崔曉龍， 劉 欣， 王建萍， 張 敏， 邊勝琴

（北京科技大學計算機與通信工程學院，北京 100083）

0 引 言

計算機網(wǎng)絡(luò)實踐教學是學生掌握計算機網(wǎng)絡(luò)知識的必要教學環(huán)節(jié)，是對計算機網(wǎng)絡(luò)理論的實現(xiàn)與升華，在課堂教學的基礎(chǔ)上，學生獨立完成實驗教學規(guī)定的實驗內(nèi)容。然而，傳統(tǒng)實驗內(nèi)容往往以驗證型實驗為主，教師針對不同的網(wǎng)絡(luò)協(xié)議設(shè)計若干實驗，學生依照操作步驟完成實驗并觀察現(xiàn)象，這使傳統(tǒng)的實驗教學內(nèi)容脫離實際網(wǎng)絡(luò)應(yīng)用環(huán)境，學生難以將所學知識付諸真實應(yīng)用［1］。另外，現(xiàn)有實驗室設(shè)備數(shù)量有限且類型往往是單一的，難以支持學生完成復雜的綜合設(shè)計實驗，并且無法讓學生體驗不同廠家不同類型設(shè)備的區(qū)別，故而實際教學中選擇網(wǎng)絡(luò)仿真軟件來作為硬件環(huán)境的輔助，EVE-NG 可模擬Cisco、H3C、Huawei、Juniper等眾多廠商不同類型的設(shè)備，提供了仿真度較高的路由器、交換機，支持多用戶通過Web 訪問并管理該平臺的操作模式，能快速部署配置虛擬環(huán)境，有功能強大、擴展性強、便于學生上手等眾多優(yōu)點［2］。

課程基于EVE-NG 軟件來設(shè)計實驗內(nèi)容，以各類不同網(wǎng)絡(luò)實際需求為背景，以培養(yǎng)學生解決復雜工程問題的能力為目標，要求學生首先根據(jù)實驗指導書完成驗證型實驗內(nèi)容，以對各種網(wǎng)絡(luò)協(xié)議有更深的理解和認識，然后探索型實驗給出網(wǎng)絡(luò)拓撲和簡單的步驟要求（不給出操作過程和配置命令），讓學生對各種協(xié)議和實驗原理進行更加深入的分析，綜合型實驗則是目前較為缺乏的，給出應(yīng)用場景讓學生設(shè)計并組建符合需求、結(jié)構(gòu)合理、功能完善的網(wǎng)絡(luò)，如校園網(wǎng)或企業(yè)網(wǎng)，要求學生按照網(wǎng)絡(luò)工程的原則，依照需求分析、網(wǎng)絡(luò)拓撲設(shè)計、IP地址規(guī)劃和VLAN劃分、路由設(shè)計、網(wǎng)絡(luò)仿真實現(xiàn)與測試等環(huán)節(jié)進行展開，最終實現(xiàn)符合真實網(wǎng)絡(luò)功能需求的網(wǎng)絡(luò)設(shè)計，為今后從事計算機網(wǎng)絡(luò)工程的設(shè)計、維護與管理，以及后續(xù)專業(yè)課程的學習打下堅實的理論和實踐基礎(chǔ)。

1 相關(guān)技術(shù)

1.1 EVE-NG介紹

EVE-NG（全稱Emulated Virtual Environment-Next Generation），不僅可以模擬網(wǎng)絡(luò)設(shè)備，也可以運行一切虛擬機。理論上，只要能將虛擬機的虛擬磁盤格式轉(zhuǎn)換為qcow2 都可以在EVE-NG上運行。所以，EVE-NG可以算得上是仿真虛擬環(huán)境。它融入了經(jīng)典模擬器Dynamips、IOL（Cisco IOS on Linux）和虛擬化模擬器QEMU（Quick Emulator），其中Dynamips是一個用于運行Cisco路由器真實的操作系統(tǒng)，IOL 是運行在Linux上的Cisco IOS，比Dynamips資源占用小且更好地支持二層交換特性，QEMU 是虛擬化領(lǐng)域非常著名的開源產(chǎn)品，可運行眾多廠商、不同類型的網(wǎng)絡(luò)設(shè)備。

