黃要武

摘要：為了在網(wǎng)絡工程與系統(tǒng)集成課程中提高學生的綜合實踐能力，增加工程項目經(jīng)驗，將實際網(wǎng)絡工程項目“企業(yè)網(wǎng)絡互聯(lián)系統(tǒng)”引入課堂，包括設計、安裝、配置和測試。利用軟件Cisco Packet tracer完成網(wǎng)絡設備配置實驗仿真，使每個學生僅用一臺PC完成一個綜合的網(wǎng)絡工程項目訓練。

關鍵詞：企業(yè)網(wǎng)絡設計;網(wǎng)絡互聯(lián);Packet Rracer;仿真實驗

中圖分類號：TP393.1? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）06-0046-03

網(wǎng)絡工程師是網(wǎng)絡工程專業(yè)的主要培養(yǎng)目標，而應聘網(wǎng)絡工程師時通常需要工程項目經(jīng)驗，這需要畢業(yè)生在畢業(yè)前就做好充分準備。獲得經(jīng)驗的途徑主要有兩條，一個是依靠網(wǎng)絡設備實驗室搭建網(wǎng)絡環(huán)境進行實踐訓練，另一個是通過校外工作實習。但是多數(shù)高校的實驗設備通常只能滿足一些基本技能的練習;而在短期的社會工作實踐中，對于綜合能力和經(jīng)驗均不足的學生，只能做一些皮毛工作，能力很難得到提高。最好的辦法就是能將實際工程項目案例引入課堂，讓學生在實習前就能具備一定的工程項目經(jīng)驗。我們將“企業(yè)網(wǎng)絡互聯(lián)系統(tǒng)”經(jīng)過提煉和適當修改，用于學生網(wǎng)絡綜合技能訓練，并結合設備模擬器軟件Cisco Packet tracer完成實驗仿真。經(jīng)過多輪教學實踐驗證，既解決了實驗設備的不足問題，又給學生提供了工程項目經(jīng)驗。

1 項目場景

某鋼鐵股份有限公司總部位于市郊區(qū)，主要負責生產(chǎn)和管理。公司設立了一個分支機構，位于市中心，主要負責銷售。公司計劃實現(xiàn)企業(yè)的生產(chǎn)和銷售的信息化管理。主要需求如下：

（1）總部共有三個建筑，主樓、建筑A和建筑B。總部計算機用戶總數(shù)為115，分布在這三個建筑里的數(shù)量分別為60、25、30。市內分支機構用戶數(shù)量15?？偛坑脩粜枰c分支機構用戶實時連接。

（2）所有用戶通過快速以太網(wǎng)接入，都能訪問Internet。

（3）用戶劃分為三個部門，技術與生產(chǎn)部、銷售部和財務部。暫時所有部門用戶都能夠互相訪問，以后制定部門用戶間的隔離政策。

（4）網(wǎng)絡布線系統(tǒng)已經(jīng)完成。網(wǎng)絡信息中心設在主樓。每個建筑物網(wǎng)絡的干線采用多模光纖，用戶接入均為超五類雙絞線。建筑群采用單模光纖連接主樓、建筑A和建筑B。

2 項目分析和設計

根據(jù)用戶需求，設計的網(wǎng)絡結構拓撲圖如圖1所示，分為總部網(wǎng)絡和分支機構網(wǎng)絡兩個部分?？偛烤W(wǎng)絡采用二層結構，核心層和接入層。干線采用吉比特以太網(wǎng)連接，用戶接入采用快速以太網(wǎng)連接。常用的一些服務器直接千兆連接到核心交換機。由于每個建筑僅設計一個配線間，用戶接入比較集中，所以采用了堆疊技術?？偛烤W(wǎng)絡與分支機構互聯(lián)選用租用的專線或以太網(wǎng)線路。內部網(wǎng)與Internet之間使用防火墻過濾數(shù)據(jù)包，提高內部網(wǎng)的安全性。

