和鳳珍　石進平　賈志洋

摘要：將Cisco Packet Tracer仿真軟件引入到計算機網(wǎng)絡課程教學中，運用VLAN、DHCP、NAT、OSPF、WIFI、IPSec VPN和端口映射技術組建云南大學旅游文化學院校園網(wǎng)，實現(xiàn)了不同校區(qū)、因特網(wǎng)之間的互聯(lián)互通。利用仿真工具教學不僅有助于加深學生對計算機網(wǎng)絡的認識，同時激發(fā)了學生的創(chuàng)造性和積極性，提高了學生未來職業(yè)素養(yǎng)和就業(yè)競爭力，而且有助于完成很多真實環(huán)境中不易完成的實驗。

關鍵詞：Packet Tracer；校園網(wǎng)；仿真；OSPF； IPSec； NAT

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）03-0123-06

近年來，計算機網(wǎng)絡在云計算時代上的應用越來越注重分布式計算。作為高校計算機網(wǎng)絡課程的教師，如何在更好地講授計算機網(wǎng)絡課程的同時切實提高學生學習的積極性和創(chuàng)造性，提高學生的實際動手能力和效率是一項嚴峻的挑戰(zhàn)。文獻[1]、[2]詳細分析了在真實環(huán)境下進行計算機網(wǎng)絡實驗教學的局限性。利用仿真工具可以幫助教師打破現(xiàn)實環(huán)境對計算機網(wǎng)絡課程教學的束縛，而且仿真軟件可以讓學生靈活地參與到學習活動中，提高學生的學習的積極性和創(chuàng)造性。Cisco Packet Tracer模擬仿真軟件很好地解決了上述問題。

在這篇文章中，我們以云南大學旅游文化學院為例演示了如何在Cisco Packet Tracer工具中模擬組建校園網(wǎng)。該工具軟件可以讓學生建立真實的網(wǎng)絡，觸及真實的網(wǎng)絡環(huán)境并感受一些關于未來職業(yè)工作中需要做的事情。

本文的內(nèi)容組織如下：第1部分是組網(wǎng)設計，網(wǎng)絡拓撲結構、VLAN、DHCP、NAT、VPN等關鍵技術將在本部分進行詳細分析；第2部分是網(wǎng)絡設備功能的具體配置實現(xiàn)；第3部分是測試，DHCP、VPN、NAT和連通性將被測試；第4部分是結束語，對本文工作進行總結。

1 組網(wǎng)設計

1.1網(wǎng)絡拓撲結構圖

校園網(wǎng)由校本部、因特網(wǎng)、分校區(qū)三部分組成，采用三層網(wǎng)絡結構即核心層、匯聚層和接入層，實現(xiàn)校本部與因特網(wǎng)、分校區(qū)的互聯(lián)互通，同時可以進行家庭辦公。校本部校園網(wǎng)的核心使用帶路由功能的核心三層交換機（Multi Switch），它向外與因特網(wǎng)的出口路由器相聯(lián)，向內(nèi)聯(lián)接匯聚層交換機和網(wǎng)管中心，使得校內(nèi)各個主機相互連接且相互能夠通信，并接入因特網(wǎng)，匯聚層交換機下聯(lián)接入層交換機，接入層交換機則直接與用戶終端相連，為了簡化拓撲結構，所有接入層的交換機在圖1中均未給出。分校區(qū)采用二層交換機連接內(nèi)網(wǎng)各主機、出口路由并接入因特網(wǎng)。另外還模擬了采用無線網(wǎng)絡訪問Internet。圖1中的拓撲結構圖是在Cisco Packet Tracer 5.3.1軟件界面下繪制的，圖1中只是象征性的畫出了教學樓、宿舍、圖書館、網(wǎng)管中心等實例，在實際情況中，還可以擴展很多，但配置實現(xiàn)的原理都相同。

1.2 VLAN

本文采用靜態(tài)端口分配的方法在交換機上劃分了4個VLAN ，如表1所示。端口分別連接到對應的部門，并為每一個接口設置一個IP地址，這些IP地址同時也將作為各個部門計算機的默認網(wǎng)關。最后在啟動三層交換機上的路由功能，實現(xiàn)個網(wǎng)段的互相通信。被分配在一個VLAN里的主機通過交換機只能和本VLAN的主機通信[3]。