1.2 RIP路由協(xié)議

路由信息協(xié)議（Routing Information Protocol，RIP）是由施樂（Xerox）在20 世紀70 年代開發(fā)的，是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，簡稱IGP），適用于小型同類網(wǎng)絡(luò)，是典型的距離矢量（distance-vector）協(xié)議，它使用跳數(shù)來衡量到達目的網(wǎng)絡(luò)的距離。在RIP 中，路由器到它直接相連網(wǎng)絡(luò)的跳數(shù)為0，通過與其直接相連的路由器到達的下一個緊鄰的網(wǎng)絡(luò)跳數(shù)為1，依此類推，每多經(jīng)過一個網(wǎng)絡(luò)，跳數(shù)加1。為限制收斂時間，RIP規(guī)定大于等于16的跳數(shù)被定義為無窮大，即目標網(wǎng)絡(luò)不可達，故而其不適合應(yīng)用于大型網(wǎng)絡(luò)。

2 網(wǎng)絡(luò)實踐環(huán)境搭建

EVE-NG 運行于Ubuntu 操作系統(tǒng)中，可通過VMware等虛擬機軟件進行安裝，也可以直接安裝在物理機中，為了讓學生體會全部環(huán)境搭建過程，采用OVA模板將其安裝到個人電腦的虛擬機軟件中，具體安裝步驟如下［3-5］：

（1）OVA 模板部署EVE-NG。將準備好的OVA模板文件導入到VMware 中，并根據(jù)物理機硬件資源的情況，盡可能多的給EVE-NG 分配內(nèi)存和CPU 資源，這將影響虛擬設(shè)備的運行效率，將網(wǎng)卡設(shè)置為橋接模式并且通過DHCP獲取IP地址。

（2）EVE-NG 初始化。安裝完成后需要對EVENG進行一些初始化配置，啟動虛擬機后首次登錄需要設(shè)置主機名、設(shè)置域名、設(shè)置EVE-NG 管理地址、指定NTP服務(wù)器、選擇連接因特網(wǎng)方式。需要重點設(shè)置管理地址，支持DHCP獲取和靜態(tài)設(shè)置，要保證能獲取到地址否則啟動系統(tǒng)時可能出現(xiàn)卡在開機界面的情況。

（3）導入鏡像。將常用的Dynamips 設(shè)備、IOL 設(shè)備以及QUME設(shè)備的鏡像導入到EVE-NG 虛擬機中，獲取到鏡像文件后，需要將其上傳到虛擬機的相應(yīng)目錄中，然后修改權(quán)限，保證對該鏡像文件有讀取權(quán)限，完成后可在Web界面上進行測試運行。

（4）登錄并管理。由步驟（2）中提供的管理地址用瀏覽器登錄EVE-NG 管理界面，即可在頁面中進行各種操作，如對用戶、系統(tǒng)和文件等的管理，以及建立Lab并在其中選擇各種設(shè)備節(jié)點，進而搭建網(wǎng)絡(luò)拓撲并進行各種實驗。

3 三層次實踐教學設(shè)計

通過多年的課程實踐，逐步將課程內(nèi)容進行分層設(shè)計與實施，讓學生在實驗時循序漸進、由淺入深的對網(wǎng)絡(luò)知識進行學習和探索。

3.1 驗證型實驗：夯實基礎(chǔ)

