王 炅 陳華清 黃天宜

(閩江學(xué)院 計(jì)算機(jī)科學(xué)系，福建 福州 350108)

1 引言

目前，日漸成熟的網(wǎng)絡(luò)和多媒體等信息技術(shù)，不僅使中國(guó)高教信息化建設(shè)產(chǎn)生質(zhì)的飛躍，而且，中國(guó)傳統(tǒng)高教工作的教育模式和教育內(nèi)容也正進(jìn)入到一個(gè)實(shí)質(zhì)性的數(shù)字化變革時(shí)代[1]。教育網(wǎng)的建設(shè)是推進(jìn)素質(zhì)教育、迎接知識(shí)經(jīng)濟(jì)時(shí)代的需要。在跨世紀(jì)教育改革中，世界各國(guó)都在加快教育現(xiàn)代化的步伐，信息化程度的高低已成為當(dāng)今世界衡量一個(gè)國(guó)家綜合國(guó)力的重要標(biāo)志。針對(duì)這種現(xiàn)狀，為提高網(wǎng)絡(luò)教學(xué)水平，結(jié)合多所大學(xué)的真實(shí)情況，開展仿真應(yīng)用。采用GNS3仿真軟件模擬雙出口到Internet、實(shí)現(xiàn)相關(guān)教育教學(xué)以及全校師生溝通上網(wǎng)達(dá)到事半功倍的效果。做到了高效的網(wǎng)絡(luò)部署以及對(duì)設(shè)備、鏈路的冗余備份;同時(shí)又能充分利用設(shè)備及鏈路帶寬。不僅方便高校之間的交流，也方便高校與Internet的溝通。

2 關(guān)鍵技術(shù)

采用接入層、匯聚層和核心層的三層結(jié)構(gòu)。教學(xué)樓、實(shí)驗(yàn)樓、行政樓、圖書館和食堂通過(guò)接入層交換機(jī)上聯(lián)至匯聚層交換機(jī)。在核心層采用雙核心帶路由功能的高端三層交換機(jī)保證設(shè)備的冗余和高速轉(zhuǎn)發(fā)，下連到各個(gè)同樣帶路由功能的三層交換機(jī)的匯聚層以此作為雙鏈路走向保證數(shù)據(jù)的可靠性。在匯聚層下行是由普通的二層交換機(jī)作為接入層以使用戶終端接入。如圖1所示，在對(duì)外接入Internet采用雙防火墻連接到不同運(yùn)營(yíng)商;本部與分校之間使用VPN技術(shù)連接互訪。全網(wǎng)運(yùn)行OSPF協(xié)議和靜態(tài)路由協(xié)議相結(jié)合的路由方式，同時(shí)使用PBR技術(shù)控制路由走向。本部路由在骨干區(qū)域Area0內(nèi)，分校則在區(qū)域Area1分擔(dān)路由。在Vlan的規(guī)劃中采用不同樓層不同Vlan的方式劃分，例如：行政樓與核心層處于Vlan11，而在此Vlan下的Vrrp則分為兩組Vrrp11、Vrrp12作為鏈路及核心設(shè)備的備份。同理教學(xué)樓處于Vlan12，在Vlan12下的Vrrp則分為 Vrrp21、Vrrp22。在 IP規(guī)劃中 Vlan11處于172.16.2.3/29;Vlan12 處于 172.16.2.11/29。在匯聚交換機(jī)中又劃分多個(gè)Vlan同核心層分開以此隔離廣播域的范圍;例如：行政樓的匯聚交換機(jī)劃分為Vlan100～199;可使用地址為172.17.1.0 ～172.17.255.255，其它樓層也同理如此。為避免 Stp 技術(shù)使用時(shí)產(chǎn)生的一些復(fù)雜問(wèn)題，使用鏈路聚合技術(shù)連接兩臺(tái)核心設(shè)備后多建立一個(gè)Vlan9然后通告Vlan9的路由，使得核心層之間所走路由在Vlan9里面，這樣就有效的避免了核心與匯聚層成環(huán)的問(wèn)題實(shí)現(xiàn)了負(fù)載的分擔(dān)等等。

