基于eNSP的中小型企業組網實驗設計

郭文普， 陳天豪， 楊百龍

（火箭軍工程大學作戰保障學院，西安 710025）

0 引 言

計算機網絡組網實驗，需要大量的設備，價格昂貴，很難做到一人一套實驗設備，采用eNSP仿真軟件［1-2］，進行方便高效的教學，這種實驗模式已經在高校計算機網絡課程教學中得到廣泛應用［3-4］。計算機網絡組網實驗是電子信息類專業的專業基礎，當學生經過路由器、交換機各個知識點的分項實驗后，為幫助學生將所學知識融會貫通，需要設計相對復雜與案例相結合的綜合性實驗［5］，eNSP仿真軟件相比采用真實設備的優勢更加凸顯［6］。本文以中小型企業組網為背景，設計一種融合所學計算機網絡知識的綜合性實驗，對提高學生綜合運用具有促進作用。

1 主要協議介紹

1.1 VLAN

VLAN即虛擬局域網，是將一個物理的LAN在邏輯上劃分成多個廣播域的技術［7-8］。在企業網絡中，為實現對客戶和員工的訪問控制，使用了MUX VLAN技術，提供了一種在VLAN的端口之間進行二層流量隔離的機制。

1.2 OSPF最短路徑優先協議

OSPF是一種應用非常廣泛的動態路由協議，屬于內部網關協議［9-11］。主要特點有：①有區域化層次結構；②擴展性好，收斂速度快；③基礎配置簡單。適合配置在各種網絡中，也是最常見的路由協議之一。

1.3 RSTP快速生成樹協議

RSTP協議［12-13］在STP協議的基礎上進行了改進。STP雖然能解決環路問題，但網絡結構的收斂速度很慢，不能滿足用戶需求。RSTP協議保留了STP協議的基礎，對STP進行補充，極大的提升了收斂速度，使其滿足低延遲、高可靠性的要求。

1.4 IS-IS鏈路狀態協議

與OSPF一樣IS-IS協議［14］也是一種應用廣泛的IGP路由協議，它們都是基于鏈路狀態的路由協議，與OSPF不同的是IS-IS協議的區域分界位于鏈路上而不是路由器上，IS-IS只支持P2P和廣播型網絡。為讓學生對兩者的異同有直觀的認識，本實驗中總部和分部網絡的內部網關協議分別采用OSPF和IS-IS協議。

1.5 BGP邊界網關協議

除了如OSPF和IS-IS這樣的內部網關協議外，還有外部網關協議。內部網關協議IGP主要用于自治系統AS內部，而外部網關協議用于連接不同的AS。BGP協議是一種常用的外部網關協議，它提供了豐富的路由屬性，能夠非常容易的實現豐富而靈活的路由決策。

2 組網實驗設計

2.1 實驗目的

使學生掌握常見的網絡配置，包括VLAN劃分、3層交換機、OSPF協議、RSTP協議、IS-IS、BGP等，以增強對中型網絡的分析、糾錯、驗證能力。

2.2 實驗設備

實驗在仿真軟件eNSP上實現。設備包括AR2220路由器4臺，S5700交換機2臺，S3700交換機2臺，Server服務器2臺，Client客戶端2臺，PC機7臺。

2.3 實驗設計要求

某公司需要進行網絡規劃。

實驗網絡分為公司總部網和公司分部網。公司總部網提供員工辦公網絡接入，客戶訪問權限，文件傳輸等功能。公司分部與公司總部屬于不同的自治域，通過配置互通。為充分利用設備，現有的兩臺S5700交換機具有3層功能和2層功能，為節約預算，可將交換機作為核心設備使用。其網絡結構如圖1所示。

圖1 某公司網絡結構配置圖

網絡需求如下：

（1）公司總部與公司分部的網絡互通。

（2）實現員工和客戶的訪問控制。要求員工和客戶都可以訪問企業內部的DNS服務器，員工與員工之間可以互相訪問，而客戶只能訪問企業內部服務器，不能與員工或其他用戶互通。

（3）實現DNS服務器對Server3的域名解析。要求員工、客戶和Client可通過訪問域名的方式連通Server3。并開啟Server3的FTP服務器，公司總部與分部之間可以傳輸文件。