基礎(chǔ)驗證型實驗是以基本知識和動手能力為基礎(chǔ)，讓學生了解各種網(wǎng)絡(luò)設(shè)備的功能、接口以及各種線纜的連接方式等，學習各種網(wǎng)絡(luò)協(xié)議的應(yīng)用場景和配置方法。驗證型實驗項目和對應(yīng)的實驗內(nèi)容如表1 所示?；A(chǔ)實驗項目由指導書給出網(wǎng)絡(luò)拓撲結(jié)構(gòu)，學生據(jù)其進行連線和相應(yīng)的配置，來觀察實驗現(xiàn)象，如對VLAN的劃分實驗，學生可觀察同一VLAN 和不同VLAN之間網(wǎng)絡(luò)連通性，靜態(tài)路由實驗學生可觀察配置前后路由表的變化，并了解靜態(tài)路由表項的含義。通過這些基礎(chǔ)實驗，讓學生快速地將所學的知識落地，理解簡單的網(wǎng)絡(luò)原理性的知識，為進一步深入學習和探索打下基礎(chǔ)。

3.2 探索型實驗：知識進階

進階探索型實驗，讓學生在學會了基本配置的基礎(chǔ)上深入了解各種協(xié)議的原理以及對實驗難度進行提高，實驗項目如表2 所示。例如，在學習了OSPF的基礎(chǔ)配置之后，學生想進一步了解OSPF 協(xié)議的工作原理，可對截獲的OSPF報文進行分析，可以獲得鏈路狀態(tài)信息交互的過程以及對SPF 的計算過程進行分析等。

表1 驗證型實驗項目

表2 探索型實驗項目

3.3 綜合型實驗：創(chuàng)新設(shè)計

創(chuàng)新綜合型實驗將面向不同的應(yīng)用場景，提出不同的應(yīng)用通信需求，特點是網(wǎng)絡(luò)規(guī)模較大，通信場景較為復雜，學生采用虛擬軟件進行實驗，并用工程化的思想來對應(yīng)用進行需求分析、設(shè)備選型、網(wǎng)絡(luò)設(shè)計、配置并最終進行測試，學生將運用所學到的知識，從不同的角度提出不同的設(shè)計方案，以培養(yǎng)創(chuàng)新思維和創(chuàng)新能力。各種綜合項目中將包含不同的應(yīng)用需求，學生可根據(jù)學習到的知識來選擇可實現(xiàn)相應(yīng)功能的技術(shù)，如對于路由協(xié)議的選擇，學生可根據(jù)網(wǎng)絡(luò)規(guī)模等因素來選取是采用靜態(tài)路由還是RIP 或OSPF 協(xié)議，同時可讓學生對不同的設(shè)計方案進行測試對比，以期找到應(yīng)用場景中較好的解決方案。目前已有綜合實驗項目如表3 所示。

以中小企業(yè)網(wǎng)絡(luò)設(shè)計為例，某公司下設(shè)研發(fā)部、市場部、人力資源部、網(wǎng)絡(luò)運維部4 個部門，其中研發(fā)部有計算機30 臺、市場部有計算機20 臺，人力資源部有計算機5 臺，網(wǎng)絡(luò)運維部有計算機3 臺，另外有4 臺服務(wù)器組成的服務(wù)器群提供Web、FTP、DNS 等各種服務(wù)。要求完成該企業(yè)網(wǎng)絡(luò)的設(shè)計、架構(gòu)、配置和管理功能，給出如圖1 所示的示例拓撲，對于各類設(shè)備選型以及協(xié)議配置需要由學生自己來完成。

圖1 中小企業(yè)網(wǎng)絡(luò)拓撲方案設(shè)計

4 EVE-NG仿真實現(xiàn)與測試

以RIP路由協(xié)議為例，通過EVE-NG 軟件設(shè)計驗證型、探索型和綜合型實驗，其中驗證型實驗拓撲結(jié)構(gòu)往往較為簡單，由學生完成基本配置和抓包實驗，觀察實驗現(xiàn)象；探索型實驗拓撲結(jié)構(gòu)往往是需要教師精心設(shè)計的，通過合理的設(shè)計讓學生能夠深入理解網(wǎng)絡(luò)原理；綜合型實驗拓撲結(jié)構(gòu)往往較為復雜，將面向?qū)嶋H應(yīng)用需求，設(shè)計并搭建滿足要求的網(wǎng)絡(luò)［6-7］。

