摘 要：以組建一校園園區(qū)網(wǎng)真實案例為背景，設計了融合VLAN技術、MSTP技術、VRRP技術、鏈路聚合技術、ACL技術、路由技術及NAT技術等各關鍵技術的計算機網(wǎng)絡課程綜合實訓項目，按工作崗位流程對綜合實訓項目進行了需求分析、網(wǎng)絡拓撲設計、地址規(guī)劃，并利用eNSP仿真平臺對綜合實訓項目設計方案的可行性與合理性進行了驗證、分析。該實訓在培養(yǎng)學生網(wǎng)絡規(guī)劃設計、設備配置、調(diào)試等能力和提高學生綜合運用計算機網(wǎng)絡知識能力的同時，還使學生積累了實際工程的項目經(jīng)驗，助力學生順利邁向未來的工作崗位。

關鍵詞：園區(qū)網(wǎng)；交換機；路由器

中圖分類號：TP393.0；TP391.9 文獻標識碼：A 文章編號：2096-4706（2024）20-0185-06

Design and Simulation of Comprehensive Practical Training for Computer Network Courses

JIANG Zhengen

（Fujian Posts and Telecommunications School， Fuzhou 350008， China）

Abstract： Based on the real case of forming a campus network， a comprehensive practical training project for computer network courses integrating VLAN technology， MSTP technology， VRRP technology， link aggregation technology， ACL technology， Routing technology， NAT technology and other key technologies is designed. According to the job process， the requirements analysis， network topology design， address planning of the comprehensive practical training project are carried out， and the feasibility and rationality of the design scheme of the comprehensive practical training project are verified and analyzed by eNSP simulation platform. This practical training cultivates students' ability of network planning and design， equipment configuration and debugging， and improves students' ability of comprehensive application of computer network knowledge. At the same time， it also enables students to accumulate project experience of practical engineering and help students smoothly move towards the future jobs.

Keywords： campus network; switch; router

0 引 言

在數(shù)字經(jīng)濟時代，為了加快建設信息網(wǎng)絡基礎設施、提升全民數(shù)字素養(yǎng)和技能，在《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》《“十四五”職業(yè)技能培訓規(guī)劃》等諸多文件及黨的二十大報告中都提出了建設數(shù)字中國、網(wǎng)絡強國、加快發(fā)展數(shù)字經(jīng)濟的目標和措施[1-4]。

計算機網(wǎng)絡課程作為信息網(wǎng)絡的一門基礎學科，項目式教學法在職業(yè)教育中已被廣大師生所接受[5]，但在計算機網(wǎng)絡課程中采用項目式教學法，學生在學完交換機、路由器各個項目的基本知識點及各項目所對應的實訓后，學生的理論知識和技能還是單一的，缺乏把各基本知識點和技能點融合在一起的綜合實踐能力，不能快速適應企業(yè)工作崗位的需要，因此有必要設計一相對復雜且與真實案例相結合的綜合性實訓[6]，以幫助學生對所學知識和技能進行梳理及融會貫通，使學生提前具有企業(yè)工作崗位要求的職業(yè)能力。本文以模擬組建一校園園區(qū)網(wǎng)為背景，設計了一融入計算機網(wǎng)絡各關鍵技術且與真實案例相結合的綜合性實訓，不但培養(yǎng)了學生具有網(wǎng)絡規(guī)劃設計、設備配置、調(diào)試等能力和提高學生綜合運用計算機網(wǎng)絡知識能力的同時，也積累了實際工程的項目經(jīng)驗，助力國家的數(shù)字化轉型。

1 組建校園園區(qū)網(wǎng)關鍵技術的介紹

組建校園園區(qū)網(wǎng)所需關鍵技術主要有：

1）VLAN技術。VLAN即虛擬局域網(wǎng)，是將一個物理的LAN在邏輯上劃分成多個廣播域的技術[7]，以提高網(wǎng)絡的安全性。

2）MSTP技術。MSTP即多生成樹協(xié)議，是將VLAN映射到不同的實例中，然后設置不同實例的根橋，讓每個實例生成各自的生成樹，實現(xiàn)VLAN數(shù)據(jù)流量的負載分擔和不同路徑的冗余備份[8]。

