和鳳珍 石進平 賈志洋
摘要:將Cisco Packet Tracer仿真軟件引入到計算機網絡課程教學中,運用VLAN、DHCP、NAT、OSPF、WIFI、IPSec VPN和端口映射技術組建云南大學旅游文化學院校園網,實現了不同校區、因特網之間的互聯互通。利用仿真工具教學不僅有助于加深學生對計算機網絡的認識,同時激發了學生的創造性和積極性,提高了學生未來職業素養和就業競爭力,而且有助于完成很多真實環境中不易完成的實驗。
關鍵詞:Packet Tracer;校園網;仿真;OSPF; IPSec; NAT
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)03-0123-06
近年來,計算機網絡在云計算時代上的應用越來越注重分布式計算。作為高校計算機網絡課程的教師,如何在更好地講授計算機網絡課程的同時切實提高學生學習的積極性和創造性,提高學生的實際動手能力和效率是一項嚴峻的挑戰。文獻[1]、[2]詳細分析了在真實環境下進行計算機網絡實驗教學的局限性。利用仿真工具可以幫助教師打破現實環境對計算機網絡課程教學的束縛,而且仿真軟件可以讓學生靈活地參與到學習活動中,提高學生的學習的積極性和創造性。Cisco Packet Tracer模擬仿真軟件很好地解決了上述問題。
在這篇文章中,我們以云南大學旅游文化學院為例演示了如何在Cisco Packet Tracer工具中模擬組建校園網。該工具軟件可以讓學生建立真實的網絡,觸及真實的網絡環境并感受一些關于未來職業工作中需要做的事情。
本文的內容組織如下:第1部分是組網設計,網絡拓撲結構、VLAN、DHCP、NAT、VPN等關鍵技術將在本部分進行詳細分析;第2部分是網絡設備功能的具體配置實現;第3部分是測試,DHCP、VPN、NAT和連通性將被測試;第4部分是結束語,對本文工作進行總結。
1 組網設計
1.1網絡拓撲結構圖
校園網由校本部、因特網、分校區三部分組成,采用三層網絡結構即核心層、匯聚層和接入層,實現校本部與因特網、分校區的互聯互通,同時可以進行家庭辦公。校本部校園網的核心使用帶路由功能的核心三層交換機(Multi Switch),它向外與因特網的出口路由器相聯,向內聯接匯聚層交換機和網管中心,使得校內各個主機相互連接且相互能夠通信,并接入因特網,匯聚層交換機下聯接入層交換機,接入層交換機則直接與用戶終端相連,為了簡化拓撲結構,所有接入層的交換機在圖1中均未給出。分校區采用二層交換機連接內網各主機、出口路由并接入因特網。另外還模擬了采用無線網絡訪問Internet。圖1中的拓撲結構圖是在Cisco Packet Tracer 5.3.1軟件界面下繪制的,圖1中只是象征性的畫出了教學樓、宿舍、圖書館、網管中心等實例,在實際情況中,還可以擴展很多,但配置實現的原理都相同。
1.2 VLAN
本文采用靜態端口分配的方法在交換機上劃分了4個VLAN ,如表1所示。端口分別連接到對應的部門,并為每一個接口設置一個IP地址,這些IP地址同時也將作為各個部門計算機的默認網關。最后在啟動三層交換機上的路由功能,實現個網段的互相通信。被分配在一個VLAN里的主機通過交換機只能和本VLAN的主機通信[3]。
1.3 DHCP
校園網內計算機非常多,除服務器需要手動配置靜態IP地址外,其他計算機一般都是自動獲取IP地址。一般情況下,DHCP對自己直聯網段內的主機,通過配置地址池,可以直接實現DHCP服務[4]。但這需要在核心三層交換機Multi Switch啟用DHCP服務,為每個VLAN獨立動態的分配地址。配置完畢后需單擊其圖標,選擇Desktop下的IP Configuration配置中選擇DHCP選項即可自動獲取IP地址。詳細信息如表2所示:
1.4 NAT
由于IPV4地址緊缺,可獲得的公網IP又不能滿足校園眾多計算機的接入因特網的需求。因此,校內網一般采用專用地址(私有地址),但網內主機又必須和因特網上的主機通信,目前使用得最多的方法是采用網絡地址轉換NAT。NAT至少需要一個全球IP地址(100.1.1.2)才能和因特網相連。NAT技術雖然解決了IP地址緊缺的問題,但是NAT也破壞了傳統的端到端的傳輸方式。
1.5 端口映射
由于校園內網使用的是私有地址,因此因特網上的主機不能訪問其內部,但是有時候內網的Web服務器需要對外發布信息,這時就要采用端口映射技術,只要因特網上的主機訪問路由器的80端口,就自動映射到Web服務器的80端口,這樣就實現了內網的網頁對外發布。
1.6 OSPF
路由協議的選擇是校園網設計中最為重要的環節。文獻[4]采用靜態路由,由于靜態路由配置是雙向的,需添加兩者相互連通的路由表項,而且內網又劃分了VLAN,采用靜態路由會隨著VLAN和路由器數目的增加而使靜態路由表項增多,這不利于網絡管理。動態路由協議將被廣泛應用于網絡組建,常用的動態路由協議有RIP、OSPF。RIP協議主要用于規模較小的網絡中,隨著網絡規模的擴大,網絡開銷也隨之增大,路由更新過程的收斂時間過長。而OSPF協議具有適用范圍廣、快速收斂、支持VLSM 等特點[5],它在校園網的路由設計中得到了廣泛的應用。文中采用OSPF動態路由協議進行路由配置,其中HQ路由器和Internet路由器的端口地址如表3、表4所示:
1.7 應用服務器
在Cisco Packet Tracer中提供了WEB、FTP、DNS、EMAIL等多種應用服務器,配置應用服務器時只需要單擊需要配置的應用服務器圖標,單擊Config選項卡配置相應的服務,在配置服務器時需要留意服務器的DHCP服務是否關閉。
1.8 WiFi
Cisco Packet Tracer提供了多種無線寬帶路由設備,組建無線網絡時只需選擇一個無線寬帶路由設備,安裝上無線網卡模塊即可。無線寬帶路由設備默認處于通電狀態,添加無線網卡時會提示通電狀態下不能添加模塊,我們需按照先斷電、添加模塊、通電的步驟進行操作,同時無線寬帶路由設備提供的GUI管理界面和真實的無線路由器幾乎完全一樣,這個設備高度逼真地模擬了現實世界。
