陶 駿，馬利祥，顏云生

隨著科技的進(jìn)步，計算機(jī)網(wǎng)絡(luò)技術(shù)在各個產(chǎn)業(yè)領(lǐng)域都有了廣泛的應(yīng)用.目前，計算機(jī)網(wǎng)絡(luò)技術(shù)已成為計算機(jī)專業(yè)人才必須掌握的技能.

“計算機(jī)網(wǎng)絡(luò)”是計算機(jī)專業(yè)的基礎(chǔ)課程，而實驗是“計算機(jī)網(wǎng)絡(luò)”課程的重要組成部分.通過實驗，學(xué)生能夠掌握計算機(jī)網(wǎng)絡(luò)的基本概念，強(qiáng)化對計算機(jī)網(wǎng)絡(luò)的認(rèn)知.其次，實驗有助于培養(yǎng)學(xué)生建立網(wǎng)絡(luò)工程思維，因為實驗要求學(xué)生在有限的時間中完成設(shè)備選型、網(wǎng)絡(luò)布線、網(wǎng)絡(luò)協(xié)議配置、安裝相關(guān)的軟件系統(tǒng)、進(jìn)行網(wǎng)絡(luò)調(diào)測和分析這五個步驟，而這些步驟是企業(yè)實施網(wǎng)絡(luò)工程項目所必需的［1］.

計算機(jī)網(wǎng)絡(luò)實驗基本采用兩種模式，一種是用網(wǎng)絡(luò)模擬器軟件進(jìn)行網(wǎng)絡(luò)實驗，此種模式簡單實用，耗費資源少，但學(xué)生不能和真實的網(wǎng)絡(luò)設(shè)備進(jìn)行交互，對真實的網(wǎng)絡(luò)設(shè)備缺乏感性認(rèn)識；另一種是使用真實的網(wǎng)絡(luò)設(shè)備進(jìn)行實驗，學(xué)生能夠在實驗室操作網(wǎng)絡(luò)設(shè)備，但在實驗室外無法進(jìn)行線上實驗［2］，教師也無法分析學(xué)生的實驗完成結(jié)果.

為了克服傳統(tǒng)實驗教學(xué)模式的缺陷，本研究使用H3C網(wǎng)絡(luò)設(shè)備、服務(wù)器和網(wǎng)絡(luò)管理軟件建立了一個在線的計算機(jī)網(wǎng)絡(luò)實驗系統(tǒng)，學(xué)生能在現(xiàn)場完成實驗，也能通過校園網(wǎng)完成在線實驗，達(dá)到了學(xué)生線上控制網(wǎng)絡(luò)設(shè)備進(jìn)行實驗的目的；學(xué)生可分組完成網(wǎng)絡(luò)實驗，也能進(jìn)行需要相互合作的集中實驗，培養(yǎng)學(xué)生的團(tuán)隊合作能力［3］.教師通過網(wǎng)絡(luò)管理軟件能實時掌握學(xué)生實驗的進(jìn)展情況，并可對實驗結(jié)果進(jìn)行統(tǒng)計分析，極大地提高了教學(xué)效率.

1 在線網(wǎng)絡(luò)實驗系統(tǒng)

1.1 實驗系統(tǒng)組成

在線網(wǎng)絡(luò)實驗系統(tǒng)由網(wǎng)絡(luò)設(shè)備、AAA系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)組成，其具體的結(jié)構(gòu)拓?fù)鋱D如圖1所示.

圖1 網(wǎng)絡(luò)實驗系統(tǒng)結(jié)構(gòu)拓?fù)鋱D

網(wǎng)絡(luò)設(shè)備共包含100個機(jī)架，一個機(jī)架對應(yīng)一個區(qū)域，在每個機(jī)架內(nèi)安裝有：2臺H3C msr 3620路由器，2臺H3C 3600三層交換機(jī)，2臺H3C 3100二層交換機(jī)，1臺H3C F100防火墻，1臺H3C AC和2臺H3C AP.學(xué)生能通過設(shè)備的console端口登陸，也可以通過telnet協(xié)議或者ssh協(xié)議遠(yuǎn)程登陸網(wǎng)絡(luò)設(shè)備，可以利用一個機(jī)架的設(shè)備進(jìn)行實驗，也可以把多個機(jī)架的設(shè)備組合進(jìn)行綜合實驗.每臺網(wǎng)絡(luò)設(shè)備上聯(lián)到接入層的二層交換機(jī)，二層交換機(jī)上聯(lián)到三層核心交換機(jī)，三層交換機(jī)通過防火墻和校園網(wǎng)進(jìn)行通信.