1.3 DHCP

校園網(wǎng)內(nèi)計算機非常多，除服務器需要手動配置靜態(tài)IP地址外，其他計算機一般都是自動獲取IP地址。一般情況下，DHCP對自己直聯(lián)網(wǎng)段內(nèi)的主機，通過配置地址池，可以直接實現(xiàn)DHCP服務[4]。但這需要在核心三層交換機Multi Switch啟用DHCP服務，為每個VLAN獨立動態(tài)的分配地址。配置完畢后需單擊其圖標，選擇Desktop下的IP Configuration配置中選擇DHCP選項即可自動獲取IP地址。詳細信息如表2所示：

1.4 NAT

由于IPV4地址緊缺，可獲得的公網(wǎng)IP又不能滿足校園眾多計算機的接入因特網(wǎng)的需求。因此，校內(nèi)網(wǎng)一般采用專用地址（私有地址），但網(wǎng)內(nèi)主機又必須和因特網(wǎng)上的主機通信，目前使用得最多的方法是采用網(wǎng)絡地址轉(zhuǎn)換NAT。NAT至少需要一個全球IP地址（100.1.1.2）才能和因特網(wǎng)相連。NAT技術雖然解決了IP地址緊缺的問題，但是NAT也破壞了傳統(tǒng)的端到端的傳輸方式。

1.5 端口映射

由于校園內(nèi)網(wǎng)使用的是私有地址，因此因特網(wǎng)上的主機不能訪問其內(nèi)部，但是有時候內(nèi)網(wǎng)的Web服務器需要對外發(fā)布信息，這時就要采用端口映射技術，只要因特網(wǎng)上的主機訪問路由器的80端口，就自動映射到Web服務器的80端口，這樣就實現(xiàn)了內(nèi)網(wǎng)的網(wǎng)頁對外發(fā)布。

1.6 OSPF

路由協(xié)議的選擇是校園網(wǎng)設計中最為重要的環(huán)節(jié)。文獻[4]采用靜態(tài)路由，由于靜態(tài)路由配置是雙向的，需添加兩者相互連通的路由表項，而且內(nèi)網(wǎng)又劃分了VLAN，采用靜態(tài)路由會隨著VLAN和路由器數(shù)目的增加而使靜態(tài)路由表項增多，這不利于網(wǎng)絡管理。動態(tài)路由協(xié)議將被廣泛應用于網(wǎng)絡組建，常用的動態(tài)路由協(xié)議有RIP、OSPF。RIP協(xié)議主要用于規(guī)模較小的網(wǎng)絡中，隨著網(wǎng)絡規(guī)模的擴大，網(wǎng)絡開銷也隨之增大，路由更新過程的收斂時間過長。而OSPF協(xié)議具有適用范圍廣、快速收斂、支持VLSM 等特點[5]，它在校園網(wǎng)的路由設計中得到了廣泛的應用。文中采用OSPF動態(tài)路由協(xié)議進行路由配置，其中HQ路由器和Internet路由器的端口地址如表3、表4所示：

1.7 應用服務器

在Cisco Packet Tracer中提供了WEB、FTP、DNS、EMAIL等多種應用服務器，配置應用服務器時只需要單擊需要配置的應用服務器圖標，單擊Config選項卡配置相應的服務，在配置服務器時需要留意服務器的DHCP服務是否關閉。

1.8 WiFi

Cisco Packet Tracer提供了多種無線寬帶路由設備，組建無線網(wǎng)絡時只需選擇一個無線寬帶路由設備，安裝上無線網(wǎng)卡模塊即可。無線寬帶路由設備默認處于通電狀態(tài)，添加無線網(wǎng)卡時會提示通電狀態(tài)下不能添加模塊，我們需按照先斷電、添加模塊、通電的步驟進行操作，同時無線寬帶路由設備提供的GUI管理界面和真實的無線路由器幾乎完全一樣，這個設備高度逼真地模擬了現(xiàn)實世界。

1.9 VPN

由于業(yè)務的需要，校本部需要與分校區(qū)共享一些內(nèi)部數(shù)據(jù)。傳統(tǒng)的解決方案一般通過租用專線解決，這種方式通常需要花費高額費用而且擴展性差。目前主流的方法是在Internet基礎之上利用IPSec對數(shù)據(jù)流進行加密，從而確保業(yè)務數(shù)據(jù)的安全傳輸，在應用上達到專用網(wǎng)效果的同時具有低費用、接入靈活、擴展性良好的特點[6]。

