高校網絡在虛擬仿真器中的設計與實現

付承彪， 田安紅， 于 龍， 馬 美

(曲靖師范學院 a.信息工程學院;b.城市學院；c.生物資源與食品工程學院，云南 曲靖 655011)

0 引 言

《計算機網絡》課程是信息工程等專業的專業基礎課，分為理論和實踐兩部分，理論課上學生普遍反映課程核心內容如VPN、NAT、RIP、ACL等知識難于理解。為了便于學生領悟，在實踐課中采取真實設備組網的方式[1-3]，但在實際的校園網絡建設中，需要大量昂貴的硬件設備資源，以及不斷地規劃建設工作[4-6]。為解決實際網絡建設的硬件成本問題，可借助Cisco Packet Tracer仿真軟件來模擬，通過在軟件中規劃設計校園網絡[7-10]，并配置相關命令，測試觀察網絡的運行情況。所得結果可借鑒于實際中的校園網絡搭建。

首先在軟件中建立網絡結構圖，然后配置相關的網絡命令，最后實現網絡的互聯互通，同時通過VPN技術實現用戶訪問學校網絡的功能。組網涉及《計算機網絡》課程中的關鍵技術，如VLAN、DHCP、VPN、NAT、ACL等，這些知識學生難于掌握，通過設計一個校園網絡系統的實驗，便于學習理解和應用所學知識解決實際問題[11-16]。

1 校園網絡規劃和需求分析

1.1 綜合實驗組網圖

本文所設計的基于校園網絡系統的綜合性實驗，主要包含學校內網和學校外網兩個部分，在學校的內網中包含多個子網絡，學校內部網絡之間可以相互訪問，同時也能夠正常地訪問學校外網，而校外終端設備通過VPN技術也可以成功訪問學校內部網絡。實驗組網圖如圖1所示，在Cisco Packet Tracer模擬軟件中畫出校園網絡系統的拓撲圖。曲靖師范學院的校園建筑中重點包括行政辦公樓、教學樓、學生宿舍、各學院部門、網管中心等，在本試驗中，選擇學校的部分教學區，如計科系、物理系，行政辦公樓部分部門單位，如人事處、財務處，以及部分學生公寓來模擬校園網絡系統中的重要功能。

圖1 綜合實驗組網圖

1.2 校園網整體層次結構

校園網的整體層次結構如圖2所示，采用的是核心層，匯聚層，接入層的模式。

圖2 校園網整體層次結構圖

1.3 校園網絡拓撲圖設計

在設計校園網絡之前，總體規劃校園網絡的拓撲非常關鍵，通過規劃各個部門之間的聯系，形成一個完整模型圖例。本實驗中，學校采用千兆以態網技術，而行政辦公樓、教學樓、圖書館、以及各宿舍樓等是通過光纖接入到核心層。各個接入層的傳輸層的傳輸介質采用雙絞線，其拓撲結構如圖3所示。

圖3 網絡拓撲結構圖

1.4 關鍵技術之VTP、NAT、ACL

虛擬局域網干道協議(VLAN Trunking Protocol,VTP)是VLAN中繼協議。當配置VLAN工作量大時，可以使用VTP協議。在本實驗中通過VTP協議來實現VLAN的統一配置和管理。假設校園網絡中，共存在X個交換機，一共劃分了Y個VLAN，常規配置是需要在每個交換機上都創建Y個VLAN，共X×Y個VLAN，當X和Y的數量較大時，配置X×Y個VLAN需要耗費大量的時間。而VTP技術能夠簡化VLAN的配置任務，管理員在網絡中設置一個或者多個VTP Server，然后在Server上創建和修改VLAN，VTP協議會將這些修改通告其他交換機上，這些交換機自動更新VLAN的信息。

網絡地址轉換(Network Address Translation，NAT)解決了IP地址不足的問題，且能夠避免網絡外部攻擊，保護網絡內部的計算機。在本實驗中的作用是，使得校園網內部的私有地址的數據包到達NAT設備，NAT設備負責把私有IP地址翻譯成外網合法的IP地址，然后再進行轉發數據包，實現內網訪問外網的功能，如圖4所示。當校園網內的主機172.16.1.1，需要訪問外部Internet網絡，則主機發送數據包到邊界路由器，而NAT轉換功能在邊界路由器當中，路由器能夠識別出數據包的源地址172.16.1.1，即為本地IP地址，它的工作是把內部本地地址轉換為全局地址200.1.1.1，且轉化結果是記錄在NAT表中，此時主機發送的數據包使用轉換后的新的源地址200.1.1.1，把它發送到路由器的出口，進一步送到外部網絡當中。此時，外網服務器響應數據包，并返回路由器時，路由器再次通過NAT轉換表，把全局地址轉換為本地地址，實現請求發送回源主機。

