計(jì)算機(jī)網(wǎng)絡(luò)“三層次漸進(jìn)式”實(shí)踐教學(xué)設(shè)計(jì)

崔曉龍， 劉 欣， 王建萍， 張 敏， 邊勝琴

（北京科技大學(xué)計(jì)算機(jī)與通信工程學(xué)院，北京 100083）

0 引 言

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐教學(xué)是學(xué)生掌握計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的必要教學(xué)環(huán)節(jié)，是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)理論的實(shí)現(xiàn)與升華，在課堂教學(xué)的基礎(chǔ)上，學(xué)生獨(dú)立完成實(shí)驗(yàn)教學(xué)規(guī)定的實(shí)驗(yàn)內(nèi)容。然而，傳統(tǒng)實(shí)驗(yàn)內(nèi)容往往以驗(yàn)證型實(shí)驗(yàn)為主，教師針對(duì)不同的網(wǎng)絡(luò)協(xié)議設(shè)計(jì)若干實(shí)驗(yàn)，學(xué)生依照操作步驟完成實(shí)驗(yàn)并觀察現(xiàn)象，這使傳統(tǒng)的實(shí)驗(yàn)教學(xué)內(nèi)容脫離實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境，學(xué)生難以將所學(xué)知識(shí)付諸真實(shí)應(yīng)用［1］。另外，現(xiàn)有實(shí)驗(yàn)室設(shè)備數(shù)量有限且類(lèi)型往往是單一的，難以支持學(xué)生完成復(fù)雜的綜合設(shè)計(jì)實(shí)驗(yàn)，并且無(wú)法讓學(xué)生體驗(yàn)不同廠家不同類(lèi)型設(shè)備的區(qū)別，故而實(shí)際教學(xué)中選擇網(wǎng)絡(luò)仿真軟件來(lái)作為硬件環(huán)境的輔助，EVE-NG 可模擬Cisco、H3C、Huawei、Juniper等眾多廠商不同類(lèi)型的設(shè)備，提供了仿真度較高的路由器、交換機(jī)，支持多用戶(hù)通過(guò)Web 訪問(wèn)并管理該平臺(tái)的操作模式，能快速部署配置虛擬環(huán)境，有功能強(qiáng)大、擴(kuò)展性強(qiáng)、便于學(xué)生上手等眾多優(yōu)點(diǎn)［2］。

課程基于EVE-NG 軟件來(lái)設(shè)計(jì)實(shí)驗(yàn)內(nèi)容，以各類(lèi)不同網(wǎng)絡(luò)實(shí)際需求為背景，以培養(yǎng)學(xué)生解決復(fù)雜工程問(wèn)題的能力為目標(biāo)，要求學(xué)生首先根據(jù)實(shí)驗(yàn)指導(dǎo)書(shū)完成驗(yàn)證型實(shí)驗(yàn)內(nèi)容，以對(duì)各種網(wǎng)絡(luò)協(xié)議有更深的理解和認(rèn)識(shí)，然后探索型實(shí)驗(yàn)給出網(wǎng)絡(luò)拓?fù)浜秃?jiǎn)單的步驟要求（不給出操作過(guò)程和配置命令），讓學(xué)生對(duì)各種協(xié)議和實(shí)驗(yàn)原理進(jìn)行更加深入的分析，綜合型實(shí)驗(yàn)則是目前較為缺乏的，給出應(yīng)用場(chǎng)景讓學(xué)生設(shè)計(jì)并組建符合需求、結(jié)構(gòu)合理、功能完善的網(wǎng)絡(luò)，如校園網(wǎng)或企業(yè)網(wǎng)，要求學(xué)生按照網(wǎng)絡(luò)工程的原則，依照需求分析、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、IP地址規(guī)劃和VLAN劃分、路由設(shè)計(jì)、網(wǎng)絡(luò)仿真實(shí)現(xiàn)與測(cè)試等環(huán)節(jié)進(jìn)行展開(kāi)，最終實(shí)現(xiàn)符合真實(shí)網(wǎng)絡(luò)功能需求的網(wǎng)絡(luò)設(shè)計(jì)，為今后從事計(jì)算機(jī)網(wǎng)絡(luò)工程的設(shè)計(jì)、維護(hù)與管理，以及后續(xù)專(zhuān)業(yè)課程的學(xué)習(xí)打下堅(jiān)實(shí)的理論和實(shí)踐基礎(chǔ)。

