網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)畢業(yè)論文

-1-網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)091007118劉同全指導(dǎo)教師陳建輝副教授第1章網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)研究背景隨著計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)和多媒體技術(shù)的快速發(fā)展，信息時(shí)代的學(xué)習(xí)、生活方式都發(fā)生了重大變革。作為培養(yǎng)和提高學(xué)生動(dòng)手實(shí)踐能力、觀察能力、分析問(wèn)題和解決問(wèn)題能力等方面有著先天優(yōu)勢(shì)的實(shí)驗(yàn)教學(xué)是高校教育改革的關(guān)鍵問(wèn)題之一。目前，我國(guó)傳統(tǒng)實(shí)驗(yàn)教學(xué)環(huán)節(jié)不足、實(shí)驗(yàn)資源不均衡，學(xué)生創(chuàng)新能力不足，模擬實(shí)驗(yàn)教學(xué)環(huán)境研究與建設(shè)有利于解決當(dāng)前實(shí)驗(yàn)教學(xué)中存在的問(wèn)題。因此，對(duì)于模擬實(shí)驗(yàn)教學(xué)環(huán)境的研究已經(jīng)成為當(dāng)前教育研究一個(gè)新熱點(diǎn)，分析其原因是主要信息技術(shù)的蓬勃發(fā)展已經(jīng)使部分模擬實(shí)驗(yàn)環(huán)境的設(shè)計(jì)與開(kāi)發(fā)成為現(xiàn)實(shí)，并在一定的理論指導(dǎo)下應(yīng)用于實(shí)踐，使各類模擬實(shí)驗(yàn)室建設(shè)成為可能。模擬實(shí)驗(yàn)降低了實(shí)驗(yàn)室建設(shè)成本，緩解了由于財(cái)政壓力給實(shí)驗(yàn)實(shí)訓(xùn)教學(xué)環(huán)節(jié)帶來(lái)的不利影響，有利于學(xué)生實(shí)踐操作能力的培養(yǎng)。

我國(guó)的網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的研究起步較晚，但是發(fā)展速度較快。根據(jù)目前從網(wǎng)上可查到的信息和各院校開(kāi)放的對(duì)外服務(wù)看，國(guó)內(nèi)部分高校已陸續(xù)建立了網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)。本文介紹了通過(guò)應(yīng)用PacketTracer軟件搭建網(wǎng)絡(luò)模擬工程項(xiàng)目規(guī)劃、設(shè)計(jì)的平臺(tái)，竟而比較具體的展示了網(wǎng)絡(luò)模擬系統(tǒng)的功能。第2章網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程需求分析2.1引言近年來(lái)我國(guó)網(wǎng)絡(luò)通信服務(wù)行業(yè)總體發(fā)展呈快速上升趨勢(shì)，其總體規(guī)模不斷增大，業(yè)務(wù)收入也不斷在穩(wěn)步提升。根據(jù)工信部相關(guān)數(shù)據(jù)表明，2011年網(wǎng)絡(luò)通信行業(yè)共完成網(wǎng)絡(luò)通信總量達(dá)12,964.6億元，同比增長(zhǎng)10.1%；實(shí)現(xiàn)網(wǎng)絡(luò)通信業(yè)務(wù)收入10,762億元，同比增長(zhǎng)8.0%，呈現(xiàn)相對(duì)較快的發(fā)展態(tài)勢(shì)。網(wǎng)絡(luò)通信業(yè)務(wù)量的增長(zhǎng)帶來(lái)了網(wǎng)絡(luò)工程服務(wù)市場(chǎng)規(guī)模的高速發(fā)展。網(wǎng)絡(luò)工程服務(wù)行業(yè)前景如此廣闊，發(fā)展速度十分迅猛，日后必將稱為我國(guó)重要的支柱產(chǎn)業(yè)之一。本論文詳細(xì)地描述了網(wǎng)絡(luò)服務(wù)行業(yè)關(guān)于網(wǎng)絡(luò)工程的規(guī)劃與設(shè)計(jì)，并根據(jù)網(wǎng)絡(luò)市場(chǎng)的需求，比較系統(tǒng)地設(shè)計(jì)了關(guān)于國(guó)內(nèi)一些中小型企業(yè)內(nèi)部局域網(wǎng)以及其接入廣域網(wǎng)的總體規(guī)劃方案。以下是應(yīng)用網(wǎng)絡(luò)模擬系統(tǒng)平臺(tái)來(lái)設(shè)計(jì)、實(shí)現(xiàn)該網(wǎng)絡(luò)工程項(xiàng)目的方案。在網(wǎng)絡(luò)工程設(shè)計(jì)中體現(xiàn)網(wǎng)絡(luò)模擬平臺(tái)的功能。2.2項(xiàng)目功能需求2.2.1總公司內(nèi)部局域網(wǎng)間通信功能需求1.為了方便管理，總公司內(nèi)部要進(jìn)行模塊化劃分主要分為：銷售部、研發(fā)部、后勤部以及保安部，為了方便工作，各部門之間要實(shí)現(xiàn)相互通信。2.為了方便公司增添新設(shè)備的配置，各部門可以自動(dòng)獲得IP地址，為了減輕總公司路由器的負(fù)荷，保安部的IP地址，由分公司路由器提供進(jìn)行自動(dòng)分配。3.網(wǎng)管中心可以遠(yuǎn)程對(duì)公司核心層交換機(jī)進(jìn)行控制和管理。2.2.2總公司與分公司間網(wǎng)絡(luò)通信功能需求1.由于總公司與分公司相距比較遠(yuǎn)，為了公司內(nèi)部的資源安全，它們相互通信的鏈路需要認(rèn)證、加密。2.為了內(nèi)部資源的安全，總公司后勤部只能訪問(wèn)分公司服務(wù)器的HTTP服務(wù)。 2.2.3總公司與廣域網(wǎng)間通信功能需求1.總公司內(nèi)部需要與互聯(lián)網(wǎng)連通，由于保安部與后勤部只處理總公司內(nèi)部一些生活上的事務(wù)，禁止保安部與后勤部訪問(wèn)互聯(lián)網(wǎng)上資源。2.為了方便公司接入互聯(lián)網(wǎng)，公司邊緣路由器接入互聯(lián)網(wǎng)的端口可以由網(wǎng)通供應(yīng)商自動(dòng)為其分配IP地址。