AAA服務(wù)器和網(wǎng)管服務(wù)器接入到核心交換機(jī)與實驗網(wǎng)絡(luò)設(shè)備互通，通過防火墻和校園網(wǎng)進(jìn)行通信.接入交換機(jī)負(fù)責(zé)接入具體的網(wǎng)絡(luò)設(shè)備，核心交換機(jī)負(fù)責(zé)接入服務(wù)器和對接入交換機(jī)進(jìn)行匯聚，路由器負(fù)責(zé)數(shù)據(jù)的路由轉(zhuǎn)發(fā)，防火墻對所傳輸?shù)臄?shù)據(jù)做安全檢測后發(fā)送到校園網(wǎng).

1.2 實驗流程

進(jìn)行在線實驗的具體流程為：一是在網(wǎng)絡(luò)管理系統(tǒng)里設(shè)置實驗規(guī)則，包括實驗考核點、實驗得分判定和實驗時間設(shè)置等；二是設(shè)置好實驗環(huán)境，具體包括對網(wǎng)絡(luò)設(shè)備加電、給網(wǎng)絡(luò)設(shè)備連線等；三是學(xué)生遠(yuǎn)程登陸網(wǎng)絡(luò)設(shè)備進(jìn)行實驗，完成實驗后進(jìn)行提交；四是網(wǎng)絡(luò)管理系統(tǒng)根據(jù)設(shè)置的實驗規(guī)則對學(xué)生完成情況進(jìn)行統(tǒng)計分析.

AAA服務(wù)器對學(xué)生登陸設(shè)備進(jìn)行認(rèn)證授權(quán)和計時管理，控制學(xué)生登錄設(shè)備的區(qū)域、時長和權(quán)限，學(xué)生登錄設(shè)備的驗證流程圖如圖2所示.

圖2 學(xué)生登錄流程圖

學(xué)生登陸到實驗系統(tǒng)對設(shè)備進(jìn)行操作如圖3所示.

圖3 通過實驗系統(tǒng)操作網(wǎng)絡(luò)設(shè)備圖

網(wǎng)絡(luò)管理系統(tǒng)通過SNMP（簡單網(wǎng)絡(luò)管理）協(xié)議進(jìn)行實現(xiàn)，其主要功能是：對網(wǎng)絡(luò)設(shè)備進(jìn)行管理；記錄學(xué)生的實驗步驟；驗證學(xué)生的實驗效果并實時展示學(xué)生的實驗結(jié)果，學(xué)生進(jìn)行實驗提交后的界面如圖4所示.

圖4 學(xué)生提交界面圖

2 實驗系統(tǒng)教學(xué)內(nèi)容

網(wǎng)絡(luò)實驗系統(tǒng)可以完成VLAN透傳和劃分、單臂路由器、STP最小生成樹、端口鏡像、靜態(tài)路由、RIP路由、OSPF路由、ISIS路由、BGP路由、ACL控制列表、L2TP VPN、MPLS VPN、組播和IPV6等實驗，本文介紹了四個典型的計算機(jī)網(wǎng)絡(luò)實驗，這四個實驗涵蓋了交換、域內(nèi)路由、域間路由、VPN四個基本知識領(lǐng)域，通過這些實驗，學(xué)生可掌握交換和路由的基礎(chǔ)知識，能完成簡單的局域網(wǎng)和城域網(wǎng)的構(gòu)建.

2.1 單臂路由器實驗

單臂路由器是指二層交換機(jī)到路由器只有一條物理電路相連，而交換機(jī)上配置了多個VLAN，所以在路由器連接交換機(jī)的網(wǎng)絡(luò)接口上配置與交換機(jī)VLAN數(shù)目相等的邏輯虛擬子接口，一個子接口對應(yīng)一個VLAN（虛擬局域網(wǎng)），子接口上配置IP地址充當(dāng)VLAN的網(wǎng)關(guān)并封裝dot1q協(xié)議，一個VLAN對應(yīng)一個廣播域，單臂路由器實現(xiàn)了VLAN間的相互通信，也節(jié)省了網(wǎng)絡(luò)資源，其僅依靠路由器一個物理接口實現(xiàn)了多個VLAN的通信.實驗的拓?fù)鋱D如圖5所示.

