高校网络在虚拟仿真器中的设计与实现

2018-07-09付承彪田安红

实验室研究与探索 2018年6期

付承彪，田安红，于龙，马美

(曲靖师范学院 a.信息工程学院;b.城市学院；c.生物资源与食品工程学院，云南曲靖 655011)

0 引言

《计算机网络》课程是信息工程等专业的专业基础课，分为理论和实践两部分，理论课上学生普遍反映课程核心内容如VPN、NAT、RIP、ACL等知识难于理解。为了便于学生领悟，在实践课中采取真实设备组网的方式[1-3]，但在实际的校园网络建设中，需要大量昂贵的硬件设备资源，以及不断地规划建设工作[4-6]。为解决实际网络建设的硬件成本问题，可借助Cisco Packet Tracer仿真软件来模拟，通过在软件中规划设计校园网络[7-10]，并配置相关命令，测试观察网络的运行情况。所得结果可借鉴于实际中的校园网络搭建。

首先在软件中建立网络结构图，然后配置相关的网络命令，最后实现网络的互联互通，同时通过VPN技术实现用户访问学校网络的功能。组网涉及《计算机网络》课程中的关键技术，如VLAN、DHCP、VPN、NAT、ACL等，这些知识学生难于掌握，通过设计一个校园网络系统的实验，便于学习理解和应用所学知识解决实际问题[11-16]。

1 校园网络规划和需求分析

1.1 综合实验组网图

本文所设计的基于校园网络系统的综合性实验，主要包含学校内网和学校外网两个部分，在学校的内网中包含多个子网络，学校内部网络之间可以相互访问，同时也能够正常地访问学校外网，而校外终端设备通过VPN技术也可以成功访问学校内部网络。实验组网图如图1所示，在Cisco Packet Tracer模拟软件中画出校园网络系统的拓扑图。曲靖师范学院的校园建筑中重点包括行政办公楼、教学楼、学生宿舍、各学院部门、网管中心等，在本试验中，选择学校的部分教学区，如计科系、物理系，行政办公楼部分部门单位，如人事处、财务处，以及部分学生公寓来模拟校园网络系统中的重要功能。

图1 综合实验组网图

1.2 校园网整体层次结构

校园网的整体层次结构如图2所示，采用的是核心层，汇聚层，接入层的模式。

图2 校园网整体层次结构图

1.3 校园网络拓扑图设计

在设计校园网络之前，总体规划校园网络的拓扑非常关键，通过规划各个部门之间的联系，形成一个完整模型图例。本实验中，学校采用千兆以态网技术，而行政办公楼、教学楼、图书馆、以及各宿舍楼等是通过光纤接入到核心层。各个接入层的传输层的传输介质采用双绞线，其拓扑结构如图3所示。

图3 网络拓扑结构图

1.4 关键技术之VTP、NAT、ACL

虚拟局域网干道协议(VLAN Trunking Protocol,VTP)是VLAN中继协议。当配置VLAN工作量大时，可以使用VTP协议。在本实验中通过VTP协议来实现VLAN的统一配置和管理。假设校园网络中，共存在X个交换机，一共划分了Y个VLAN，常规配置是需要在每个交换机上都创建Y个VLAN，共X×Y个VLAN，当X和Y的数量较大时，配置X×Y个VLAN需要耗费大量的时间。而VTP技术能够简化VLAN的配置任务，管理员在网络中设置一个或者多个VTP Server，然后在Server上创建和修改VLAN，VTP协议会将这些修改通告其他交换机上，这些交换机自动更新VLAN的信息。

网络地址转换(Network Address Translation，NAT)解决了IP地址不足的问题，且能够避免网络外部攻击，保护网络内部的计算机。在本实验中的作用是，使得校园网内部的私有地址的数据包到达NAT设备，NAT设备负责把私有IP地址翻译成外网合法的IP地址，然后再进行转发数据包，实现内网访问外网的功能，如图4所示。当校园网内的主机172.16.1.1，需要访问外部Internet网络，则主机发送数据包到边界路由器，而NAT转换功能在边界路由器当中，路由器能够识别出数据包的源地址172.16.1.1，即为本地IP地址，它的工作是把内部本地地址转换为全局地址200.1.1.1，且转化结果是记录在NAT表中，此时主机发送的数据包使用转换后的新的源地址200.1.1.1，把它发送到路由器的出口，进一步送到外部网络当中。此时，外网服务器响应数据包，并返回路由器时，路由器再次通过NAT转换表，把全局地址转换为本地地址，实现请求发送回源主机。