2.2.4總公司與合作伙伴間通信功能需求總公司與其合作伙伴之間在廣域網(wǎng)上進(jìn)行互相通信，在通信時(shí)希望獲得低網(wǎng)絡(luò)時(shí)延、低設(shè)備費(fèi)用、高帶寬利用率以及點(diǎn)對(duì)點(diǎn)通信等優(yōu)勢(shì)。2.2.5總公司與出差人員間通信功能需求公司內(nèi)部人員在出差時(shí)，也能訪問(wèn)到總公司內(nèi)部的服務(wù)器，以獲得公司的相關(guān)信息，方便自己在外辦公。2.3項(xiàng)目技術(shù)需求2.3.1總公司內(nèi)部局域網(wǎng)間通信技術(shù)需求1.為了實(shí)現(xiàn)總公司模塊化管理，將總公司分為四個(gè)部門，即銷售部、研發(fā)部、后勤部、保安部，每一個(gè)部門劃分為一個(gè)VLAN；各VLAN間實(shí)現(xiàn)相互通信的功能。本設(shè)計(jì)使用三層路由交換技術(shù)方便、簡(jiǎn)單的實(shí)現(xiàn)了該功能，因?yàn)槿龑咏粨Q機(jī)，既擁有二層交換機(jī)劃分不同VLAN的功能，而且擁有路由的功能，能夠使得不通VLAN間相互通信。2.為了方便各部門設(shè)備的網(wǎng)絡(luò)配置，這里應(yīng)用了DHCP（動(dòng)態(tài)主機(jī)設(shè)置協(xié)議）協(xié)議，當(dāng)某個(gè)部門增添新設(shè)備后，不需要網(wǎng)絡(luò)管理員手動(dòng)設(shè)置，該設(shè)備就能自動(dòng)獲得IP地址，實(shí)現(xiàn)網(wǎng)絡(luò)通信，而且DHCP避免了手動(dòng)配置IP出現(xiàn)的不同設(shè)備IP地址重復(fù)的問(wèn)題。3.運(yùn)用遠(yuǎn)程登錄（TELNET）控制技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)管中心對(duì)總公司核心層交換機(jī)的控制，網(wǎng)管中心遠(yuǎn)程控制核心層交換機(jī)而實(shí)現(xiàn)對(duì)總公司內(nèi)部局域網(wǎng)的控制。 2.3.2總公司與分公司間網(wǎng)絡(luò)通信技術(shù)需求1.本設(shè)計(jì)應(yīng)用了OSPF（開(kāi)放式最短路徑優(yōu)先）協(xié)議，實(shí)現(xiàn)了公司與分公司之間網(wǎng)絡(luò)通信，為了總公司與分公司的通信安全，它們之間網(wǎng)絡(luò)通信的鏈路封裝了PPP協(xié)議，且PPP協(xié)議采用chap認(rèn)證機(jī)制。2.為實(shí)現(xiàn)減輕總公司網(wǎng)絡(luò)負(fù)擔(dān)的功能，分公司核心路由器為為總公司的保安部動(dòng)態(tài)提供IP地址，由于總公司保安部設(shè)備和其DHCP服務(wù)器不在同一廣播域內(nèi)，因此需要中間路由器，作為中繼來(lái)實(shí)現(xiàn)這一功能，這里應(yīng)用了DHCP+IPHelper-address技術(shù)來(lái)實(shí)現(xiàn)。3.分公司為了自己內(nèi)部信息的安全，僅允許總公司后勤部的設(shè)備以HTTP的方式訪問(wèn)其服務(wù)器，這里應(yīng)用了ACL技術(shù)，僅允許后勤部網(wǎng)段通過(guò)80端口訪問(wèn)服務(wù)器，來(lái)實(shí)現(xiàn)這一功能。2.3.3總公司與廣域網(wǎng)間通信技術(shù)需求1.由于公司內(nèi)部網(wǎng)絡(luò)需要接入廣域網(wǎng)，而公司內(nèi)部網(wǎng)絡(luò)使用的是內(nèi)部私有的IP地址，而私有的網(wǎng)絡(luò)是不可以與廣域網(wǎng)上的設(shè)備直接相通信的，因此公司內(nèi)部網(wǎng)絡(luò)與廣域網(wǎng)通信時(shí)，需要將私有的IP地址轉(zhuǎn)換為公有的IP地址，才能實(shí)現(xiàn)公司專用網(wǎng)與廣域網(wǎng)的連通，這里應(yīng)用了NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)實(shí)現(xiàn)了這一功能。2.網(wǎng)絡(luò)通信中，為實(shí)現(xiàn)禁止保安部與后勤部訪問(wèn)互聯(lián)網(wǎng)上資源的功能，需要應(yīng)用ACL（訪問(wèn)控制列表）技術(shù)，它可以過(guò)濾網(wǎng)絡(luò)中的流量，允許控制列表中的網(wǎng)絡(luò)設(shè)備（根據(jù)其IP地址）與外網(wǎng)之間實(shí)現(xiàn)通信，而阻止其他設(shè)備與外網(wǎng)相互通信。3.網(wǎng)絡(luò)提供商（網(wǎng)通）為總公司邊緣路由器（用于連接廣域網(wǎng)）與外網(wǎng)連接的端口提供IP地址，為了方便總公司與網(wǎng)絡(luò)提供商的網(wǎng)絡(luò)配置，這里網(wǎng)通路由器開(kāi)啟DHCP協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動(dòng)獲得IP地址。2.3.4總公司與合作伙伴間通信技術(shù)需求為實(shí)現(xiàn)總公司與其合作伙伴的高質(zhì)量的點(diǎn)對(duì)點(diǎn)通信，在他們之間建立了高性能的虛擬廣域網(wǎng)連接，這里應(yīng)用了幀中繼技術(shù)，并在其上封裝了點(diǎn)對(duì)點(diǎn)協(xié)議。2.3.5總公司與出差人員間通信技術(shù)需求為了方便公司員工在外地辦公時(shí)，依然能夠訪問(wèn)總公司的服務(wù)器，本設(shè)計(jì)應(yīng)用了VPN（虛擬專用網(wǎng)絡(luò)）來(lái)實(shí)現(xiàn)這一功能。第3章網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程技術(shù)及原理概述3.1網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)通信的安全性有著十分高的要求。雖然計(jì)算機(jī)系統(tǒng)本身具有一定的安防措施，但是網(wǎng)絡(luò)系統(tǒng)的安全防范仍然是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全性中一道重要的關(guān)卡。局域網(wǎng)內(nèi)的交換機(jī)應(yīng)當(dāng)能夠?qū)緝?nèi)部網(wǎng)絡(luò)進(jìn)行虛擬網(wǎng)劃分和鏈路層網(wǎng)絡(luò)管理，把實(shí)際地理位置上分散而邏輯上緊密相關(guān)的站點(diǎn)劃入同一虛擬網(wǎng)，從而實(shí)現(xiàn)不相關(guān)網(wǎng)絡(luò)的邏輯隔離是網(wǎng)絡(luò)安全性的重要保證。