4.1 驗證型：RIP基本配置

在EVE-NG模擬器上實現(xiàn)如圖2 所示的網(wǎng)絡(luò)拓撲，讓學生首先配置PC 設(shè)備和路由器各接口的IP 地址，配置完成之后進行兩臺PC 之間的連通性測試，可以發(fā)現(xiàn)此時是不連通的，可查看路由器R1 和R2 的路由表如圖3 所示，此時路由器僅包含直連網(wǎng)段的路由信息，缺少到非直連網(wǎng)段的路由信息。

圖2 RIP配置實驗網(wǎng)絡(luò)拓撲

圖3 路由器R1和R2的路由表（未配置RIP）

接下來在路由器R1 和R2 上分別配置RIP 路由協(xié)議，配置方法如圖4 所示。采用ping 命令來測試兩臺PC之間的連通性，此時可以發(fā)現(xiàn)PC 之間是連通的，查看如圖5 所示的路由表，此時兩臺路由器均生成一條新的路由信息，是通過RIP 路由協(xié)議生成的到非直連網(wǎng)段的路由信息。

圖4 路由器R1和R2配置RIP協(xié)議

圖5 路由器R1和R2的路由表（配置RIP后）

4.2 探索型：報文分析、算法分析

在學習了RIP的基本配置之后，讓學生對RIP 的協(xié)議原理進行更加深入的探索和分析，通過截取RIP報文，分析距離矢量算法的計算過程。按照如圖6 所示的拓撲圖完成連接，并配置好IP地址［8］。

首先在PC1、PC2 和PC3 上運行Wireshark（一定要先運行），然后在各三層交換機和路由器上配置RIP。配置完成后，各設(shè)備都可以正常通信。觀察S1、R1、R2 的路由表可發(fā)現(xiàn)由RIP 路由協(xié)議生成的路由表項，其中S2 的路由表項如圖7 所示，到192.168.1.0 的跳數(shù)是2，到192.168.2.0 的跳數(shù)是1，這是如何得到的？

圖6 RIP算法分析實驗網(wǎng)絡(luò)拓撲

圖7 核心交換機S2的路由表

分析PC2 上的Wireshark 報文，如圖8 所示，該報文源地址192.168.2.254，是S1 從Vlan100 接口發(fā)送的廣播報文，其RIP報文段包括一條選路信息，目的地址是192.168.1.0，跳數(shù)是1，表示從Vlan100 接口收到的報文經(jīng)過一跳可到達網(wǎng)絡(luò)192.168.1.0，S1 將此消息廣播出去，以讓鄰居路由器知道。

圖8 核心交換機S1廣播的RIP報文

查看R1 的路由表如圖9 所示，此時192.168.1.0的路由信息已經(jīng)加入R1 路由表中，跳數(shù)為1。通過在PC3 上截取的報文觀察R1 廣播的RIP 報文，如圖10所示，可發(fā)現(xiàn)該報文段包含兩條選路信息，第1 條是到目的地址192.168.1.0 的，跳數(shù)是2，表示從R1 的e0/1接口收到的報文須經(jīng)過2 跳可到達該目的網(wǎng)絡(luò)；第2條是到目的地址192.168.2.0 的，跳數(shù)是1。此時S2將把新收到的192.168.1.0 網(wǎng)絡(luò)的路由信息加入到路由表中。