3）鏈路聚合技術。鏈路聚合技術是將多個物理接口捆綁為一個邏輯接口[9]，以達到增加鏈路帶寬和提高設備鏈路之間可靠性的目的。

4）VRRP技術。VRRP即虛擬路由冗余協(xié)議，是將一個廣播域中多臺網(wǎng)關路由器虛擬成一個虛擬網(wǎng)關路由器，并將用戶終端的默認網(wǎng)關設置為虛擬網(wǎng)關路由器的IP地址，以實現(xiàn)多網(wǎng)關間的備份[10]。

5）ACL技術。ACL即訪問控制列表，是運行在路由器或交換機接口上用來控制端口數(shù)據(jù)包進出的指令列表。

6）NAT技術。NAT即網(wǎng)絡地址轉換，是將IP數(shù)據(jù)報文頭中的源IP地址轉換為另一個IP地址，并通過轉換端口號達到地址重用的目的。

2 某校建設校園網(wǎng)的業(yè)務需求情況

某中等職業(yè)學校建設校園園區(qū)網(wǎng)的業(yè)務需求有：

1）學校現(xiàn)有主校區(qū)和分校區(qū)兩個校區(qū)，計劃組建一覆蓋兩校區(qū)的校園園區(qū)網(wǎng)，主校區(qū)采用雙核心的網(wǎng)絡架構，學校通過GE鏈路接入互聯(lián)網(wǎng)。

2）主校區(qū)主要有教學樓1、宿舍樓、行政樓、信息中心（服務器群）、物業(yè)公司五大區(qū)域，分校區(qū)主要有教學樓2一棟。

3）校園內(nèi)除物業(yè)公司不能訪問學校FTP服務器外，其余各部門用戶之間均能夠實現(xiàn)互聯(lián)互通，校園內(nèi)所有用戶均能訪問Internet資源，互聯(lián)網(wǎng)用戶允許訪問學校網(wǎng)站。

3 組建某校校園網(wǎng)的設計思路

根據(jù)校園園區(qū)網(wǎng)的業(yè)務需求情況，同時為了幫助學生能對所學過的計算機網(wǎng)絡各知識點進行融會貫通和對各關鍵技術的綜合應用，以及培養(yǎng)學生分析問題和解決問題等能力，本文使用eNSP仿真軟件設計了如圖1所示的某中等職業(yè)學校校園園區(qū)網(wǎng)的綜合實訓網(wǎng)絡拓撲圖。

為了學校便于統(tǒng)一管理和保障網(wǎng)絡的安全性，采用VLAN技術，按部門將用戶終端劃分到不同的VLAN中，并為每個VLAN分配不同網(wǎng)段的IP地址，詳細的VLAN劃分如圖1所示。

為了提高主校區(qū)兩臺核心交換機之間的鏈路帶寬和可靠性，在HX1和HX2之間采用鏈路聚合技術。接入層交換機JR1、JR2與核心層交換機HX1、HX2之間采用MSTP+VRRP技術，防止成環(huán)及實現(xiàn)數(shù)據(jù)流量的負載分擔，并設置HX1為VLAN 110和VLAN 120的根橋，HX2為VLAN 130和VLAN 140的根橋，使得教學樓1和宿舍樓用戶向外訪問時數(shù)據(jù)流量優(yōu)先使用JR1-HX1-AR1路徑，JR1-HX2-AR1作為備份；行政樓和物業(yè)公司用戶向外訪問時數(shù)據(jù)流量優(yōu)先使用JR2-HX2-AR1路徑，JR2-HX1-AR1作為備份，實現(xiàn)不同用戶數(shù)據(jù)流量的負載分擔和不同路徑的互為備份。

采用三層交換實現(xiàn)VLAN間路由，主校區(qū)路由器和三層交換機之間采用OSPF動態(tài)路由協(xié)議，分校區(qū)路由器之間采用RIP動態(tài)路由協(xié)議，主校區(qū)與分校區(qū)之間采用路由重分布，使得校園內(nèi)各部門用戶之間均能夠實現(xiàn)互聯(lián)互通，并能訪問信息中心的各服務器；采用訪問控制列表技術，限制物業(yè)公司對學校FTP服務器的訪問；采用NAT技術實現(xiàn)校園內(nèi)所有用戶可以訪問Internet資源，互聯(lián)網(wǎng)用戶允許訪問學校網(wǎng)站。具體的設備IP地址規(guī)劃如表1所示。

4 校園網(wǎng)綜合實訓項目配置的實現(xiàn)