因此，我們?cè)诰W(wǎng)絡(luò)方案施工過(guò)程中選用的網(wǎng)絡(luò)設(shè)備應(yīng)該具有包括物理層、網(wǎng)絡(luò)層、應(yīng)用層等多個(gè)層次實(shí)現(xiàn)安全管理的能力，從而避免發(fā)生在同一虛擬網(wǎng)內(nèi)以及虛擬網(wǎng)之間互聯(lián)點(diǎn)上的非法侵犯。本網(wǎng)絡(luò)工程方案涉及到的網(wǎng)絡(luò)通信安全協(xié)議與數(shù)據(jù)加密技術(shù)有：總公司內(nèi)部局域網(wǎng)與分公司網(wǎng)絡(luò)連接鏈路采用PPP封裝CHAP認(rèn)證機(jī)制協(xié)議。CHAP協(xié)議是PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）詢問(wèn)握手認(rèn)證協(xié)議。它對(duì)對(duì)端身份的校驗(yàn)是通過(guò)三次握手機(jī)制周期性的檢驗(yàn)，其完成是在鏈路建立初期。通過(guò)不斷增長(zhǎng)變化的標(biāo)識(shí)符和可變的詢問(wèn)數(shù)值結(jié)果，可避免來(lái)自惡意端點(diǎn)的欺騙性攻擊。從而保證了總公司與分公司之間網(wǎng)絡(luò)通信的安全性。在總公司接入互聯(lián)網(wǎng)，總公司與分公司以及總公司與出差人員之間的通信中都應(yīng)用到了訪問(wèn)控制列表（AccessControlList，ACL）網(wǎng)絡(luò)安全技術(shù)。ACL是交換機(jī)與路由器接口的指令表，用來(lái)對(duì)相關(guān)端口數(shù)據(jù)包的進(jìn)出進(jìn)行控制。ACL可以用于所有的路由協(xié)議，例如AppleTalk、IP等。相關(guān)的匹配關(guān)系、條件和查詢語(yǔ)句都包含在這張表中，表是一種基本框架結(jié)構(gòu)，它的作用是控制某種網(wǎng)絡(luò)資源訪問(wèn)。為了確保公司內(nèi)部網(wǎng)絡(luò)的安全性，需要通過(guò)相關(guān)安全機(jī)制來(lái)保證沒(méi)有授權(quán)的用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而實(shí)現(xiàn)對(duì)訪問(wèn)進(jìn)行控制的功能。ACL還可以過(guò)濾網(wǎng)絡(luò)通信過(guò)程中的流量，這是一種控制訪問(wèn)的網(wǎng)絡(luò)技術(shù)手段。應(yīng)用ACL技術(shù)給公司不同部門設(shè)置不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限更加有效的保證了公司內(nèi)部資料的安全性。3.在總公司與出差人員之間VPN通信中應(yīng)用到網(wǎng)絡(luò)安全協(xié)議以及網(wǎng)絡(luò)安全機(jī)制相關(guān)算法有：IKE協(xié)議、IPSec協(xié)議、3DES加密算法、MD5算法。 IKE協(xié)議是因特網(wǎng)密鑰交換協(xié)議，它能夠解決在復(fù)雜的網(wǎng)絡(luò)環(huán)境中十分安全地建立或更新共享密鑰的問(wèn)題。這是一種混合型協(xié)議，主要是由密鑰管理協(xié)議（ISAKMP）和Internet安全關(guān)聯(lián)以及SKEME與OAKLEY兩種密鑰交換協(xié)議構(gòu)成。IKE創(chuàng)建在由ISAKMP定義的框架上，使用了密鑰更新和SKEME的共享技術(shù)以及OAKLEY的密鑰交換模式。IPSec全稱是Internet協(xié)議安全性（InternetProtocolSecurity），它通過(guò)使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊，而且是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)。它為了防止Internet與專用網(wǎng)絡(luò)的攻擊，采用端對(duì)端的安全性來(lái)提供對(duì)主動(dòng)的保護(hù)。在通信過(guò)程中，只有收發(fā)兩方才能而且必須了解IPSec保護(hù)的計(jì)算機(jī)。3DES是三重?cái)?shù)據(jù)加密算法（TDEA，TripleDataEncryptionAlgorithm）塊密碼的統(tǒng)稱。它的本質(zhì)就是將DES加密算法分別三次應(yīng)用于每個(gè)要發(fā)送的數(shù)據(jù)塊，使用的是對(duì)稱密鑰加密法算法。它是DES向AES過(guò)渡的加密算法，相對(duì)于DES，3DES的加密安全性更加可靠，以DES為基本模塊，通過(guò)組合分組方法設(shè)計(jì)出分組加密算法。MD5是一種散列函數(shù)，它廣泛應(yīng)用于計(jì)算機(jī)安全領(lǐng)域，它的功能是提供消息的完整性保護(hù)，它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式。3.2虛擬網(wǎng)支持計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)采用現(xiàn)代交換原理，它促使虛擬網(wǎng)技術(shù)的應(yīng)用在全球范圍內(nèi)快速猛增。按照網(wǎng)絡(luò)區(qū)域的不同分布對(duì)全網(wǎng)實(shí)施虛擬網(wǎng)劃分，這是提高網(wǎng)絡(luò)安全性、增強(qiáng)網(wǎng)絡(luò)性能、加強(qiáng)網(wǎng)絡(luò)管理、隔離網(wǎng)絡(luò)故障的有效措施。但是如果虛擬網(wǎng)的應(yīng)用僅僅局限于局部網(wǎng)絡(luò)或單個(gè)交換機(jī)內(nèi)部，經(jīng)過(guò)網(wǎng)絡(luò)劃分后，整個(gè)網(wǎng)絡(luò)工程系統(tǒng)將成為一塊塊支離破碎的盲區(qū)。所以總公司選用的網(wǎng)絡(luò)核心層交換機(jī)應(yīng)具備跨越分支和主干自由地在全網(wǎng)范圍內(nèi)進(jìn)行劃分虛擬網(wǎng)的功能，而且所有網(wǎng)絡(luò)設(shè)備的虛擬網(wǎng)劃分功能應(yīng)當(dāng)基于IEEE802.1Q這個(gè)統(tǒng)一的標(biāo)準(zhǔn)。