1 相關(guān)技術(shù)

1.1 EVE-NG介紹

EVE-NG（全稱(chēng)Emulated Virtual Environment-Next Generation），不僅可以模擬網(wǎng)絡(luò)設(shè)備，也可以運(yùn)行一切虛擬機(jī)。理論上，只要能將虛擬機(jī)的虛擬磁盤(pán)格式轉(zhuǎn)換為qcow2 都可以在EVE-NG上運(yùn)行。所以，EVE-NG可以算得上是仿真虛擬環(huán)境。它融入了經(jīng)典模擬器Dynamips、IOL（Cisco IOS on Linux）和虛擬化模擬器QEMU（Quick Emulator），其中Dynamips是一個(gè)用于運(yùn)行Cisco路由器真實(shí)的操作系統(tǒng)，IOL 是運(yùn)行在Linux上的Cisco IOS，比Dynamips資源占用小且更好地支持二層交換特性，QEMU 是虛擬化領(lǐng)域非常著名的開(kāi)源產(chǎn)品，可運(yùn)行眾多廠商、不同類(lèi)型的網(wǎng)絡(luò)設(shè)備。

1.2 RIP路由協(xié)議

路由信息協(xié)議（Routing Information Protocol，RIP）是由施樂(lè)（Xerox）在20 世紀(jì)70 年代開(kāi)發(fā)的，是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，簡(jiǎn)稱(chēng)IGP），適用于小型同類(lèi)網(wǎng)絡(luò)，是典型的距離矢量（distance-vector）協(xié)議，它使用跳數(shù)來(lái)衡量到達(dá)目的網(wǎng)絡(luò)的距離。在RIP 中，路由器到它直接相連網(wǎng)絡(luò)的跳數(shù)為0，通過(guò)與其直接相連的路由器到達(dá)的下一個(gè)緊鄰的網(wǎng)絡(luò)跳數(shù)為1，依此類(lèi)推，每多經(jīng)過(guò)一個(gè)網(wǎng)絡(luò)，跳數(shù)加1。為限制收斂時(shí)間，RIP規(guī)定大于等于16的跳數(shù)被定義為無(wú)窮大，即目標(biāo)網(wǎng)絡(luò)不可達(dá)，故而其不適合應(yīng)用于大型網(wǎng)絡(luò)。

2 網(wǎng)絡(luò)實(shí)踐環(huán)境搭建

EVE-NG 運(yùn)行于Ubuntu 操作系統(tǒng)中，可通過(guò)VMware等虛擬機(jī)軟件進(jìn)行安裝，也可以直接安裝在物理機(jī)中，為了讓學(xué)生體會(huì)全部環(huán)境搭建過(guò)程，采用OVA模板將其安裝到個(gè)人電腦的虛擬機(jī)軟件中，具體安裝步驟如下［3-5］：

（1）OVA 模板部署EVE-NG。將準(zhǔn)備好的OVA模板文件導(dǎo)入到VMware 中，并根據(jù)物理機(jī)硬件資源的情況，盡可能多的給EVE-NG 分配內(nèi)存和CPU 資源，這將影響虛擬設(shè)備的運(yùn)行效率，將網(wǎng)卡設(shè)置為橋接模式并且通過(guò)DHCP獲取IP地址。

（2）EVE-NG 初始化。安裝完成后需要對(duì)EVENG進(jìn)行一些初始化配置，啟動(dòng)虛擬機(jī)后首次登錄需要設(shè)置主機(jī)名、設(shè)置域名、設(shè)置EVE-NG 管理地址、指定NTP服務(wù)器、選擇連接因特網(wǎng)方式。需要重點(diǎn)設(shè)置管理地址，支持DHCP獲取和靜態(tài)設(shè)置，要保證能獲取到地址否則啟動(dòng)系統(tǒng)時(shí)可能出現(xiàn)卡在開(kāi)機(jī)界面的情況。

