基于eNSP的中小型企業(yè)組網(wǎng)實(shí)驗(yàn)設(shè)計(jì)

郭文普， 陳天豪， 楊百龍

（火箭軍工程大學(xué)作戰(zhàn)保障學(xué)院，西安 710025）

0 引 言

計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)實(shí)驗(yàn)，需要大量的設(shè)備，價(jià)格昂貴，很難做到一人一套實(shí)驗(yàn)設(shè)備，采用eNSP仿真軟件［1-2］，進(jìn)行方便高效的教學(xué)，這種實(shí)驗(yàn)?zāi)Ｊ揭呀?jīng)在高校計(jì)算機(jī)網(wǎng)絡(luò)課程教學(xué)中得到廣泛應(yīng)用［3-4］。計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)實(shí)驗(yàn)是電子信息類專業(yè)的專業(yè)基礎(chǔ)，當(dāng)學(xué)生經(jīng)過(guò)路由器、交換機(jī)各個(gè)知識(shí)點(diǎn)的分項(xiàng)實(shí)驗(yàn)后，為幫助學(xué)生將所學(xué)知識(shí)融會(huì)貫通，需要設(shè)計(jì)相對(duì)復(fù)雜與案例相結(jié)合的綜合性實(shí)驗(yàn)［5］，eNSP仿真軟件相比采用真實(shí)設(shè)備的優(yōu)勢(shì)更加凸顯［6］。本文以中小型企業(yè)組網(wǎng)為背景，設(shè)計(jì)一種融合所學(xué)計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的綜合性實(shí)驗(yàn)，對(duì)提高學(xué)生綜合運(yùn)用具有促進(jìn)作用。

1 主要協(xié)議介紹

1.1 VLAN

VLAN即虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的技術(shù)［7-8］。在企業(yè)網(wǎng)絡(luò)中，為實(shí)現(xiàn)對(duì)客戶和員工的訪問控制，使用了MUX VLAN技術(shù)，提供了一種在VLAN的端口之間進(jìn)行二層流量隔離的機(jī)制。

1.2 OSPF最短路徑優(yōu)先協(xié)議

OSPF是一種應(yīng)用非常廣泛的動(dòng)態(tài)路由協(xié)議，屬于內(nèi)部網(wǎng)關(guān)協(xié)議［9-11］。主要特點(diǎn)有：①有區(qū)域化層次結(jié)構(gòu)；②擴(kuò)展性好，收斂速度快；③基礎(chǔ)配置簡(jiǎn)單。適合配置在各種網(wǎng)絡(luò)中，也是最常見的路由協(xié)議之一。

1.3 RSTP快速生成樹協(xié)議

RSTP協(xié)議［12-13］在STP協(xié)議的基礎(chǔ)上進(jìn)行了改進(jìn)。STP雖然能解決環(huán)路問題，但網(wǎng)絡(luò)結(jié)構(gòu)的收斂速度很慢，不能滿足用戶需求。RSTP協(xié)議保留了STP協(xié)議的基礎(chǔ)，對(duì)STP進(jìn)行補(bǔ)充，極大的提升了收斂速度，使其滿足低延遲、高可靠性的要求。

1.4 IS-IS鏈路狀態(tài)協(xié)議

與OSPF一樣IS-IS協(xié)議［14］也是一種應(yīng)用廣泛的IGP路由協(xié)議，它們都是基于鏈路狀態(tài)的路由協(xié)議，與OSPF不同的是IS-IS協(xié)議的區(qū)域分界位于鏈路上而不是路由器上，IS-IS只支持P2P和廣播型網(wǎng)絡(luò)。為讓學(xué)生對(duì)兩者的異同有直觀的認(rèn)識(shí)，本實(shí)驗(yàn)中總部和分部網(wǎng)絡(luò)的內(nèi)部網(wǎng)關(guān)協(xié)議分別采用OSPF和IS-IS協(xié)議。

