校園網(wǎng)規(guī)劃設(shè)計與教學(xué)實驗仿真

王衛(wèi)國 王建 李超凡

摘要：在高等職業(yè)院校計算機網(wǎng)絡(luò)課程實踐環(huán)節(jié)的教學(xué)實驗中，以校園網(wǎng)絡(luò)架構(gòu)為背景，利用EVE-NG虛擬環(huán)境仿真網(wǎng)絡(luò)架構(gòu)，使用VRRP與MSTP相結(jié)合進行負載與冗余，運用OSPF動態(tài)路由協(xié)議合理規(guī)劃路由區(qū)域，并使用PAT技術(shù)訪問互聯(lián)網(wǎng)等技術(shù)手段，滿足數(shù)據(jù)轉(zhuǎn)發(fā)、負載均衡等基本需求。邏輯網(wǎng)絡(luò)架構(gòu)具備良好的可拓展性，可依據(jù)實際情況和業(yè)務(wù)需求進行拓撲變更與網(wǎng)絡(luò)優(yōu)化措施，滿足學(xué)生的個性實驗環(huán)境要求，提升學(xué)生的實踐能力。

關(guān)鍵詞：校園網(wǎng);EVE-NG;虛擬路由冗余;端口多路復(fù)用

中圖分類號：G642? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）17-0041-02

開放科學(xué)（資源服務(wù)）標識碼（OSID）：

1 引言

在計算機網(wǎng)絡(luò)的實踐課程中[1]，受限于計算機硬件條件，無法滿足進行中小型網(wǎng)絡(luò)架構(gòu)的仿真實驗。GNS3和eNSP等都類似于用戶軟件，無法做到以教學(xué)為中心的交互式模型，而融合多廠商網(wǎng)絡(luò)設(shè)備的EVE-NG虛擬仿真環(huán)境[2]是深度定制的Ubuntu操作系統(tǒng)，可以直接架構(gòu)在物理主機或服務(wù)器上，適用于局域網(wǎng)內(nèi)的多點訪問。中小型園區(qū)網(wǎng)作為計算機網(wǎng)絡(luò)課程的綜合實驗[3]，涉及路由與交換方面的多種類協(xié)議和網(wǎng)絡(luò)層次結(jié)構(gòu)，完全可以涵蓋理論課程的全部知識，從而對學(xué)生的實踐能力進行全面了解。本文主旨在于構(gòu)建多功能分區(qū)的校園網(wǎng)絡(luò)層次模型，從各功能分區(qū)的業(yè)務(wù)需求分析與設(shè)計設(shè)備接入和匯聚方式，充分考慮設(shè)備備份、鏈路冗余及負載均衡等方面，以雙核心模式進行高速轉(zhuǎn)發(fā)[4]，設(shè)置服務(wù)器集群與數(shù)據(jù)中心旁掛出口防火墻，保證內(nèi)網(wǎng)安全性，以此構(gòu)建具備穩(wěn)健性與可擴展性的校園網(wǎng)邏輯網(wǎng)絡(luò)架構(gòu)用于實驗教學(xué)，滿足計算網(wǎng)絡(luò)實踐教學(xué)的虛擬仿真環(huán)境需求。

2 相關(guān)技術(shù)

EVE-NG（Emulated Virtual Environment–Next Generation）是具備交互式的CS模型[5]，作為服務(wù)器端支持Native和HTML Console，融合了Dynamips、IOL、KVM等，可以直接安裝到x86架構(gòu)的物理主機，也可以通過ova版本導(dǎo)入Vmware進行虛擬環(huán)境搭建。

2.1 多生成樹協(xié)議

MSTP （Multiple Spanning Tree Protocol）是在RSTP的基礎(chǔ)之上運行[6]，為VLAN創(chuàng)建實例（instance）組，將進行相同STP計算的VLAN映射到同一個STP實例中，構(gòu)建無環(huán)生成樹拓撲結(jié)構(gòu)，根據(jù)路徑數(shù)維護相同數(shù)目的STP實例，從而節(jié)省系統(tǒng)資源。

2.2 開放式最短路徑優(yōu)先協(xié)議

OSPF（Open Shortest Path First）是典型的鏈路狀態(tài)路由協(xié)議[7]，其核心思想最短路徑優(yōu)先（SPF）使用Dijkstra算法計算路徑最短度量值，支持CIDR和VLSM。路由器鄰居之間進行鏈路狀態(tài)信息交換并動態(tài)更新，從而每個路由器節(jié)點都計算出整張網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。

2.3 虛擬路由器冗余協(xié)議

VRRP（Virtual Router Redundancy Protocol） 保證網(wǎng)絡(luò)邊緣設(shè)備與整個網(wǎng)絡(luò)連接可靠性[8]，VRRP組中所有路由器使用同一個虛擬的IP地址和MAC地址，組內(nèi)路由器優(yōu)先級根據(jù)鏈路的速度，路由器性能，可靠性及管理策略設(shè)定。

3 校園網(wǎng)架構(gòu)設(shè)計與實現(xiàn)