（4）實現財務部數據安全。要求只有總裁PC所在網段可以訪問財務部主機，而其他所有網段都不能訪問財務部。公司總部與公司分部其他各網段之間正常互通。

3 實驗方案配置與驗證

3.1 實驗網絡設計

根據網絡規劃及實驗要求，在公司總部劃分了10個VLAN，其中VLAN 10 20 30是辦公區，VLAN110是高層區，VLAN120是市場部，VLAN130是財務部，VLAN 51 52 61 62用作為3層交換機創建VLANIF接口。

具體的網段和IP地址規劃見表1。

表1 IP地址規劃

3.2 網絡設備配置

3.2.1 基本配置

根據圖1、表1連接網絡并進行相應的配置，檢查直連網段的連通性。

3.2.2 VLAN劃分

根據要求，在公司總部的所有交換機上創建VLAN 10、VLAN 20、VLAN 30、VLAN 110、VLAN 120、VLAN 130。

關鍵的配置命令如下（以S1為例）：

［S1］vlan batch 10 20 30 110 120 130#在S1上創建vlan

配置S1和S3之間的端口為Access口，S1和S4之間的端口、S2和S3之間的端口、S2和S3之間的端口、S2和S4之間的端口為Trunk口，并允許VLAN 10、VLAN 20、VLAN 30、VLAN 110、VLAN 120、VLAN 130通過。

關鍵配置命令如下（以S1為例，其余類似）：

2017年全國金融工作會議強調了金融對外開放作為金融改革的一項重要內容，如何穩步實現資本項目可兌換、合理安排開放順序是各界關注的焦點問題。至今學界仍然對資本賬戶開放的推進存在廣泛爭論，導致這一現象的主要原因是目前對金融開放影響經濟增長是正面還是負面，以及其綜合影響通過何種機制產生作用尚未厘清。因此，本文試圖從金融部門發展的視角，考察金融開放對經濟增長的影響及其作用機制。金融開放政策到底如何影響一國的經濟增長水平？金融發展到什么階段才能享受金融開放政策帶來的好處？金融開放、金融發展與經濟增長三者之間的關系又如何？

為了實現R1、S1、S2之間的3層通信，在S1中為VLAN 20、VLAN 51、VLAN 52創建VLANIF接口，在S2中為VLAN 61、VLAN 62、VLAN 110、VLAN 120、VLAN 130創建VLANIF接口。

關鍵配置命令如下（以S1為例，S2類似）：

公司總部辦公區中，公司的員工和客戶都能夠訪問公司的DNS和Server服務器，公司員工內部也可以互相交流，但要保證公司員工和客戶之間是隔離的。為實現客戶與客戶之間不能互訪、員工與客戶之間也不能互訪的目的。可以通過配置MUX VLAN實現：配置Server、DNS服務器所在的VLAN 20為Principal VLAN（主VLAN），可與其他VLAN用戶互通。員工所在的VLAN 10為Group VLAN（互通型從VLAN），可以與VLAN內部用戶以及Principal VLAN內用戶互通。客戶所在VLAN 30為Separate VLAN（隔離型從VLAN），只能與Principal VLAN內用戶互通。

關鍵配置如下（以接口e0/0/1為例，g/0/0/2、e0/0/2至e0/0/5類似）：

（把其余接口劃分到對應的vlan中，配置與e0/0/1相同，略）

3.2.3 配置RSTP協議

為防止公司總部網絡出現環路，配置所有交換機工作在RSTP模式。

（S2、S3、S4配置相同）

配置S1為根交換機，S2為備份交換機。

［S1］stp root primary#配置S1為根交換機

［S2］stp root secondary#配置S2為備份交換機

3.2.4 配置OSPF路由協議

在R1、S1、S2上配置OSPF協議（以R1為例）。

為加強網絡的安全性，防止非法用戶接入公司網網絡，在R1、S1、S2上配置OSPF認證功能，使其需要相互驗證才可以正常通信。OSPF認證的配置如下：

（S1、S2認證密碼均設置為huawei，配置略）

3.2.5 配置IS-IS路由協議

公司分部路由器R2、R3、R4，通過IS-IS協議連通。配置如下（R2為例）：

在IS-IS協議中，路由器和路由器接口都有3種不同的級別：Level-1、Level-2和Level-1-2。路由器的ISIS接口默認都為Level-1-2狀態，IS-路由器默認為Level-1-2路由器。Level-1-2路由器既可以與Level-1路由器建立臨接關系，又可與Level-2路由器建立鄰接關系。為了減少IS-IS鄰居關系和精簡鏈路狀態數據庫，將R2、R3、R4配置為IS-ISLevel-2路由器。