本項目實現(xiàn)的難點在于，讓所有部門用戶都能訪問因特網(wǎng)的同時，還要考慮部門用戶間隔離。這需要先采用VLAN技術隔離部門用戶，再通過三層交換技術互連所有用戶，最后還需要在核心交換機上設置ACL，限制某個部門用戶與其他部門的訪問。因為用戶需求是以后考慮部門用戶間的隔離，所以暫時可以省略最后一步的ACL配置。這個ACL的配置可以留給學生做擴展練習。當然，如果用戶不需要隔離，以上三步配置都沒必要了。

3 仿真實現(xiàn)

3.1 搭建網(wǎng)絡環(huán)境

使用軟件Cisco Packet tracer搭建網(wǎng)絡模擬環(huán)境如圖2所示。核心交換機選用一臺型號為3560-24FS的三層交換機（Switch0），防火墻選用路由器（Router3）代替，總部用戶接入交換機選用一臺2950-24（Switch1）代表。對于外網(wǎng)的模擬，僅有一臺主機供測試即可，這里用三臺服務器Web（Server0）、DNS（Server1）、FTP（Server2），以達更好仿真效果。

3.2 規(guī)劃IP地址

內部網(wǎng)使用地址段172.16.0.0/24劃分子網(wǎng)，分配給VLAN1、VLAN2、VLAN3、VLAN4，如表1所示。設備的管理IP地址分配如表2所示。外網(wǎng)使用公網(wǎng)地址段210.30.108.0/24，由ISP分配給企業(yè)的公網(wǎng)地址段為210.30.108.240/29，企業(yè)Web和FTP網(wǎng)站使用兩個地址（見表3），其他用于NAT地址池。測試使用的各PC和服務器主機的IP地址分配如表3所示。

3.3 配置網(wǎng)絡設備

由于配置比較復雜，為了便于識別，在圖2中標注了每臺設備的主要配置內容。主要配置思路如下：

（1）局域網(wǎng)的配置。在核心交換機上設置VTP Server，劃分VLAN，配置三層交換的VLAN端口地址，設置Trunk端口，設置Telnet訪問。所有接入交換機設置為VTP Client，設置與核心交換機連接的端口為Trunk，分配用戶PC連接的端口到相應的VLAN，設置管理IP地址及Telnet訪問。核心交換機的配置參考如下（接入交換機的配置略）。

Switch0#show run

！……

hostname Switch0

ip routing

！

interface FastEthernet0/1

switchport access vlan 2

！……

interface Vlan1

ip address 172.16.1.1 255.255.255.0

！

interface Vlan2

ip address 172.16.2.1 255.255.255.0

！

interface Vlan3

ip address 172.16.3.1 255.255.255.0

！

router rip

network 172.16.0.0

！

ip classless

ip route 0.0.0.0 0.0.0.0 172.16.1.3

……

！

line vty 0 4

password 123

login

end

（2）路由的配置。內部網(wǎng)配置RIP，分別在Router1、Router2、Router3和三層交換機Switch0上配置。為了讓內部網(wǎng)用戶訪問外網(wǎng)，分別在Router1、Router2和三層交換機上Switch0上配置默認路由，指向外網(wǎng)方向。需要注意，Router1的下一跳地址取決于Switch0的端口F0/1連接的VLAN。這里將Switch0的端口F0/1分配到VLAN2，因此Router1的下一跳地址為VLAN2端口的地址172.16.2.1。Router1配置參考如下（Router2的配置略）。

