一種通過遠程接入方式進行網絡實驗的方案

張奇支，黎波良

（華南師范大學 計算機學院，廣東 廣州 510631）

0 引言

當前理工科類大學或綜合性大學都開設了計算機方向的專業，其中計算機網絡是很多專業方向的必修課程，其配套的計算機網絡實驗課又是計算機網絡課程教學中非常重要的環節，它對提高學生的動手能力、加深學生對課程理論的理解，有非常重要的作用，但對應的網絡工程實驗室存在的問題卻愈發明顯，表現在以下幾方面。

（1）網絡工程實驗室設備數量遠少于學生數量。盡管目前實驗網絡設備價格不斷下降，但因實驗場地限制，無法再添加更多的實驗機柜。學生必須分批次合作開展實驗，每位學生能控制的網絡設備有限，無法獨立開展大型實驗。

（2）學生必須到實驗室才能操作，無法在宿舍或教學樓開展實驗。受場地設備的影響，學生和指導老師都必須準時到達實驗室。指導老師需要同時承擔實驗指導員和設備管理員雙重角色。分批次的實驗模式需要指導老師長時間守在實驗室，工作量大大增加。

（3）現場插拔設備使設備故障率增加。在現場實驗教學中，同學們經常拔插交換機和路由器之間的線纜，線纜與接口容易損壞，影響后續實驗的正常進行。

針對這些普遍性的問題，部分高校引入了虛擬仿真實驗[1-3]。虛擬仿真實驗的實質是操作者在軟件模擬的虛擬環境中，通過軟件交互進行實驗，得到模擬反饋的結果，它們不與實際設備產生任何聯系，虛擬仿真實驗的效果與可信度完全取決于軟件模擬的真實性和可靠性。目前，市面上存在一系列的網絡實驗仿真平臺，大部分仿真平臺能模擬思科或華為網絡設備的操作界面，并且產生非常類似真實設備的輸入反饋，但它們的缺點也比較明顯，不需要手工布置網絡拓撲，缺少了真實環境中插拔網線的體驗，同時對一些復雜的拓撲結構或配置任務的支持程度有限。

在單位或企業的網絡中心，網絡設備一旦上架和完成初始化配置，其后續配置大部分通過遠程接入方式來實現。受這種配置模式的啟發，我們提出遠程接入網絡工程實驗室，讓學生在宿舍或是教學樓就可以操作實驗室的網絡設備，完成部分課程實驗。

通過遠程接入手段完成課程實驗是一種利用網絡技術手段實現實驗目標的虛實結合的新方法，其特點是在端終平臺上接入真實設備，與真實設備交互，得到真實設備的反饋結果，其正確性與真實實驗基本一致，克服了虛擬仿真實驗在復雜實驗中支持性不足的缺點[4-5]。表1對比分析了實驗室上機實驗、虛擬仿真實驗和遠程接入做實驗的優缺點。

表1 3種實驗方式的特點比較

采用遠程接入手段完成網絡實驗具有虛擬仿真實驗無法比擬的接近真實感，能夠實際控制網絡設備，實現與真實設備的交互等優點。

1 遠程接入的實現

1.1 實驗室環境概述

實驗室配備5臺小機柜，每個機柜配置8臺網絡設備，設備型號以及接口數量如下：華為交換機Quidway E026-SI 2臺，每臺24個交換口；華為路由器Quidway AR28-11 4臺，每臺2個路由以太口，2個串行口；華為路由器AR1220-S 2臺，每臺2個路由以太口，7個交換以太口。實驗室還有1臺大機柜，5臺小機柜通過大機柜的核心層交換機連接到校園網內網。網絡工程實驗室的拓撲結構如圖1所示。

圖1 網絡工程實驗室總體接入拓撲結構

1.2 遠程接入方案拓撲設計

在實現遠程接入時，考慮到市面上大部分公司的網絡設備都支持Telnet配置模式，故采用Telnet客戶端軟件進行連接。Telnet協議基于TCP協議，默認端口是23，它是目前互聯網上使用較多的遠程登陸方式。