1.5 BGP邊界網(wǎng)關(guān)協(xié)議

除了如OSPF和IS-IS這樣的內(nèi)部網(wǎng)關(guān)協(xié)議外，還有外部網(wǎng)關(guān)協(xié)議。內(nèi)部網(wǎng)關(guān)協(xié)議IGP主要用于自治系統(tǒng)AS內(nèi)部，而外部網(wǎng)關(guān)協(xié)議用于連接不同的AS。BGP協(xié)議是一種常用的外部網(wǎng)關(guān)協(xié)議，它提供了豐富的路由屬性，能夠非常容易的實(shí)現(xiàn)豐富而靈活的路由決策。

2 組網(wǎng)實(shí)驗(yàn)設(shè)計(jì)

2.1 實(shí)驗(yàn)?zāi)康?/h3>

使學(xué)生掌握常見的網(wǎng)絡(luò)配置，包括VLAN劃分、3層交換機(jī)、OSPF協(xié)議、RSTP協(xié)議、IS-IS、BGP等，以增強(qiáng)對(duì)中型網(wǎng)絡(luò)的分析、糾錯(cuò)、驗(yàn)證能力。

2.2 實(shí)驗(yàn)設(shè)備

實(shí)驗(yàn)在仿真軟件eNSP上實(shí)現(xiàn)。設(shè)備包括AR2220路由器4臺(tái)，S5700交換機(jī)2臺(tái)，S3700交換機(jī)2臺(tái)，Server服務(wù)器2臺(tái)，Client客戶端2臺(tái)，PC機(jī)7臺(tái)。

2.3 實(shí)驗(yàn)設(shè)計(jì)要求

某公司需要進(jìn)行網(wǎng)絡(luò)規(guī)劃。

實(shí)驗(yàn)網(wǎng)絡(luò)分為公司總部網(wǎng)和公司分部網(wǎng)。公司總部網(wǎng)提供員工辦公網(wǎng)絡(luò)接入，客戶訪問權(quán)限，文件傳輸?shù)裙δ?。公司分部與公司總部屬于不同的自治域，通過(guò)配置互通。為充分利用設(shè)備，現(xiàn)有的兩臺(tái)S5700交換機(jī)具有3層功能和2層功能，為節(jié)約預(yù)算，可將交換機(jī)作為核心設(shè)備使用。其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 某公司網(wǎng)絡(luò)結(jié)構(gòu)配置圖

網(wǎng)絡(luò)需求如下：

（1）公司總部與公司分部的網(wǎng)絡(luò)互通。

（2）實(shí)現(xiàn)員工和客戶的訪問控制。要求員工和客戶都可以訪問企業(yè)內(nèi)部的DNS服務(wù)器，員工與員工之間可以互相訪問，而客戶只能訪問企業(yè)內(nèi)部服務(wù)器，不能與員工或其他用戶互通。

（3）實(shí)現(xiàn)DNS服務(wù)器對(duì)Server3的域名解析。要求員工、客戶和Client可通過(guò)訪問域名的方式連通Server3。并開啟Server3的FTP服務(wù)器，公司總部與分部之間可以傳輸文件。

（4）實(shí)現(xiàn)財(cái)務(wù)部數(shù)據(jù)安全。要求只有總裁PC所在網(wǎng)段可以訪問財(cái)務(wù)部主機(jī)，而其他所有網(wǎng)段都不能訪問財(cái)務(wù)部。公司總部與公司分部其他各網(wǎng)段之間正常互通。

3 實(shí)驗(yàn)方案配置與驗(yàn)證

3.1 實(shí)驗(yàn)網(wǎng)絡(luò)設(shè)計(jì)

根據(jù)網(wǎng)絡(luò)規(guī)劃及實(shí)驗(yàn)要求，在公司總部劃分了10個(gè)VLAN，其中VLAN 10 20 30是辦公區(qū)，VLAN110是高層區(qū)，VLAN120是市場(chǎng)部，VLAN130是財(cái)務(wù)部，VLAN 51 52 61 62用作為3層交換機(jī)創(chuàng)建VLANIF接口。

