计算机网络“三层次渐进式”实践教学设计

2022-08-06崔晓龙王建萍边胜琴

实验室研究与探索 2022年4期

崔晓龙，刘欣，王建萍，张敏，边胜琴

（北京科技大学计算机与通信工程学院，北京 100083）

0 引言

计算机网络实践教学是学生掌握计算机网络知识的必要教学环节，是对计算机网络理论的实现与升华，在课堂教学的基础上，学生独立完成实验教学规定的实验内容。然而，传统实验内容往往以验证型实验为主，教师针对不同的网络协议设计若干实验，学生依照操作步骤完成实验并观察现象，这使传统的实验教学内容脱离实际网络应用环境，学生难以将所学知识付诸真实应用［1］。另外，现有实验室设备数量有限且类型往往是单一的，难以支持学生完成复杂的综合设计实验，并且无法让学生体验不同厂家不同类型设备的区别，故而实际教学中选择网络仿真软件来作为硬件环境的辅助，EVE-NG 可模拟Cisco、H3C、Huawei、Juniper等众多厂商不同类型的设备，提供了仿真度较高的路由器、交换机，支持多用户通过Web 访问并管理该平台的操作模式，能快速部署配置虚拟环境，有功能强大、扩展性强、便于学生上手等众多优点［2］。

课程基于EVE-NG 软件来设计实验内容，以各类不同网络实际需求为背景，以培养学生解决复杂工程问题的能力为目标，要求学生首先根据实验指导书完成验证型实验内容，以对各种网络协议有更深的理解和认识，然后探索型实验给出网络拓扑和简单的步骤要求（不给出操作过程和配置命令），让学生对各种协议和实验原理进行更加深入的分析，综合型实验则是目前较为缺乏的，给出应用场景让学生设计并组建符合需求、结构合理、功能完善的网络，如校园网或企业网，要求学生按照网络工程的原则，依照需求分析、网络拓扑设计、IP地址规划和VLAN划分、路由设计、网络仿真实现与测试等环节进行展开，最终实现符合真实网络功能需求的网络设计，为今后从事计算机网络工程的设计、维护与管理，以及后续专业课程的学习打下坚实的理论和实践基础。

1 相关技术

1.1 EVE-NG介绍

EVE-NG（全称Emulated Virtual Environment-Next Generation），不仅可以模拟网络设备，也可以运行一切虚拟机。理论上，只要能将虚拟机的虚拟磁盘格式转换为qcow2 都可以在EVE-NG上运行。所以，EVE-NG可以算得上是仿真虚拟环境。它融入了经典模拟器Dynamips、IOL（Cisco IOS on Linux）和虚拟化模拟器QEMU（Quick Emulator），其中Dynamips是一个用于运行Cisco路由器真实的操作系统，IOL 是运行在Linux上的Cisco IOS，比Dynamips资源占用小且更好地支持二层交换特性，QEMU 是虚拟化领域非常著名的开源产品，可运行众多厂商、不同类型的网络设备。

1.2 RIP路由协议

路由信息协议（Routing Information Protocol，RIP）是由施乐（Xerox）在20 世纪70 年代开发的，是应用较早、使用较普遍的内部网关协议（Interior Gateway Protocol，简称IGP），适用于小型同类网络，是典型的距离矢量（distance-vector）协议，它使用跳数来衡量到达目的网络的距离。在RIP 中，路由器到它直接相连网络的跳数为0，通过与其直接相连的路由器到达的下一个紧邻的网络跳数为1，依此类推，每多经过一个网络，跳数加1。为限制收敛时间，RIP规定大于等于16的跳数被定义为无穷大，即目标网络不可达，故而其不适合应用于大型网络。

2 网络实践环境搭建

EVE-NG 运行于Ubuntu 操作系统中，可通过VMware等虚拟机软件进行安装，也可以直接安装在物理机中，为了让学生体会全部环境搭建过程，采用OVA模板将其安装到个人电脑的虚拟机软件中，具体安装步骤如下［3-5］：