2配置實現(xiàn)

經(jīng)過上述組網(wǎng)設計的詳細分析后，下面給出核心交換機、HQ路由器 、Internet路由器 、Branch路由器上的部分關鍵配置，#表示注釋。

2.1 VLAN配置

2.1.1 基于端口的VLAN劃分

點擊Multi Switch交換機，進入CLI界面，通過命令創(chuàng)建VLAN，并將端口加入到VLAN。

Switch（config）#vlan 10 #創(chuàng)建一個VLAN 10

Switch（config-if）#interface fa0/23 #進入快速以太網(wǎng)端口23的配置模式

Switch（config-if）#switchport access vlan 10 #把端口23分配給VLAN 10

Switch（config-if）#no shut #激活端口

…… #省略了VLAN 1、VLAN 20、VLAN 30相關配置，方法同上

2.1.2 配置VLAN并啟用路由

Switch（config）#interface vlan 1 #進入vlan 1接口配置模式

Switch（config-if）#ip address 192.168.1.1 255.255.255.0 #為vlan1接口配置IP地址

Switch（config-if）#no shut #激活vlan 1

…… #省略了VLAN 10 、VLAN 20、 VLAN30的相關配置，方法同上

Switch（config-if）#exit

Switch（config）#ip routing #啟動路由功能

2.2 配置啟用DHCP

Switch（config）#ip dhcp pool wgzx #創(chuàng)建名為wgzx的地址池

Switch（dhcp-config）#default-router 192.168.1.1 #配置wgzx的默認網(wǎng)關

Switch（dhcp-config）#dns-server 192.168.1.2 #配置wgzx的默認DNS服務器

Switch（dhcp-config）#network 192.168.1.0 255.255.255.0 #配置wgzxd的動態(tài)分配的網(wǎng)段

Switch（dhcp-config）#exit

Switch（config）#ip dhcp excluded 192.168.1.1 #排除地址，當采用自動獲取IP地址時，192.168.1.1地址不會自動分配

…… #省略了VLAN 10 、VLAN 20、 VLAN30的相關配置，方法同上

2.3 配置路由器

2.3.1配置HQ路由器

Router#hostname HQ #設置主機名

HQ（config）#interface fa0/1

HQ（config-if）#ip address 100.1.1.2 255.255.255.0

HQ（config-if）#no shut

HQ（config-if）#exit

HQ（config）#interface fa0/0

HQ（config-if）#ip address 192.168.1.254 255.255.255.0

HQ（config-if）#no shut

2.3.2配置Internet路由器

Router（config）#hostname Internet #設置主機名為Internet

Internet（config）#interface fastethernet 0/1 #進入fe0/1接口配置模式

Internet（config-if）#ip add 100.1.1.1 255.255.255.0 #設置fe0/1的IP 地址

Internet（config-if）#no shut #激活fe0/1接口

Internet（config-if）#exit

…… #省略了Internet路由器其他3個接口的相關配置，方法同上

Internet（config）#ip dhcp pool wifi #定義名為wifi的地址池

Internet（dhcp-config）#network 210.1.1.0 255.255.255.0 #wifi動態(tài)分配的網(wǎng)段

Internet（dhcp-config）#default-router 210.1.1.1 #配置wifi的默認網(wǎng)關地址

Internet（dhcp-config）#dns-server 202.103.96.112 #配置wifi的默認DNS地址

Internet（config）#ip dhcp excluded-address 210.1.1.1 #設置wifi的排除地址

2.3.3配置Branch路由器

Router（config）#hostname Branch #將分校區(qū)的接口路由器命名為Branch

Branch（config）#interface fa0/0 #進入fa0/0的接口配置模式

Branch（config-if）#ip add 200.1.1.2 255.255.255.0 #設置fa0/0接口的IP地址

Branch（config-if）#no shut #激活接口

Branch（config-if）#ip nat outside #將此接口定義為外網(wǎng)

Branch（config-if）#exit

Branch（config）#interface fa0/1 #進入fa0/1的接口配置模式

Branch（config-if）#ip address 192.168.2.254 255.255.255.0 #設置fa0/1接口的IP地址

Branch（config-if）#no shut

Branch（config-if）#ip nat inside #將此接口定義為內(nèi)網(wǎng)

