黃要武

摘要：為了在網(wǎng)絡(luò)工程與系統(tǒng)集成課程中提高學生的綜合實踐能力，增加工程項目經(jīng)驗，將實際網(wǎng)絡(luò)工程項目“企業(yè)網(wǎng)絡(luò)互聯(lián)系統(tǒng)”引入課堂，包括設(shè)計、安裝、配置和測試。利用軟件Cisco Packet tracer完成網(wǎng)絡(luò)設(shè)備配置實驗仿真，使每個學生僅用一臺PC完成一個綜合的網(wǎng)絡(luò)工程項目訓練。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)設(shè)計;網(wǎng)絡(luò)互聯(lián);Packet Rracer;仿真實驗

中圖分類號：TP393.1? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）06-0046-03

網(wǎng)絡(luò)工程師是網(wǎng)絡(luò)工程專業(yè)的主要培養(yǎng)目標，而應(yīng)聘網(wǎng)絡(luò)工程師時通常需要工程項目經(jīng)驗，這需要畢業(yè)生在畢業(yè)前就做好充分準備。獲得經(jīng)驗的途徑主要有兩條，一個是依靠網(wǎng)絡(luò)設(shè)備實驗室搭建網(wǎng)絡(luò)環(huán)境進行實踐訓練，另一個是通過校外工作實習。但是多數(shù)高校的實驗設(shè)備通常只能滿足一些基本技能的練習;而在短期的社會工作實踐中，對于綜合能力和經(jīng)驗均不足的學生，只能做一些皮毛工作，能力很難得到提高。最好的辦法就是能將實際工程項目案例引入課堂，讓學生在實習前就能具備一定的工程項目經(jīng)驗。我們將“企業(yè)網(wǎng)絡(luò)互聯(lián)系統(tǒng)”經(jīng)過提煉和適當修改，用于學生網(wǎng)絡(luò)綜合技能訓練，并結(jié)合設(shè)備模擬器軟件Cisco Packet tracer完成實驗仿真。經(jīng)過多輪教學實踐驗證，既解決了實驗設(shè)備的不足問題，又給學生提供了工程項目經(jīng)驗。

1 項目場景

某鋼鐵股份有限公司總部位于市郊區(qū)，主要負責生產(chǎn)和管理。公司設(shè)立了一個分支機構(gòu)，位于市中心，主要負責銷售。公司計劃實現(xiàn)企業(yè)的生產(chǎn)和銷售的信息化管理。主要需求如下：

（1）總部共有三個建筑，主樓、建筑A和建筑B。總部計算機用戶總數(shù)為115，分布在這三個建筑里的數(shù)量分別為60、25、30。市內(nèi)分支機構(gòu)用戶數(shù)量15?？偛坑脩粜枰c分支機構(gòu)用戶實時連接。

（2）所有用戶通過快速以太網(wǎng)接入，都能訪問Internet。

（3）用戶劃分為三個部門，技術(shù)與生產(chǎn)部、銷售部和財務(wù)部。暫時所有部門用戶都能夠互相訪問，以后制定部門用戶間的隔離政策。

（4）網(wǎng)絡(luò)布線系統(tǒng)已經(jīng)完成。網(wǎng)絡(luò)信息中心設(shè)在主樓。每個建筑物網(wǎng)絡(luò)的干線采用多模光纖，用戶接入均為超五類雙絞線。建筑群采用單模光纖連接主樓、建筑A和建筑B。

2 項目分析和設(shè)計

根據(jù)用戶需求，設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖如圖1所示，分為總部網(wǎng)絡(luò)和分支機構(gòu)網(wǎng)絡(luò)兩個部分。總部網(wǎng)絡(luò)采用二層結(jié)構(gòu)，核心層和接入層。干線采用吉比特以太網(wǎng)連接，用戶接入采用快速以太網(wǎng)連接。常用的一些服務(wù)器直接千兆連接到核心交換機。由于每個建筑僅設(shè)計一個配線間，用戶接入比較集中，所以采用了堆疊技術(shù)。總部網(wǎng)絡(luò)與分支機構(gòu)互聯(lián)選用租用的專線或以太網(wǎng)線路。內(nèi)部網(wǎng)與Internet之間使用防火墻過濾數(shù)據(jù)包，提高內(nèi)部網(wǎng)的安全性。

