王衛(wèi)國 王建 李超凡

摘要：在高等職業(yè)院校計算機網絡課程實踐環(huán)節(jié)的教學實驗中，以校園網絡架構為背景，利用EVE-NG虛擬環(huán)境仿真網絡架構，使用VRRP與MSTP相結合進行負載與冗余，運用OSPF動態(tài)路由協(xié)議合理規(guī)劃路由區(qū)域，并使用PAT技術訪問互聯(lián)網等技術手段，滿足數據轉發(fā)、負載均衡等基本需求。邏輯網絡架構具備良好的可拓展性，可依據實際情況和業(yè)務需求進行拓撲變更與網絡優(yōu)化措施，滿足學生的個性實驗環(huán)境要求，提升學生的實踐能力。

關鍵詞：校園網;EVE-NG;虛擬路由冗余;端口多路復用

中圖分類號：G642? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）17-0041-02

開放科學（資源服務）標識碼（OSID）：

1 引言

在計算機網絡的實踐課程中[1]，受限于計算機硬件條件，無法滿足進行中小型網絡架構的仿真實驗。GNS3和eNSP等都類似于用戶軟件，無法做到以教學為中心的交互式模型，而融合多廠商網絡設備的EVE-NG虛擬仿真環(huán)境[2]是深度定制的Ubuntu操作系統(tǒng)，可以直接架構在物理主機或服務器上，適用于局域網內的多點訪問。中小型園區(qū)網作為計算機網絡課程的綜合實驗[3]，涉及路由與交換方面的多種類協(xié)議和網絡層次結構，完全可以涵蓋理論課程的全部知識，從而對學生的實踐能力進行全面了解。本文主旨在于構建多功能分區(qū)的校園網絡層次模型，從各功能分區(qū)的業(yè)務需求分析與設計設備接入和匯聚方式，充分考慮設備備份、鏈路冗余及負載均衡等方面，以雙核心模式進行高速轉發(fā)[4]，設置服務器集群與數據中心旁掛出口防火墻，保證內網安全性，以此構建具備穩(wěn)健性與可擴展性的校園網邏輯網絡架構用于實驗教學，滿足計算網絡實踐教學的虛擬仿真環(huán)境需求。

2 相關技術

EVE-NG（Emulated Virtual Environment–Next Generation）是具備交互式的CS模型[5]，作為服務器端支持Native和HTML Console，融合了Dynamips、IOL、KVM等，可以直接安裝到x86架構的物理主機，也可以通過ova版本導入Vmware進行虛擬環(huán)境搭建。

2.1 多生成樹協(xié)議

MSTP （Multiple Spanning Tree Protocol）是在RSTP的基礎之上運行[6]，為VLAN創(chuàng)建實例（instance）組，將進行相同STP計算的VLAN映射到同一個STP實例中，構建無環(huán)生成樹拓撲結構，根據路徑數維護相同數目的STP實例，從而節(jié)省系統(tǒng)資源。

2.2 開放式最短路徑優(yōu)先協(xié)議

OSPF（Open Shortest Path First）是典型的鏈路狀態(tài)路由協(xié)議[7]，其核心思想最短路徑優(yōu)先（SPF）使用Dijkstra算法計算路徑最短度量值，支持CIDR和VLSM。路由器鄰居之間進行鏈路狀態(tài)信息交換并動態(tài)更新，從而每個路由器節(jié)點都計算出整張網絡的拓撲結構。

2.3 虛擬路由器冗余協(xié)議

VRRP（Virtual Router Redundancy Protocol） 保證網絡邊緣設備與整個網絡連接可靠性[8]，VRRP組中所有路由器使用同一個虛擬的IP地址和MAC地址，組內路由器優(yōu)先級根據鏈路的速度，路由器性能，可靠性及管理策略設定。

3 校園網架構設計與實現

3.1 邏輯網絡架構總體設計

依據校園網各部分業(yè)務需求，對網絡層次結構部署嚴格遵守接入層，匯聚層，核心層三層網絡結構。接入層主要負責用戶管理功能如地址認證，用戶認證，用戶信息收集工作如IP地址、MAC地址、訪問日志，VLAN劃分及二層網絡的隔離與互通[9]。匯聚層主要進行二層的VLAN信息管理與三層網絡路由信息的控制，分割網絡動態(tài)區(qū)域。匯聚層之下一般通過將多個物理線路通過二層Etherchannel捆綁為一個邏輯的Trunk鏈路傳遞數據，匯聚層之上通過三層接口與核心交換機互聯(lián)，運行動態(tài)路由協(xié)議，提供局域網之間數據轉發(fā)。核心層主要負責數據高速轉發(fā)及匯聚層之上動態(tài)路由協(xié)議控制域劃分，并避免使用路由策略，提高數據包轉發(fā)效率。

針對校園網各功能分區(qū)可劃分為教學樓區(qū)域、宿舍區(qū)域、辦公樓區(qū)域、行政樓區(qū)域、圖書館區(qū)域、數據中心與服務器集群區(qū)域等。其中數據中心與服務器區(qū)域采用二層網絡區(qū)域并在匯聚層設備進行相應路由策略進行訪問控制，保證服務器區(qū)域安全性[10]。出口區(qū)域作為內網與外網連接點應直連核心層進行高速數據轉發(fā)，同時將防火墻旁掛到出口設備下，保護內網安全。