Branch（config-if）#exit

Branch（config）#ip route 0.0.0.0 0.0.0.0 200.1.1.1 #添加默認路由

Branch（config）#ip dhcp pool Branch

Branch（dhcp-config）#network 192.168.2.0 255.255.255.0 Branch（dhcp-config）#default-router 192.168.2.254

Branch（dhcp-config）#dns-server 202.103.96.112

Branch（config）#ip dhcp excluded-address 192.168.2.254

Branch（dhcp-config）#exit

Branch（config）#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 #拒絕192.168.2.0網(wǎng)段中的主機訪問本部校園網(wǎng)中的主機

Branch（config）#access-list 100 permit ip 192.168.2.0 0.0.0.255 any #允許192.168.2.0 網(wǎng)段中的主機訪問任意主機

Branch（config）#ip nat inside source list 100 interface FastEthernet0/0 overload #加載NAT

2.4 配置OSPF

2.4.1 HQ路由器上的OSPF配置

HQ（config）#HQ ospf 100 #啟用一個OSPF路由選擇協(xié)議進程，進程號為100

HQ（config-HQ）#network 192.168.1.0 255.255.255.0 area 1 #指定與該路由器直接相連的網(wǎng)絡

HQ（config-HQ）#network 100.1.1.0 255.255.255.0 area 0

2.4.2 Internet路由器上的OSPF配置

Internet（config）#router ospf 100

Internet（config-router）#network 100.1.1.0 255.255.255.0 area 0

Internet（config-router）#network 202.103.96.0 255.255.255.0 area 1

2.4.3核心三層交換機上的OSPF配置

Switch（config）#router ospf 100

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.10.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.20.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.30.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

2.4.4本部路由器HQ上配置默認路由

HQ（config）#ip route 0.0.0.0 0.0.0.0 100.1.1.1 #指定默認路由

2.4.5核心交換機上配置默認路由

Switch（config）#ip route 0.0.0.0 0.0.0.0 192.168.1.254

2.5 配置NAT

鼠標單擊HQ路由器，進入的CLI界面，配置啟用NAT

HQ（config）#interface fa0/1

HQ（config-if）#ip nat outside #設置外網(wǎng)

HQ（config-if）#exit

HQ（config）#interface fa0/0

HQ（config-if）#ip nat inside #設置內(nèi)網(wǎng)

HQ（config）#ip nat inside source list 100 interface FastEthernet0/1 overload #配置NAT映射

至此，已啟用NAT方式，校園內(nèi)的各主機，已能夠訪問因特網(wǎng)，可在校園網(wǎng)內(nèi)任意一臺主機上使用測試命令“ping 202.103.96.112”。

2.6端口映射配置

采用端口映射技術來配置路由器實現(xiàn)WEB服務器對外發(fā)布，配置如下：

HQ（config）#ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80 #把內(nèi)網(wǎng)web服務器的80端口映射到外網(wǎng)

2.7 配置VPN

HQ路由器上的VPN配置如下：

HQ（config）#crypto isakmp policy 10 #進入IKE策略配置模式

HQ（config-isakmp）#encr 3des #加密算法為DES

HQ（config-isakmp）#hash md5 #散列算法為MD5

HQ（config-isakmp）#authentication pre-share #IKE策略的驗證方法為預共享密鑰

HQ（config-isakmp）#crypto isakmp key sjp address 200.1.1.2 #設置pre-share密鑰為sjp

HQ（config）#crypto ipsec transform-set tim esp-3des esp-md5-hmac #變換集tim指定了兩種，使用DES算法進行加密的ESP 和使用MD5-HMAC算法的驗證

HQ（config）#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #使用隧道分隔的訪問列表

HQ（config）#crypto map sjp 11 ipsec-isakmp #創(chuàng)建名為sjp序列號為11的加密映射表

HQ（config-crypto-map）#set peer 200.1.1.2 #指定與IPSec對等體地址200.1.1.2

HQ（config-crypto-map）#set transform-set tim #指定在上面創(chuàng)建的名為tim的變換集

HQ（config-crypto-map）#match address 101 #指定表號為101的加密訪問列表

HQ（config-crypto-map）#interface FastEthernet0/1 #進入端口配置模式

HQ（config-if）#crypto map sjp #將加密映射表應用于外部端口Fa0/1

HQ（config-if）#aaa new-model #啟用AAA

HQ（config）#aaa authentication login eza local #定義驗證方法列表eza

HQ（config）#aaa authorization network ezo local #定義網(wǎng)絡授權方法列表ezo

HQ（config）#username qjnu password qjnuadmin #定義用戶名為qjnu，密碼為qjnuadmin

HQ（config）#ip local pool ez 192.168.3.1 192.168.3.100 #設置名為ez的地址池， HQ（config）#crypto isakmp client configuration group qjnu #創(chuàng)建名為qjnu的組策略配置文件