為了實現遠程接入，首先需要網絡工程實驗室與學院網絡、校園網絡連通。根據學院網絡的IP分配，網絡工程實驗室核心交換機所在的內網網段為192.168.23.0/24。為了減少對該網段IP地址的占用數，以及對核心交換機網口的占用數，將每個機柜中的一臺設備指定為該機柜的主設備，為它分配一個192.168.23.0/24網段的IP。機柜上的其他設備保持跟主設備的IP互通。操作者通過因特網連接到主設備后，再以主設備作為Telnet客戶端登錄到同一機柜的其他設備。圖2以機柜1為例，詳細展示每個機柜的Telnet接入拓撲。圖2中，RT6和RT5是華為路由器AR1220-S，假定RT6為機柜主設備。RT1-RT4為華為路由器Quidway AR28-11，SW7和SW8為華為交換機Quidway E026-SI。

1.3 遠程接入方案配置實現

1.3.1 物理層連通

在設計Telnet接入拓撲的物理層時，考慮到每個機柜上的6臺路由器都只有2個路由以太口，為了保證實驗過程中所需的路由口，Telnet接入拓撲不能占用過多的路由以太口。RT6與RT5除路由口外都有7個交換口，所以物理連接使用交換口。SW7與SW8通過交換口與主設備RT6的交換口直連。而RT1-RT4除路由口外分別有兩個串口，將RT1-RT4用串口相連，RT4再通過路由以太口連接RT5。具體的接口連接情況參見圖2。

1.3.2 IP連通

物理層互通后，要實現各設備與機柜主設備之間的IP可達，機柜主設備與校園網的IP可達。

先為每臺設備配置一個環回口lp0，地址按RT1為1.1.1.1/32，RT2為2.2.2.2/32的規律依次設置。設置環回口有兩個作用：①避免操作者在實驗中觀察路由表時受到大量的為實現Telnet互通的路由表項的干擾；②方便操作者從主設備Telnet到其他設備，IP地址直觀易記。

其次，為每臺設備的互連接口規劃網段，分配IP地址。具體的IP地址分配見圖2。RT1-RT4通過串口互連，可直接在串口上配置IP地址。RT5與RT6使用交換口互聯，因為交換口無法直接配置IP地址，這里通過使用VLAN虛接口進行間接配置。具體操作是，將實現互連的交互口劃入指定VLAN，為該VLAN創建VLAN虛接口并配置IP。交換機SW7與SW8的IP配置同上。

最后，為實現機柜內設備的IP互通，且在不影響正常路由類實驗的前提下，采用靜態路由。在去向上，每臺設備都配置去往RT6的環回口6.6.6.6/32的靜態路由。在回向上，RT6要配置到其他所有設備的環回口的靜態路由，RT5要配置到RT1-RT4的環回口的靜態路由，RT4要配置到RT1-RT3的環回口的靜態路由，RT3、RT2以此類推。

要實現RT6與校園網互通，為其分配一個192.168.23.0/24網段的IP，例如192.168.23.100/24。RT6作為機柜對外連接設備，與校園網互通時使用默認路由，下一跳指向默認網關即可。最后，在默認網關對應的路由器上通過靜態NAT技術把192.168.23.100映射為一個公網IP。操作者在因特網通過該公網IP，即可連接機柜上的主設備。

1.3.3 Telnet配置

RT6作為機柜主設備，與公網連通，出于安全考慮，Telnet需要設置登錄密碼。其他設備因為要通過RT6作為客戶端實現登錄，為簡化操作，除RT5因設備自身原因要設置密碼外，其他均可不設置登錄密碼。Telnet登入后操作等級統一設為最高級別，與通過console口連接設備權限相同。

1.3.4 小 結

上述配置全部完成后，操作者就可以遠程接入實驗室的網絡設備了。操作者通過Telnet公網IP可登錄到實驗室每個機柜的主設備上，再以主設備作為客戶端登錄到機柜上的其他設備上進行實驗操作。

2 遠程接入下的實驗設計

因為操作者不在實驗室，所以無法從物理上改變網絡拓撲結構，原來的網絡實驗內容需要修改，以適應新變化。在這種背景下，我們設計了VLAN組網與配置、VLAN單臂路由、RIP路由、OPSP路由、RIP與OSPF綜合路由等幾個實驗項目。以VLAN組網與配置、VLAN單臂路由為例說明遠程接入下的實驗設計方法。因篇幅限制，僅介紹實驗設計步驟，具體的設備操作命令不在此顯示。

2.1 VLAN組網與配置實驗設計

VLAN組網與配置實驗的目的是讓學生理解交換機的工作原理，掌握VLAN的劃分和交換機不同類型端口的特性。考慮到實驗室設備配置情況、遠程登錄限制以及實驗課程的要求，設計如圖3所示的實驗拓撲。