3.3第三層交換技術(shù)網(wǎng)絡(luò)通信中的大部分?jǐn)?shù)據(jù)流量不再局限于各子網(wǎng)內(nèi)部，這是Internet/Intranet的相關(guān)計(jì)算方式對(duì)各公司廣域網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的另一個(gè)重大考驗(yàn)。網(wǎng)絡(luò)通信大多是跨越子網(wǎng)邊界訪問(wèn)，它對(duì)網(wǎng)絡(luò)中相關(guān)設(shè)備處理子網(wǎng)間路由的能力要求非常高。傳統(tǒng)路由器以軟件方式進(jìn)行路由操作，這種操作方式產(chǎn)生的傳輸延遲是交換機(jī)產(chǎn)生的幾十倍，而且當(dāng)網(wǎng)絡(luò)負(fù)載變化時(shí)，延遲時(shí)間會(huì)隨之有很大變化，這很不利于多媒體的傳輸；由于采用價(jià)格昂貴的高性能處理器和大量高速內(nèi)存而導(dǎo)致性能價(jià)格比非常低，無(wú)法進(jìn)一步對(duì)吞吐量進(jìn)行提高。如今局域網(wǎng)主干上增加了許多的路由任務(wù)，以往路由器的吞吐量已經(jīng)不能滿足當(dāng)前的網(wǎng)絡(luò)需求，而過(guò)大的延遲又不能適應(yīng)語(yǔ)音通信、多媒體視頻的服務(wù)質(zhì)量需求，使用具有網(wǎng)絡(luò)層功能的交換機(jī)替代路由器實(shí)現(xiàn)低延遲、大容量的路由即第三層交換已勢(shì)在必行。各公司廣域網(wǎng)應(yīng)選用具有硬件實(shí)現(xiàn)的第三層交換能力的網(wǎng)絡(luò)交換機(jī)（本設(shè)計(jì)選用的是3560-24ps型三層交換機(jī)）用來(lái)滿足不斷增長(zhǎng)的子網(wǎng)間通信需求，同時(shí)實(shí)現(xiàn)多媒體通信所要求的低延遲和延遲量的穩(wěn)定性。為了使網(wǎng)絡(luò)服務(wù)更好地支持不同應(yīng)用的服務(wù)質(zhì)量需求，應(yīng)當(dāng)考慮采用能夠根據(jù)不同應(yīng)用區(qū)別處理的具有應(yīng)用認(rèn)知功能的緩存設(shè)備和具有第四層智能的第二代多層交換機(jī)作為網(wǎng)絡(luò)主干設(shè)備，從而更有效地利用寶貴的網(wǎng)絡(luò)資源。Internet/Intranet計(jì)算是網(wǎng)絡(luò)計(jì)算進(jìn)一步發(fā)展的總體趨勢(shì)，它需要適應(yīng)應(yīng)用技術(shù)發(fā)展的需求，這不僅要求主干交換機(jī)，而且配線間工作組交換機(jī)也應(yīng)選擇具備第三層交換能力的設(shè)備，這樣可以在需要時(shí)分擔(dān)主干交換機(jī)的負(fù)載，更加有效地利用有限的主干帶寬。我們?cè)趶?qiáng)調(diào)網(wǎng)絡(luò)第三層交換功能的同時(shí)，以前的第二層交換技術(shù)也不能被忽視，主干和分支交換機(jī)都應(yīng)當(dāng)能夠在支持多層交換的同時(shí)支持我們可能需要的各種第二層交換技術(shù)，如快速以太網(wǎng)、ATM、FDDI、千兆以太網(wǎng)等。3.4網(wǎng)絡(luò)管理和流量監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是全球各公司廣域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，它的運(yùn)行狀態(tài)應(yīng)該得到全面的管理和監(jiān)控。OSI對(duì)網(wǎng)絡(luò)管理功能提出了性能管理、配置管理、安全管理、錯(cuò)誤管理、記帳管理等五大要求，以此為基礎(chǔ)，該網(wǎng)絡(luò)管理系統(tǒng)應(yīng)當(dāng)選用基于工業(yè)標(biāo)準(zhǔn)的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）的開(kāi)放式管理平臺(tái)，而且需要配合專用的網(wǎng)絡(luò)管理應(yīng)用作為網(wǎng)管系統(tǒng)的設(shè)計(jì)框架。網(wǎng)管系統(tǒng)應(yīng)支持設(shè)備的配置和監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測(cè)、網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)和報(bào)告等功能，而且能夠提供簡(jiǎn)單方便的圖形用戶接口。第三章介紹了網(wǎng)絡(luò)模擬工程施工過(guò)程中需要應(yīng)用到的網(wǎng)絡(luò)技術(shù)及其相關(guān)原理，其中重點(diǎn)介紹了網(wǎng)絡(luò)安全應(yīng)用技術(shù)。下面的第四章就是要對(duì)整個(gè)網(wǎng)絡(luò)模擬工程的施工進(jìn)行詳細(xì)的說(shuō)明。第4章網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程總體規(guī)劃4.1網(wǎng)絡(luò)總體拓?fù)浔揪W(wǎng)絡(luò)工程方案的設(shè)計(jì)劃分為五個(gè)模塊，分別為：總公司內(nèi)部局域網(wǎng)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)；總公司與分公司之間ppp+chap網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)；總公司內(nèi)部局域網(wǎng)接入廣域網(wǎng)拓?fù)湓O(shè)計(jì)；總公司與合作伙伴間廣域網(wǎng)上幀中繼通信網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)；總公司與公司出差人員間VPN網(wǎng)絡(luò)通信拓?fù)湓O(shè)計(jì)。網(wǎng)絡(luò)總體布局拓?fù)?如圖4-1：圖4-1網(wǎng)絡(luò)工程總體拓?fù)鋱D4.2項(xiàng)目工程網(wǎng)絡(luò)規(guī)劃4.2.1總公司內(nèi)部局域網(wǎng)規(guī)劃1.在總公司核心交換機(jī)上創(chuàng)建四個(gè)VLAN:VLAN2,VLAN3,VLAN4,VLAN8,分別分配給公司內(nèi)部，銷售部、研發(fā)部、后勤部、保安部，將公司劃分為四個(gè)網(wǎng)段，便于管理；2.