楊春霞，宋姍姍

（濟(jì)南大學(xué) 泉城學(xué)院，山東 蓬萊 265600）

1 研究背景

本研究的開展是基于新工科條件下物聯(lián)網(wǎng)工程實(shí)踐基地建設(shè)研究的產(chǎn)學(xué)研協(xié)同育人項(xiàng)目。結(jié)合國(guó)家對(duì)校企合作新工科建設(shè)的倡導(dǎo)，我校積極響應(yīng)號(hào)召，與企業(yè)方展開實(shí)踐基地建設(shè)的綜合探討，深度討論實(shí)驗(yàn)方案。隨著我校物聯(lián)網(wǎng)專業(yè)的發(fā)展，實(shí)踐基地的建設(shè)越發(fā)迫切。校企雙方以應(yīng)用型人才的培養(yǎng)為目標(biāo)，結(jié)合當(dāng)前的云計(jì)算技術(shù)，合理部署軟硬件設(shè)備，方便開展多途徑物聯(lián)網(wǎng)實(shí)驗(yàn)。當(dāng)前，云計(jì)算技術(shù)發(fā)展快速，在組建物聯(lián)網(wǎng)實(shí)驗(yàn)室環(huán)境的過程中，其中的相關(guān)技術(shù)納入了實(shí)驗(yàn)環(huán)境部署的考慮范圍。云計(jì)算相關(guān)的技術(shù)有大數(shù)據(jù)技術(shù)、群集技術(shù)、虛擬化技術(shù)以及Docker技術(shù)等[1]。在此，重點(diǎn)討論網(wǎng)絡(luò)虛擬化實(shí)驗(yàn)環(huán)境的部署。

2 硬件設(shè)備搭建

實(shí)驗(yàn)基地建設(shè)場(chǎng)所的面積為130 m2。為了提高設(shè)備的利用率，需要兼容新技術(shù)的要求。硬件設(shè)備按照云計(jì)算的相關(guān)技術(shù)要求進(jìn)行相應(yīng)的配置。3臺(tái)高性能服務(wù)器、1臺(tái)浪潮服務(wù)器、2臺(tái)戴爾服務(wù)器以及30臺(tái)高性能戴爾臺(tái)式機(jī)，主機(jī)操作系統(tǒng)配置為Win10。網(wǎng)絡(luò)互聯(lián)設(shè)備是神州數(shù)碼、思科以及華為3個(gè)品牌的路由器、二層交換機(jī)以及三層交換機(jī)。此外，還需要配置30臺(tái)物聯(lián)網(wǎng)實(shí)驗(yàn)箱、2塊配線架、1個(gè)配電機(jī)架以及5個(gè)機(jī)柜。其中，2個(gè)機(jī)柜放置各種網(wǎng)絡(luò)互聯(lián)設(shè)備，3個(gè)機(jī)柜放置各實(shí)驗(yàn)箱。

3 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

網(wǎng)絡(luò)平臺(tái)作為物聯(lián)網(wǎng)基地的重要基礎(chǔ)平臺(tái)，其物理基礎(chǔ)實(shí)施結(jié)合實(shí)際需求分析。根據(jù)現(xiàn)有具體物理設(shè)施，進(jìn)行網(wǎng)絡(luò)拓?fù)湟?guī)劃與設(shè)計(jì)。網(wǎng)絡(luò)需求分析是為了了解局域網(wǎng)用戶現(xiàn)在想要實(shí)現(xiàn)什么功能，未來需要什么功能，并依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)的方向、原則以及作用，制定并建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)湟?guī)劃。本基地要實(shí)現(xiàn)的網(wǎng)絡(luò)功能是將30臺(tái)主機(jī)和實(shí)驗(yàn)箱進(jìn)行有線和無線等不同的通信。具體實(shí)施是通過連接二層交換機(jī)、三層交換機(jī)以及路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備，構(gòu)建多層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。30臺(tái)物聯(lián)網(wǎng)實(shí)驗(yàn)箱通過WiFi和藍(lán)牙等技術(shù)與本基地路由器、二層交換機(jī)以及三層交換機(jī)組建不同的局域網(wǎng)，用于滿足本地物聯(lián)網(wǎng)通信的目的[2]。通過相關(guān)的廣域網(wǎng)技術(shù)搭建廣域網(wǎng)，用于實(shí)現(xiàn)物聯(lián)網(wǎng)遠(yuǎn)程通信的目的。