圖5 單臂路由器實驗拓?fù)鋱D

實驗要求：PC1和PC2 DHCP動態(tài)地獲取IP地址，路由器R1配置NAT和默認(rèn)的靜態(tài)路由PC1、PC2通過同一個公網(wǎng)IP訪問ISP路由器和服務(wù)器，R1配置子接口終結(jié)VLAN，交換機(jī)SW創(chuàng)建二層VLAN并根據(jù)接入的物理接口把PC1和PC2配置于不同的VLAN，ISP路由器配置物理接口的IP地址即可，服務(wù)器配置靜態(tài)的IP地址［4］.

此實驗使用一個機(jī)柜內(nèi)的設(shè)備：2臺H3C msr 3620路由器，2臺H3C 3100二層交換機(jī)，2臺路由器之間使用多模光纖互聯(lián)，其余設(shè)備使用五類雙絞線相聯(lián)，此實驗的具體考核點包括：PC1和PC2動態(tài)獲取IP地址；PC1和PC2 ping通其網(wǎng)關(guān)；PC1 ping通PC2；PC1和PC2 ping通服務(wù)器；R1有正確的NAT翻譯實例.

實驗分析：交換機(jī)SW上配置VLAN和透傳的信息，PC1對應(yīng)的VLAN為100，PC2配置的VLAN為200，這兩臺PC接入的端口類型為access，上行口的端口類型為trunk，并對VLAN100和VLAN200進(jìn)行透傳，參考的網(wǎng)絡(luò)配置為：

路由器R1需要配置子接口信息、DHCP信息、NAT信息和默認(rèn)靜態(tài)路由，參考配置為：

路由器ISP只需要配置相關(guān)的接口信息，參考配置為：

實驗檢測：從PC1獲取動態(tài)的IP地址上ping服務(wù)器地址200.0.0.2的成功測試圖如圖6所示.

圖6 PC1測試圖

PC1成功地獲取了動態(tài)分配的IP地址192.168.0.254，ping外網(wǎng)服務(wù)器IP地址200.0.0.2正常，從路由器R1查看到的地址翻譯情況如圖7所示.

圖7 R1地址翻譯圖

從圖7可以看出，當(dāng)PC1對服務(wù)器發(fā)出ICMP的ping數(shù)據(jù)包后，當(dāng)此數(shù)據(jù)包到達(dá)R1時，R1對此數(shù)據(jù)包進(jìn)行翻譯，將源IP地址（SrcAddr）由內(nèi)網(wǎng)IP（192.168.0.254）成功地翻譯成了外網(wǎng)IP（202.102.216.2），目的IP地址200.0.0.2保持不變.

2.2 基于BGP協(xié)議和ISIS協(xié)議實驗

BGP協(xié)議是一種域間路由協(xié)議，其基于距離矢量算法構(gòu)建轉(zhuǎn)發(fā)的路由表，BGP協(xié)議完成在自治域（AS）之間的路由信息交換，進(jìn)行BGP通信的基礎(chǔ)是建立BGP鄰居，建立鄰居的前提條件是兩個鄰居路由器可以通過域內(nèi)路由協(xié)議互訪；ISIS協(xié)議是一種域內(nèi)路由協(xié)議，其基于鏈路狀態(tài)算法建立轉(zhuǎn)發(fā)的路由表，ISIS協(xié)議在自治域內(nèi)部完成路由信息交換.實驗的拓?fù)鋱D如圖8所示.

圖8 BGP協(xié)議和ISIS協(xié)議設(shè)計實驗拓?fù)鋱D

實驗要求：路由器R11、R12和R13位于自治域100內(nèi)，他們通過ISIS路由協(xié)議通信，相關(guān)線路都配置成level-1層次；路由器R21、R22和R23位于自治域200內(nèi)，他們通過ISIS路由協(xié)議通信，相關(guān)線路都配置成level-1層次；路由器R11和路由器R21通過靜態(tài)路由建立互聯(lián)，再通過EBGP路由協(xié)議進(jìn)行通信，對自治域100和自治域200的數(shù)據(jù)流量進(jìn)行發(fā)送［5］.