本項目實現(xiàn)的難點在于，讓所有部門用戶都能訪問因特網(wǎng)的同時，還要考慮部門用戶間隔離。這需要先采用VLAN技術(shù)隔離部門用戶，再通過三層交換技術(shù)互連所有用戶，最后還需要在核心交換機上設(shè)置ACL，限制某個部門用戶與其他部門的訪問。因為用戶需求是以后考慮部門用戶間的隔離，所以暫時可以省略最后一步的ACL配置。這個ACL的配置可以留給學生做擴展練習。當然，如果用戶不需要隔離，以上三步配置都沒必要了。

3 仿真實現(xiàn)

3.1 搭建網(wǎng)絡(luò)環(huán)境

使用軟件Cisco Packet tracer搭建網(wǎng)絡(luò)模擬環(huán)境如圖2所示。核心交換機選用一臺型號為3560-24FS的三層交換機（Switch0），防火墻選用路由器（Router3）代替，總部用戶接入交換機選用一臺2950-24（Switch1）代表。對于外網(wǎng)的模擬，僅有一臺主機供測試即可，這里用三臺服務(wù)器Web（Server0）、DNS（Server1）、FTP（Server2），以達更好仿真效果。

3.2 規(guī)劃IP地址

內(nèi)部網(wǎng)使用地址段172.16.0.0/24劃分子網(wǎng)，分配給VLAN1、VLAN2、VLAN3、VLAN4，如表1所示。設(shè)備的管理IP地址分配如表2所示。外網(wǎng)使用公網(wǎng)地址段210.30.108.0/24，由ISP分配給企業(yè)的公網(wǎng)地址段為210.30.108.240/29，企業(yè)Web和FTP網(wǎng)站使用兩個地址（見表3），其他用于NAT地址池。測試使用的各PC和服務(wù)器主機的IP地址分配如表3所示。

3.3 配置網(wǎng)絡(luò)設(shè)備

由于配置比較復(fù)雜，為了便于識別，在圖2中標注了每臺設(shè)備的主要配置內(nèi)容。主要配置思路如下：

（1）局域網(wǎng)的配置。在核心交換機上設(shè)置VTP Server，劃分VLAN，配置三層交換的VLAN端口地址，設(shè)置Trunk端口，設(shè)置Telnet訪問。所有接入交換機設(shè)置為VTP Client，設(shè)置與核心交換機連接的端口為Trunk，分配用戶PC連接的端口到相應(yīng)的VLAN，設(shè)置管理IP地址及Telnet訪問。核心交換機的配置參考如下（接入交換機的配置略）。

Switch0#show run

！……

hostname Switch0

ip routing

！

interface FastEthernet0/1

switchport access vlan 2

！……

interface Vlan1

ip address 172.16.1.1 255.255.255.0

！

interface Vlan2

ip address 172.16.2.1 255.255.255.0

！

interface Vlan3

ip address 172.16.3.1 255.255.255.0

！

router rip

network 172.16.0.0

！

ip classless

ip route 0.0.0.0 0.0.0.0 172.16.1.3

……

！

line vty 0 4

password 123

login

end

（2）路由的配置。內(nèi)部網(wǎng)配置RIP，分別在Router1、Router2、Router3和三層交換機Switch0上配置。為了讓內(nèi)部網(wǎng)用戶訪問外網(wǎng)，分別在Router1、Router2和三層交換機上Switch0上配置默認路由，指向外網(wǎng)方向。需要注意，Router1的下一跳地址取決于Switch0的端口F0/1連接的VLAN。這里將Switch0的端口F0/1分配到VLAN2，因此Router1的下一跳地址為VLAN2端口的地址172.16.2.1。Router1配置參考如下（Router2的配置略）。