3.1 邏輯網(wǎng)絡(luò)架構(gòu)總體設(shè)計

依據(jù)校園網(wǎng)各部分業(yè)務(wù)需求，對網(wǎng)絡(luò)層次結(jié)構(gòu)部署嚴格遵守接入層，匯聚層，核心層三層網(wǎng)絡(luò)結(jié)構(gòu)。接入層主要負責(zé)用戶管理功能如地址認證，用戶認證，用戶信息收集工作如IP地址、MAC地址、訪問日志，VLAN劃分及二層網(wǎng)絡(luò)的隔離與互通[9]。匯聚層主要進行二層的VLAN信息管理與三層網(wǎng)絡(luò)路由信息的控制，分割網(wǎng)絡(luò)動態(tài)區(qū)域。匯聚層之下一般通過將多個物理線路通過二層Etherchannel捆綁為一個邏輯的Trunk鏈路傳遞數(shù)據(jù)，匯聚層之上通過三層接口與核心交換機互聯(lián)，運行動態(tài)路由協(xié)議，提供局域網(wǎng)之間數(shù)據(jù)轉(zhuǎn)發(fā)。核心層主要負責(zé)數(shù)據(jù)高速轉(zhuǎn)發(fā)及匯聚層之上動態(tài)路由協(xié)議控制域劃分，并避免使用路由策略，提高數(shù)據(jù)包轉(zhuǎn)發(fā)效率。

針對校園網(wǎng)各功能分區(qū)可劃分為教學(xué)樓區(qū)域、宿舍區(qū)域、辦公樓區(qū)域、行政樓區(qū)域、圖書館區(qū)域、數(shù)據(jù)中心與服務(wù)器集群區(qū)域等。其中數(shù)據(jù)中心與服務(wù)器區(qū)域采用二層網(wǎng)絡(luò)區(qū)域并在匯聚層設(shè)備進行相應(yīng)路由策略進行訪問控制，保證服務(wù)器區(qū)域安全性[10]。出口區(qū)域作為內(nèi)網(wǎng)與外網(wǎng)連接點應(yīng)直連核心層進行高速數(shù)據(jù)轉(zhuǎn)發(fā)，同時將防火墻旁掛到出口設(shè)備下，保護內(nèi)網(wǎng)安全。

根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)模型分析設(shè)計出如下圖1的邏輯網(wǎng)絡(luò)拓撲圖：

3.2 邏輯網(wǎng)絡(luò)架構(gòu)實現(xiàn)方案

接入層提供校園網(wǎng)功能分區(qū)中所有的邊緣設(shè)備接入網(wǎng)絡(luò)，主要包括二層以太網(wǎng)交換機、無線接入點、終端等設(shè)備等。接入層設(shè)備應(yīng)充分考慮全局接入安全性，實現(xiàn)虛擬局域網(wǎng)的劃分、生成樹協(xié)議、IP地址與MAC地址安全綁定、端口隔離、以及簡單網(wǎng)絡(luò)管理協(xié)議SNMP與DHCP-Snooping等功能，上聯(lián)至匯聚層進行數(shù)據(jù)轉(zhuǎn)發(fā)時應(yīng)使用Etherchannel進行物理鏈路邏輯捆綁，從而增大帶寬。接入層交換機通過MSTP生成樹協(xié)議形成無環(huán)拓撲，避免廣播風(fēng)暴，保證終端設(shè)備安全接入。

匯聚層在全局上管理網(wǎng)絡(luò)功能分區(qū)的VLAN信息，并運行動態(tài)路由協(xié)議向核心層通告路由信息和傳遞數(shù)據(jù)，進行路由策略與訪問控制。在進行接入層設(shè)備的數(shù)據(jù)與路由信息匯聚后，維持接入核心層設(shè)備前的數(shù)據(jù)轉(zhuǎn)發(fā)、訪問控制的中介工作，以減輕核心層設(shè)備的負荷。匯聚層實現(xiàn)工作組的接入、虛擬局域網(wǎng)之間的路由、源目IP地址及MAC地址過濾、路由策略，數(shù)據(jù)安全等多種功能。匯聚設(shè)備采用VRRP進行虛擬路由冗余，提供接入層設(shè)備的持續(xù)無障礙連通性。匯聚層設(shè)備運行動態(tài)路由協(xié)議OSPF與核心層設(shè)備建立鄰居關(guān)系，劃分進相應(yīng)OSPF區(qū)域，傳遞路由信息與數(shù)據(jù)并動態(tài)更新，同時進行路由信息過濾。匯聚層設(shè)備是本地網(wǎng)絡(luò)的邏輯中心，在實現(xiàn)安全控制和身份驗證時，進行集中式管理，保證核心層的安全和穩(wěn)定。

核心層是校園網(wǎng)絡(luò)平臺的骨干網(wǎng)絡(luò)中心區(qū)域，是所有數(shù)據(jù)流量的最終承受和匯聚，采用雙核心模式實現(xiàn)設(shè)備的冗余備份和可靠的高速傳輸，提供全網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的負載均衡與OSPF域內(nèi)域間路由信息通告，提供快速數(shù)據(jù)轉(zhuǎn)發(fā)和可優(yōu)化的拓展能力。