1.9 VPN
由于業務的需要,校本部需要與分校區共享一些內部數據。傳統的解決方案一般通過租用專線解決,這種方式通常需要花費高額費用而且擴展性差。目前主流的方法是在Internet基礎之上利用IPSec對數據流進行加密,從而確保業務數據的安全傳輸,在應用上達到專用網效果的同時具有低費用、接入靈活、擴展性良好的特點[6]。
2配置實現
經過上述組網設計的詳細分析后,下面給出核心交換機、HQ路由器 、Internet路由器 、Branch路由器上的部分關鍵配置,#表示注釋。
2.1 VLAN配置
2.1.1 基于端口的VLAN劃分
點擊Multi Switch交換機,進入CLI界面,通過命令創建VLAN,并將端口加入到VLAN。
Switch(config)#vlan 10 #創建一個VLAN 10
Switch(config-if)#interface fa0/23 #進入快速以太網端口23的配置模式
Switch(config-if)#switchport access vlan 10 #把端口23分配給VLAN 10
Switch(config-if)#no shut #激活端口
…… #省略了VLAN 1、VLAN 20、VLAN 30相關配置,方法同上
2.1.2 配置VLAN并啟用路由
Switch(config)#interface vlan 1 #進入vlan 1接口配置模式
Switch(config-if)#ip address 192.168.1.1 255.255.255.0 #為vlan1接口配置IP地址
Switch(config-if)#no shut #激活vlan 1
…… #省略了VLAN 10 、VLAN 20、 VLAN30的相關配置,方法同上
Switch(config-if)#exit
Switch(config)#ip routing #啟動路由功能
2.2 配置啟用DHCP
Switch(config)#ip dhcp pool wgzx #創建名為wgzx的地址池
Switch(dhcp-config)#default-router 192.168.1.1 #配置wgzx的默認網關
Switch(dhcp-config)#dns-server 192.168.1.2 #配置wgzx的默認DNS服務器
Switch(dhcp-config)#network 192.168.1.0 255.255.255.0 #配置wgzxd的動態分配的網段
Switch(dhcp-config)#exit
Switch(config)#ip dhcp excluded 192.168.1.1 #排除地址,當采用自動獲取IP地址時,192.168.1.1地址不會自動分配
…… #省略了VLAN 10 、VLAN 20、 VLAN30的相關配置,方法同上
2.3 配置路由器
2.3.1配置HQ路由器
Router#hostname HQ #設置主機名
HQ(config)#interface fa0/1
HQ(config-if)#ip address 100.1.1.2 255.255.255.0
HQ(config-if)#no shut
HQ(config-if)#exit
HQ(config)#interface fa0/0
HQ(config-if)#ip address 192.168.1.254 255.255.255.0
HQ(config-if)#no shut
2.3.2配置Internet路由器
Router(config)#hostname Internet #設置主機名為Internet
Internet(config)#interface fastethernet 0/1 #進入fe0/1接口配置模式
Internet(config-if)#ip add 100.1.1.1 255.255.255.0 #設置fe0/1的IP 地址
Internet(config-if)#no shut #激活fe0/1接口
Internet(config-if)#exit
…… #省略了Internet路由器其他3個接口的相關配置,方法同上
Internet(config)#ip dhcp pool wifi #定義名為wifi的地址池
Internet(dhcp-config)#network 210.1.1.0 255.255.255.0 #wifi動態分配的網段
Internet(dhcp-config)#default-router 210.1.1.1 #配置wifi的默認網關地址
Internet(dhcp-config)#dns-server 202.103.96.112 #配置wifi的默認DNS地址
Internet(config)#ip dhcp excluded-address 210.1.1.1 #設置wifi的排除地址
2.3.3配置Branch路由器
Router(config)#hostname Branch #將分校區的接口路由器命名為Branch
Branch(config)#interface fa0/0 #進入fa0/0的接口配置模式
Branch(config-if)#ip add 200.1.1.2 255.255.255.0 #設置fa0/0接口的IP地址
Branch(config-if)#no shut #激活接口
Branch(config-if)#ip nat outside #將此接口定義為外網
Branch(config-if)#exit
Branch(config)#interface fa0/1 #進入fa0/1的接口配置模式
Branch(config-if)#ip address 192.168.2.254 255.255.255.0 #設置fa0/1接口的IP地址
