楊剛 田春

[摘要]對于高校中的計算機技術(shù)類專業(yè)而言，專業(yè)實驗室在實驗課教學(xué)中扮演著非常重要的角色。對網(wǎng)絡(luò)通信實驗室的實驗功能以及通信和安全的需求進(jìn)行了分析，給出了一種典型的網(wǎng)絡(luò)通信實驗室物理和邏輯設(shè)計方案，可滿足信息技術(shù)類專業(yè)中網(wǎng)絡(luò)通信相關(guān)實驗實訓(xùn)課程對實驗環(huán)境的需求。

[關(guān)鍵詞]信息技術(shù) 實驗室 設(shè)計 安全 IP地址

一、網(wǎng)絡(luò)通信實驗室物理環(huán)境

在進(jìn)行網(wǎng)絡(luò)通信實驗室規(guī)模設(shè)計時，按照容納一個標(biāo)準(zhǔn)班，即40人同時進(jìn)行實驗進(jìn)行設(shè)計?？紤]到網(wǎng)絡(luò)類實驗一般以工程項目的形式出現(xiàn)，需要對學(xué)生進(jìn)行分組，組內(nèi)多名學(xué)生協(xié)作完成實驗的實際情況，實驗室的物理規(guī)劃采用了如圖1所示的方式。

在圖1中實驗室共劃分為8個學(xué)習(xí)島，每一個學(xué)習(xí)島由一臺機柜和5臺計算機組成。在學(xué)習(xí)島上，從每臺計算機上引出兩條網(wǎng)線，其中一條是從網(wǎng)卡的RJ-45接口引出，用于連接數(shù)據(jù)通信網(wǎng)絡(luò);另一條則是從計算機的串口經(jīng)過DB9到RJ45的轉(zhuǎn)換后引出，用于連接機柜中網(wǎng)絡(luò)設(shè)備的Console接口。兩條網(wǎng)線使用不同的顏色，以進(jìn)行區(qū)別。從5臺計算機上引出的共10條網(wǎng)線通過墻體上的線槽進(jìn)行布線進(jìn)入到本學(xué)習(xí)島的機柜中，在機柜中根據(jù)用途將網(wǎng)線分成兩組分別進(jìn)行綁扎布放到相應(yīng)的位置，網(wǎng)線兩端使用標(biāo)簽來標(biāo)識其來源計算機。

在學(xué)習(xí)島上，從每臺計算機上引出兩條網(wǎng)線，其中一條是從網(wǎng)卡的RJ-45接口引出，用于連接數(shù)據(jù)通信網(wǎng)絡(luò);另一條則是從計算機的串口經(jīng)過DB9到RJ45的轉(zhuǎn)換后引出，用于連接機柜中網(wǎng)絡(luò)設(shè)備的Console接口。兩條網(wǎng)線使用不同的顏色，以進(jìn)行區(qū)別。從5臺計算機上引出的共10條網(wǎng)線通過墻體上的線槽進(jìn)行布線進(jìn)入到本學(xué)習(xí)島的機柜中，在機柜中根據(jù)用途將網(wǎng)線分成兩組分別進(jìn)行綁扎布放到相應(yīng)的位置，網(wǎng)線兩端使用標(biāo)簽來標(biāo)識其來源計算機。

對于學(xué)習(xí)島上的機柜，考慮到學(xué)生每次實驗時都需要對設(shè)備進(jìn)行物理連接的建立和拆除，因此將其左右擋板和前后門全部拆掉，以方便實驗實施。按照網(wǎng)絡(luò)類課程實驗對設(shè)備的要求，每臺機柜中從上至下分別安裝4臺路由器、兩臺二層交換機、兩臺三層交換機、兩臺統(tǒng)一威脅管理平臺設(shè)備、兩臺無線接入點設(shè)備和一臺有線無線一體化交換機。網(wǎng)絡(luò)設(shè)備的電源線在機柜中統(tǒng)一進(jìn)行布線，由于每次實驗使用的設(shè)備可能不同，因此使用分控開關(guān)插排對每一臺網(wǎng)絡(luò)設(shè)備進(jìn)行單獨的電源管理。另外，為了保護(hù)網(wǎng)絡(luò)設(shè)備的Console接口，同時也方便實驗時Console線纜的跳接，將所有網(wǎng)絡(luò)設(shè)備的Console線纜在機柜中進(jìn)行統(tǒng)一布線，并將其按照設(shè)備從上至下的順序依次從左至右端接到機柜中間的配線架上。

