朱建幫,何 軍

(安徽商貿職業(yè)技術學院,安徽 蕪湖 241002)

0 引言

伴隨著網絡時代的迅猛發(fā)展,企業(yè)的組織架構變得相當扁平,顯得更加靈活多變,從而使得企業(yè)的業(yè)務種類變得十分復雜,大量的業(yè)務系統(tǒng)需要遷移到云端,同時自身的一些數(shù)據和IT 資產要保留在內網中,這樣可以對原有的網絡進行減負,增加現(xiàn)有網絡的穩(wěn)定性和安全性。 本次案例以Cisco 模擬器中的三層交換機為核心交換機,使用VLAN 技術和NAT 技術實現(xiàn)內外網的通信和 VLAN 之間的聯(lián)系。

1 相關知識點概念講解

1.1 Cisco 模擬器

Cisco Packet Tracer 是由思科系統(tǒng)設計的跨平臺可視化仿真工具,允許用戶創(chuàng)建網絡拓撲以模仿計算機網絡和使用命令行界面來模擬配置思科路由器和交換機[1]。 Packet Tracer 的用戶界面為拖放式,允許用戶根據自己的需要添加和刪除模擬的網絡設備。 該軟件主要面向參加思科網絡工程師認證考試的學生,作為他們備考思科網絡工程師認證考試的學習工具。

1.2 三層交換機與二層交換機的區(qū)別

二層交換機屬數(shù)據鏈路層設備,可以識別數(shù)據包中的MAC 地址信息,所以二層交換機的數(shù)據交換基于MAC 地址,反觀三層交換機的交換工作在OSI 七層網絡模型中的第3 層即網絡層,是利用第3 層協(xié)議中的IP 包的包頭信息來對后續(xù)數(shù)據業(yè)務流進行標記。 三層交換機具有VLAN 功能,交換和路由,基于IP,就是網絡。

1.3 VLAN 技術

虛擬局域網(Virtual Local Area Network,VLAN 或V-LAN)是一種建構于局域網交換技術(LAN Switch)的網絡管理技術,為實現(xiàn)交換機以太網的廣播隔離,一種理想的解決方案就是采用虛擬局域網技術。 這種對連接到第2 層交換機端口的網絡用戶的邏輯分段技術實現(xiàn)非常靈活,可以不受用戶物理位置限制,根據用戶需求進行VLAN 劃分;可在一個交換機上實現(xiàn),也可跨交換機實現(xiàn);可以根據網絡用戶的位置、作用、部門,或使用的應用程序、上層協(xié)議,或以太網連接端口硬件地址進行劃分[2]。

1.4 NAT 技術

網絡地址轉換(Network Address Translation,NAT),NAT 是作為一種解決IPv4 地址短缺以避免保留IP 地址困難的方案而流行起來的,在很多國家廣泛使用。 Basic NAT 要求對每一個當前連接都要對應一個公網IP 地址,NAPT 這種方式支持端口的映射,并允許多臺主機共享一個公網IP 地址。 支持端口轉換的NAT 又可以分為兩類:源地址轉換和目的地址轉換。 前一種情形下發(fā)起連接的計算機的IP 地址將會被重寫,使得內網主機發(fā)出的數(shù)據包能夠到達外網主機[3-4];后一種情況下被連接計算機的IP 地址將被重寫,使得外網主機發(fā)出的數(shù)據包能夠到達內網主機。 實際上,以上兩種方式通常會一起被使用以支持雙向通信。

2 實驗內容

2.1 實驗目標

理論知識目標要求了解網絡規(guī)劃(VLSM,CIDR等)、基礎網絡(VLAN,OSFP,RIP 等)以及網絡平臺搭建的過程和原理。 技能知識目標要求掌握Cisco 交換機、路由器的簡單模擬環(huán)境搭建,熟練掌握Cisco 交換機、路由器的命令配置和操作步驟。

2.2 實驗場景及任務描述

假設某小型企業(yè)現(xiàn)有的設備為:兩臺服務器、兩臺思科服務器、一臺思科三層3 560 交換機、3 臺思科2 960 兩層交換機以及3 個部門若干電腦。 企業(yè)網絡拓撲圖設計方案如圖1 所示,企業(yè)內網地址規(guī)劃如表1所示。

表1 企業(yè)內網地址規(guī)劃

圖1 企業(yè)網絡拓撲圖設計

任務一:3 個部門可以跨區(qū)域協(xié)同辦公。

任務二:公司員工可以進行上網以及訪問內網資源。

任務三:要求在外辦公的員工可以訪問到公司內網的資源。

2.3 實驗步驟

公司內部有3 個部門需要與企業(yè)內網地址規(guī)劃相對應劃分所屬的VLAN,配置公司部門辦公電腦的IP地址,也可以使用DHCP 方式進行IP 地址分配,部分代碼如圖2 所示。

圖2 二層交換機VLAN 配置信息

按照公司要求查看公司內部服務器中所存在的應用資源(FTP 服務器、Web 服務器等),配置三層交換機VLAN 信息以及網關地址,針對性地做ACL 策略,部分代碼如圖3 所示。