邊界路由器NAT表

內部本地地址內部全局地址172.16.1.1200.200.1.1172.16.1.2200.200.1.2172.16.1.3200.200.1.3

圖4 NAT地址轉換

訪問控制列表(Access Control List，ACL)是路由器和交換機接口的指令列表，檢查數據包和過濾數據包，它能夠限制網絡的流量，同時提供網絡性能，使得訪問級別安全可靠。它主要用于阻止非法用戶對資源節點的訪問，以及限制特定用戶的節點所具備的訪問權限問題。

1.5 功能需求

(1) 建設的校園網絡系統能夠提供計算機的軟硬件系統資源，提供各種教學和辦公平臺，服務于教學和科研工作。

(2) 具有可靠的通信功能，如通過NAT和VPN的配置，實現校園網絡成功訪問外部網絡資源，同時外網能夠訪問內部網絡資源，最終實現內外網絡之間的相互訪問功能。

(3) 滿足信息交流的需求，便于教師對信息資源的及時獲取，以便于查閱和檢索。

(4) 確保所設計的校園網絡系統安全可靠，同時也需確保實用性、可擴展性和高技術先進性，滿足學校網絡未來業務的發展需要。

2 搭建虛擬實驗環境

2.1 VTP配置

為了簡化網絡繁重而枯燥的管理，在三層交換機上配置了VTP Server，然后在Server上創建和修改VLAN，VTP協議將修改信息并更新到其余交換機上。

網管中心3層交換機上的關鍵配置(院系配置部分)命令如下：

S1(config)#VTP domain aaa

S1(config)#VTP mode server

S1(config)#vlan 2

S1(config-vlan)#exit

S1(config)#vlan 3

計科系2層交換機switch1關鍵配置如下：

switch(config)#VTP domain aaa

switch(config)#VTP mode client

switch(config)#int range fa 0/2-24

switch(config-if-range)#switchport access vlan 2

3層交換機上為各VLAN配置IP地址，啟用路由功能，關鍵配置命令如下：

S1(config)#intvlan 1

S1(config-if)#ip add 172.16.1.4 255.255.255.0

S1(config-if)#no shutdown

S1(config)#interface vlan 2

S1(config-if)#ip address 172.16.10.254 255.255.255.0

S1(config-if)#no shutdown

S1(config)#intvlan 3

S1(config-if)#ip address 172.16.11.254 255.255.255.0

S1(config-if)#no shutdown

S1(config)#ip routing

2.2 配置WEB和DNS服務器

WEB服務器的配置為，首先單擊WEB服務器，選擇HTTP，并在HTTP中選擇On。然后，選擇IP Configuration，配置IP Address：172.16.1.2，Subnet Mask：255.255.255.0，Default Gateway：172.16.1.1。

DNS服務的配置為：首先單擊DNS服務器，選擇DNS，DNS Service選擇單選框On，在Name對中輸入“www.qjnu.edu.cn”，Type中選擇“A Record”，輸入“172.16.1.2”。然后，IP Configuration，配置IP Address：172.16.1.3，Subnet Mask：255.255.255.0，Default Gateway：172.16.1.1。

2.3 動態主機配置協議(Dynamic Host Configuration Protocol, PHCP)配置

在網管中心的3層交換機S1上配置DHCP，為各系自動分配ip地址，關鍵配置命令如下：

S1(config)#ipdhcp pool wgzx //網管dhcp配置

S1(dhcp-config)#network 172.16.1.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.1.1

S1(dhcp-config)#dns-server 172.16.1.3

S1(config)#ipdhcp pool jkx //計科系dhcp配置

S1(dhcp-config)#network 172.16.10.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.10.254