（3）導(dǎo)入鏡像。將常用的Dynamips 設(shè)備、IOL 設(shè)備以及QUME設(shè)備的鏡像導(dǎo)入到EVE-NG 虛擬機(jī)中，獲取到鏡像文件后，需要將其上傳到虛擬機(jī)的相應(yīng)目錄中，然后修改權(quán)限，保證對(duì)該鏡像文件有讀取權(quán)限，完成后可在Web界面上進(jìn)行測(cè)試運(yùn)行。

（4）登錄并管理。由步驟（2）中提供的管理地址用瀏覽器登錄EVE-NG 管理界面，即可在頁(yè)面中進(jìn)行各種操作，如對(duì)用戶(hù)、系統(tǒng)和文件等的管理，以及建立Lab并在其中選擇各種設(shè)備節(jié)點(diǎn)，進(jìn)而搭建網(wǎng)絡(luò)拓?fù)洳⑦M(jìn)行各種實(shí)驗(yàn)。

3 三層次實(shí)踐教學(xué)設(shè)計(jì)

通過(guò)多年的課程實(shí)踐，逐步將課程內(nèi)容進(jìn)行分層設(shè)計(jì)與實(shí)施，讓學(xué)生在實(shí)驗(yàn)時(shí)循序漸進(jìn)、由淺入深的對(duì)網(wǎng)絡(luò)知識(shí)進(jìn)行學(xué)習(xí)和探索。

3.1 驗(yàn)證型實(shí)驗(yàn)：夯實(shí)基礎(chǔ)

基礎(chǔ)驗(yàn)證型實(shí)驗(yàn)是以基本知識(shí)和動(dòng)手能力為基礎(chǔ)，讓學(xué)生了解各種網(wǎng)絡(luò)設(shè)備的功能、接口以及各種線纜的連接方式等，學(xué)習(xí)各種網(wǎng)絡(luò)協(xié)議的應(yīng)用場(chǎng)景和配置方法。驗(yàn)證型實(shí)驗(yàn)項(xiàng)目和對(duì)應(yīng)的實(shí)驗(yàn)內(nèi)容如表1 所示?；A(chǔ)實(shí)驗(yàn)項(xiàng)目由指導(dǎo)書(shū)給出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，學(xué)生據(jù)其進(jìn)行連線和相應(yīng)的配置，來(lái)觀察實(shí)驗(yàn)現(xiàn)象，如對(duì)VLAN的劃分實(shí)驗(yàn)，學(xué)生可觀察同一VLAN 和不同VLAN之間網(wǎng)絡(luò)連通性，靜態(tài)路由實(shí)驗(yàn)學(xué)生可觀察配置前后路由表的變化，并了解靜態(tài)路由表項(xiàng)的含義。通過(guò)這些基礎(chǔ)實(shí)驗(yàn)，讓學(xué)生快速地將所學(xué)的知識(shí)落地，理解簡(jiǎn)單的網(wǎng)絡(luò)原理性的知識(shí)，為進(jìn)一步深入學(xué)習(xí)和探索打下基礎(chǔ)。

3.2 探索型實(shí)驗(yàn)：知識(shí)進(jìn)階

進(jìn)階探索型實(shí)驗(yàn)，讓學(xué)生在學(xué)會(huì)了基本配置的基礎(chǔ)上深入了解各種協(xié)議的原理以及對(duì)實(shí)驗(yàn)難度進(jìn)行提高，實(shí)驗(yàn)項(xiàng)目如表2 所示。例如，在學(xué)習(xí)了OSPF的基礎(chǔ)配置之后，學(xué)生想進(jìn)一步了解OSPF 協(xié)議的工作原理，可對(duì)截獲的OSPF報(bào)文進(jìn)行分析，可以獲得鏈路狀態(tài)信息交互的過(guò)程以及對(duì)SPF 的計(jì)算過(guò)程進(jìn)行分析等。

表1 驗(yàn)證型實(shí)驗(yàn)項(xiàng)目

表2 探索型實(shí)驗(yàn)項(xiàng)目

3.3 綜合型實(shí)驗(yàn)：創(chuàng)新設(shè)計(jì)