具體的網(wǎng)段和IP地址規(guī)劃見表1。

表1 IP地址規(guī)劃

3.2 網(wǎng)絡(luò)設(shè)備配置

3.2.1 基本配置

根據(jù)圖1、表1連接網(wǎng)絡(luò)并進(jìn)行相應(yīng)的配置，檢查直連網(wǎng)段的連通性。

3.2.2 VLAN劃分

根據(jù)要求，在公司總部的所有交換機(jī)上創(chuàng)建VLAN 10、VLAN 20、VLAN 30、VLAN 110、VLAN 120、VLAN 130。

關(guān)鍵的配置命令如下（以S1為例）：

［S1］vlan batch 10 20 30 110 120 130#在S1上創(chuàng)建vlan

配置S1和S3之間的端口為Access口，S1和S4之間的端口、S2和S3之間的端口、S2和S3之間的端口、S2和S4之間的端口為Trunk口，并允許VLAN 10、VLAN 20、VLAN 30、VLAN 110、VLAN 120、VLAN 130通過(guò)。

關(guān)鍵配置命令如下（以S1為例，其余類似）：

2017年全國(guó)金融工作會(huì)議強(qiáng)調(diào)了金融對(duì)外開放作為金融改革的一項(xiàng)重要內(nèi)容，如何穩(wěn)步實(shí)現(xiàn)資本項(xiàng)目可兌換、合理安排開放順序是各界關(guān)注的焦點(diǎn)問題。至今學(xué)界仍然對(duì)資本賬戶開放的推進(jìn)存在廣泛爭(zhēng)論，導(dǎo)致這一現(xiàn)象的主要原因是目前對(duì)金融開放影響經(jīng)濟(jì)增長(zhǎng)是正面還是負(fù)面，以及其綜合影響通過(guò)何種機(jī)制產(chǎn)生作用尚未厘清。因此，本文試圖從金融部門發(fā)展的視角，考察金融開放對(duì)經(jīng)濟(jì)增長(zhǎng)的影響及其作用機(jī)制。金融開放政策到底如何影響一國(guó)的經(jīng)濟(jì)增長(zhǎng)水平？金融發(fā)展到什么階段才能享受金融開放政策帶來(lái)的好處？金融開放、金融發(fā)展與經(jīng)濟(jì)增長(zhǎng)三者之間的關(guān)系又如何？

為了實(shí)現(xiàn)R1、S1、S2之間的3層通信，在S1中為VLAN 20、VLAN 51、VLAN 52創(chuàng)建VLANIF接口，在S2中為VLAN 61、VLAN 62、VLAN 110、VLAN 120、VLAN 130創(chuàng)建VLANIF接口。

關(guān)鍵配置命令如下（以S1為例，S2類似）：

公司總部辦公區(qū)中，公司的員工和客戶都能夠訪問公司的DNS和Server服務(wù)器，公司員工內(nèi)部也可以互相交流，但要保證公司員工和客戶之間是隔離的。為實(shí)現(xiàn)客戶與客戶之間不能互訪、員工與客戶之間也不能互訪的目的。可以通過(guò)配置MUX VLAN實(shí)現(xiàn)：配置Server、DNS服務(wù)器所在的VLAN 20為Principal VLAN（主VLAN），可與其他VLAN用戶互通。員工所在的VLAN 10為Group VLAN（互通型從VLAN），可以與VLAN內(nèi)部用戶以及Principal VLAN內(nèi)用戶互通?？蛻羲赩LAN 30為Separate VLAN（隔離型從VLAN），只能與Principal VLAN內(nèi)用戶互通。

關(guān)鍵配置如下（以接口e0/0/1為例，g/0/0/2、e0/0/2至e0/0/5類似）：

（把其余接口劃分到對(duì)應(yīng)的vlan中，配置與e0/0/1相同，略）

3.2.3 配置RSTP協(xié)議

為防止公司總部網(wǎng)絡(luò)出現(xiàn)環(huán)路，配置所有交換機(jī)工作在RSTP模式。

（S2、S3、S4配置相同）

配置S1為根交換機(jī)，S2為備份交換機(jī)。

［S1］stp root primary#配置S1為根交換機(jī)