4 網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化是在一個(gè)物理網(wǎng)絡(luò)上模擬出多個(gè)邏輯網(wǎng)絡(luò)來?；诰W(wǎng)絡(luò)的虛擬化方法可以在網(wǎng)絡(luò)設(shè)備之間實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)轉(zhuǎn)發(fā)等虛擬化功能。其主要包括VLAN虛擬局域網(wǎng)和VPN虛擬專用網(wǎng)兩種[3]。

4.1 VLAN虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶。這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像在同一個(gè)網(wǎng)段中一樣。具有網(wǎng)絡(luò)設(shè)備的移動(dòng)靈活、添加和修改的管理開銷減少、控制廣播活動(dòng)以及提高網(wǎng)絡(luò)安全性等優(yōu)點(diǎn)。通過VLAN技術(shù)可以實(shí)現(xiàn)本實(shí)驗(yàn)基地物聯(lián)網(wǎng)虛擬局域網(wǎng)之間通信的實(shí)驗(yàn)?zāi)康摹１緦?shí)驗(yàn)基地基于VLAN技術(shù)，將現(xiàn)有二層交換機(jī)虛擬出多個(gè)VLAN，分別設(shè)置為VLAN 10、VLAN 20、VLAN 30、VLAN 40、VLAN 50、VLAN 60、VLAN 70以及VLAN 80。這8個(gè)VLAN通過4臺(tái)接入型交互機(jī)進(jìn)行劃分，每臺(tái)交換機(jī)劃分為2個(gè)不同的VLAN。每個(gè)VLAN都有4臺(tái)主機(jī)接入，4臺(tái)主機(jī)所連接交換機(jī)的接口為Ethernet接口，網(wǎng)速為10 Mb/s。通過設(shè)置接口配置模式下的switchport mode access命令，將對(duì)應(yīng)的接口配置為access類型。這樣配置的好處是每個(gè)接口只允許轉(zhuǎn)發(fā)本VLAN內(nèi)的數(shù)據(jù)流。通過設(shè)置接口配置模式下的switchport access vlan n命令，將對(duì)應(yīng)的接口配置到對(duì)應(yīng)的VLAN中。這樣，8個(gè)不同的VLAN也就是8個(gè)不同的虛擬局域網(wǎng)。要想實(shí)現(xiàn)不同VLAN主機(jī)之間的數(shù)據(jù)通信，需要通過配置網(wǎng)絡(luò)層的路由協(xié)議。主機(jī)劃分如表1所示。

表1 主機(jī)劃分

至此，每臺(tái)主機(jī)都劃歸到某一具體網(wǎng)段。通過不同VLAN，可以實(shí)現(xiàn)物聯(lián)網(wǎng)實(shí)驗(yàn)中的局域網(wǎng)內(nèi)部通信和局域網(wǎng)間通信。此外，本實(shí)驗(yàn)基地還可以通過虛擬專用網(wǎng)VPN實(shí)現(xiàn)物聯(lián)網(wǎng)的遠(yuǎn)程通信。

4.2 VPN虛擬專用網(wǎng)

VPN屬于遠(yuǎn)程訪問技術(shù)。以共享的公用網(wǎng)絡(luò)為基礎(chǔ)，架設(shè)私有的專用網(wǎng)絡(luò)。例如，某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源時(shí)，這種訪問就屬于遠(yuǎn)程訪問。

