問Internet之后，使用show ip nat translations命令查看網(wǎng)絡(luò)中心邊界路由器上的地址轉(zhuǎn)換表，PC1映射到外網(wǎng)IP地址115.25.141.193，該映射是不固定的，因?yàn)椴捎脛?dòng)態(tài)NAT方式，兩臺(tái)內(nèi)網(wǎng)服務(wù)器分別靜態(tài)映射到兩個(gè)外網(wǎng)IP，在邊界路由器上成功完成了地址轉(zhuǎn)換。

5 結(jié)束語

通過GNS3模擬器完成學(xué)校機(jī)房網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)，較好地模擬了網(wǎng)絡(luò)工程設(shè)計(jì)的大部分環(huán)節(jié)，以實(shí)際工程案例為背景作為計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)的內(nèi)容，逼真的模擬了現(xiàn)實(shí)環(huán)境，更加容易激發(fā)學(xué)生的學(xué)習(xí)興趣，學(xué)生在“分析問題-實(shí)現(xiàn)方案-解決問題”的過程中提高了解決“復(fù)雜工程問題”的能力[16]。