創(chuàng)新綜合型實(shí)驗(yàn)將面向不同的應(yīng)用場(chǎng)景，提出不同的應(yīng)用通信需求，特點(diǎn)是網(wǎng)絡(luò)規(guī)模較大，通信場(chǎng)景較為復(fù)雜，學(xué)生采用虛擬軟件進(jìn)行實(shí)驗(yàn)，并用工程化的思想來(lái)對(duì)應(yīng)用進(jìn)行需求分析、設(shè)備選型、網(wǎng)絡(luò)設(shè)計(jì)、配置并最終進(jìn)行測(cè)試，學(xué)生將運(yùn)用所學(xué)到的知識(shí)，從不同的角度提出不同的設(shè)計(jì)方案，以培養(yǎng)創(chuàng)新思維和創(chuàng)新能力。各種綜合項(xiàng)目中將包含不同的應(yīng)用需求，學(xué)生可根據(jù)學(xué)習(xí)到的知識(shí)來(lái)選擇可實(shí)現(xiàn)相應(yīng)功能的技術(shù)，如對(duì)于路由協(xié)議的選擇，學(xué)生可根據(jù)網(wǎng)絡(luò)規(guī)模等因素來(lái)選取是采用靜態(tài)路由還是RIP 或OSPF 協(xié)議，同時(shí)可讓學(xué)生對(duì)不同的設(shè)計(jì)方案進(jìn)行測(cè)試對(duì)比，以期找到應(yīng)用場(chǎng)景中較好的解決方案。目前已有綜合實(shí)驗(yàn)項(xiàng)目如表3 所示。

以中小企業(yè)網(wǎng)絡(luò)設(shè)計(jì)為例，某公司下設(shè)研發(fā)部、市場(chǎng)部、人力資源部、網(wǎng)絡(luò)運(yùn)維部4 個(gè)部門(mén)，其中研發(fā)部有計(jì)算機(jī)30 臺(tái)、市場(chǎng)部有計(jì)算機(jī)20 臺(tái)，人力資源部有計(jì)算機(jī)5 臺(tái)，網(wǎng)絡(luò)運(yùn)維部有計(jì)算機(jī)3 臺(tái)，另外有4 臺(tái)服務(wù)器組成的服務(wù)器群提供Web、FTP、DNS 等各種服務(wù)。要求完成該企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)、架構(gòu)、配置和管理功能，給出如圖1 所示的示例拓?fù)?，?duì)于各類(lèi)設(shè)備選型以及協(xié)議配置需要由學(xué)生自己來(lái)完成。

圖1 中小企業(yè)網(wǎng)絡(luò)拓?fù)浞桨冈O(shè)計(jì)

4 EVE-NG仿真實(shí)現(xiàn)與測(cè)試

以RIP路由協(xié)議為例，通過(guò)EVE-NG 軟件設(shè)計(jì)驗(yàn)證型、探索型和綜合型實(shí)驗(yàn)，其中驗(yàn)證型實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)往往較為簡(jiǎn)單，由學(xué)生完成基本配置和抓包實(shí)驗(yàn)，觀察實(shí)驗(yàn)現(xiàn)象；探索型實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)往往是需要教師精心設(shè)計(jì)的，通過(guò)合理的設(shè)計(jì)讓學(xué)生能夠深入理解網(wǎng)絡(luò)原理；綜合型實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)往往較為復(fù)雜，將面向?qū)嶋H應(yīng)用需求，設(shè)計(jì)并搭建滿(mǎn)足要求的網(wǎng)絡(luò)［6-7］。

4.1 驗(yàn)證型：RIP基本配置

在EVE-NG模擬器上實(shí)現(xiàn)如圖2 所示的網(wǎng)絡(luò)拓?fù)?，讓學(xué)生首先配置PC 設(shè)備和路由器各接口的IP 地址，配置完成之后進(jìn)行兩臺(tái)PC 之間的連通性測(cè)試，可以發(fā)現(xiàn)此時(shí)是不連通的，可查看路由器R1 和R2 的路由表如圖3 所示，此時(shí)路由器僅包含直連網(wǎng)段的路由信息，缺少到非直連網(wǎng)段的路由信息。