4 驗證與分析

對于整個設(shè)計方案的效果驗證主要以教學(xué)樓區(qū)域的網(wǎng)絡(luò)環(huán)境作為測試，主要包含域內(nèi)MSTP結(jié)合VRRP在雙核心模式校園網(wǎng)中的應(yīng)用，多實例Instance通過STP或RSTP計算生成以確定主根交換機，備份設(shè)備在主設(shè)備或鏈路失效后成為根交換機提供流量傳輸路徑。VRRP備份組中Master和Backup設(shè)備進行主備協(xié)商，協(xié)商完畢產(chǎn)生虛擬網(wǎng)關(guān)設(shè)備，生成虛擬IP與MAC地址，當主設(shè)備或鏈路故障后，備份設(shè)備瞬時切換角色，承擔(dān)數(shù)據(jù)流量轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)服務(wù)的不間斷性。

OSPF動態(tài)路由協(xié)議進行區(qū)域劃分及域內(nèi)路由策略，雙核心及下連數(shù)據(jù)中心劃分為進程號為110的OSPF Area 0，將服務(wù)器集群區(qū)劃分為OSPF Area 1，將出口區(qū)域劃分為OSPF Area 2，預(yù)定將核心設(shè)備設(shè)置為各網(wǎng)段的DR，如下圖2所示，避免LSA泛洪造成的協(xié)商數(shù)據(jù)包過多影響網(wǎng)絡(luò)性能，減少了LSDB交互時所需的帶寬和路由器開銷，加強了OSPF動態(tài)運行穩(wěn)定性。

校園網(wǎng)均采用192.168.0.0/16地址段進行私有網(wǎng)段劃分，當內(nèi)部設(shè)備訪問Internet時，需要將私有IP地址轉(zhuǎn)換為公有IP地址并進行端口復(fù)用，測試方法是在出口設(shè)備上查看Access-lists的匹配情況及NAT的轉(zhuǎn)換列表。通過查看得知，私網(wǎng)地址成功轉(zhuǎn)換為公有IP地址并以端口復(fù)用的方式訪問Internet，如下圖3所示：

5 結(jié)語

針對高職院校的計算機網(wǎng)絡(luò)實踐課程，具備多廠商虛擬仿真環(huán)境的EVE-NG解決了計算機硬件條件的不足，在交互模式上更加具有優(yōu)勢，便于學(xué)生以C/S模型的方式進行http/https的任意連接。本文所設(shè)計的校園網(wǎng)絡(luò)架構(gòu)模型，在運用了多種類網(wǎng)絡(luò)協(xié)議的同時，兼顧了網(wǎng)絡(luò)架構(gòu)的穩(wěn)健性與可擴展性，也便于學(xué)生在虛擬仿真環(huán)境中進行實踐訓(xùn)練和拓展，增強了學(xué)生的實踐能力，以此提高教學(xué)質(zhì)量。

參考文獻：

[1] 夏秋菊.中職計算機網(wǎng)絡(luò)課程教學(xué)改革的探索與實踐[J].中國管理信息化，2020，23（23）：231-232.

[2] 曹雪峰，傅冬穎，于萬國，等.基于EVE-NG的虛擬網(wǎng)絡(luò)實踐教學(xué)平臺設(shè)計與實現(xiàn)[J].實驗技術(shù)與管理，2019，36（6）：158-161，166.

[3] 蔣建軍，陳靖棟.新一代校園網(wǎng)絡(luò)架構(gòu)的仿真與優(yōu)化研究[J].現(xiàn)代電子技術(shù)，2016，39（14）：69-72.

[4] 陳岳.園區(qū)級校園網(wǎng)絡(luò)規(guī)劃與方案設(shè)計[J].信息技術(shù)與信息化，2020（11）：167-170.

[5] 唐燈平，凌興宏.基于EVE-NG模擬器搭建網(wǎng)絡(luò)互聯(lián)技術(shù)實驗仿真平臺[J].實驗室研究與探索，2018，37（5）：145-148.

[6] 李獻軍，張少芳，李巖.基于MSTP的網(wǎng)絡(luò)通信負載均衡的實現(xiàn)[J].電腦編程技巧與維護，2019（5）：149-150.

[7] 郭麗，劉海燕.基于Packet Tracer的OSPF多區(qū)域中LSA的類型研究[J].電腦知識與技術(shù)，2020，16（36）：1-2.

[8] 甘衛(wèi)民，李檢輝.基于華為VRP下的VRRP仿真實驗分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：31-33.

[9] 陳岳.園區(qū)級校園網(wǎng)絡(luò)規(guī)劃與方案設(shè)計[J].信息技術(shù)與信息化，2020（11）：167-170.

[10] 李宗鋒.計算機網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].電子技術(shù)與軟件工程，2019（15）：175-176.

【通聯(lián)編輯：王力】