使用eNSP仿真軟件，根據(jù)圖1完成對網(wǎng)絡設備的連接，根據(jù)表1完成各設備IP地址網(wǎng)絡參數(shù)的設置、交換機VLAN的配置、主校區(qū)OSPF動態(tài)路由協(xié)議和分校區(qū)RIP動態(tài)路由協(xié)議的配置，并在出口路由器AR2上配置默認路由，實現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)之間的路由互通。

4.1 鏈路聚合技術的實現(xiàn)

主校區(qū)核心交換機HX1和HX2之間采用鏈路聚合技術，不但能增加兩核心交換機之間鏈路帶寬，也能實現(xiàn)鏈路之間互為備份，提高網(wǎng)絡的可靠性。交換機HX1鏈路聚合的主要配置命令如下，交換機HX2鏈路聚合的配置類似。

[HX1]int Eth-Trunk 100 //創(chuàng)建Eth-Trunk 100接口

[HX1-Eth-Trunk100]mode manual load-balance //配置鏈路聚合為手工負載分擔模式

[HX1-GigabitEthernet0/0/23]eth-trunk 100 //將HX1的G0/0/23端口加入Eth-Trunk 100接口

4.2 MSTP+VRRP協(xié)議的配置

在交換機HX1、HX2、JR1、JR2上分別進行MSTP協(xié)議的配置，生成以交換機HX1為根橋和交換機HX2為根橋的兩棵生成樹，以實現(xiàn)不同用戶數(shù)據(jù)流量的負載分擔和不同路徑的冗余備份。交換機HX1的MSTP協(xié)議主要配置命令如下，交換機HX2、JR1、JR2的MSTP協(xié)議配置類似。

[HX1]stp region-configuration

[HX1-mst-region]region-name jiaoxue //命名MST域名為jiaoxue

[HX1-mst-region]revision-level 1 //設置MSTP的修訂級別為1

[HX1-mst-region]instance 15 vlan 110 120//將VLAN110、120映射instance 15中

[HX1-mst-region]instance 25 vlan 130 140//將VLAN130、140映射instance 25中

[HX1-mst-region]active region-configuration //激活MST域

[HX1]stp instance 15 root primary //設置交換機HX1為instance 15的主根

[HX1]stp instance 25 root secondary //設置交換機HX1為instance 25的備根

在核心交換機HX1和HX2上配置各VLAN的虛擬網(wǎng)關地址，同時配置交換機HX1為VLAN 110和VLAN 120的Master網(wǎng)關設備，交換機HX2為VLAN 110和VLAN 120的Backup網(wǎng)關設備，并對交換機HX1的上聯(lián)口、下聯(lián)口進行VRRP跟蹤。實現(xiàn)兩臺核心交換機網(wǎng)關之間互為備份，確保通信的連續(xù)性和可靠性。交換機HX1的VRRP協(xié)議主要配置命令如下，交換機HX2的VRRP協(xié)議配置類似。

[HX1-Vlanif110]vrrp vrid 210 virtual-ip 172.30.110.254//配置虛擬網(wǎng)關IP地址

[HX1-Vlanif110]vrrp vrid 210 priority 130//設置優(yōu)先級為130，使其成為Master

[HX1-Vlanif110]vrrp vrid 210 track interface g0/0/24 reduced 40 //進行VRRP跟蹤，如果接口故障，則優(yōu)先級降低40，設備將由master切換為backup

[HX1-Vlanif110]vrrp vrid 210 track interface g0/0/21 reduced 40

4.3 兩校區(qū)網(wǎng)絡之間互通路由的配置

在路由器AR2上配置自動發(fā)布默認路由的方式實現(xiàn)主校區(qū)網(wǎng)絡與分校區(qū)網(wǎng)絡之間路由的互通，具體配置命令如下：

[AR2-rip-1]default-route originate //在RIP進程中發(fā)布默認路由

[AR2-ospf-1]default-route-advertise always //在OSPF進程中發(fā)布默認路由

4.4 ACL協(xié)議的配置

為確保學校數(shù)據(jù)的安全，限制物業(yè)公司的用戶不能訪問學校的FTP服務器，在路由器AR1上配置高級ACL來實現(xiàn)。

[AR1-acl-adv-3333]rule 15 deny ip source 172.30.140.0 0.0.0.255 destination 10.100.100.0 0.0.0.255 //172.30.140.0/24網(wǎng)段不能訪問10.100.100.0/24網(wǎng)段