各VLAN之間互相通信，由于公司各部門一些特殊的設(shè)備需要設(shè)置靜態(tài)IP，所以設(shè)需要留地址范圍是：-20，-30，-40；3.在核心層交換機(jī)上配置TELNET，網(wǎng)管中心對(duì)公司內(nèi)部局域網(wǎng)進(jìn)行遠(yuǎn)程控制管理。4.2.2總公司與分公司網(wǎng)絡(luò)規(guī)劃總公司與分公司之間PPP連接需封裝CHAP認(rèn)證，認(rèn)證密碼設(shè)為：123；總公司與分公司之間應(yīng)用OSPF技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)連接。OSPF路由協(xié)議的相關(guān)配置過(guò)程有如下幾個(gè)步驟：在相關(guān)路由器或三層交換上指定使用ospf協(xié)議，協(xié)議ID為10;在不同型號(hào)的路由設(shè)備上設(shè)置其路由ID；指定與路由器相連的網(wǎng)絡(luò)，區(qū)域號(hào)設(shè)置為0。分公司核心路由器為總公司保安部提供動(dòng)態(tài)IP,其IP地址范圍是：-54；4.在總公司核心層交換機(jī)上應(yīng)用ACL技術(shù)，僅允許后勤部網(wǎng)段的80端口可以訪問(wèn)分公司服務(wù)器。4.2.3總公司與廣域網(wǎng)間網(wǎng)絡(luò)規(guī)劃應(yīng)用了NAT技術(shù)，將公司內(nèi)部私有的IP地址轉(zhuǎn)換為公有的IP地址，使得公司內(nèi)部網(wǎng)絡(luò)接入廣域網(wǎng)。該NAT的配置大致可分為以下步驟：在邊緣路由器和ISP路由器上配置訪問(wèn)控制鏈表，用以規(guī)定允許訪問(wèn)廣域網(wǎng)IP范圍；將訪問(wèn)控制鏈表與相應(yīng)的路由端口映射在一起；指定NAT網(wǎng)絡(luò)內(nèi)部和外部接口，用以確定NAT網(wǎng)絡(luò)數(shù)據(jù)的流向。2.網(wǎng)絡(luò)通信設(shè)置中，應(yīng)用ACL技術(shù)，過(guò)濾網(wǎng)絡(luò)中的流量，實(shí)現(xiàn)禁止保安部與后勤部訪問(wèn)互聯(lián)網(wǎng)上資源的功能。3.網(wǎng)絡(luò)提供商設(shè)置DHCP協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動(dòng)獲得IP地址。DHCP協(xié)議的配置主要有以下步驟:（1）設(shè)定DHCP協(xié)議IP地址池；（2）定義DHCP網(wǎng)絡(luò)地址，即一個(gè)網(wǎng)段，所有該網(wǎng)段內(nèi)的網(wǎng)絡(luò)設(shè)備只能獲得規(guī)定的該網(wǎng)段內(nèi)的IP地址；（3）配置該網(wǎng)段的網(wǎng)關(guān)；（4）給該網(wǎng)段配置DNS；（5）除去某些預(yù)留的IP地址段，網(wǎng)段內(nèi)設(shè)備啟動(dòng)DHCP協(xié)議獲取IP地址時(shí)，不能獲取該段內(nèi)的IP地址。4.2.4總公司與合作伙伴間網(wǎng)絡(luò)規(guī)劃總公司與其合作伙伴間采用點(diǎn)對(duì)點(diǎn)通信并結(jié)合幀中繼技術(shù)，其網(wǎng)絡(luò)設(shè)計(jì)主要分為以下步驟:在相關(guān)路由器廣域網(wǎng)端口上封裝幀中繼協(xié)議；在上述物理端口上建立虛擬子接口，設(shè)置其為point-to-point類型，并為其配置相應(yīng)IP地址；給子接口配置DLCI值并建立對(duì)端協(xié)議地址與本地DLCI的映射關(guān)系；配置幀中繼中云相關(guān)端口,指定數(shù)據(jù)流流向的端口，從而實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信的鏈路連接。4.2.5總公司與出差人員間網(wǎng)絡(luò)規(guī)劃總公司與在外出員工間采用VPN技術(shù)，實(shí)現(xiàn)出差人員能夠訪問(wèn)總公司的服務(wù)器功能。在VPN設(shè)計(jì)中，主要做以下工作:IKE（Internet密鑰交換）協(xié)議設(shè)置：（1）分別對(duì)通信兩端建立isakmp策略并且采用3des加密協(xié)議；（2）哈希采用md5算法驗(yàn)證，雙方采用欲共享密鑰認(rèn)證方式；（3）對(duì)通道進(jìn)行加密，并設(shè)置對(duì)端IP地址；（4）為了增強(qiáng)數(shù)據(jù)傳輸中的安全性，創(chuàng)建變換集，采用esp-3des和esp-md5-hmac算法。２.應(yīng)用ACL技術(shù)定義感興趣流，確定通信雙方數(shù)據(jù)的流向。３.通過(guò)創(chuàng)建加密圖將感興趣流與變換集映射在一起，從而確定了受保護(hù)的數(shù)據(jù)流。４.將加密圖綁定在對(duì)應(yīng)的端口上。以上比較詳細(xì)的介紹了整個(gè)模擬網(wǎng)絡(luò)項(xiàng)目工程總體規(guī)劃以及其中比較重要的網(wǎng)絡(luò)技術(shù)或協(xié)議的設(shè)計(jì)流程，接下來(lái)是整個(gè)模擬網(wǎng)絡(luò)工程拓?fù)涞呐渲?。?章網(wǎng)絡(luò)模擬實(shí)驗(yàn)項(xiàng)目配置概述5.1總公司內(nèi)部局域配置5.1.1核心層交換機(jī)配置在核心層交換機(jī)上配置:VLAN2、VLAN3、VLAN4、VLAN8四個(gè)虛擬局網(wǎng)段分別分配給：銷售部、研發(fā)部、后勤部及保安部。配置命令如下：1.創(chuàng)建虛擬局域網(wǎng)：Sw-35(config)#vlan2Sw-35(config-vlan)#vlan3Sw-35(config-vlan)#vlan4Sw-35(config-vlan)#vlan8Sw-35(config-vlan)#exit2.將核心層交換機(jī)f0/2、f0/3、f0/4、f0/8端口分別接入到四個(gè)局域網(wǎng)中，而且這四個(gè)端口分別連接到四個(gè)部門的接入層交換機(jī)上，這里僅列出一個(gè)端口的配置，其他端口配置與此相似：Sw-35(config)#intf0/2Sw-35(config-if)#switchportaccessvlan2Sw-35(config-if)#switchportmodeaccess5.1.2DHCP協(xié)議配置1.