圖3 VLAN實驗拓撲圖

在圖3中，SW7和SW8是2臺二層交換機。RT4、RT5和RT6是路由器，用于模擬主機設備，在實驗中只需配置IP地址即可。RT5和RT6使用交換口與交換機連接，配置IP時要使用默認VLAN虛接口。實驗步驟設計分為單交換機VLAN劃分和跨交換機VLAN劃分。

1）單交換機VLAN劃分。

涉及設備：主機4、主機5和SW7。

第1步：操作者遠程登入實驗設備，SW7先不做配置，為主機4和主機5配置同網段的IP地址：192.168.1.4/24和192.168.1.5/24，測試主機4與主機5之間的連通性。結果應該是主機4和主機5 IP可達。

第2步：在SW7上劃分VLAN，先分別創建VLAN10和VLAN20，將端口E0/4劃入VLAN10，端口E0/5劃入VLAN20，再次測試主機4與主機5之間的連通性。結果應該是主機4和主機5 IP不可達。

2）跨交換機VLAN劃分。

在單交換機實驗基礎上設備加入主機6和SW8。

第3步：為主機6配置IP：192.168.1.6/24。在SW8上把連接主機6的端口劃入VLAN10，測試主機4和主機6連通性。結果應該是IP不可達。

第4步：將SW7和SW8對接的E0/1口都配置為Trunk口，且允許所有VLAN通過；測試主機4和主機6，主機5和主機6連通性。結果應該是：主機4和主機6 IP可達，主機5和主機6 IP不可達。

以上是基礎實驗過程，操作者還可繼續嘗試不同配置，如將SW7和SW8對接端口都劃入VLAN10或分別劃入不同VLAN，還可以將SW7端口配置為Trunk類型，SW8端口劃入VLAN10等，通過不同配置后測試主機之間的連通性，更深入地理解VLAN和端口工作原理。

2.2 VLAN單臂路由實驗設計

上一個實驗中，不同VLAN之間的主機不能直接通信。要實現VLAN之間的通信必須借助路由設備。單臂路由實驗幫助操作者更好地理解路由器功能和路由的作用，是交換機和路由器結合的過渡實驗。實驗拓撲如圖4所示。

（1）主機4和主機5配置IP和網關。因為是用路由器模擬主機，所以網關的配置用默認路由實現。主機4 的默認路由下一跳地址為192.168.4.254/24。主機5的默認路由下一跳地址為192.168.5.254/24。

圖4 單臂路由實驗拓撲

（2）SW7交換機將和主機4連接的端口E0/4劃入VLAN 10，將和主機5連接的端口E0/5劃入VLAN 20，上接路由器RT3的端口設置為Trunk類型口，允許VLAN 10和20通過。

（3）路由器RT3使用路由口E0/1下接交換機，因為物理上只有一個端口，而邏輯上需要兩個路由口分別與主機4和主機5所在的網段對接，所以在E0/1下設置E0/1.4和E0/1.5兩個邏輯虛子接口，分別配置IP為192.168.4.254/24和192.168.5.254/24，作為主機4和主機5的網關。IP配置好后，路由器會自動生成192.168.4.0/24和192.168.5.0/24網段的直聯路由表項。根據VLAN的工作原理，此時端口接收的是有VLAN標簽的802.1Q以太網幀，所以還要配置端口可以識別802.1Q以太網幀。

（4）測試主機4和主機5的連通性，主機4和主機5 應該IP 可達。

3 結語

華南師范大學作為廣東省內首批211綜合性大學，開設有計算機科學與技術和網絡工程兩個專業。其中，計算機網絡課程作為網絡工程專業的核心基礎課，其學習效果直接關系到后續課程的學習。為了強調實驗的重要性，我們將其配套的計算機網絡實驗專門抽出來，設立計算機網絡實驗課程，并配備專門的網絡工程實驗室[6]。實踐表明，遠程接入網絡工程實驗室的方案，能有效緩解學生上機機時不夠、實驗室老師工作時間長等問題，提高網絡設備的利用率，增強學生的動手能力。作為傳統實驗方式的有力補充，本方案的設計思想值得推廣，但還無法完全取代在傳統實驗室做實驗的方式，主要原因是：①受遠程接入限制，學生無法進行物理連線操作，網絡拓撲只能按老師預先設定的結構來開展實驗；②實驗過程中多位用戶登錄到同一機柜的操作沒有隔離機制，當多位用戶同時操作同一設備時，會相互影響甚至導致實驗失敗。后期我們將針對這些問題展開研究。