（1）OVA 模板部署EVE-NG。将准备好的OVA模板文件导入到VMware 中，并根据物理机硬件资源的情况，尽可能多的给EVE-NG 分配内存和CPU 资源，这将影响虚拟设备的运行效率，将网卡设置为桥接模式并且通过DHCP获取IP地址。

（2）EVE-NG 初始化。安装完成后需要对EVENG进行一些初始化配置，启动虚拟机后首次登录需要设置主机名、设置域名、设置EVE-NG 管理地址、指定NTP服务器、选择连接因特网方式。需要重点设置管理地址，支持DHCP获取和静态设置，要保证能获取到地址否则启动系统时可能出现卡在开机界面的情况。

（3）导入镜像。将常用的Dynamips 设备、IOL 设备以及QUME设备的镜像导入到EVE-NG 虚拟机中，获取到镜像文件后，需要将其上传到虚拟机的相应目录中，然后修改权限，保证对该镜像文件有读取权限，完成后可在Web界面上进行测试运行。

（4）登录并管理。由步骤（2）中提供的管理地址用浏览器登录EVE-NG 管理界面，即可在页面中进行各种操作，如对用户、系统和文件等的管理，以及建立Lab并在其中选择各种设备节点，进而搭建网络拓扑并进行各种实验。

3 三层次实践教学设计

通过多年的课程实践，逐步将课程内容进行分层设计与实施，让学生在实验时循序渐进、由浅入深的对网络知识进行学习和探索。

3.1 验证型实验：夯实基础

基础验证型实验是以基本知识和动手能力为基础，让学生了解各种网络设备的功能、接口以及各种线缆的连接方式等，学习各种网络协议的应用场景和配置方法。验证型实验项目和对应的实验内容如表1 所示。基础实验项目由指导书给出网络拓扑结构，学生据其进行连线和相应的配置，来观察实验现象，如对VLAN的划分实验，学生可观察同一VLAN 和不同VLAN之间网络连通性，静态路由实验学生可观察配置前后路由表的变化，并了解静态路由表项的含义。通过这些基础实验，让学生快速地将所学的知识落地，理解简单的网络原理性的知识，为进一步深入学习和探索打下基础。

3.2 探索型实验：知识进阶

进阶探索型实验，让学生在学会了基本配置的基础上深入了解各种协议的原理以及对实验难度进行提高，实验项目如表2 所示。例如，在学习了OSPF的基础配置之后，学生想进一步了解OSPF 协议的工作原理，可对截获的OSPF报文进行分析，可以获得链路状态信息交互的过程以及对SPF 的计算过程进行分析等。

表1 验证型实验项目

表2 探索型实验项目

3.3 综合型实验：创新设计

创新综合型实验将面向不同的应用场景，提出不同的应用通信需求，特点是网络规模较大，通信场景较为复杂，学生采用虚拟软件进行实验，并用工程化的思想来对应用进行需求分析、设备选型、网络设计、配置并最终进行测试，学生将运用所学到的知识，从不同的角度提出不同的设计方案，以培养创新思维和创新能力。各种综合项目中将包含不同的应用需求，学生可根据学习到的知识来选择可实现相应功能的技术，如对于路由协议的选择，学生可根据网络规模等因素来选取是采用静态路由还是RIP 或OSPF 协议，同时可让学生对不同的设计方案进行测试对比，以期找到应用场景中较好的解决方案。目前已有综合实验项目如表3 所示。

以中小企业网络设计为例，某公司下设研发部、市场部、人力资源部、网络运维部4 个部门，其中研发部有计算机30 台、市场部有计算机20 台，人力资源部有计算机5 台，网络运维部有计算机3 台，另外有4 台服务器组成的服务器群提供Web、FTP、DNS 等各种服务。要求完成该企业网络的设计、架构、配置和管理功能，给出如图1 所示的示例拓扑，对于各类设备选型以及协议配置需要由学生自己来完成。