實驗分析：此實驗要使用兩個機(jī)柜的設(shè)備，需要兩組同學(xué)配合完成，R11、R21路由器使用H3C 3600三層交換機(jī)，路由器R12、R13、R22和R23使用msr 3620型號的路由器，PC1、PC2、PC3和PC4靜態(tài)獲取IP地址，在AAA系統(tǒng)中給兩組同學(xué)設(shè)置權(quán)限，每組同學(xué)對本機(jī)柜的設(shè)備有配置權(quán)限，對另一機(jī)柜的設(shè)備只有查看權(quán)限.路由器R11、R21使用多模光纖進(jìn)行互聯(lián)，其余設(shè)備使用五類雙絞線相聯(lián).此實驗的具體考核點包括：R12、R13和R11建立正確的ISIS鄰居關(guān)系；R22、R23和R21建立正確的ISIS鄰居關(guān)系；R11和R21建立ERGP鄰居關(guān)系；PC1和PC2能夠相互ping通；PC1、PC3和PC4可以相互ping通.

路由器R11的關(guān)鍵配置為：

路由器R21配置和R11相似，R12、R22、R23配置和R12相似.

實驗檢測：配置完畢后，在路由器R11上觀察成功的ISIS鄰居建立情形如圖9所示.

圖9 R11的ISIS鄰居

在路由器R11上觀察成功的BGP鄰居情形如圖10所示.

圖10 R11的BGP鄰居

PC1 ping通PC2和PC3的情形如圖11所示.

圖11 PC1訪問PC2和PC3正常

2.3 OSPF V3路由協(xié)議實驗

OSPF V2路由協(xié)議是基于IPV4協(xié)議的內(nèi)部路由協(xié)議，OSPF V3路由協(xié)議是基于IPV6協(xié)議的內(nèi)部路由協(xié)議，它們都依靠鏈路狀態(tài)算法建立轉(zhuǎn)發(fā)路由表，OSPF V3路由協(xié)議能夠在IPV6的網(wǎng)絡(luò)中實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信.實驗的拓?fù)鋱D如圖12所示.

圖12 OSPF V3路由協(xié)議設(shè)計實驗拓?fù)鋱D

實驗要求：路由器R11、R21、R31、R41和R51為核心層的路由器，R12、R22、R32、R42和R52充當(dāng)接入路由器，這10臺路由器通過OSPF V3路由協(xié)議進(jìn)行通信，他們位于同一個OSPF區(qū) 域（0.0.0.0），PC1、PC2、PC3、PC4和PC5 DHCP動態(tài)獲取IPV6地址［6］.

實驗分析：此實驗要使用五個機(jī)柜的設(shè)備，需要五組同學(xué)配合完成，接入路由器使用H3C 3600型號的三層交換機(jī)，核心路由器使用msr 3620路由器，在AAA系統(tǒng)中為五組同學(xué)設(shè)置權(quán)限，每組同學(xué)對本機(jī)柜的設(shè)備有配置權(quán)限，對其他機(jī)柜的設(shè)備只有查看權(quán)限.路由器R11、R21、R31、R41和R51之間使用多模光纖的尾纖互聯(lián)，其余設(shè)備使用五類雙絞線相聯(lián).此實驗的具體考核點包括：R11、R21、R31、R41和R51建立OSPF鄰居關(guān)系為FULL狀態(tài)；PC1、PC2、PC3、PC4和PC5能動態(tài)獲取IPV6地址；PC1 ping通R52環(huán)回地址；PC1、PC2、PC3、PC4和PC5能夠相互ping通.

路由器R21的關(guān)鍵配置為：

R11、R31、R41、R51的配置和R21類似，R12、R32、R42、R52的配置和R22類似.

實驗檢測：從R21上看到的正確的OSPF V3鄰居如圖13所示.

圖13 路由器R21的OSPF V3鄰居

從PC1訪問PC2的ping和tracert的成功情形如圖14所示.

圖14 PC1訪問PC2成功圖

2.4 MPLS VPN實驗

MPLS VPN是一種更加快速和安全的網(wǎng)絡(luò).MPLS是指多協(xié)議標(biāo)簽協(xié)議，此協(xié)議不通過傳統(tǒng)的路由表發(fā)送數(shù)據(jù)，而是通過LDP標(biāo)簽表發(fā)送數(shù)據(jù)，通過LDP標(biāo)簽表發(fā)送數(shù)據(jù)的速度更快.VPN指虛擬個人網(wǎng)絡(luò)，其通過互聯(lián)網(wǎng)為同一個企業(yè)的客戶建立邏輯的虛擬通道，保障了用戶的安全性.實驗的拓?fù)鋱D如圖15所示.