［S2］stp root secondary#配置S2為備份交換機(jī)

3.2.4 配置OSPF路由協(xié)議

在R1、S1、S2上配置OSPF協(xié)議（以R1為例）。

為加強(qiáng)網(wǎng)絡(luò)的安全性，防止非法用戶接入公司網(wǎng)網(wǎng)絡(luò)，在R1、S1、S2上配置OSPF認(rèn)證功能，使其需要相互驗(yàn)證才可以正常通信。OSPF認(rèn)證的配置如下：

（S1、S2認(rèn)證密碼均設(shè)置為huawei，配置略）

3.2.5 配置IS-IS路由協(xié)議

公司分部路由器R2、R3、R4，通過(guò)IS-IS協(xié)議連通。配置如下（R2為例）：

在IS-IS協(xié)議中，路由器和路由器接口都有3種不同的級(jí)別：Level-1、Level-2和Level-1-2。路由器的ISIS接口默認(rèn)都為L(zhǎng)evel-1-2狀態(tài)，IS-路由器默認(rèn)為L(zhǎng)evel-1-2路由器。Level-1-2路由器既可以與Level-1路由器建立臨接關(guān)系，又可與Level-2路由器建立鄰接關(guān)系。為了減少IS-IS鄰居關(guān)系和精簡(jiǎn)鏈路狀態(tài)數(shù)據(jù)庫(kù)，將R2、R3、R4配置為IS-ISLevel-2路由器。

此時(shí)R2、R3、R4只需要維護(hù)Level-2鄰接關(guān)系和Level-2鏈路狀態(tài)數(shù)據(jù)庫(kù)。

3.2.6 配置BGP路由協(xié)議

經(jīng)過(guò)前面的配置，公司總部和公司分部的設(shè)備都已經(jīng)可以互通。但是公司總部與公司分部還不能夠互相訪問。在本公司的網(wǎng)絡(luò)中，總部與分部分別處在自治域AS 100和自治域AS200中。

BGP的鄰居關(guān)系有2種：IBGP和EBGP。當(dāng)2臺(tái)BGP路由器處于統(tǒng)一AS時(shí)，為IBGP關(guān)系，處于不同AS時(shí)，為EBGP關(guān)系。R2、R3、R4的IBGP關(guān)系采用Loopback 0接口建立，R1與R2、R3之間的EBGP關(guān)系采用直連物理接口來(lái)建立。配置如下（R1、R2為例）：

3.2.7 配置ACL訪問控制列表協(xié)議

為確保公司財(cái)務(wù)保密，要求總裁PC以外，其余所有客戶都不能訪問財(cái)務(wù)部PC?？梢栽诮粨Q機(jī)S2上配置高級(jí)ACL實(shí)現(xiàn)。

3.2.8 Server和Client使用

Server可以作為DNS服務(wù)器使用，實(shí)現(xiàn)地址解析。進(jìn)入DNS的服務(wù)器信息界面，將主機(jī)域名www.neiwang.com和IP地址20.1.10.50相匹配的添加至DNS服務(wù)器中，最后點(diǎn)擊啟動(dòng)。

Server可作為Ftp服務(wù)器，實(shí)現(xiàn)文本傳輸?shù)墓δ?。進(jìn)入Server3的服務(wù)器信息界面，點(diǎn)擊選擇FtpServer，配置文件根目錄，在本機(jī)選擇一個(gè)文件夾，模擬作為公司FTP服務(wù)器Server3的內(nèi)部?jī)?chǔ)存。最后啟動(dòng)服務(wù)。