圖9 企業(yè)邊界路由器R1的路由表

圖10 R1廣播的RIP報文

通過該過程，可以發(fā)現(xiàn)S1 向網(wǎng)絡(luò)上廣播自己已有的路由信息192.168.1.0，跳數(shù)為1（直連網(wǎng)絡(luò)原度量值0 加上發(fā)送附加度量值1），R1 收到該信息后，檢查自己的路由表，發(fā)現(xiàn)沒有到該網(wǎng)絡(luò)的路由信息，所以將該信息加入到路由表中，然后將該路由信息繼續(xù)廣播出去，跳數(shù)改成2（原度量值1 加上發(fā)送附加度量值1），同時廣播的還有192.168.2.0 網(wǎng)段的路由信息，跳數(shù)為1（直連網(wǎng)絡(luò)原度量值0 加上發(fā)送附加度量值1），最后S2 收到該報文后，同樣檢查自己的路由表，發(fā)現(xiàn)沒有該網(wǎng)段的路由信息后將該路由加入到路由表中，得到如圖7 所示的路由表。

4.3 綜合型：面向應(yīng)用組網(wǎng)并實現(xiàn)

在學習了基礎(chǔ)知識并進行了深入分析之后，學生將通過完成實際應(yīng)用場景下的網(wǎng)絡(luò)設(shè)計與實現(xiàn)來將所學的知識付諸應(yīng)用，該應(yīng)用案例往往涉及多種綜合技術(shù)，需要學生進行深入分析、設(shè)計與測試才能實現(xiàn)較好的解決方案。以表3 中的中小企業(yè)網(wǎng)絡(luò)設(shè)計為例，完成相應(yīng)的功能要求，通過ENE-NG 完成的網(wǎng)絡(luò)拓撲如圖11 所示［9］。

圖11 中小企業(yè)網(wǎng)絡(luò)拓撲功能設(shè)計

4.3.1 IP地址規(guī)劃與VLAN劃分

根據(jù)實際需求，在各部門之間隔離沖突域，同時要保證網(wǎng)絡(luò)互聯(lián)互通，首先需要合理分配IP 和劃分VLAN，將各個部門劃分到不同的VLAN 中，地址規(guī)劃采用192.168.*.*/24 的私網(wǎng)地址，同時為了方便管理，約定第3 個字節(jié)代表部門，第4 個字節(jié)代表部門內(nèi)的設(shè)備編號，如IP地址192.168.1.16，表明該計算機是研發(fā)部的16 號設(shè)備；另外為研發(fā)部分配192.168.1.0/24 的網(wǎng)段，可容納254 臺主機，足以滿足該部門已有設(shè)備需求，同時為日后網(wǎng)絡(luò)規(guī)模擴展留有了余地，另外在三層交換機開啟路由功能，在其上創(chuàng)建虛接口并分配IP地址作為不同部門設(shè)備的網(wǎng)關(guān)地址，以實現(xiàn)不同VLAN的連通。為企業(yè)內(nèi)部各部門劃分VLAN以及每個VLAN的IP網(wǎng)段、子網(wǎng)掩碼、網(wǎng)關(guān)配置等如表4所示。

表4 IP地址規(guī)劃與VLAN劃分

在核心交換機和路由器設(shè)備上配置各接口的IP地址，配置如圖12、13 所示。

圖12 核心交換機S1各接口IP地址配置

圖13 企業(yè)邊界路由器R1各接口IP地址配置

4.3.2 路由協(xié)議配置

對于中小型企業(yè)網(wǎng)絡(luò)，考慮采用RIP路由協(xié)議，一方面網(wǎng)絡(luò)規(guī)模不大，采用RIP 路由協(xié)議完全可以滿足需求，另一方面采用動態(tài)路由也減少了管理員手工配置路由的負擔，需要在企業(yè)邊界路由器R1 上和核心交換機S1 上配置RIP 路由協(xié)議以及向外轉(zhuǎn)發(fā)的默認路由，需要注意的是，邊界路由器R1 上的RIP協(xié)議僅通告內(nèi)部網(wǎng)段的路由即可，而對于Internet 端的路由器，則沒有用于指明通往企業(yè)網(wǎng)中各個網(wǎng)絡(luò)的傳輸路徑的路由，即企業(yè)網(wǎng)對于Internet 端的路由器是不可見的。故而路由協(xié)議的配置如圖14、15 所示。