Router1#show run

！……

hostname Router1

interface FastEthernet0/0

ip address 172.16.2.2 255.255.255.0

duplex auto

speed auto

！

interface Serial0/1/0

ip address 172.16.5.1 255.255.255.0

clock rate 2000000

！

router rip

network 172.16.0.0

！

ip route 0.0.0.0 0.0.0.0 172.16.2.1

！……

line vty 0 4

password 123

login

end

（3）NAT和ACL的配置。在與外網(wǎng)連接的路由器Router3上配置NAT，允許內部網(wǎng)172.16.0.0/16地址轉換，公網(wǎng)地址池為210.30.108.243～210.30.108.246。設置指向外網(wǎng)的默認路由。ACL。為了保障NAT成功，避免數(shù)據(jù)包通過RIP訪問外網(wǎng)，使用標準ACL過濾172.16.0.0/16地址的包流向外網(wǎng)。路由器Router3的配置參考如下。

Router3#show run

！……

hostname Router3

interface FastEthernet0/0

ip address 172.16.1.3 255.255.255.0

ip nat inside

duplex auto

speed auto

！

interface FastEthernet0/1

ip address 210.30.108.1 255.255.255.0

ip access-group 10 out

ip nat outside

duplex auto

speed auto

！

router rip

network 172.16.0.0

！

ip nat pool to-internet 210.30.108.243 210.30.108.246 netmask 255.255.255.0

ip nat inside source list 1 pool to-internet overload

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

！

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 10 deny 172.16.0.0 0.0.255.255

access-list 10 permit any

！……

line vty 0 4

password 123

login

end

4 網(wǎng)絡系統(tǒng)的測試

第一步，測試局域網(wǎng)。驗證PC1、PC2和PC3之間能夠ping通，確認VTP、VLAN配置、三層交換和PC的IP設置等正確。

第二步，測試RIP路由。驗證PC4與路由器Router3的端口F0/0（地址172.16.1.3）的網(wǎng)絡連通性，確認RIP配置正確。

第三步，測試Internet訪問。驗證內部網(wǎng)的任何一臺PC與外部網(wǎng)的任何一臺Server之間的連通性，并檢查路由器Router3的NAT轉換統(tǒng)計，確認Router3的NAT、ACL、默認路由以及Server的IP設置等正確。Router3的NAT轉換統(tǒng)計參考如下，如果不能顯示類似的地址轉換數(shù)據(jù)，說明NAT沒有工作，可以從ACL、NAT等設置逐一檢查。

Router#show ip nat translations

Pro? Inside global? ? ?Inside local? ? ? ?Outside local? ? ? Outside global

icmp 210.30.108.243：15 172.16.4.5：15? ? ? 210.30.108.242：15? 210.30.108.242：15

icmp 210.30.108.243：16 172.16.4.5：16? ? ? 210.30.108.242：16? 210.30.108.242：16

icmp 210.30.108.243：17 172.16.4.5：17? ? ? 210.30.108.242：17? 210.30.108.242：17

icmp 210.30.108.243：18 172.16.4.5：18? ? ? 210.30.108.242：18? 210.30.108.242：18

第四步，測試Telnet管理。驗證PC1能夠通過管理IP地址分別Telnet到各個設備。

第五步，如果能進一步適當設置DNS、Web和FTP服務器，還可以在PC上測試，通過瀏覽器訪問外網(wǎng)的網(wǎng)站主機，測試結果參考如圖3所示。服務器配置部分可以留給學生選做。

5 結束語

本項目將實際的工程項目案例以仿真形式引入課堂，對提高學生的網(wǎng)絡系統(tǒng)設計、設備的安裝和配置等綜合能力效果明顯。如果能將更多的實際工程案例以這種方式引入課堂教學中，對學生應聘網(wǎng)絡工程師一定會幫助很大。由于篇幅有限，文中略去了一些簡單的內容，在實際運用時需適當補充。本項目內容也可以供網(wǎng)絡工程師實際應用參考。同時也應當清楚，模擬仿真雖然優(yōu)點很多，仍然存在諸多不足，只能用于初級階段的網(wǎng)絡工程專業(yè)學習。使用真實設備搭建網(wǎng)絡環(huán)境仍然是最佳的能力訓練方式。

【通聯(lián)編輯：代影】