此時R2、R3、R4只需要維護Level-2鄰接關系和Level-2鏈路狀態數據庫。

3.2.6 配置BGP路由協議

經過前面的配置，公司總部和公司分部的設備都已經可以互通。但是公司總部與公司分部還不能夠互相訪問。在本公司的網絡中，總部與分部分別處在自治域AS 100和自治域AS200中。

BGP的鄰居關系有2種：IBGP和EBGP。當2臺BGP路由器處于統一AS時，為IBGP關系，處于不同AS時，為EBGP關系。R2、R3、R4的IBGP關系采用Loopback 0接口建立，R1與R2、R3之間的EBGP關系采用直連物理接口來建立。配置如下（R1、R2為例）：

3.2.7 配置ACL訪問控制列表協議

為確保公司財務保密，要求總裁PC以外，其余所有客戶都不能訪問財務部PC。可以在交換機S2上配置高級ACL實現。

3.2.8 Server和Client使用

Server可以作為DNS服務器使用，實現地址解析。進入DNS的服務器信息界面，將主機域名www.neiwang.com和IP地址20.1.10.50相匹配的添加至DNS服務器中，最后點擊啟動。

Server可作為Ftp服務器，實現文本傳輸的功能。進入Server3的服務器信息界面，點擊選擇FtpServer，配置文件根目錄，在本機選擇一個文件夾，模擬作為公司FTP服務器Server3的內部儲存。最后啟動服務。

Client可作為Ftp客戶端，實現文本傳輸功能。進入總部Client1的客戶端信息界面，點擊FtpClient，將服務器地址設置為Server3的IP地址，在本機選擇一個文件夾，用于模擬總部Client1的內部儲存。默認用戶名為1，密碼為1，點擊登陸。可以看到出現了Ftp服務器的文件列表。

進入分部Client3的客戶端信息界面，點擊FtpClient，將服務器地址設置為Server3的IP地址，在本機選擇一個文件夾，用于模擬分部Client3的內部儲存。默認用戶名為1，密碼為1，點擊登陸。可以看到出現了Ftp服務器的文件列表。

3.3 實驗驗證

3.3.1 總部與分部網絡連通性驗證

在公司總部的員工1命令行輸入ping 10.0.34.4，檢查總部與分部之間的連通性。員工1與分部的網絡正常連接，總部網絡和分部網絡已經連通。

3.3.2 員工和客戶的訪問控制

在員工1的命令行輸入ping 20.1.10.3，檢查員工與員工之間是否互通。

在員工1的命令行輸入ping 20.1.10.5，檢查員工和客戶是否連通。

在客戶1的命令行分別輸入ping 20.1.10.100和ping 20.1.10.5，檢查客戶是否能夠訪問公司服務器、客戶之間是否可以互通。

如圖2所示，員工1和員工2之間可以正常連通。員工和客戶之間不能互相訪問。客戶可以正常訪問公司服務器，但客戶與客戶之間也不能互通。

圖2 訪問控制驗證結果

說明已經實現的對員工和客戶之間的訪問控制，并達到了要求。

3.3.3 域名解析和文件傳輸功能驗證

（1）選擇員工1主機驗證DNS功能。在員工1的基礎配置界面，配置DNS1為20.1.10.100。在命令行輸入ping www.neiwang.com。

（2）在總部Client1上將文件neiwangwenjian.docx傳送到服務器上。接著在分部Client3上將文件neiwangwenjian.docx下載到Clinent3本地。

如圖3所示，域名解析和文件傳輸功能已經成功實現。

圖3 DNS驗證結果

3.3.4 財務部數據安全驗證

在分部路由器用戶界面、總裁PC的命令行、市場部PC的命令行、員工2的命令行分別輸入ping 60.2.30.2，檢查是否能夠訪問財務部。

如圖4所示，最終只有總裁PC可以訪問財務部PC。公司總部的員工、分部網絡以及公司其他部門均不能訪問財務部PC。

綜上，實現了財務部的數據安全。

4 結 語

本文設計的實驗作為計算機網絡課程實驗教學中的一個綜合性實驗案例，已應用于近兩期的課程實驗教學。學員普遍反映經歷一次這樣的綜合性實驗，學習的壓力更大、動力更足，對相關知識的掌握更加熟練，實踐能力得到了更好的培養。