圖2 RIP配置實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)?/p>

圖3 路由器R1和R2的路由表（未配置RIP）

接下來(lái)在路由器R1 和R2 上分別配置RIP 路由協(xié)議，配置方法如圖4 所示。采用ping 命令來(lái)測(cè)試兩臺(tái)PC之間的連通性，此時(shí)可以發(fā)現(xiàn)PC 之間是連通的，查看如圖5 所示的路由表，此時(shí)兩臺(tái)路由器均生成一條新的路由信息，是通過(guò)RIP 路由協(xié)議生成的到非直連網(wǎng)段的路由信息。

圖4 路由器R1和R2配置RIP協(xié)議

圖5 路由器R1和R2的路由表（配置RIP后）

4.2 探索型：報(bào)文分析、算法分析

在學(xué)習(xí)了RIP的基本配置之后，讓學(xué)生對(duì)RIP 的協(xié)議原理進(jìn)行更加深入的探索和分析，通過(guò)截取RIP報(bào)文，分析距離矢量算法的計(jì)算過(guò)程。按照如圖6 所示的拓?fù)鋱D完成連接，并配置好IP地址［8］。

首先在PC1、PC2 和PC3 上運(yùn)行Wireshark（一定要先運(yùn)行），然后在各三層交換機(jī)和路由器上配置RIP。配置完成后，各設(shè)備都可以正常通信。觀察S1、R1、R2 的路由表可發(fā)現(xiàn)由RIP 路由協(xié)議生成的路由表項(xiàng)，其中S2 的路由表項(xiàng)如圖7 所示，到192.168.1.0 的跳數(shù)是2，到192.168.2.0 的跳數(shù)是1，這是如何得到的？

圖6 RIP算法分析實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)?/p>

圖7 核心交換機(jī)S2的路由表

分析PC2 上的Wireshark 報(bào)文，如圖8 所示，該報(bào)文源地址192.168.2.254，是S1 從Vlan100 接口發(fā)送的廣播報(bào)文，其RIP報(bào)文段包括一條選路信息，目的地址是192.168.1.0，跳數(shù)是1，表示從Vlan100 接口收到的報(bào)文經(jīng)過(guò)一跳可到達(dá)網(wǎng)絡(luò)192.168.1.0，S1 將此消息廣播出去，以讓鄰居路由器知道。

圖8 核心交換機(jī)S1廣播的RIP報(bào)文

查看R1 的路由表如圖9 所示，此時(shí)192.168.1.0的路由信息已經(jīng)加入R1 路由表中，跳數(shù)為1。通過(guò)在PC3 上截取的報(bào)文觀察R1 廣播的RIP 報(bào)文，如圖10所示，可發(fā)現(xiàn)該報(bào)文段包含兩條選路信息，第1 條是到目的地址192.168.1.0 的，跳數(shù)是2，表示從R1 的e0/1接口收到的報(bào)文須經(jīng)過(guò)2 跳可到達(dá)該目的網(wǎng)絡(luò)；第2條是到目的地址192.168.2.0 的，跳數(shù)是1。此時(shí)S2將把新收到的192.168.1.0 網(wǎng)絡(luò)的路由信息加入到路由表中。

圖9 企業(yè)邊界路由器R1的路由表

圖10 R1廣播的RIP報(bào)文

通過(guò)該過(guò)程，可以發(fā)現(xiàn)S1 向網(wǎng)絡(luò)上廣播自己已有的路由信息192.168.1.0，跳數(shù)為1（直連網(wǎng)絡(luò)原度量值0 加上發(fā)送附加度量值1），R1 收到該信息后，檢查自己的路由表，發(fā)現(xiàn)沒(méi)有到該網(wǎng)絡(luò)的路由信息，所以將該信息加入到路由表中，然后將該路由信息繼續(xù)廣播出去，跳數(shù)改成2（原度量值1 加上發(fā)送附加度量值1），同時(shí)廣播的還有192.168.2.0 網(wǎng)段的路由信息，跳數(shù)為1（直連網(wǎng)絡(luò)原度量值0 加上發(fā)送附加度量值1），最后S2 收到該報(bào)文后，同樣檢查自己的路由表，發(fā)現(xiàn)沒(méi)有該網(wǎng)段的路由信息后將該路由加入到路由表中，得到如圖7 所示的路由表。

4.3 綜合型：面向應(yīng)用組網(wǎng)并實(shí)現(xiàn)