創(chuàng)建三個(gè)IPDHCP地址池分別命名為：xsb,yfb,hqb分別分配給銷售部、研發(fā)部、后勤部，其中之一配置為：Sw-35(config)#ipdhcppoolxsbSw-35(dhcp-config)#netSw-35(dhcp-config)#default-routerSw-35(dhcp-config)#dns2.保留一定范圍的IP地址，其相關(guān)配置是：Sw-35(config)#ipdhcpexcluded-address0Sw-35(config)#ipdhcpexcluded-address0Sw-35(config)#ipdhcpexcluded-address03.定義VLAN子接口，各部門的計(jì)算機(jī)可以自動(dòng)獲得IP：Sw-35(config-if)#intvlan2Sw-35(config-if)#ipaddSw-35(config-if)#intvlan3Sw-35(config-if)#ipaddSw-35(config-if)#intvlan4Sw-35(config-if)#ipadd4.三層交換機(jī)上要實(shí)現(xiàn)各VLAN間的通信，需要開(kāi)啟路由功能，其命令是：Sw-35(config)#iprouting5.網(wǎng)管中心對(duì)總公司核心層交換機(jī)進(jìn)行控制和管理命令：Sw-35(config)#linevty015Sw-35(config-line)#pass123Sw-35(config)#enablepass456Sw-35(config)#ipdefault-gatewaySw-35(config)#intf0/1Sw-35(config-if)#ipadd5.2總公司與分公司間網(wǎng)絡(luò)配置1.配置總公司與分公司實(shí)現(xiàn)網(wǎng)絡(luò)連通相關(guān)端口：R1(config)#intf0/0R1(config-if)#noshutR1(config-if)#ipaddR1(config)#ints1/0R1(config-if)#noshutR1(config-if)#ipadd2.配置OSPF路由協(xié)議實(shí)現(xiàn)總公司與分公司間相互通信，其中配置核心層交換機(jī)、路由器R1、R2的路由ID分別為：、、，其中僅列出了核心層交換機(jī)上OSPF的配置：Sw-35(config-if)#intf0/6Sw-35(config-if)#noswitchportSw-35(config-if)#ipaddSw-35(config)#routerospf10Sw-35(config-router)#router-idSw-35(config-router)#net55a03.為減輕總公司的負(fù)擔(dān)分公司提供DHCP中繼服務(wù)地址池-254，為保安部提供動(dòng)態(tài)IP:R2(config)#ipdhcppoolbabR2(dhcp-config)#netR2(dhcp-config)#default-routerR2(dhcp-config)#dns4.需要在核心層交換機(jī)上給VLAN8配置IP，由于DHCP服務(wù)器與保安部設(shè)備不在同一廣播域內(nèi)，需要應(yīng)用IPHelper-address技術(shù)來(lái)實(shí)現(xiàn)為保安部提供動(dòng)態(tài)IP的功能：Sw-35(config)#intvlan8Sw-35(config-if)#ipaddSw-35(config-if)#iphelper-address5.在R1與R2之間封裝PPP協(xié)議，并且建立chap認(rèn)證安全機(jī)制，認(rèn)證密碼為123，這里僅說(shuō)明了R1的配置，R2配置與此相似：R1(config)#ints1/0R1(config-if)#encapsulationpppR1(config-if)#pppauthenticationchapR1(config-if)#exitR1(config)#usernameR2pass1236.后勤部只能訪問(wèn)分公司服務(wù)器的HTTP服務(wù)，其他部門不受此限制，實(shí)現(xiàn)此功能需要應(yīng)用ACL技術(shù)，斷開(kāi)網(wǎng)段與分公司服務(wù)器TCP連接（除80端口外）:Sw-35(config)#access-list100denytcp55host0neq80Sw-35(config)#access-list100permitipanyanySw-35(config)#intf0/6Sw-35(config-if)#ipaccess-group100out5.3總公司接入互聯(lián)網(wǎng)配置1.為實(shí)現(xiàn)總公司與互聯(lián)網(wǎng)的，核心層交換機(jī)f0/5端口作為與外部網(wǎng)絡(luò)連接的接口，其配置：Sw-35(config-if)#intf0/5Sw-35(config-if)#noswSw-35(config-if)#ipadd2.邊緣路由器是連接總公司與廣域網(wǎng)的路由器，其f0/0端口配置IP：bound(config)#intf0/0bound(config-if)#ipadd3.網(wǎng)絡(luò)供應(yīng)商（網(wǎng)通）路由器ISP與總公司邊緣路由相連接，將公司局域網(wǎng)連接到廣域網(wǎng)上:ISP(config)#intf0/0ISP(config-if)#ipaddISP(config-if)#noshutISP(config)#ints1/0 ISP(config-if)#ipaddISP(config-if)#noshut 4.在ISP上配置DHCP為邊緣路由器的f0/1端口提供動(dòng)態(tài)IP:ISP(config)#ipdhcppoolboundISP(dhcp-config)#netISP(dhcp-config)#deISP(dhcp-config)#dns5.打開(kāi)邊緣路由器的f0/1端口，并設(shè)置其從DHCP獲得IP:bound(config)#intf0/1bound(config-if)#noshutbound(config-if)#ipadddhcp6.配置INTERNET，在其上設(shè)置環(huán)回口lo1,模擬公司內(nèi)部局域網(wǎng)可以與互聯(lián)網(wǎng)相連通：Internet(config)#ints1/0Internet(config-if)#noshutInternet(config-if)#ipadd0Internet(config-if)#clockrat64000Internet(config-if)#intlo1Internet(config-if)#ipadd7.