根據網絡結構模型分析設計出如下圖1的邏輯網絡拓撲圖：

3.2 邏輯網絡架構實現方案

接入層提供校園網功能分區(qū)中所有的邊緣設備接入網絡，主要包括二層以太網交換機、無線接入點、終端等設備等。接入層設備應充分考慮全局接入安全性，實現虛擬局域網的劃分、生成樹協(xié)議、IP地址與MAC地址安全綁定、端口隔離、以及簡單網絡管理協(xié)議SNMP與DHCP-Snooping等功能，上聯(lián)至匯聚層進行數據轉發(fā)時應使用Etherchannel進行物理鏈路邏輯捆綁，從而增大帶寬。接入層交換機通過MSTP生成樹協(xié)議形成無環(huán)拓撲，避免廣播風暴，保證終端設備安全接入。

匯聚層在全局上管理網絡功能分區(qū)的VLAN信息，并運行動態(tài)路由協(xié)議向核心層通告路由信息和傳遞數據，進行路由策略與訪問控制。在進行接入層設備的數據與路由信息匯聚后，維持接入核心層設備前的數據轉發(fā)、訪問控制的中介工作，以減輕核心層設備的負荷。匯聚層實現工作組的接入、虛擬局域網之間的路由、源目IP地址及MAC地址過濾、路由策略，數據安全等多種功能。匯聚設備采用VRRP進行虛擬路由冗余，提供接入層設備的持續(xù)無障礙連通性。匯聚層設備運行動態(tài)路由協(xié)議OSPF與核心層設備建立鄰居關系，劃分進相應OSPF區(qū)域，傳遞路由信息與數據并動態(tài)更新，同時進行路由信息過濾。匯聚層設備是本地網絡的邏輯中心，在實現安全控制和身份驗證時，進行集中式管理，保證核心層的安全和穩(wěn)定。

核心層是校園網絡平臺的骨干網絡中心區(qū)域，是所有數據流量的最終承受和匯聚，采用雙核心模式實現設備的冗余備份和可靠的高速傳輸，提供全網數據轉發(fā)的負載均衡與OSPF域內域間路由信息通告，提供快速數據轉發(fā)和可優(yōu)化的拓展能力。

4 驗證與分析

對于整個設計方案的效果驗證主要以教學樓區(qū)域的網絡環(huán)境作為測試，主要包含域內MSTP結合VRRP在雙核心模式校園網中的應用，多實例Instance通過STP或RSTP計算生成以確定主根交換機，備份設備在主設備或鏈路失效后成為根交換機提供流量傳輸路徑。VRRP備份組中Master和Backup設備進行主備協(xié)商，協(xié)商完畢產生虛擬網關設備，生成虛擬IP與MAC地址，當主設備或鏈路故障后，備份設備瞬時切換角色，承擔數據流量轉發(fā)，保證網絡服務的不間斷性。

OSPF動態(tài)路由協(xié)議進行區(qū)域劃分及域內路由策略，雙核心及下連數據中心劃分為進程號為110的OSPF Area 0，將服務器集群區(qū)劃分為OSPF Area 1，將出口區(qū)域劃分為OSPF Area 2，預定將核心設備設置為各網段的DR，如下圖2所示，避免LSA泛洪造成的協(xié)商數據包過多影響網絡性能，減少了LSDB交互時所需的帶寬和路由器開銷，加強了OSPF動態(tài)運行穩(wěn)定性。

校園網均采用192.168.0.0/16地址段進行私有網段劃分，當內部設備訪問Internet時，需要將私有IP地址轉換為公有IP地址并進行端口復用，測試方法是在出口設備上查看Access-lists的匹配情況及NAT的轉換列表。通過查看得知，私網地址成功轉換為公有IP地址并以端口復用的方式訪問Internet，如下圖3所示：

5 結語

針對高職院校的計算機網絡實踐課程，具備多廠商虛擬仿真環(huán)境的EVE-NG解決了計算機硬件條件的不足，在交互模式上更加具有優(yōu)勢，便于學生以C/S模型的方式進行http/https的任意連接。本文所設計的校園網絡架構模型，在運用了多種類網絡協(xié)議的同時，兼顧了網絡架構的穩(wěn)健性與可擴展性，也便于學生在虛擬仿真環(huán)境中進行實踐訓練和拓展，增強了學生的實踐能力，以此提高教學質量。

參考文獻：

[1] 夏秋菊.中職計算機網絡課程教學改革的探索與實踐[J].中國管理信息化，2020，23（23）：231-232.

[2] 曹雪峰，傅冬穎，于萬國，等.基于EVE-NG的虛擬網絡實踐教學平臺設計與實現[J].實驗技術與管理，2019，36（6）：158-161，166.

[3] 蔣建軍，陳靖棟.新一代校園網絡架構的仿真與優(yōu)化研究[J].現代電子技術，2016，39（14）：69-72.

[4] 陳岳.園區(qū)級校園網絡規(guī)劃與方案設計[J].信息技術與信息化，2020（11）：167-170.

[5] 唐燈平，凌興宏.基于EVE-NG模擬器搭建網絡互聯(lián)技術實驗仿真平臺[J].實驗室研究與探索，2018，37（5）：145-148.

[6] 李獻軍，張少芳，李巖.基于MSTP的網絡通信負載均衡的實現[J].電腦編程技巧與維護，2019（5）：149-150.

[7] 郭麗，劉海燕.基于Packet Tracer的OSPF多區(qū)域中LSA的類型研究[J].電腦知識與技術，2020，16（36）：1-2.

[8] 甘衛(wèi)民，李檢輝.基于華為VRP下的VRRP仿真實驗分析[J].網絡安全技術與應用，2020（5）：31-33.

[9] 陳岳.園區(qū)級校園網絡規(guī)劃與方案設計[J].信息技術與信息化，2020（11）：167-170.

[10] 李宗鋒.計算機網絡安全技術在校園網絡建設中的應用[J].電子技術與軟件工程，2019（15）：175-176.

【通聯(lián)編輯：王力】