Branch(config-if)#no shut
Branch(config-if)#ip nat inside #將此接口定義為內網
Branch(config-if)#exit
Branch(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1 #添加默認路由
Branch(config)#ip dhcp pool Branch
Branch(dhcp-config)#network 192.168.2.0 255.255.255.0 Branch(dhcp-config)#default-router 192.168.2.254
Branch(dhcp-config)#dns-server 202.103.96.112
Branch(config)#ip dhcp excluded-address 192.168.2.254
Branch(dhcp-config)#exit
Branch(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 #拒絕192.168.2.0網段中的主機訪問本部校園網中的主機
Branch(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any #允許192.168.2.0 網段中的主機訪問任意主機
Branch(config)#ip nat inside source list 100 interface FastEthernet0/0 overload #加載NAT
2.4 配置OSPF
2.4.1 HQ路由器上的OSPF配置
HQ(config)#HQ ospf 100 #啟用一個OSPF路由選擇協議進程,進程號為100
HQ(config-HQ)#network 192.168.1.0 255.255.255.0 area 1 #指定與該路由器直接相連的網絡
HQ(config-HQ)#network 100.1.1.0 255.255.255.0 area 0
2.4.2 Internet路由器上的OSPF配置
Internet(config)#router ospf 100
Internet(config-router)#network 100.1.1.0 255.255.255.0 area 0
Internet(config-router)#network 202.103.96.0 255.255.255.0 area 1
2.4.3核心三層交換機上的OSPF配置
Switch(config)#router ospf 100
Switch(config-router)#network 192.168.1.0 255.255.255.0 area 1
Switch(config-router)#network 192.168.10.0 255.255.255.0 area 1
Switch(config-router)#network 192.168.1.0 255.255.255.0 area 1
Switch(config-router)#network 192.168.20.0 255.255.255.0 area 1
Switch(config-router)#network 192.168.1.0 255.255.255.0 area 1
Switch(config-router)#network 192.168.30.0 255.255.255.0 area 1
Switch(config-router)#network 192.168.1.0 255.255.255.0 area 1
2.4.4本部路由器HQ上配置默認路由
HQ(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1 #指定默認路由
2.4.5核心交換機上配置默認路由
Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
2.5 配置NAT
鼠標單擊HQ路由器,進入的CLI界面,配置啟用NAT
HQ(config)#interface fa0/1
HQ(config-if)#ip nat outside #設置外網
HQ(config-if)#exit
HQ(config)#interface fa0/0
HQ(config-if)#ip nat inside #設置內網
HQ(config)#ip nat inside source list 100 interface FastEthernet0/1 overload #配置NAT映射
至此,已啟用NAT方式,校園內的各主機,已能夠訪問因特網,可在校園網內任意一臺主機上使用測試命令“ping 202.103.96.112”。
2.6端口映射配置
采用端口映射技術來配置路由器實現WEB服務器對外發布,配置如下:
HQ(config)#ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80 #把內網web服務器的80端口映射到外網
2.7 配置VPN
HQ路由器上的VPN配置如下:
HQ(config)#crypto isakmp policy 10 #進入IKE策略配置模式
HQ(config-isakmp)#encr 3des #加密算法為DES
HQ(config-isakmp)#hash md5 #散列算法為MD5
HQ(config-isakmp)#authentication pre-share #IKE策略的驗證方法為預共享密鑰
HQ(config-isakmp)#crypto isakmp key sjp address 200.1.1.2 #設置pre-share密鑰為sjp