S1(dhcp-config)#dns-server 172.16.1.3

S1(config)#ipdhcp pool wlx //物理系dhcp配置

S1(dhcp-config)#network 172.16.11.0 255.255.255.0

S1(dhcp-config)#default-router 172.16.11.1

S1(dhcp-config)#dns-server 218.30.1.100

S1(config)#ipdhcp excluded 172.16.1. 172.16.1.10 //排除前10個ip地址

S1(config)#ipdhcp excluded 172.16.10.1 172.16.10.5 //排除前5個ip地址

S1(config)#ipdhcp excluded 172.16.11.1 172.16.11. //排除前5個ip地址

2.4 路由信息協議(Routing Information Protocol,RIP)配置

在3層交換機上運行RIP協議，使整個網絡能夠互相訪問，關鍵配置命令如下：

S1(config)#router rip

S1(config-router)#version 2

S1(config-router)#network 172.16.1.0

S1(config-router)#network 172.16.10.0

S1(config-router)#network 172.16.11.0

單臂路由的配置，配置命令如下：

Router(config)#int fa0/1.1

Router(config-subif)#encapsulation dot1q 5

Router(config-subif)#ip add 172.16.13.254 255.255.255.0

Router(config)#int fa0/1.2

Router(config-subif)#enca

Router(config-subif)#encapsulation dot1q 6

Router(config-subif)#ip add 172.16.14.254 255.255.255.0

配置路由器R0上RIP路由協議命令如下：

Router(config)#router rip

Router(config-router)#version 2

Router(config-router)#network 172.16.12.0

Router(config-router)#network 172.16.9.0

2.5 虛擬專用網絡(Virtual Private Network,VPN)配置

通過R2和R3路由器來模擬Internet網絡，并將R1和R4進行連接到Internet網絡，同時，R1的fa0/0端口連接到校園網的內部，R4的fa0/0端口與遠程辦公室進行連接，遠程辦公和校園網絡的內部是通過VPN的配置(GRE Tunnel隧道)進行連接。

R1～R4路由器配置如下：

R1(config)#ip route 0.0.0.0 0.0.0.0 202.96.134.2

R2(config)#ip route 61.0.0.0 255.255.255.0 218.30.1.3

R3(config)#ip route 202.96.134.0 255.255.255.0 218.30.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 61.0.0.3

上述配置完成后，可知R1能測試通R4的公網接口se1/0，R4能測試通R1的公網接口se1/0。

測試圖如5、6所示。

圖5 R1能測試通R4的公網接口se1/0

圖6 R4能測試通R1的公網接口se1/0

但R1和R4不能測試通過私網接口fa0/0，需要進行GRE Tunnel隧道配置，命令如下：

R1(config)#interface tunnel 0 //創建Tunnel接口，編號為0

R1(config-if)#tunnel source serial1/0 //指定Tunnel的源接口為serial1/0

R1(config-if)#tunnel destination 61.0.0.4 //指定Tunnel的目的IP地址，路由器以此地址為目的地址重新封裝VPN數據包

R1(config-if)#ip add 172.16. 14.1 255.255.255.0 //配置隧道接口上的IP地址，創建隧道后，可以吧隧道看成是一條專線

R4(config)#interface tunnel 0 //創建Tunnel接口，編號為0，Tunnel接口的編號本地有效，不必和對方的一致

R4(config-if)#tunnel source serial1/0

R4(config-if)#tunnel destination 202.96.134.1

R4(config-if)#ip address 172.16.14.4 255.255.255.0

R1測試R4上的隧道接口(ip地址為172.16.14.4)，如圖7所示。

圖7 R1測試R4上的隧道接口

R4測試R1上的隧道接口(ip地址為172.16.14.1)，如圖8所示。

圖8 R4測試R1上的隧道接口

RIP路由協議配置如下:

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#network 172.16.0.0

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#network 172.16.4.0

配置完成之后，查看R1和R4的路由表可知，遠程辦公室的網絡已經學習到校園網內部的路由，校園網內部也學到遠程辦公室的路由，路由的下一跳為隧道另一端的地址，此時遠程辦公室就能與校園網內部進行訪問了。

2.6 NAT配置

通過上述的配置命令后，現在校園網內部還不能訪問外部網Internet，若要訪問外部網絡Internet，還需要配置NAT，關鍵配置命令如下：

Router(config)#int fa0/0

Router(config-if)#ip add 172.16.19.254 255.255.255.0

Router(config-if)#no shut

Router(config)#int fa0/1

Router(config-if)#ip add 200.200.200.1 255.255.255.0

Router(config-if)#no shut

Router(config)#router rip

Router(config-router)#version 2

Router(config-router)#no auto-summary

Router(config-router)#network 172.16.19.0

Router(config)#ipnat pool nat_pool 200.200.200.1 200.200.200.1 netmask 255.255.255.0

Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255

Router(config)#ipnat inside source list 1 pool nat_pool overload

3 實驗仿真結果

3.1 系統之間的連通性測試

在校園網絡內部任選一臺機子測試它與其他機子的連通性，以財務處的機子PC8為例做測試。測試財務處與人事處之間的連通性，測試財務處與物理系之間的連通性，測試財務處與計科系之間的連通性，測試財務處與宿舍公寓的連通性，結果給出財務處與人事處的連通性如圖9所示。

圖9 財務處主機PC8測試人事處主機的連通性

3.2 DHCP的測試

如圖10所示，物理系的主機能正常自動獲取ip地址。同理，計科系的主機也能正常自動獲取ip地址。

3.3 RIP協議的測試

在路由器R0上測試，運行如下圖11所示。

3.4 NAT配置的測試

在內網3層交換機S1上測試內網訪問外網如下所示：

S1#ping 200.200.200.1

Type escape sequence to abort.

圖10 圖中顯示IP地址自動獲取成功

圖11 圖中顯示R0的為RIP協議

Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 s:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/4/16 ms

S1#enable

S1#ping 200.200.200.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.10, timeout is 2 s:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

現在校園網內部就能訪問Internet，并且也能夠訪問遠程辦公室。

3.5 VPN配置的測試

用遠程辦公室主機測試校園網內部，如圖12所示，成功與校園網內部進行訪問。

圖12 遠程辦公室主機測試校園內網圖

4 結 論

本文通過在Cisco Packet Tracer模擬軟件中搭建校園網絡系統，并配置實現校園網絡的相關功能，即內部網絡互聯互通，外部網絡能夠通過VPN訪問校園網絡資源。使得學生掌握計算機網絡課程中的關鍵知識，并能把這些理論知識成功地運用在實踐中，為學生今后從事實際的網絡組建奠定了一定的知識。同時，模擬軟件提供的配置命令，與實際組網中的設備命令一致，降低了硬件資源成本，虛擬校園網絡可以直接運用到實際組網，對實際組網起到很好的參考價值。同時這種教學模式在我院的計算機網絡課程中，已經開展，通過綜合答辯方式考核學生的理解，實踐效果好。

參考文獻(References)：

[1] 周江偉.校園網絡系統構建完善分析[J].長春教育學院學報,2013,29(15):96,102.

[2] 劉百祥,趙澤宇,張 凱.面向校園信息化業務特征的虛擬化平臺架構[J].華東師范大學學報(自然科學版),2015(S1):274-282.

[3] 薛 調,王躍虎,高景祥.網絡教學平臺的發展定位及服務設計[J].圖書館工作與研究,2010(1):81-84.

[4] 孔慶偉.基于SDN的高校校園網設計及應用研究[J].山東社會科學,2015(S2):280-281.

[5] 郭曉東,焦 亮,仇一泓,等.基于Click和NS2的多路徑域間路由仿真器的設計與實現[J].山東大學學報(理學版),2013,48(11):36-43.

[6] 范國渠.一種關聯云計算的高校網絡惡意攻擊檢測模型[J].科技通報,2012,28(8):153-155.

[7] 程思寧,耿 強,姜文波,等.虛擬仿真技術在電類實驗教學中的應用與實踐[J].實驗技術與管理,2013,30(7):94-97.

[8] 張梁斌,高 昆,梁世斌.基于Packet Tracer的小型企業網絡應用架構的仿真實驗[J].實驗室研究與探索,2012,31(10):372-37.

[9] 杜興勇,劉海東.創新計算機網絡實驗教學與實驗平臺的改革探索[J].中國成人教育,2009(16): 149-150.

[10] 田海江.網絡組網虛擬實驗系統設計與實現[J]. 重慶郵電大學學報(自然科學版),2008(S1):67-69,92.

[11] 周 舸,余 欣,朱镕申.計算機網絡技術基礎[M].北京:人民郵電出版社,2014.

[12] 蘇東梅. 基于Packet Tracer設計網絡綜合實踐項目的應用研究[J].數字技術與應用,2013(10):24-25.

[13] 琚生根,陳 黎,周 剛,等.“計算機網絡”實驗課程的教學探討[J].實驗技術與管理,2013,30(4): 159-161.

[14] 張 衛,愈黎陽.計算機網絡工程[M].北京:清華大學出版社,2010.

[15] 金偉祖,陳顯濤.可持續的計算機網絡綜合性創新實驗項目[J].實驗室研究與探索,2014,33(4):187-190,236.

[16] 張清平,謝 鵬.基于Cisco ISL和IEEE802.1Q的VLAN間通信原理及仿真分析[J].計算機與現代化,2009,172(12):150-153.