[AR1-GigabitEthernet2/0/0]traffic-filter outbound acl 3333 //該端口out方向調(diào)用acl 3333

4.5 NAT協(xié)議的配置

校園內(nèi)網(wǎng)絡使用的是172.30.0.0/16和10.0.0.0/8兩個私有IP地址的網(wǎng)段，為了使校園內(nèi)用戶可以訪問互聯(lián)網(wǎng)，同時學校的網(wǎng)站可以被互聯(lián)網(wǎng)用戶訪問，在學校出口路由器AR2上配置NAT協(xié)議實現(xiàn)內(nèi)外網(wǎng)IP地址的轉換，其主要配置命令如下：

[AR2-acl-basic-2222]rule 15 permit source 172.30.0.0 0.0.255.255 //允許172.30.0.0/16網(wǎng)段通過

[AR2-GigabitEthernet0/0/2]nat outbound 2222 //該端口out方向調(diào)用ACL 2222，并進行NAT地址轉換

[AR2-GigabitEthernet0/0/2]nat server protocol tcp global 200.1.1.200 www inside 10.3.3.1 www //將學校網(wǎng)站通過200.1.1.200公網(wǎng)地址發(fā)布到互聯(lián)網(wǎng)

4.6 服務器Server的配置

以“學校網(wǎng)站/DNS服務器”的HTTP服務配置為例，在“服務器信息”選項卡中，單擊“HttpServer”按鈕，在“文件根目錄”的添加HTTP服務器的根目錄，這里選擇本機的“D：＼WEB＼index.html”（需要提前創(chuàng)建好，網(wǎng)頁內(nèi)容可以為空）目錄為例，最后單擊“啟動”按鈕，如圖2所示。

5 仿真結果與分析

5.1 校園內(nèi)互通性測試

以PC1為例，在PC1上用ping命令測試與PC3的連通性，如圖3所示，仿真結果說明，校園網(wǎng)內(nèi)部網(wǎng)絡是互聯(lián)互通的。

5.2 可靠性測試

以PC1跟蹤路由器AR2上G0/0/0接口為例，測試校園網(wǎng)網(wǎng)絡的可靠性。正常情況，在PC1的命令行輸入tracert 10.1.12.2命令，測試的結果PC1到AR2的數(shù)據(jù)流量使用的是PC1-JR1-HX1-AR1-AR2路徑，如圖4（a）所示；在核心交換機HX1上用shutdown命令分別關閉G0/0/24和G0/0/21端口來模擬網(wǎng)絡故障，再在PC1的命令行輸入tracert 10.1.12.2命令，測試的結果PC1到AR2的數(shù)據(jù)流量均使用的是PC1-JR1-HX2-AR1-AR2路徑，如圖4（b）所示，說明MSTP+VRRP協(xié)議配置生效。

在交換機HX1上用ping -c 100000 172.30.110.252命令測試與交換機HX2虛擬接口VLANIF 10的連通性，在測試過程中用shutdown命令關閉交換機HX2的G0/0/22接口來模擬網(wǎng)絡故障，發(fā)現(xiàn)只中斷了一個數(shù)據(jù)包便恢復了通信，如圖5所示，說明鏈路聚合技術生效。

仿真結果說明，MSTP協(xié)議、VRRP協(xié)議、鏈路聚合等技術可以實現(xiàn)數(shù)據(jù)流量的負載分擔，增加鏈路帶寬，鏈路故障時無須人工操作可實現(xiàn)鏈路備份，提高了校園網(wǎng)網(wǎng)絡的可靠性，降低了網(wǎng)絡管理成本。

5.3 校內(nèi)用戶訪問校內(nèi)各服務器的測試

5.3.1 校內(nèi)用戶訪問FTP服務器的測試

以分校區(qū)Client2終端訪問學校FTP服務器為例，在客戶端信息選項卡中，單擊FtpClient按鈕，在服務器地址文本框中輸入學校FTP服務器的IP地址：10.100.100.1，再單擊登錄按鈕，如果在服務器文件列表框列出了FTP服務器根目錄下的文件列表，則說明訪問FTP服務器成功，如圖6所示。

5.3.2 校內(nèi)用戶訪問網(wǎng)站服務器的測試

以分校區(qū)Client2終端訪問學校網(wǎng)站服務器為例，在客戶端信息選項卡中，單擊HttpClient按鈕，在地址文本框中輸入學校網(wǎng)站的域名：http：//www.test2.com/index.html，再單擊獲取按鈕，如圖7所示，成功訪問學校網(wǎng)站。