圖15 MPLS VPN路由協(xié)議設(shè)計實驗拓?fù)鋱D

實驗要求：此實驗共涉及三種類型的路由器P（核心）、PE（核心邊緣）和CE（用戶邊緣），CE1和PE1通過靜態(tài)路由通信，CE2和PE2通過靜態(tài)路由通信，CE3和PE3通過EBGP路由協(xié)議通信，PE1路由器、PE2路由器、PE3路由器和P路由器上配置MPLS協(xié)議，PE1路由器、PE2路由器、PE3路由器和P路由器通過OSPF協(xié)議實現(xiàn)IGP可達(dá)，在IGP可達(dá)的基礎(chǔ)上通過BGP協(xié)議通信.在PE上配置VRF的各種屬性建立VPN，PC1、PC2和PC3靜態(tài)配置IP地址［7-9］.

實驗分析：此實驗要使用四個機(jī)柜的設(shè)備，需要四組同學(xué)配合完成，三組同學(xué)配置PE路由器和CE路由器，一組同學(xué)配置P路由器，在AAA系統(tǒng)中為四組同學(xué)設(shè)置權(quán)限，每組同學(xué)對本機(jī)柜的設(shè)備有配置權(quán)限，對其他機(jī)柜的設(shè)備只有查看權(quán)限.路由器PE1、PE2和PE3之間使用多模光纖互聯(lián)，其余設(shè)備互聯(lián)使用五類雙絞線相聯(lián).此實驗的具體考核點包括：PE1路由器、PE2路由器、PE3路由器和P路由器建立MPLS和BGP鄰居關(guān)系；PE3和CE3建立BGP鄰居關(guān)系；PC1 ping通PC2；PC2 ping通PC3.

路由器CE1的關(guān)鍵配置為：

CE2路由器、CE3路由器配置與CE1路由器類似，PE2路由器、PE3路由器配置與PE1路由器類似.

實驗檢測：PC1 ping PC2的成功情形如圖16所示.

圖16 PC1對PC2進(jìn)行ping測試

PE1與PE2、CE1建立正確的BGP鄰居，如圖17所示.

圖17 PE1和PE2、CE1建立正確的BGP鄰居

通過以上四個實驗，學(xué)生能夠掌握“計算機(jī)網(wǎng)絡(luò)”的基本知識，能夠通過VLAN協(xié)議和單臂路由器拓?fù)浣M建簡單的IPV4局域網(wǎng)，能夠通過BGP組建簡單的IPV4城域網(wǎng)，能夠使用OSPF V3和DHCP V6組建簡單的IPV6城域網(wǎng)，也能夠通過MPLSVPN組建基本的VPN安全網(wǎng)絡(luò).

3 實驗系統(tǒng)教學(xué)實施效果

通過在線網(wǎng)絡(luò)實驗系統(tǒng)進(jìn)行教學(xué)后，學(xué)生學(xué)習(xí)和創(chuàng)新的積極性得到了提高，學(xué)生在核心課程考試通過率、專利申請、學(xué)科知識競賽和科技論文發(fā)表方面都取得了長足的進(jìn)步.其中以安徽信息工程學(xué)院網(wǎng)絡(luò)工程專業(yè)305名同學(xué)為樣本，對“交換與路由”“計算機(jī)網(wǎng)絡(luò)”和“網(wǎng)絡(luò)安全”三門核心課程考試通過率進(jìn)行了統(tǒng)計如圖18所示.

圖18 核心課程通過率

專利申請、學(xué)科競賽和科技論文發(fā)表的統(tǒng)計情況如圖19所示.

圖19 專利申請、學(xué)科競賽和科技論文發(fā)表情況統(tǒng)計

4 總結(jié)

傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)實驗教學(xué)存在明顯的不足，針對這些不足，本研究構(gòu)建了一個在線的計算機(jī)網(wǎng)絡(luò)實驗系統(tǒng)，滿足了學(xué)生在線實驗的要求，也提升了教師的工作效率，并在此基礎(chǔ)上介紹四個典型的在線計算機(jī)網(wǎng)絡(luò)實驗，經(jīng)過一定階段的實驗教學(xué)，特別是通過網(wǎng)上教學(xué)階段的檢驗，在線實驗教學(xué)取得了良好的效果，學(xué)生在核心課程考試通過率、專利申請、學(xué)科競賽和科技論文發(fā)表方面都取得了長足的進(jìn)步.

這套實驗系統(tǒng)還不能支持SDN和網(wǎng)絡(luò)流量清洗的在線實驗，需要今后在這些方面對實驗系統(tǒng)作進(jìn)一步的研究和升級［10-12］，使學(xué)生能夠通過在線實驗系統(tǒng)完成相關(guān)的SDN和網(wǎng)絡(luò)流量清洗實驗.