本實(shí)驗(yàn)基地通過構(gòu)建遠(yuǎn)程網(wǎng)絡(luò)，以實(shí)現(xiàn)物聯(lián)網(wǎng)遠(yuǎn)程通信的目的。為保證數(shù)據(jù)安全，在此采用了VPN遠(yuǎn)程訪問技術(shù)，構(gòu)建物聯(lián)網(wǎng)的遠(yuǎn)程通信平臺(tái)。將上述8個(gè)VLAN分屬于4個(gè)遠(yuǎn)程地點(diǎn)。其中VLAN 10和VLAN 20屬于A地，VLAN 30和VLAN 40屬于B地，VLAN 50和VLAN 60屬于C地，VLAN 70和VLAN 80屬于D地。A、B、C、D分別連接出口路由器，出口路由器之間連接中間路由器E。網(wǎng)段設(shè)置時(shí)，A和E之間的網(wǎng)段為1.1.1.0。該網(wǎng)段中，路由器A的接口IP地址配置為1.1.1.1，路由器E的接口IP地址配置為1.1.1.2。B和E之間的網(wǎng)段為2.2.2.0。該網(wǎng)段中，路由器B的接口IP地址配置為2.2.2.1，路由器E的接口IP地址配置為2.2.2.2。C和E之間的網(wǎng)段為3.3.3.0。該網(wǎng)段中，路由器C的接口IP地址配置為3.3.3.1，路由器E的接口IP地址配置為3.3.3.2。D和E之間的網(wǎng)段為4.4.4.0。該網(wǎng)段中，路由器D的接口IP地址配置為4.4.4.1，路由器E的接口IP地址配置為4.4.4.2。

在通信協(xié)議分層中，網(wǎng)絡(luò)層是實(shí)現(xiàn)端到端安全通信的最底層，它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護(hù)。本實(shí)驗(yàn)基地采用IPSec VPN實(shí)現(xiàn)遠(yuǎn)程物聯(lián)網(wǎng)安全通信。IPSec VPN 主要通過加密技術(shù)、隧道協(xié)議以及認(rèn)證協(xié)議3 種技術(shù)為數(shù)據(jù)的安全轉(zhuǎn)發(fā)保駕護(hù)航。下面以VLAN 10和VLAN 80兩個(gè)遠(yuǎn)程虛擬局域網(wǎng)內(nèi)部主機(jī)PC0和主機(jī)PC7間的數(shù)據(jù)轉(zhuǎn)發(fā)過程為例，分析IPSec VPN的5個(gè)通信步驟。

第1步：確定需要IPSec安全保護(hù)的數(shù)據(jù)流。PC0向PC7發(fā)送數(shù)據(jù)屬于局域網(wǎng)內(nèi)部通信，因此數(shù)據(jù)轉(zhuǎn)發(fā)相對(duì)安全。

第2步：IKE階段1—通過命令crypto isakmp enable使能IKE，并進(jìn)行第一次回話。在這個(gè)階段中，IKE鑒別IPSec對(duì)等體路由器A和D之間協(xié)商IKE安全關(guān)聯(lián)，并且為IKE階段2中的IPSec安全關(guān)聯(lián)協(xié)商下列參數(shù)。

第3步：IKE階段2—IKE協(xié)商IPSec安全關(guān)聯(lián)參數(shù)，并在對(duì)等體路由器A和D之間建立相匹配的IPSec安全關(guān)聯(lián)。添加外網(wǎng)IP報(bào)頭更好地保護(hù)內(nèi)容IP地址，通過以下命令配置本IPSec路由設(shè)備的對(duì)端路由器。

RouterA（config）#crypto isakmp key cisco1234 address 4.4.4.2

第4步：數(shù)據(jù)傳送—基于保存在安全關(guān)聯(lián)數(shù)據(jù)庫中的IPSec參數(shù)和密鑰，在IPSec對(duì)等體路由器A和D之間搭建的隧道內(nèi)傳送數(shù)據(jù)，保證數(shù)據(jù)進(jìn)行安全轉(zhuǎn)發(fā)。

第5步：IPSec隧道終止—IPSec安全關(guān)聯(lián)因被刪除或超時(shí)而終止。

5 結(jié) 論

網(wǎng)絡(luò)虛擬化是物聯(lián)網(wǎng)通信的基礎(chǔ)架構(gòu)。本實(shí)驗(yàn)基地采用VPN+VLAN的虛擬化技術(shù)，實(shí)現(xiàn)了網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的搭建，且后期各種物聯(lián)網(wǎng)通信實(shí)驗(yàn)都是基于該網(wǎng)絡(luò)平臺(tái)展開實(shí)施。此外，本實(shí)驗(yàn)基地的建設(shè)符合學(xué)校實(shí)驗(yàn)環(huán)境，同時(shí)也符合學(xué)科建設(shè)的需要，對(duì)物聯(lián)網(wǎng)專業(yè)的教學(xué)具有促進(jìn)作用。