边界路由器NAT表

内部本地地址内部全局地址172.16.1.1200.200.1.1172.16.1.2200.200.1.2172.16.1.3200.200.1.3

图4 NAT地址转换

访问控制列表(Access Control List，ACL)是路由器和交换机接口的指令列表，检查数据包和过滤数据包，它能够限制网络的流量，同时提供网络性能，使得访问级别安全可靠。它主要用于阻止非法用户对资源节点的访问，以及限制特定用户的节点所具备的访问权限问题。

1.5 功能需求

(1) 建设的校园网络系统能够提供计算机的软硬件系统资源，提供各种教学和办公平台，服务于教学和科研工作。

(2) 具有可靠的通信功能，如通过NAT和VPN的配置，实现校园网络成功访问外部网络资源，同时外网能够访问内部网络资源，最终实现内外网络之间的相互访问功能。

(3) 满足信息交流的需求，便于教师对信息资源的及时获取，以便于查阅和检索。

(4) 确保所设计的校园网络系统安全可靠，同时也需确保实用性、可扩展性和高技术先进性，满足学校网络未来业务的发展需要。

2 搭建虚拟实验环境

2.1 VTP配置

为了简化网络繁重而枯燥的管理，在三层交换机上配置了VTP Server，然后在Server上创建和修改VLAN，VTP协议将修改信息并更新到其余交换机上。

网管中心3层交换机上的关键配置(院系配置部分)命令如下：

S1(config)#VTP domain aaa

S1(config)#VTP mode server

S1(config)#vlan 2

S1(config-vlan)#exit

S1(config)#vlan 3

计科系2层交换机switch1关键配置如下：

switch(config)#VTP domain aaa

switch(config)#VTP mode client

switch(config)#int range fa 0/2-24

switch(config-if-range)#switchport access vlan 2

3层交换机上为各VLAN配置IP地址，启用路由功能，关键配置命令如下：

S1(config)#intvlan 1

S1(config-if)#ip add 172.16.1.4 255.255.255.0

S1(config-if)#no shutdown

S1(config)#interface vlan 2

S1(config-if)#ip address 172.16.10.254 255.255.255.0

S1(config-if)#no shutdown

S1(config)#intvlan 3

S1(config-if)#ip address 172.16.11.254 255.255.255.0

S1(config-if)#no shutdown

S1(config)#ip routing

2.2 配置WEB和DNS服务器

WEB服务器的配置为，首先单击WEB服务器，选择HTTP，并在HTTP中选择On。然后，选择IP Configuration，配置IP Address：172.16.1.2，Subnet Mask：255.255.255.0，Default Gateway：172.16.1.1。

DNS服务的配置为：首先单击DNS服务器，选择DNS，DNS Service选择单选框On，在Name对中输入“www.qjnu.edu.cn”，Type中选择“A Record”，输入“172.16.1.2”。然后，IP Configuration，配置IP Address：172.16.1.3，Subnet Mask：255.255.255.0，Default Gateway：172.16.1.1。

2.3 动态主机配置协议(Dynamic Host Configuration Protocol, PHCP)配置

在网管中心的3层交换机S1上配置DHCP，为各系自动分配ip地址，关键配置命令如下：

S1(config)#ipdhcp pool wgzx //网管dhcp配置

S1(dhcp-config)#network 172.16.1.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.1.1

S1(dhcp-config)#dns-server 172.16.1.3

S1(config)#ipdhcp pool jkx //计科系dhcp配置

S1(dhcp-config)#network 172.16.10.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.10.254

S1(dhcp-config)#dns-server 172.16.1.3

S1(config)#ipdhcp pool wlx //物理系dhcp配置

S1(dhcp-config)#network 172.16.11.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.11.1