在機柜中的配線架上除了提供各個網(wǎng)絡(luò)設(shè)備的Console接口外，還提供了一個連接外部網(wǎng)絡(luò)的WAN接口，該接口通過墻體線槽和地下線管的布線連接到了實驗室的出口三層交換機上，使學(xué)習(xí)島上的網(wǎng)絡(luò)可以通過該接口連接到學(xué)校的校園網(wǎng)，實現(xiàn)實驗正確完成后可以訪問外部網(wǎng)絡(luò)的目的。

二、網(wǎng)絡(luò)通信實驗室邏輯環(huán)境

（一）網(wǎng)絡(luò)通信實驗室邏輯拓?fù)渑cIP地址規(guī)劃

為了能夠讓各個學(xué)習(xí)島可以訪問外部網(wǎng)絡(luò)，在網(wǎng)絡(luò)通信實驗室的出口處使用了一臺路由器和一臺三層交換機來進(jìn)行校園網(wǎng)與實驗室網(wǎng)絡(luò)之間的連接。在IP地址的規(guī)劃上，具體的規(guī)劃原則和IP地址分配情況如下：

（1）三層交換機與各個學(xué)習(xí)島之間的鏈路使用的IP網(wǎng)段為10.0.x.0/24，其中x為學(xué)習(xí)島的編號。當(dāng)學(xué)習(xí)島上的實驗網(wǎng)絡(luò)拓?fù)錇橛嬎銠C直連或者通過二層交換機連接到WAN接口上時，為計算機分配10.0.x.0/24網(wǎng)段的IP地址，網(wǎng)關(guān)為10.0.x.1。

（2）為每一個學(xué)習(xí)島預(yù)留了IP網(wǎng)段10.x.0.0/16。當(dāng)學(xué)習(xí)島上的實驗網(wǎng)絡(luò)拓?fù)錇橥ㄟ^三層交換機或路由器連接到WAN接口上時，實驗網(wǎng)絡(luò)內(nèi)可以使用網(wǎng)段10.x.0.0/16，而且還可以根據(jù)實驗的需求將10.x.0.0/16劃分成若干個子網(wǎng)。

在出口三層交換機上，除了為每一個學(xué)習(xí)島配置了一條靜態(tài)路由外，還配置了一條指向出口路由器的默認(rèn)路由。在出口路由器上共配置了兩條路由，一條為指向出口三層交換機的目的網(wǎng)絡(luò)為10.0.0.0/8的靜態(tài)路由;另一條為指向校園網(wǎng)的默認(rèn)路由。

（二）網(wǎng)絡(luò)通信實驗室的安全策略

（1）地址轉(zhuǎn)換策略。通過配置靜態(tài)和默認(rèn)路由，實現(xiàn)了各個學(xué)習(xí)島之間的連通性，但是由于使用私有地址段10.0.0.0/8的關(guān)系，各個學(xué)習(xí)島依然無法訪問外部網(wǎng)絡(luò)。如果要實現(xiàn)對外部網(wǎng)絡(luò)的訪問，就必須要在出口路由器上配置網(wǎng)絡(luò)地址轉(zhuǎn)換。由于校園網(wǎng)只給網(wǎng)絡(luò)實驗室分配了一個合法IP地址202.207.127.98，并且該地址已經(jīng)被分配給了出口路由器連接校園網(wǎng)的接口Fao/0，因此需要配置基于接口的地址轉(zhuǎn)換，即EasyIP。

（2）訪問控制策略。對于訪問外部網(wǎng)絡(luò)的需求，一方面學(xué)生需要訪問校園網(wǎng)內(nèi)和Internet上的的一些服務(wù)器，例如訪問教務(wù)處的網(wǎng)站進(jìn)行選課和成績查詢、訪問河北省人事考試中心的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)管理員認(rèn)證的報名和成績查詢、訪問百度網(wǎng)站進(jìn)行實驗連通性驗證等;另一方面又需要防止學(xué)生在實驗室進(jìn)行上網(wǎng)聊天、打游戲或看電影等與學(xué)習(xí)無關(guān)的事情。這就需要在出口路由器上進(jìn)行訪問控制列表的配置來實現(xiàn)對網(wǎng)絡(luò)的訪問控制。

三、結(jié)語

通過對石家莊郵電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)通信實驗室進(jìn)行上述物理和邏輯上的環(huán)境設(shè)計，較好地滿足了學(xué)院信息技術(shù)類專業(yè)中網(wǎng)絡(luò)通信相關(guān)實驗實訓(xùn)課程對實驗環(huán)境的需求，達(dá)到了非常好的實驗實訓(xùn)教學(xué)效果。