HQ（config-isakmp-group）#key qjnu #指定預共享密鑰為 qjnu

HQ（config-isakmp-group）#pool ez #指定名為qjnu的給遠程接入客戶分配地址的IP地址池

HQ（config-isakmp-group）#crypto dynamic-map ezmap 10 #創(chuàng)建名為ezmap，序列號為10的動態(tài)加密映射表

HQ（config-crypto-map）#set transform-set tim #指定在上面創(chuàng)建的名為tim的變換集

HQ（config-crypto-map）#reverse-route #反向路由注入

HQ（config-crypto-map）#crypto map sjp client authentication list eza #使用上面創(chuàng)建的eza方法列表來配置擴展驗證

HQ（config）#crypto map sjp isakmp authorization list ezo #使用上面創(chuàng)建的ezo方法列表來配置授權

HQ（config）#crypto map sjp client configuration address respond #指定客戶模式地址，以便路由器響應的地址請求

HQ（config）#crypto map sjp 10 ipsec-isakmp dynamic ezmap #用ezmap來創(chuàng)建加密配置文件

Branch路由器上的VPN配置與HQ路由器的配置相同。

3 測試

3.1 DHCP測試

如圖2所示，點擊PC1圖標，選擇Desktop選項卡下的IP Configuration，選擇DHCP即可成功獲得動態(tài)IP地址。

3.2連通性測試

如圖3所示，使用ping命令來檢測鏈路的連通性，點擊PC1圖標，選擇Desktop選項卡下的Command Prompt，輸入“ping 202.103.96.120”后按回車鍵。

3.3 VPN測試

如圖4所示，在連接VPN之前外網(wǎng)主機請求的數(shù)據(jù)包100%丟失，說明其無法訪問校園網(wǎng)內(nèi)部主機。如圖5所示，當輸入正確的VPN賬號和密碼后，點擊Connect按鈕后，VPN連接成功。如圖6所示，當成功接入VPN后，可以成功的訪問校園網(wǎng)內(nèi)部主機。至此，VPN的功能已經(jīng)成功實現(xiàn)。

3.4 NAT測試

如圖7所示，因特網(wǎng)上的主機在瀏覽器中的URL地址欄中輸入www.lywhxy.com后點擊“Go”，可以成功的訪問到校園網(wǎng)Web服務器上的信息，表明NAT功能已成功實現(xiàn)，學?？梢詫ν獍l(fā)布主頁。

4結束語

本文利用Cisco Packet Tracer仿真工具，模擬實現(xiàn)了校園網(wǎng)的基本功能。將Packet Tracer仿真軟件引入計算機網(wǎng)絡教學中，可以幫助我們完成很多真實環(huán)境中不易完成的實驗，通過在Packet Tracer仿真軟件中進行網(wǎng)絡工程項目，闡明復雜抽象的路由協(xié)議和網(wǎng)絡概念，切實提高了學生學習的積極性和創(chuàng)造性，同時讓同學們可以獨立自主地完成實際工程項目，為將來的職業(yè)工作積累經(jīng)驗，奠定基礎。

參考文獻：

[1] 郭雅，李泗蘭.基于Packet Tracer仿真技術的校園網(wǎng)構建技術研究[J].電腦知識與技術，2012（12）.

[2] 郭亞利.基于Packet Tracer虛擬平臺的校園網(wǎng)構建技術研究[J].信息通信， 2011（2）.

[3] 劉紅艷. VLAN技術在校園網(wǎng)中的應用[J].計算機時代，2012（1）.

[4] 張順吉，董德春.利用Pack Tracer學習校園網(wǎng)的組建[J].電腦知識與技術，20l0（21）.

[5] （美）Andrew著.潘愛民（譯）. Computer Networks[M].北京：清華大學出版社，2008.

[6] 孫奇.基于Packet tracer的IPSEC VPN實驗仿真[J].數(shù)字技術與應用，2015（5）.