HQ(config)#crypto ipsec transform-set tim esp-3des esp-md5-hmac #變換集tim指定了兩種,使用DES算法進行加密的ESP 和使用MD5-HMAC算法的驗證
HQ(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #使用隧道分隔的訪問列表
HQ(config)#crypto map sjp 11 ipsec-isakmp #創建名為sjp序列號為11的加密映射表
HQ(config-crypto-map)#set peer 200.1.1.2 #指定與IPSec對等體地址200.1.1.2
HQ(config-crypto-map)#set transform-set tim #指定在上面創建的名為tim的變換集
HQ(config-crypto-map)#match address 101 #指定表號為101的加密訪問列表
HQ(config-crypto-map)#interface FastEthernet0/1 #進入端口配置模式
HQ(config-if)#crypto map sjp #將加密映射表應用于外部端口Fa0/1
HQ(config-if)#aaa new-model #啟用AAA
HQ(config)#aaa authentication login eza local #定義驗證方法列表eza
HQ(config)#aaa authorization network ezo local #定義網絡授權方法列表ezo
HQ(config)#username qjnu password qjnuadmin #定義用戶名為qjnu,密碼為qjnuadmin
HQ(config)#ip local pool ez 192.168.3.1 192.168.3.100 #設置名為ez的地址池, HQ(config)#crypto isakmp client configuration group qjnu #創建名為qjnu的組策略配置文件
HQ(config-isakmp-group)#key qjnu #指定預共享密鑰為 qjnu
HQ(config-isakmp-group)#pool ez #指定名為qjnu的給遠程接入客戶分配地址的IP地址池
HQ(config-isakmp-group)#crypto dynamic-map ezmap 10 #創建名為ezmap,序列號為10的動態加密映射表
HQ(config-crypto-map)#set transform-set tim #指定在上面創建的名為tim的變換集
HQ(config-crypto-map)#reverse-route #反向路由注入
HQ(config-crypto-map)#crypto map sjp client authentication list eza #使用上面創建的eza方法列表來配置擴展驗證
HQ(config)#crypto map sjp isakmp authorization list ezo #使用上面創建的ezo方法列表來配置授權
HQ(config)#crypto map sjp client configuration address respond #指定客戶模式地址,以便路由器響應的地址請求
HQ(config)#crypto map sjp 10 ipsec-isakmp dynamic ezmap #用ezmap來創建加密配置文件
Branch路由器上的VPN配置與HQ路由器的配置相同。
3 測試
3.1 DHCP測試
如圖2所示,點擊PC1圖標,選擇Desktop選項卡下的IP Configuration,選擇DHCP即可成功獲得動態IP地址。
3.2連通性測試
如圖3所示,使用ping命令來檢測鏈路的連通性,點擊PC1圖標,選擇Desktop選項卡下的Command Prompt,輸入“ping 202.103.96.120”后按回車鍵。
3.3 VPN測試
如圖4所示,在連接VPN之前外網主機請求的數據包100%丟失,說明其無法訪問校園網內部主機。如圖5所示,當輸入正確的VPN賬號和密碼后,點擊Connect按鈕后,VPN連接成功。如圖6所示,當成功接入VPN后,可以成功的訪問校園網內部主機。至此,VPN的功能已經成功實現。
3.4 NAT測試
如圖7所示,因特網上的主機在瀏覽器中的URL地址欄中輸入www.lywhxy.com后點擊“Go”,可以成功的訪問到校園網Web服務器上的信息,表明NAT功能已成功實現,學??梢詫ν獍l布主頁。
4結束語
本文利用Cisco Packet Tracer仿真工具,模擬實現了校園網的基本功能。將Packet Tracer仿真軟件引入計算機網絡教學中,可以幫助我們完成很多真實環境中不易完成的實驗,通過在Packet Tracer仿真軟件中進行網絡工程項目,闡明復雜抽象的路由協議和網絡概念,切實提高了學生學習的積極性和創造性,同時讓同學們可以獨立自主地完成實際工程項目,為將來的職業工作積累經驗,奠定基礎。
參考文獻:
[1] 郭雅,李泗蘭.基于Packet Tracer仿真技術的校園網構建技術研究[J].電腦知識與技術,2012(12).
[2] 郭亞利.基于Packet Tracer虛擬平臺的校園網構建技術研究[J].信息通信, 2011(2).
[3] 劉紅艷. VLAN技術在校園網中的應用[J].計算機時代,2012(1).
[4] 張順吉,董德春.利用Pack Tracer學習校園網的組建[J].電腦知識與技術,20l0(21).
[5] (美)Andrew著.潘愛民(譯). Computer Networks[M].北京:清華大學出版社,2008.
[6] 孫奇.基于Packet tracer的IPSEC VPN實驗仿真[J].數字技術與應用,2015(5).