图1 中小企业网络拓扑方案设计

4 EVE-NG仿真实现与测试

以RIP路由协议为例，通过EVE-NG 软件设计验证型、探索型和综合型实验，其中验证型实验拓扑结构往往较为简单，由学生完成基本配置和抓包实验，观察实验现象；探索型实验拓扑结构往往是需要教师精心设计的，通过合理的设计让学生能够深入理解网络原理；综合型实验拓扑结构往往较为复杂，将面向实际应用需求，设计并搭建满足要求的网络［6-7］。

4.1 验证型：RIP基本配置

在EVE-NG模拟器上实现如图2 所示的网络拓扑，让学生首先配置PC 设备和路由器各接口的IP 地址，配置完成之后进行两台PC 之间的连通性测试，可以发现此时是不连通的，可查看路由器R1 和R2 的路由表如图3 所示，此时路由器仅包含直连网段的路由信息，缺少到非直连网段的路由信息。

图2 RIP配置实验网络拓扑

图3 路由器R1和R2的路由表（未配置RIP）

接下来在路由器R1 和R2 上分别配置RIP 路由协议，配置方法如图4 所示。采用ping 命令来测试两台PC之间的连通性，此时可以发现PC 之间是连通的，查看如图5 所示的路由表，此时两台路由器均生成一条新的路由信息，是通过RIP 路由协议生成的到非直连网段的路由信息。

图4 路由器R1和R2配置RIP协议

图5 路由器R1和R2的路由表（配置RIP后）

4.2 探索型：报文分析、算法分析

在学习了RIP的基本配置之后，让学生对RIP 的协议原理进行更加深入的探索和分析，通过截取RIP报文，分析距离矢量算法的计算过程。按照如图6 所示的拓扑图完成连接，并配置好IP地址［8］。

首先在PC1、PC2 和PC3 上运行Wireshark（一定要先运行），然后在各三层交换机和路由器上配置RIP。配置完成后，各设备都可以正常通信。观察S1、R1、R2 的路由表可发现由RIP 路由协议生成的路由表项，其中S2 的路由表项如图7 所示，到192.168.1.0 的跳数是2，到192.168.2.0 的跳数是1，这是如何得到的？

图6 RIP算法分析实验网络拓扑

图7 核心交换机S2的路由表

分析PC2 上的Wireshark 报文，如图8 所示，该报文源地址192.168.2.254，是S1 从Vlan100 接口发送的广播报文，其RIP报文段包括一条选路信息，目的地址是192.168.1.0，跳数是1，表示从Vlan100 接口收到的报文经过一跳可到达网络192.168.1.0，S1 将此消息广播出去，以让邻居路由器知道。

图8 核心交换机S1广播的RIP报文

查看R1 的路由表如图9 所示，此时192.168.1.0的路由信息已经加入R1 路由表中，跳数为1。通过在PC3 上截取的报文观察R1 广播的RIP 报文，如图10所示，可发现该报文段包含两条选路信息，第1 条是到目的地址192.168.1.0 的，跳数是2，表示从R1 的e0/1接口收到的报文须经过2 跳可到达该目的网络；第2条是到目的地址192.168.2.0 的，跳数是1。此时S2将把新收到的192.168.1.0 网络的路由信息加入到路由表中。

图9 企业边界路由器R1的路由表

图10 R1广播的RIP报文

通过该过程，可以发现S1 向网络上广播自己已有的路由信息192.168.1.0，跳数为1（直连网络原度量值0 加上发送附加度量值1），R1 收到该信息后，检查自己的路由表，发现没有到该网络的路由信息，所以将该信息加入到路由表中，然后将该路由信息继续广播出去，跳数改成2（原度量值1 加上发送附加度量值1），同时广播的还有192.168.2.0 网段的路由信息，跳数为1（直连网络原度量值0 加上发送附加度量值1），最后S2 收到该报文后，同样检查自己的路由表，发现没有该网段的路由信息后将该路由加入到路由表中，得到如图7 所示的路由表。