S1(dhcp-config)#dns-server 218.30.1.100

S1(config)#ipdhcp excluded 172.16.1. 172.16.1.10 //排除前10个ip地址

S1(config)#ipdhcp excluded 172.16.10.1 172.16.10.5 //排除前5个ip地址

S1(config)#ipdhcp excluded 172.16.11.1 172.16.11. //排除前5个ip地址

2.4 路由信息协议(Routing Information Protocol,RIP)配置

在3层交换机上运行RIP协议，使整个网络能够互相访问，关键配置命令如下：

S1(config)#router rip

S1(config-router)#version 2

S1(config-router)#network 172.16.1.0

S1(config-router)#network 172.16.10.0

S1(config-router)#network 172.16.11.0

单臂路由的配置，配置命令如下：

Router(config)#int fa0/1.1

Router(config-subif)#encapsulation dot1q 5

Router(config-subif)#ip add 172.16.13.254 255.255.255.0

Router(config)#int fa0/1.2

Router(config-subif)#enca

Router(config-subif)#encapsulation dot1q 6

Router(config-subif)#ip add 172.16.14.254 255.255.255.0

配置路由器R0上RIP路由协议命令如下：

Router(config)#router rip

Router(config-router)#version 2

Router(config-router)#network 172.16.12.0

Router(config-router)#network 172.16.9.0

2.5 虚拟专用网络(Virtual Private Network,VPN)配置

通过R2和R3路由器来模拟Internet网络，并将R1和R4进行连接到Internet网络，同时，R1的fa0/0端口连接到校园网的内部，R4的fa0/0端口与远程办公室进行连接，远程办公和校园网络的内部是通过VPN的配置(GRE Tunnel隧道)进行连接。

R1～R4路由器配置如下：

R1(config)#ip route 0.0.0.0 0.0.0.0 202.96.134.2

R2(config)#ip route 61.0.0.0 255.255.255.0 218.30.1.3

R3(config)#ip route 202.96.134.0 255.255.255.0 218.30.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 61.0.0.3

上述配置完成后，可知R1能测试通R4的公网接口se1/0，R4能测试通R1的公网接口se1/0。

测试图如5、6所示。

图5 R1能测试通R4的公网接口se1/0

图6 R4能测试通R1的公网接口se1/0

但R1和R4不能测试通过私网接口fa0/0，需要进行GRE Tunnel隧道配置，命令如下：

R1(config)#interface tunnel 0 //创建Tunnel接口，编号为0

R1(config-if)#tunnel source serial1/0 //指定Tunnel的源接口为serial1/0

R1(config-if)#tunnel destination 61.0.0.4 //指定Tunnel的目的IP地址，路由器以此地址为目的地址重新封装VPN数据包

R1(config-if)#ip add 172.16. 14.1 255.255.255.0 //配置隧道接口上的IP地址，创建隧道后，可以吧隧道看成是一条专线

R4(config)#interface tunnel 0 //创建Tunnel接口，编号为0，Tunnel接口的编号本地有效，不必和对方的一致

R4(config-if)#tunnel source serial1/0

R4(config-if)#tunnel destination 202.96.134.1

R4(config-if)#ip address 172.16.14.4 255.255.255.0

R1测试R4上的隧道接口(ip地址为172.16.14.4)，如图7所示。

图7 R1测试R4上的隧道接口

R4测试R1上的隧道接口(ip地址为172.16.14.1)，如图8所示。

图8 R4测试R1上的隧道接口

RIP路由协议配置如下:

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#network 172.16.0.0

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#network 172.16.4.0

配置完成之后，查看R1和R4的路由表可知，远程办公室的网络已经学习到校园网内部的路由，校园网内部也学到远程办公室的路由，路由的下一跳为隧道另一端的地址，此时远程办公室就能与校园网内部进行访问了。