圖14 核心交換機S1配置路由協(xié)議

圖15 企業(yè)邊界路由器R1配置路由協(xié)議

4.3.3 NAT訪問外部網(wǎng)絡(luò)

（1）動態(tài)NAT。各內(nèi)部網(wǎng)絡(luò)通過動態(tài)NAT 訪問Internet，即私有IP地址轉(zhuǎn)換為公有IP地址，由于公網(wǎng)IP數(shù)量有限，故而采用動態(tài)地址池方式進行地址轉(zhuǎn)換，邊界路由器上的配置如圖16 所示，其中地址池起始地址為202.202.1.10 ～202.202.1.15。另外，為了使財務(wù)部不能訪問Internet，可在access-list 10 中不允許財務(wù)部網(wǎng)段192.168.4.0 網(wǎng)段通過［10-12］。

圖16 企業(yè)邊界路由器動態(tài)NAT配置

（2）靜態(tài)NAT。對于服務(wù)器等設(shè)備，由于需要供外網(wǎng)進行訪問，需要提供給外網(wǎng)訪問的公網(wǎng)IP 地址，而服務(wù)器本身采用私有IP 地址，故而需要采用靜態(tài)NAT對地址進行轉(zhuǎn)換，在企業(yè)邊界路由器上的配置如圖17 所示，其中192.168.4.1 為服務(wù)器配置的靜態(tài)私有IP地址，而202.202.1.8 為外網(wǎng)訪問服務(wù)器的公有地址。

圖17 企業(yè)邊界路由器靜態(tài)NAT配置

4.3.4 ACL對訪問進行限制

在核心交換機上配置ACL 包過濾防火墻［13］，使財務(wù)部不能被其他部門所訪問，配置如圖18 所示。

圖18 核心交換機ACL配置

完成上述配置后，將對網(wǎng)絡(luò)進行功能測試，首先將對基本連通性進行測試，均滿足訪問需求，通過在核心交換機和企業(yè)邊界路由器上show ip route 查看路由表，結(jié)果分別如圖19、20 所示?？梢钥吹絊1 上的路由表項有到各VLAN和Fa0/0 口的直連路由和向外轉(zhuǎn)發(fā)數(shù)據(jù)包的默認路由，R1 上的路由表項有直連路由以及通過RIP協(xié)議獲取到的到各部門的動態(tài)路由以及向外轉(zhuǎn)發(fā)的默認路由。值得注意的是，實際網(wǎng)絡(luò)中，外網(wǎng)路由器的路由表不應(yīng)該知道內(nèi)部網(wǎng)絡(luò)的路由信息，即應(yīng)該僅包含直連路由，如圖21 所示。

圖19 核心交換機S1路由表

圖20 企業(yè)邊界路由器R1路由表

圖21 外網(wǎng)路由器路由表

內(nèi)網(wǎng)PC訪問Internet之后，查看企業(yè)邊界路由器R1 上的地址轉(zhuǎn)換表如圖22 所示，可以看到，PC1 映射到外網(wǎng)IP地址202.202.1.10，兩臺內(nèi)網(wǎng)服務(wù)器分別靜態(tài)映射到兩個外網(wǎng)IP，在邊界路由器上成功完成了地址轉(zhuǎn)換。

圖22 企業(yè)邊界路由器NAT表

5 結(jié) 語

借助EVE-NG 模擬器，可以較好地模擬各種網(wǎng)絡(luò)設(shè)備，對計算機網(wǎng)絡(luò)實踐課程的開展提供了較好的支撐，通過精心設(shè)計三層次的實踐教學內(nèi)容，由基礎(chǔ)到探索再到綜合，引導學生從基礎(chǔ)知識到系統(tǒng)設(shè)計，從觀察驗證到解決實際問題，讓學生在分析問題-實現(xiàn)方案-解決問題的過程中提高了解決復雜工程問題的能力［14］。