在學(xué)習(xí)了基礎(chǔ)知識(shí)并進(jìn)行了深入分析之后，學(xué)生將通過(guò)完成實(shí)際應(yīng)用場(chǎng)景下的網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)來(lái)將所學(xué)的知識(shí)付諸應(yīng)用，該應(yīng)用案例往往涉及多種綜合技術(shù)，需要學(xué)生進(jìn)行深入分析、設(shè)計(jì)與測(cè)試才能實(shí)現(xiàn)較好的解決方案。以表3 中的中小企業(yè)網(wǎng)絡(luò)設(shè)計(jì)為例，完成相應(yīng)的功能要求，通過(guò)ENE-NG 完成的網(wǎng)絡(luò)拓?fù)淙鐖D11 所示［9］。

圖11 中小企業(yè)網(wǎng)絡(luò)拓?fù)涔δ茉O(shè)計(jì)

4.3.1 IP地址規(guī)劃與VLAN劃分

根據(jù)實(shí)際需求，在各部門(mén)之間隔離沖突域，同時(shí)要保證網(wǎng)絡(luò)互聯(lián)互通，首先需要合理分配IP 和劃分VLAN，將各個(gè)部門(mén)劃分到不同的VLAN 中，地址規(guī)劃采用192.168.*.*/24 的私網(wǎng)地址，同時(shí)為了方便管理，約定第3 個(gè)字節(jié)代表部門(mén)，第4 個(gè)字節(jié)代表部門(mén)內(nèi)的設(shè)備編號(hào)，如IP地址192.168.1.16，表明該計(jì)算機(jī)是研發(fā)部的16 號(hào)設(shè)備；另外為研發(fā)部分配192.168.1.0/24 的網(wǎng)段，可容納254 臺(tái)主機(jī)，足以滿(mǎn)足該部門(mén)已有設(shè)備需求，同時(shí)為日后網(wǎng)絡(luò)規(guī)模擴(kuò)展留有了余地，另外在三層交換機(jī)開(kāi)啟路由功能，在其上創(chuàng)建虛接口并分配IP地址作為不同部門(mén)設(shè)備的網(wǎng)關(guān)地址，以實(shí)現(xiàn)不同VLAN的連通。為企業(yè)內(nèi)部各部門(mén)劃分VLAN以及每個(gè)VLAN的IP網(wǎng)段、子網(wǎng)掩碼、網(wǎng)關(guān)配置等如表4所示。

表4 IP地址規(guī)劃與VLAN劃分

在核心交換機(jī)和路由器設(shè)備上配置各接口的IP地址，配置如圖12、13 所示。

圖12 核心交換機(jī)S1各接口IP地址配置

圖13 企業(yè)邊界路由器R1各接口IP地址配置

4.3.2 路由協(xié)議配置

對(duì)于中小型企業(yè)網(wǎng)絡(luò)，考慮采用RIP路由協(xié)議，一方面網(wǎng)絡(luò)規(guī)模不大，采用RIP 路由協(xié)議完全可以滿(mǎn)足需求，另一方面采用動(dòng)態(tài)路由也減少了管理員手工配置路由的負(fù)擔(dān)，需要在企業(yè)邊界路由器R1 上和核心交換機(jī)S1 上配置RIP 路由協(xié)議以及向外轉(zhuǎn)發(fā)的默認(rèn)路由，需要注意的是，邊界路由器R1 上的RIP協(xié)議僅通告內(nèi)部網(wǎng)段的路由即可，而對(duì)于Internet 端的路由器，則沒(méi)有用于指明通往企業(yè)網(wǎng)中各個(gè)網(wǎng)絡(luò)的傳輸路徑的路由，即企業(yè)網(wǎng)對(duì)于Internet 端的路由器是不可見(jiàn)的。故而路由協(xié)議的配置如圖14、15 所示。