從校園內(nèi)用戶訪問學校信息中心各服務器仿真結果說明，校園內(nèi)用戶不但可以成功訪問學校的網(wǎng)站和FTP服務器，同時DNS域名解析也成功實現(xiàn)。

5.4 學校FTP服務器安全性的測試

在Client1上參照5.3.1中Client2的操作，發(fā)現(xiàn)在服務器文件列表框中不能列出FTP服務器根目錄下的文件列表，并彈出“連接服務器失敗”的錯誤提示框，如圖8所示。

仿真結果說明，物業(yè)公司不能訪問學校FTP服務器，即在路由器AR1上配置的ACL協(xié)議生效，從而保證了學校FTP服務器上數(shù)據(jù)的安全。

5.5 校園內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間通信的測試

在路由器AR2的G0/0/0接口和G0/0/2接口上分別啟動Wireshark抓包軟件，對校園內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間通信進GbujvD/2AwM4eNdLUbeHGg==行抓包分析。

以主校區(qū)Client1終端訪問互聯(lián)網(wǎng)網(wǎng)站服務器為例，參照5.3.2中Client2終端的操作，在“地址”文本框中輸入互聯(lián)網(wǎng)網(wǎng)站的域名：http：//www.test1.com/index.html，單擊“獲取”按鈕后，路由器AR2的G0/0/0接口和G0/0/2接口上所抓的包如圖9所示。

仿真結果說明，校園內(nèi)用戶可以訪問互聯(lián)網(wǎng)網(wǎng)站，互聯(lián)網(wǎng)用戶也可以訪問學校的網(wǎng)站，并在學校出口路由器AR2上實現(xiàn)了內(nèi)網(wǎng)私有IP地址與公網(wǎng)IP地址的轉換，即NAT協(xié)議配置生效，DNS域名解析正確。

6 結 論

本文設計了基于eNSP仿真平臺的計算機網(wǎng)絡課程的綜合實訓，綜合考查了學生對VLAN技術、鏈路聚合技術、MSTP協(xié)議、VRRP協(xié)議、ACL技術、NAT技術、靜態(tài)路由、OSPF與RIP動態(tài)路由協(xié)議等綜合知識的靈活運用能力。從近2年的實際教學效果來看，學生普遍反映通過該綜合實訓，不但加深了對計算機網(wǎng)絡各技術的理解，提升了網(wǎng)絡規(guī)劃設計、設備配置、調(diào)試、分析和解決問題等能力，了解了從事計算機網(wǎng)絡工作崗位的流程，積累了一定的項目工程經(jīng)驗，同時也發(fā)現(xiàn)了自己學習存在的一些不足，從而激發(fā)了他們更加努力學習的動力。

參考文獻：

[1] “十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃 [N].人民日報，2022-01-13（1）.

[2] “十四五”職業(yè)技能培訓規(guī)劃 [J].職業(yè)，2022（3）：8-10.

[3] 《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要（草案）》摘編 [N].人民日報，2021-03-06（9）.

[4] 本刊編輯部.學習貫徹黨的二十大精神 擘畫網(wǎng)絡強國新藍圖 [J].中國信息安全，2022（11）：26.

[5] 錢權，張瑞，袁方.計算機網(wǎng)絡課程中的項目式實驗教學 [J].實驗室研究與探索，2013，32（5）：142-145.

[6] 吳魏，郭芳.基于eNSP的計算機網(wǎng)絡實驗課程設計 [J].網(wǎng)絡安全技術與應用，2022（12）：76-78.

[7] 郭文普，陳天豪，楊百龍.基于eNSP的中小型企業(yè)組網(wǎng)實驗設計 [J].實驗室研究與探索，2022，41（2）：125-129+296.

[8] 廖伯勛.802.1s多生成樹協(xié)議在模擬器中的仿真 [J].佳木斯職業(yè)學院學報，2022，38（11）：106-108.

[9] 周亞軍.華為HCIA-Datacom認證指南 [M].北京：電子工業(yè)出版社，2021：188-204.

[10] 朱立才，陳林. 計算機網(wǎng)絡實驗教程 [M].南京：南京大學出版社，2020：272.

作者簡介：蔣振根（1974—），男，漢族，福建尤溪人，高級講師，高級工程師，工學學士，研究方向：中職教育教學及有線通信網(wǎng)絡的規(guī)劃與設計。