在邊緣路由器上配置ospf協(xié)議,實(shí)現(xiàn)公司局域網(wǎng)與便于路由器的連接，為公司局域網(wǎng)接入廣域網(wǎng)作中繼：bound(config)#routerospf10bound(config-router)#router-idbound(config-router)#net55a08.為了公司內(nèi)部局域網(wǎng)的安全，配置單向路由阻止外部網(wǎng)絡(luò)訪問(wèn)公司內(nèi)部資源：Sw-35(config)#iproute9.在ISP上執(zhí)行NAT轉(zhuǎn)換，允許銷售部、研發(fā)部接入INTERNET(后勤部、保安部除外):在邊緣路由器上配置訪問(wèn)控制列表10，允許銷售部、研發(fā)部接入：bound(config)#access-list10permit55bound(config)#access-list10permit55bound(config)#ipnatinsidesourcelist10intf0/1overloadbound(config)#intf0/1bound(config-if)#ipnatoutsidebound(config-if)#intf0/0bound(config-if)#ipnatinside 在ISP路由器上配置訪問(wèn)控制列表20，允許銷售部、研發(fā)部接入 互 聯(lián)網(wǎng)：ISP(config)#access-list20permit55ISP(config)#ipnatinsidesourcelist20ints1/0overloadISP(config)#ints1/0ISP(config-if)#ipnatoutsideISP(config-if)#intf0/0ISP(config-if)#ipnatinsideISP(config)#iproute05.4總公司與合作伙伴間網(wǎng)絡(luò)配置5.4.1幀中繼配置1.總公司核心路由器R1與合作伙伴相連接的端口配置：R1(config)#ints1/1R1(config-if)#ipaddR1(config-if)#noshut2.總公司與合作伙伴1、2封裝幀中繼并配置點(diǎn)對(duì)點(diǎn)協(xié)議，這里僅列出了其與合作伙伴1連接的命令,其他合作伙伴配置命令與此相似：連接端口的配置：R6(config)#intf0/0R6(config-if)#noshutR6(config-if)#ipadd在物理端口（廣域網(wǎng)端口s0/1/0）封裝幀中繼協(xié)議:R6(config-if)#ints0/1/0R6(config-if)#noshutR6config-if)#clockrate64000R6(config-if)#encapsulationframe-relay在物理端口上建立子接口，并指定接口類型:point-to-point，并配置IP地址：R6(config-if)#ints0/1/0.1point-to-pointR6(config-subif)#ipadd給子接口配置DLCI值

:R6(config-subif)#frame-relayinterface-dlci30建立對(duì)端協(xié)議地址與本地DLCI的映射關(guān)系:R6(config-subif)#descriptionlinktoR5dlic20應(yīng)用OSPF協(xié)議實(shí)現(xiàn)總公司與合作伙伴幀中繼分裝PPP的連接:R6(config)#routerospf10R6(config-router)#router-idR6(config-router)#net55a0R6(config-router)#net55a05.4.2幀中繼云配置配置幀中繼中云相關(guān)端口,指定數(shù)據(jù)流流向的端口，從而實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信的鏈路連接，該鏈接端口配置如圖5-1：圖5-1幀中繼云端口配置圖5.5出差人員與總公司間VPN配置總公司核心路由器R1建立VPN相關(guān)端口配置：R1(config)#intf0/1R1(config-if)#noshutR1(config-if)#ints1/2R1(config-if)#noshutR1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#intf0/1R1(config-if)#ipaddR1(config-if)#exit5.5.1IKE第一階段IKE配置：1.建立isakmp策略10:R1(config)#cryptoisakmppolicy102.采用3des加密:R1(config-isakmp)#encryption3des3.哈希采用md5驗(yàn)證:R1(config-isakmp)#hashmd54.采用欲共享密鑰認(rèn)證方式:R1(config-isakmp)#authenticationpre-share R1(config-isakmp)#exit5.對(duì)通道進(jìn)行加密，并設(shè)置對(duì)端IP地址:R1(config)#cryptoisakmpkey123abcadd5.5.2IKE第二階段1.創(chuàng)建變換集sset，后面兩項(xiàng)為加密傳輸?shù)乃惴?R1(config)#cryptoipsectransform-setssetesp-3desesp-md5-hmac2.定義感興趣流：R1(config)#access-list110permitip55555.5.3感興趣流與變換集映射1.創(chuàng)建加密圖123abc序號(hào)10:R1(config)#cryptomap123abc10ipsec-isakmp 2.VPN隧道對(duì)端的IP地址:R1(config-crypto-map)#setpeer3.使用上面創(chuàng)建的變換集:R1(config-crypto-map)#settransform-setsset 4.定義進(jìn)行加密傳輸?shù)臄?shù)據(jù),與第一步對(duì)應(yīng)引入訪問(wèn)列表確定受保護(hù)的數(shù)據(jù)流:R1(config-crypto-map)#matchaddress110R1(config-crypto-map)#exit5.5.4綁定Map接口R1(config)#ints1/2R1(config-if)#cryptomap123abcR1(config-if)#exitR1(config)#iproute第五章主要介紹了整個(gè)模擬網(wǎng)絡(luò)工程的詳細(xì)配置過(guò)程，接下來(lái)的第六章是在網(wǎng)絡(luò)模擬平臺(tái)上進(jìn)行網(wǎng)絡(luò)模擬項(xiàng)目實(shí)驗(yàn)，從而展示其網(wǎng)絡(luò)模擬功能。