Router1#show run

！……

hostname Router1

interface FastEthernet0/0

ip address 172.16.2.2 255.255.255.0

duplex auto

speed auto

！

interface Serial0/1/0

ip address 172.16.5.1 255.255.255.0

clock rate 2000000

！

router rip

network 172.16.0.0

！

ip route 0.0.0.0 0.0.0.0 172.16.2.1

！……

line vty 0 4

password 123

login

end

（3）NAT和ACL的配置。在與外網(wǎng)連接的路由器Router3上配置NAT，允許內(nèi)部網(wǎng)172.16.0.0/16地址轉(zhuǎn)換，公網(wǎng)地址池為210.30.108.243～210.30.108.246。設(shè)置指向外網(wǎng)的默認路由。ACL。為了保障NAT成功，避免數(shù)據(jù)包通過RIP訪問外網(wǎng)，使用標準ACL過濾172.16.0.0/16地址的包流向外網(wǎng)。路由器Router3的配置參考如下。

Router3#show run

！……

hostname Router3

interface FastEthernet0/0

ip address 172.16.1.3 255.255.255.0

ip nat inside

duplex auto

speed auto

！

interface FastEthernet0/1

ip address 210.30.108.1 255.255.255.0

ip access-group 10 out

ip nat outside

duplex auto

speed auto

！

router rip

network 172.16.0.0

！

ip nat pool to-internet 210.30.108.243 210.30.108.246 netmask 255.255.255.0

ip nat inside source list 1 pool to-internet overload

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

！

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 10 deny 172.16.0.0 0.0.255.255

access-list 10 permit any

！……

line vty 0 4

password 123

login

end

4 網(wǎng)絡(luò)系統(tǒng)的測試

第一步，測試局域網(wǎng)。驗證PC1、PC2和PC3之間能夠ping通，確認VTP、VLAN配置、三層交換和PC的IP設(shè)置等正確。

第二步，測試RIP路由。驗證PC4與路由器Router3的端口F0/0（地址172.16.1.3）的網(wǎng)絡(luò)連通性，確認RIP配置正確。

第三步，測試Internet訪問。驗證內(nèi)部網(wǎng)的任何一臺PC與外部網(wǎng)的任何一臺Server之間的連通性，并檢查路由器Router3的NAT轉(zhuǎn)換統(tǒng)計，確認Router3的NAT、ACL、默認路由以及Server的IP設(shè)置等正確。Router3的NAT轉(zhuǎn)換統(tǒng)計參考如下，如果不能顯示類似的地址轉(zhuǎn)換數(shù)據(jù)，說明NAT沒有工作，可以從ACL、NAT等設(shè)置逐一檢查。

Router#show ip nat translations

Pro? Inside global? ? ?Inside local? ? ? ?Outside local? ? ? Outside global

icmp 210.30.108.243：15 172.16.4.5：15? ? ? 210.30.108.242：15? 210.30.108.242：15

icmp 210.30.108.243：16 172.16.4.5：16? ? ? 210.30.108.242：16? 210.30.108.242：16

icmp 210.30.108.243：17 172.16.4.5：17? ? ? 210.30.108.242：17? 210.30.108.242：17

icmp 210.30.108.243：18 172.16.4.5：18? ? ? 210.30.108.242：18? 210.30.108.242：18

第四步，測試Telnet管理。驗證PC1能夠通過管理IP地址分別Telnet到各個設(shè)備。

第五步，如果能進一步適當設(shè)置DNS、Web和FTP服務(wù)器，還可以在PC上測試，通過瀏覽器訪問外網(wǎng)的網(wǎng)站主機，測試結(jié)果參考如圖3所示。服務(wù)器配置部分可以留給學生選做。

5 結(jié)束語

本項目將實際的工程項目案例以仿真形式引入課堂，對提高學生的網(wǎng)絡(luò)系統(tǒng)設(shè)計、設(shè)備的安裝和配置等綜合能力效果明顯。如果能將更多的實際工程案例以這種方式引入課堂教學中，對學生應(yīng)聘網(wǎng)絡(luò)工程師一定會幫助很大。由于篇幅有限，文中略去了一些簡單的內(nèi)容，在實際運用時需適當補充。本項目內(nèi)容也可以供網(wǎng)絡(luò)工程師實際應(yīng)用參考。同時也應(yīng)當清楚，模擬仿真雖然優(yōu)點很多，仍然存在諸多不足，只能用于初級階段的網(wǎng)絡(luò)工程專業(yè)學習。使用真實設(shè)備搭建網(wǎng)絡(luò)環(huán)境仍然是最佳的能力訓練方式。

【通聯(lián)編輯：代影】