Client可作為Ftp客戶端，實(shí)現(xiàn)文本傳輸功能。進(jìn)入總部Client1的客戶端信息界面，點(diǎn)擊FtpClient，將服務(wù)器地址設(shè)置為Server3的IP地址，在本機(jī)選擇一個(gè)文件夾，用于模擬總部Client1的內(nèi)部?jī)?chǔ)存。默認(rèn)用戶名為1，密碼為1，點(diǎn)擊登陸?？梢钥吹匠霈F(xiàn)了Ftp服務(wù)器的文件列表。

進(jìn)入分部Client3的客戶端信息界面，點(diǎn)擊FtpClient，將服務(wù)器地址設(shè)置為Server3的IP地址，在本機(jī)選擇一個(gè)文件夾，用于模擬分部Client3的內(nèi)部?jī)?chǔ)存。默認(rèn)用戶名為1，密碼為1，點(diǎn)擊登陸。可以看到出現(xiàn)了Ftp服務(wù)器的文件列表。

3.3 實(shí)驗(yàn)驗(yàn)證

3.3.1 總部與分部網(wǎng)絡(luò)連通性驗(yàn)證

在公司總部的員工1命令行輸入ping 10.0.34.4，檢查總部與分部之間的連通性。員工1與分部的網(wǎng)絡(luò)正常連接，總部網(wǎng)絡(luò)和分部網(wǎng)絡(luò)已經(jīng)連通。

3.3.2 員工和客戶的訪問控制

在員工1的命令行輸入ping 20.1.10.3，檢查員工與員工之間是否互通。

在員工1的命令行輸入ping 20.1.10.5，檢查員工和客戶是否連通。

在客戶1的命令行分別輸入ping 20.1.10.100和ping 20.1.10.5，檢查客戶是否能夠訪問公司服務(wù)器、客戶之間是否可以互通。

如圖2所示，員工1和員工2之間可以正常連通。員工和客戶之間不能互相訪問?？蛻艨梢哉ＴL問公司服務(wù)器，但客戶與客戶之間也不能互通。

圖2 訪問控制驗(yàn)證結(jié)果

說(shuō)明已經(jīng)實(shí)現(xiàn)的對(duì)員工和客戶之間的訪問控制，并達(dá)到了要求。

3.3.3 域名解析和文件傳輸功能驗(yàn)證

（1）選擇員工1主機(jī)驗(yàn)證DNS功能。在員工1的基礎(chǔ)配置界面，配置DNS1為20.1.10.100。在命令行輸入ping www.neiwang.com。

（2）在總部Client1上將文件neiwangwenjian.docx傳送到服務(wù)器上。接著在分部Client3上將文件neiwangwenjian.docx下載到Clinent3本地。

如圖3所示，域名解析和文件傳輸功能已經(jīng)成功實(shí)現(xiàn)。

圖3 DNS驗(yàn)證結(jié)果

3.3.4 財(cái)務(wù)部數(shù)據(jù)安全驗(yàn)證

在分部路由器用戶界面、總裁PC的命令行、市場(chǎng)部PC的命令行、員工2的命令行分別輸入ping 60.2.30.2，檢查是否能夠訪問財(cái)務(wù)部。

如圖4所示，最終只有總裁PC可以訪問財(cái)務(wù)部PC。公司總部的員工、分部網(wǎng)絡(luò)以及公司其他部門均不能訪問財(cái)務(wù)部PC。

綜上，實(shí)現(xiàn)了財(cái)務(wù)部的數(shù)據(jù)安全。

4 結(jié) 語(yǔ)

本文設(shè)計(jì)的實(shí)驗(yàn)作為計(jì)算機(jī)網(wǎng)絡(luò)課程實(shí)驗(yàn)教學(xué)中的一個(gè)綜合性實(shí)驗(yàn)案例，已應(yīng)用于近兩期的課程實(shí)驗(yàn)教學(xué)。學(xué)員普遍反映經(jīng)歷一次這樣的綜合性實(shí)驗(yàn)，學(xué)習(xí)的壓力更大、動(dòng)力更足，對(duì)相關(guān)知識(shí)的掌握更加熟練，實(shí)踐能力得到了更好的培養(yǎng)。