圖1 全網(wǎng)拓?fù)鋱D

2.1 VRRP虛擬路由器冗余協(xié)議

VRRP可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的VRRP路由器中的一臺(tái);是一種設(shè)備容錯(cuò)協(xié)議，可以將一組交換機(jī)組織成一個(gè)虛擬換機(jī)，稱之為一個(gè)備份組;當(dāng)backup檢測(cè)到Master出現(xiàn)故障時(shí)，會(huì)自動(dòng)接替Master交換機(jī)的工作轉(zhuǎn)發(fā)數(shù)據(jù)[2]。Master設(shè)備的選舉有兩種方法：一、比較優(yōu)先級(jí)的大小，優(yōu)先級(jí)高者當(dāng)選為Master設(shè)備。二、當(dāng)兩臺(tái)優(yōu)先級(jí)相同的設(shè)備同時(shí)競(jìng)爭(zhēng)Master時(shí)，比較接口IP地址大小。接口地址大者當(dāng)選為Master設(shè)備。再同Track技術(shù)相結(jié)合監(jiān)控上行鏈路，以達(dá)到當(dāng)上行鏈路斷掉一條線路時(shí)靜態(tài)路由還在生效的故障。至此，主機(jī)不需要增加額外工作，與外界的通信也不會(huì)因某臺(tái)設(shè)備故障而受到影響。

2.2 OSPF開放式最短路徑優(yōu)先動(dòng)態(tài)路由協(xié)議

在匯聚層和核心層之間劃分了vlan;三層架構(gòu)之間需要互通就需要配置動(dòng)態(tài)路由協(xié)議同靜態(tài)路由相結(jié)合。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)[3]。路由域是一個(gè)AS，是一組通過(guò)統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由表的。OSPF是真正的LOOP-FREE(無(wú)路由自環(huán))路由協(xié)議適應(yīng)各種規(guī)模的網(wǎng)絡(luò)。采用SPF算法(Dijkstra算法)計(jì)算最佳路徑;能夠快速響應(yīng)網(wǎng)絡(luò)變化;以較低頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新。將區(qū)域(Area)進(jìn)行劃分后，通過(guò)區(qū)域之間的路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。

2.3 NAT地址轉(zhuǎn)換協(xié)議

由于全世界的ipv4地址都已經(jīng)宣布用完，為節(jié)省公網(wǎng)IP地址以及用戶的上網(wǎng)需求就需要用到 NAT技術(shù)[4]。使用NAT的另外2個(gè)原因是便于管理和基于安全考慮。NAT的核心思想是將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，從而連接到公共網(wǎng)絡(luò)。NAT節(jié)省了公網(wǎng)的ip地址;能夠處理編址方案重疊的情況;NAT和PAT只對(duì)IP進(jìn)行轉(zhuǎn)換，三層設(shè)備廣域網(wǎng)中不檢查目的MAC地址，它們只關(guān)心路由，它們只會(huì)重新封裝源MAC地址，MAC只對(duì)二層設(shè)備有效，當(dāng)網(wǎng)絡(luò)發(fā)生改變時(shí)不需要重新編址;隱藏了真正的IP地址，做到了安全有效的防止外部攻擊。

2.4 VPN虛擬專用網(wǎng)絡(luò)

考慮到本部與分校之間的距離問(wèn)題，在本部與分校之間的聯(lián)通互相訪問(wèn)采用VPN虛擬專用網(wǎng)絡(luò)技術(shù)。虛擬專用網(wǎng)絡(luò)通過(guò)公網(wǎng)而不必投入大量的大量的人力和物力去安裝和維護(hù)WLAN設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備這就大大降低了網(wǎng)絡(luò)建設(shè)的成本。并且在公網(wǎng)網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)后，虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證鏈接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性[5]。

3 仿真實(shí)現(xiàn)

3.1 仿真環(huán)境搭建

在GNS3仿真模擬軟件中同外網(wǎng)連接的防火墻Cisco 3640路由器1、2、3采用 IOS版本 C3640-IK.BIN，插槽加上板卡NM-4T，NM-1FE-TX×2;核心、匯聚三層交換機(jī) Catalyst 3560 采用 IOS 版本 c3725-adventerprisek9-mz.124-15.T5.BIN，插槽所加板卡為默認(rèn)。匯聚層交換機(jī)則為Catalyst 2960。拓?fù)鋱D如圖1所示。

3.2 仿真實(shí)現(xiàn)