2.6 NAT配置

通过上述的配置命令后，现在校园网内部还不能访问外部网Internet，若要访问外部网络Internet，还需要配置NAT，关键配置命令如下：

Router(config)#int fa0/0

Router(config-if)#ip add 172.16.19.254 255.255.255.0

Router(config-if)#no shut

Router(config)#int fa0/1

Router(config-if)#ip add 200.200.200.1 255.255.255.0

Router(config-if)#no shut

Router(config)#router rip

Router(config-router)#version 2

Router(config-router)#no auto-summary

Router(config-router)#network 172.16.19.0

Router(config)#ipnat pool nat_pool 200.200.200.1 200.200.200.1 netmask 255.255.255.0

Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255

Router(config)#ipnat inside source list 1 pool nat_pool overload

3 实验仿真结果

3.1 系统之间的连通性测试

在校园网络内部任选一台机子测试它与其他机子的连通性，以财务处的机子PC8为例做测试。测试财务处与人事处之间的连通性，测试财务处与物理系之间的连通性，测试财务处与计科系之间的连通性，测试财务处与宿舍公寓的连通性，结果给出财务处与人事处的连通性如图9所示。

图9 财务处主机PC8测试人事处主机的连通性

3.2 DHCP的测试

如图10所示，物理系的主机能正常自动获取ip地址。同理，计科系的主机也能正常自动获取ip地址。

3.3 RIP协议的测试

在路由器R0上测试，运行如下图11所示。

3.4 NAT配置的测试

在内网3层交换机S1上测试内网访问外网如下所示：

S1#ping 200.200.200.1

Type escape sequence to abort.

图10 图中显示IP地址自动获取成功

图11 图中显示R0的为RIP协议

Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 s:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/4/16 ms

S1#enable

S1#ping 200.200.200.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.10, timeout is 2 s:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

现在校园网内部就能访问Internet，并且也能够访问远程办公室。

3.5 VPN配置的测试

用远程办公室主机测试校园网内部，如图12所示，成功与校园网内部进行访问。

图12 远程办公室主机测试校园内网图

4 结论

本文通过在Cisco Packet Tracer模拟软件中搭建校园网络系统，并配置实现校园网络的相关功能，即内部网络互联互通，外部网络能够通过VPN访问校园网络资源。使得学生掌握计算机网络课程中的关键知识，并能把这些理论知识成功地运用在实践中，为学生今后从事实际的网络组建奠定了一定的知识。同时，模拟软件提供的配置命令，与实际组网中的设备命令一致，降低了硬件资源成本，虚拟校园网络可以直接运用到实际组网，对实际组网起到很好的参考价值。同时这种教学模式在我院的计算机网络课程中，已经开展，通过综合答辩方式考核学生的理解，实践效果好。

参考文献(References)：

[1] 周江伟.校园网络系统构建完善分析[J].长春教育学院学报,2013,29(15):96,102.

[2] 刘百祥,赵泽宇,张凯.面向校园信息化业务特征的虚拟化平台架构[J].华东师范大学学报(自然科学版),2015(S1):274-282.

[3] 薛调,王跃虎,高景祥.网络教学平台的发展定位及服务设计[J].图书馆工作与研究,2010(1):81-84.

[4] 孔庆伟.基于SDN的高校校园网设计及应用研究[J].山东社会科学,2015(S2):280-281.

[5] 郭晓东,焦亮,仇一泓,等.基于Click和NS2的多路径域间路由仿真器的设计与实现[J].山东大学学报(理学版),2013,48(11):36-43.

[6] 范国渠.一种关联云计算的高校网络恶意攻击检测模型[J].科技通报,2012,28(8):153-155.

[7] 程思宁,耿强,姜文波,等.虚拟仿真技术在电类实验教学中的应用与实践[J].实验技术与管理,2013,30(7):94-97.

[8] 张梁斌,高昆,梁世斌.基于Packet Tracer的小型企业网络应用架构的仿真实验[J].实验室研究与探索,2012,31(10):372-37.

[9] 杜兴勇,刘海东.创新计算机网络实验教学与实验平台的改革探索[J].中国成人教育,2009(16): 149-150.

[10] 田海江.网络组网虚拟实验系统设计与实现[J]. 重庆邮电大学学报(自然科学版),2008(S1):67-69,92.

[11] 周舸,余欣,朱镕申.计算机网络技术基础[M].北京:人民邮电出版社,2014.