圖3 三層交換機配置網關地址相關信息

根據網絡拓撲圖配置公司內部路由器網絡接口信息,對網絡進行合理的分析,選用合適的路由協(xié)議,查看路由鏈接情況,并測試網絡的聯(lián)通性,部分代碼如圖4 所示。

圖4 企業(yè)內部路由OSPF 路由配置信息

根據公司網絡的實際情況配置公司內部路由器,添加DNAT,PNAT 策略并進行安全性功能的相關配置,部分代碼如圖5 所示。

圖5 企業(yè)內部路由器NAT 轉化配置信息

3 實驗設計的實施方案測試結果

3.1 在企業(yè)內部電腦PC0 上Ping 通PC1 和PC2 測試結果

Ping 通PC1 和 PC2 測試結果,如圖6 所示,測試結果可見,PC0 可以與PC1 和PC2 正常通行,由此可以得出,二層交換機和三層交換機的VLAN 設置正確,三層交換機VLAN 之間的路由也配置成功,這樣內網之間的通信也即可保持暢通。 但是,配置太過于單一,僅局限于網絡的通信,在實際生產活動中需要更多的需求,比如VLAN 之間的隔離、限制某時間段內網上外網的設置、內網端口安全的設置等,這些都需要在具體實施中加以體現(xiàn)。

圖6 Ping 通PC1 和PC2 測試結果

3.2 企業(yè)內網客戶機Ping 通外網SERVER0 服務器和訪問內網SERVER1 服務器Web 服務測試

PC0 上Ping 通SERVER0 服務器測試,如圖7 所示,測試結果可以看出,內外網訪問實現(xiàn)暢通,但是在安全性方面尚欠考慮,外網訪問內網沒有做加密處理,這樣對于黑客來說,內網的重要資源直接裸露在外網之中,如果在真實的環(huán)境中,需要在內網中加上防火墻以及安全WAF 產品,以此來保護企業(yè)核心資源的安全性,此次測試則受限于模擬器實驗的局限性。

圖7 PC0 上Ping 通SERVER0 服務器和訪問Web 服務測試

4 實驗結果分析與反思

通過客戶終端Ping 命令和客戶端瀏覽器訪問服務器網站的反饋,可以判斷這次實驗的成功性和可行性,其中實驗的重難點在于VLAN 的劃分以及路由協(xié)議的選擇。 在實際的生產活動中可能還不夠,例如需要配置ACL 策略、帶寬策略、QoS 策略等。 隨著時代的發(fā)展需求,簡單的網絡配置中需要更多的安全配置以防范黑客的攻擊。 現(xiàn)有的配置中,VLAN 的放行不嚴謹,ACL 策略顆粒度大,OSPF 路由協(xié)議存在漏洞,所以要加強安全的相關配置。 比如,OSPF 協(xié)議在宣告網段沒有進行加密操作,黑客就可以與任何一臺路由器建立鄰居關系,從而獲取內部信息,重要的財務部門VLAN 之間沒有做隔離,對于公司來說是非常致命的。

以上是對本實驗技術層面的分析,但是實驗和實踐往往存在很大的差異,實驗的成功離實際生產生活還有很大一步需要去謀劃。 現(xiàn)實中的企業(yè),既需要考慮企業(yè)用戶的需求,也需要考慮企業(yè)的成本問題。 在滿足用戶需求的同時,需要充分地降低成本,這就要豐

富的實踐經驗和扎實的理論知識。 以本實驗為例,需要考慮如何充分地利用企業(yè)原有的設備進行網絡規(guī)劃和設計;網絡設備是否能夠再次利用;對于樓宇之間的接入,交換機是否需要更換升級來提高傳輸?shù)乃俣?原有的設備之間的網線可否再次利用等。 對于特殊用戶群體,在不提高成本的情況下滿足其要求,比如企業(yè)的技術部門需要更快更穩(wěn)定的網絡環(huán)境,在網絡設計中對于帶寬的分配就要做出詳細顆粒化的動態(tài)分配,對于網絡要求不是太高的部門進行網絡和應用下載限制,從而保障關鍵部門的網絡環(huán)境,而不是簡單地提高出口帶寬。

5 結語

本設計方案充分地利用了企業(yè)原有的設備進行網絡拓撲設計分析,通過VLAN 技術將各部門的網絡進行隔離,保障了日后的管理,IP 地址得到了優(yōu)化,NAT技術解決了企業(yè)內外網的連通性,同時保障了外出辦公人員外出訪問公司內網的基本需求。

理論與實踐相結合,是計算機有關教學課程中非常關鍵的一種方法與手段,針對高等?？茖W校的學生,使其提高動手能力和熟練程度是適應社會的最好方法。 實驗類課程對于高等?？茖W校學生的技能素養(yǎng)的提高有著舉足輕重的地位,應當在課程和人才培養(yǎng)計劃中適當?shù)靥岣邔嶒烆愓n程占有的比例,同時加大加強實驗室、實訓室的建設和教師技能的培養(yǎng)工作,為高等?？茖W校大力培養(yǎng)高素質技能型人才創(chuàng)造更好的條件。