4.3 综合型：面向应用组网并实现

在学习了基础知识并进行了深入分析之后，学生将通过完成实际应用场景下的网络设计与实现来将所学的知识付诸应用，该应用案例往往涉及多种综合技术，需要学生进行深入分析、设计与测试才能实现较好的解决方案。以表3 中的中小企业网络设计为例，完成相应的功能要求，通过ENE-NG 完成的网络拓扑如图11 所示［9］。

图11 中小企业网络拓扑功能设计

4.3.1 IP地址规划与VLAN划分

根据实际需求，在各部门之间隔离冲突域，同时要保证网络互联互通，首先需要合理分配IP 和划分VLAN，将各个部门划分到不同的VLAN 中，地址规划采用192.168.*.*/24 的私网地址，同时为了方便管理，约定第3 个字节代表部门，第4 个字节代表部门内的设备编号，如IP地址192.168.1.16，表明该计算机是研发部的16 号设备；另外为研发部分配192.168.1.0/24 的网段，可容纳254 台主机，足以满足该部门已有设备需求，同时为日后网络规模扩展留有了余地，另外在三层交换机开启路由功能，在其上创建虚接口并分配IP地址作为不同部门设备的网关地址，以实现不同VLAN的连通。为企业内部各部门划分VLAN以及每个VLAN的IP网段、子网掩码、网关配置等如表4所示。

表4 IP地址规划与VLAN划分

在核心交换机和路由器设备上配置各接口的IP地址，配置如图12、13 所示。

图12 核心交换机S1各接口IP地址配置

图13 企业边界路由器R1各接口IP地址配置

4.3.2 路由协议配置

对于中小型企业网络，考虑采用RIP路由协议，一方面网络规模不大，采用RIP 路由协议完全可以满足需求，另一方面采用动态路由也减少了管理员手工配置路由的负担，需要在企业边界路由器R1 上和核心交换机S1 上配置RIP 路由协议以及向外转发的默认路由，需要注意的是，边界路由器R1 上的RIP协议仅通告内部网段的路由即可，而对于Internet 端的路由器，则没有用于指明通往企业网中各个网络的传输路径的路由，即企业网对于Internet 端的路由器是不可见的。故而路由协议的配置如图14、15 所示。

图14 核心交换机S1配置路由协议

图15 企业边界路由器R1配置路由协议

4.3.3 NAT访问外部网络

（1）动态NAT。各内部网络通过动态NAT 访问Internet，即私有IP地址转换为公有IP地址，由于公网IP数量有限，故而采用动态地址池方式进行地址转换，边界路由器上的配置如图16 所示，其中地址池起始地址为202.202.1.10 ～202.202.1.15。另外，为了使财务部不能访问Internet，可在access-list 10 中不允许财务部网段192.168.4.0 网段通过［10-12］。

图16 企业边界路由器动态NAT配置

（2）静态NAT。对于服务器等设备，由于需要供外网进行访问，需要提供给外网访问的公网IP 地址，而服务器本身采用私有IP 地址，故而需要采用静态NAT对地址进行转换，在企业边界路由器上的配置如图17 所示，其中192.168.4.1 为服务器配置的静态私有IP地址，而202.202.1.8 为外网访问服务器的公有地址。

图17 企业边界路由器静态NAT配置

4.3.4 ACL对访问进行限制

在核心交换机上配置ACL 包过滤防火墙［13］，使财务部不能被其他部门所访问，配置如图18 所示。

图18 核心交换机ACL配置

完成上述配置后，将对网络进行功能测试，首先将对基本连通性进行测试，均满足访问需求，通过在核心交换机和企业边界路由器上show ip route 查看路由表，结果分别如图19、20 所示。可以看到S1 上的路由表项有到各VLAN和Fa0/0 口的直连路由和向外转发数据包的默认路由，R1 上的路由表项有直连路由以及通过RIP协议获取到的到各部门的动态路由以及向外转发的默认路由。值得注意的是，实际网络中，外网路由器的路由表不应该知道内部网络的路由信息，即应该仅包含直连路由，如图21 所示。