圖14 核心交換機(jī)S1配置路由協(xié)議

圖15 企業(yè)邊界路由器R1配置路由協(xié)議

4.3.3 NAT訪問(wèn)外部網(wǎng)絡(luò)

（1）動(dòng)態(tài)NAT。各內(nèi)部網(wǎng)絡(luò)通過(guò)動(dòng)態(tài)NAT 訪問(wèn)Internet，即私有IP地址轉(zhuǎn)換為公有IP地址，由于公網(wǎng)IP數(shù)量有限，故而采用動(dòng)態(tài)地址池方式進(jìn)行地址轉(zhuǎn)換，邊界路由器上的配置如圖16 所示，其中地址池起始地址為202.202.1.10 ～202.202.1.15。另外，為了使財(cái)務(wù)部不能訪問(wèn)Internet，可在access-list 10 中不允許財(cái)務(wù)部網(wǎng)段192.168.4.0 網(wǎng)段通過(guò)［10-12］。

圖16 企業(yè)邊界路由器動(dòng)態(tài)NAT配置

（2）靜態(tài)NAT。對(duì)于服務(wù)器等設(shè)備，由于需要供外網(wǎng)進(jìn)行訪問(wèn)，需要提供給外網(wǎng)訪問(wèn)的公網(wǎng)IP 地址，而服務(wù)器本身采用私有IP 地址，故而需要采用靜態(tài)NAT對(duì)地址進(jìn)行轉(zhuǎn)換，在企業(yè)邊界路由器上的配置如圖17 所示，其中192.168.4.1 為服務(wù)器配置的靜態(tài)私有IP地址，而202.202.1.8 為外網(wǎng)訪問(wèn)服務(wù)器的公有地址。

圖17 企業(yè)邊界路由器靜態(tài)NAT配置

4.3.4 ACL對(duì)訪問(wèn)進(jìn)行限制

在核心交換機(jī)上配置ACL 包過(guò)濾防火墻［13］，使財(cái)務(wù)部不能被其他部門(mén)所訪問(wèn)，配置如圖18 所示。

圖18 核心交換機(jī)ACL配置

完成上述配置后，將對(duì)網(wǎng)絡(luò)進(jìn)行功能測(cè)試，首先將對(duì)基本連通性進(jìn)行測(cè)試，均滿(mǎn)足訪問(wèn)需求，通過(guò)在核心交換機(jī)和企業(yè)邊界路由器上show ip route 查看路由表，結(jié)果分別如圖19、20 所示?？梢钥吹絊1 上的路由表項(xiàng)有到各VLAN和Fa0/0 口的直連路由和向外轉(zhuǎn)發(fā)數(shù)據(jù)包的默認(rèn)路由，R1 上的路由表項(xiàng)有直連路由以及通過(guò)RIP協(xié)議獲取到的到各部門(mén)的動(dòng)態(tài)路由以及向外轉(zhuǎn)發(fā)的默認(rèn)路由。值得注意的是，實(shí)際網(wǎng)絡(luò)中，外網(wǎng)路由器的路由表不應(yīng)該知道內(nèi)部網(wǎng)絡(luò)的路由信息，即應(yīng)該僅包含直連路由，如圖21 所示。

圖19 核心交換機(jī)S1路由表

圖20 企業(yè)邊界路由器R1路由表

圖21 外網(wǎng)路由器路由表

內(nèi)網(wǎng)PC訪問(wèn)Internet之后，查看企業(yè)邊界路由器R1 上的地址轉(zhuǎn)換表如圖22 所示，可以看到，PC1 映射到外網(wǎng)IP地址202.202.1.10，兩臺(tái)內(nèi)網(wǎng)服務(wù)器分別靜態(tài)映射到兩個(gè)外網(wǎng)IP，在邊界路由器上成功完成了地址轉(zhuǎn)換。

圖22 企業(yè)邊界路由器NAT表

5 結(jié) 語(yǔ)

借助EVE-NG 模擬器，可以較好地模擬各種網(wǎng)絡(luò)設(shè)備，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐課程的開(kāi)展提供了較好的支撐，通過(guò)精心設(shè)計(jì)三層次的實(shí)踐教學(xué)內(nèi)容，由基礎(chǔ)到探索再到綜合，引導(dǎo)學(xué)生從基礎(chǔ)知識(shí)到系統(tǒng)設(shè)計(jì)，從觀察驗(yàn)證到解決實(shí)際問(wèn)題，讓學(xué)生在分析問(wèn)題-實(shí)現(xiàn)方案-解決問(wèn)題的過(guò)程中提高了解決復(fù)雜工程問(wèn)題的能力［14］。