防火墻采用NAT技術(shù)作為私網(wǎng)跟公網(wǎng)地址的轉(zhuǎn)換，分校與本部采用VPN技術(shù)建立連接。全網(wǎng)運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議與靜態(tài)路由相結(jié)合的方式進(jìn)行路由。核心層建立鏈路聚合增加帶寬以及負(fù)載的分擔(dān)，VRRP技術(shù)作為鏈路以及核心層的備份。接入終端獲取的IP地址服務(wù)器以及網(wǎng)關(guān)放置在匯聚層，并且做PBR策略路由控制路由走向?qū)崿F(xiàn)鏈路的負(fù)載分擔(dān)。

DHCP服務(wù)器直接放在各匯聚交換機(jī)上，IP地址末位為奇數(shù)的采用PBR技術(shù)控制該路由數(shù)據(jù)走向核心設(shè)備Core2的方向;IP地址末位為偶數(shù)的控制走向Core1的方向后由核心層路由再控制走向。下面是采用技術(shù)的主要配置方式(以行政樓為例)：

3.3 仿真測(cè)試

試點(diǎn)調(diào)試，是工程實(shí)施中一個(gè)非常重要的環(huán)節(jié)，直接影響到整個(gè)項(xiàng)目的實(shí)施進(jìn)度和方案的正確與否，通過(guò)試點(diǎn)后對(duì)已經(jīng)設(shè)計(jì)完的方案進(jìn)行修改。對(duì)GNS3構(gòu)建校園網(wǎng)的仿真測(cè)試需要對(duì)以下幾個(gè)關(guān)鍵點(diǎn)作為測(cè)試內(nèi)容：

1)校園網(wǎng)內(nèi)部終端是否能訪問(wèn)雙出口網(wǎng)絡(luò)，并實(shí)現(xiàn)負(fù)載均衡;

2)當(dāng)匯聚層與核心層某條鏈路斷掉后能實(shí)現(xiàn)虛擬網(wǎng)關(guān)的快速切換實(shí)現(xiàn)通信;

3)訪問(wèn)外網(wǎng)時(shí)是否進(jìn)行IP地址轉(zhuǎn)換。

3.4 測(cè)試結(jié)果

1)校園網(wǎng)內(nèi)部所有終端機(jī)均能夠訪問(wèn)教育網(wǎng)和電信網(wǎng)，并在鏈路上能基于源IP實(shí)現(xiàn)負(fù)載均衡;

2)訪問(wèn)教育網(wǎng)的IP地址走教育網(wǎng)的網(wǎng)關(guān)，其余IP地址走電信網(wǎng)網(wǎng)關(guān);

3)當(dāng)匯聚層與核心層的某條鏈路斷掉時(shí)，或核心層到邊緣路由器的某條鏈路斷掉時(shí)，虛擬網(wǎng)關(guān)能夠迅速自動(dòng)切換，OSPF路由協(xié)議能迅速收斂，能在短時(shí)間內(nèi)恢復(fù)與外網(wǎng)的通信;

4)邊緣路由器能夠?qū)崿F(xiàn)NAT轉(zhuǎn)換，外網(wǎng)用戶能訪問(wèn)校級(jí)服務(wù)器。

4 總結(jié)

構(gòu)建校園網(wǎng)的研究與仿真后期也通過(guò)真實(shí)設(shè)備星網(wǎng)銳捷來(lái)測(cè)試實(shí)現(xiàn)，對(duì)于構(gòu)建真實(shí)校園網(wǎng)具有較強(qiáng)參考意義，通過(guò)本次構(gòu)建校園網(wǎng)的研究與仿真中提高了各項(xiàng)技術(shù)的認(rèn)知，理解校園網(wǎng)規(guī)劃的完整過(guò)程，但是對(duì)于創(chuàng)新點(diǎn)的使用還有待去現(xiàn)實(shí)環(huán)境中更加完善。

[1]訪煙.校園網(wǎng)[EB/OL].(2010)[2013].http：//www.360doc.com/content/10/0507/17/1003682_26522167.shtml.

[2]無(wú)憂網(wǎng)客聯(lián).虛擬路由冗余協(xié)議[EB/OL].(2011)[2013].http：//www.net527.com/Ciscojishu/Ciscoluyoujiaohuan/11.html.

[3]老徐.組播擴(kuò)展 OSPF[EB/OL].(2009)[2013].http：//blog.sina.com.cn/s/blog_54f82cc201013w10.html.

[4]郭雅，李泗蘭.基于Packet Tracer仿真技術(shù)的校園網(wǎng)構(gòu)建技術(shù)研究[J].電腦知識(shí)與技術(shù)，2012，8(12)：2746-2749.

[5]彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版)，2008，29(1)：91-94.