網(wǎng)絡(luò)模擬平臺(tái)項(xiàng)目實(shí)驗(yàn)前五章基于PacketTracer軟件將網(wǎng)絡(luò)模擬系統(tǒng)工程平臺(tái)已經(jīng)搭建完畢，本章主要介紹基于本系統(tǒng)來(lái)實(shí)現(xiàn)相關(guān)的網(wǎng)絡(luò)模擬項(xiàng)目實(shí)驗(yàn)。6.1網(wǎng)絡(luò)模擬系統(tǒng)平臺(tái)項(xiàng)目實(shí)驗(yàn)6.1.1模擬VLAN相互通信實(shí)驗(yàn)1.實(shí)驗(yàn)?zāi)康模?）理解VLAN的原理及功能；（2）掌握不同VLAN間通信原理；（3）掌握VLAN的配置，實(shí)現(xiàn)局域網(wǎng)內(nèi)VLAN間的通信。2.技術(shù)優(yōu)點(diǎn)（1）控制網(wǎng)絡(luò)廣播風(fēng)暴，VLAN是基于交換式以太網(wǎng)數(shù)據(jù)鏈路層網(wǎng)絡(luò)技術(shù)，它能夠?qū)?nèi)部局域網(wǎng)根據(jù)交換機(jī)端口劃分成一個(gè)個(gè)邏輯上相互獨(dú)立的網(wǎng)段，從而有效的控制了網(wǎng)絡(luò)廣播風(fēng)暴。（2）確保網(wǎng)絡(luò)安全，以上劃分的網(wǎng)段間是不能直接相互通信的需要借助第三層網(wǎng)絡(luò)路由功能才能實(shí)現(xiàn)相互通信，因此VLAN能限制用戶對(duì)相關(guān)網(wǎng)絡(luò)的訪問(wèn)，從而保證了網(wǎng)絡(luò)的安全性。（3）簡(jiǎn)化網(wǎng)絡(luò)管理，網(wǎng)絡(luò)管理員能應(yīng)用VLAN技術(shù)方便管理整個(gè)網(wǎng)絡(luò)，將不同地理位置的網(wǎng)絡(luò)終端劃分在同一VLAN中，實(shí)施統(tǒng)一高效的控制管理。3.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-1所示。圖6-1VLAN實(shí)驗(yàn)拓?fù)鋱D4.本實(shí)驗(yàn)是基于三層交換機(jī)來(lái)配置VLAN，并實(shí)現(xiàn)VLAN間的通信，其主要配置步驟如下：進(jìn)入vlan

database模式，在該模式下設(shè)置不同的VLAN；進(jìn)入相關(guān)端口配置模式，并配置該端口為access模式

；把相關(guān)的端口劃分到對(duì)應(yīng)VLAN中；進(jìn)入相關(guān)VLAN配置模式，為其設(shè)置IP，即該網(wǎng)段網(wǎng)關(guān)；在三層交換機(jī)上啟動(dòng)iprouting命令，實(shí)現(xiàn)VLAN間網(wǎng)絡(luò)通信。該實(shí)驗(yàn)基于本網(wǎng)絡(luò)模擬系統(tǒng)，配置模擬完成了VLAN的設(shè)置及不同VLAN間相互通信的實(shí)驗(yàn)項(xiàng)目。6.1.2網(wǎng)絡(luò)模擬DHCP實(shí)驗(yàn)1.實(shí)驗(yàn)?zāi)康模?）理解DHCP的原理及功能；（2）掌握DHCP的配置過(guò)程。2.技術(shù)優(yōu)點(diǎn)（1）安全可靠性高，在網(wǎng)絡(luò)層設(shè)備上設(shè)置DHCP協(xié)議，終端設(shè)備就能自動(dòng)獲得IP地址，避免了手動(dòng)配置IP出現(xiàn)的不同設(shè)備IP地址沖突及配置出錯(cuò)的問(wèn)題。（2）減輕管理員IP設(shè)置的工作負(fù)擔(dān)，應(yīng)用DHCP協(xié)議技術(shù)減少了網(wǎng)絡(luò)配置的時(shí)間，終端設(shè)備的IP地址自動(dòng)獲得，不需管理員逐一配置。3.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與圖6-1相同。4.本項(xiàng)實(shí)驗(yàn)是基于三層交換機(jī)的路由功能來(lái)實(shí)現(xiàn)DHCP協(xié)議的配置，其主要配置步驟如下：（1）設(shè)定DHCP協(xié)議IP地址池；（2）定義DHCP網(wǎng)絡(luò)地址，即一個(gè)網(wǎng)段，所有該網(wǎng)段內(nèi)的網(wǎng)絡(luò)設(shè)備只能獲得規(guī)定的該網(wǎng)段內(nèi)的IP地址；（3）配置該網(wǎng)段的網(wǎng)關(guān)；（4）給該網(wǎng)段配置DNS；（5）除去某些預(yù)留的IP地址段，網(wǎng)段內(nèi)設(shè)備啟動(dòng)DHCP協(xié)議獲取IP地址時(shí)，不可以獲取該段內(nèi)的IP地址。該實(shí)驗(yàn)基于本網(wǎng)絡(luò)模擬系統(tǒng)，模擬完成了DHCP協(xié)議的配置以及網(wǎng)段內(nèi)終端設(shè)備能夠自動(dòng)獲得IP地址功能的項(xiàng)目實(shí)驗(yàn)。 6.1.3網(wǎng)絡(luò)模擬NAT實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康模?）理解NAT的原理及功能；（2）掌握NAT的配置；（3）實(shí)現(xiàn)應(yīng)用NAT技術(shù)訪問(wèn)廣域網(wǎng)資源功能。2.技術(shù)優(yōu)點(diǎn)（1）IP地址轉(zhuǎn)換，NAT技術(shù)可以實(shí)現(xiàn)私有IP地址與公有IP地址的轉(zhuǎn)換，從而實(shí)現(xiàn)內(nèi)部局域網(wǎng)與廣域網(wǎng)之間的網(wǎng)絡(luò)連通。（2）減緩可用IP地址空間的枯竭，使用NAT技術(shù)，不同局域網(wǎng)內(nèi)部可使用相同的IP地址，當(dāng)內(nèi)部局域網(wǎng)與廣域網(wǎng)通信時(shí)，NAT實(shí)現(xiàn)局域網(wǎng)內(nèi)部與廣域網(wǎng)IP地址的轉(zhuǎn)換功能。3.本實(shí)驗(yàn)結(jié)合了ACL技術(shù)實(shí)現(xiàn)內(nèi)部局域網(wǎng)對(duì)公網(wǎng)資源的訪問(wèn)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-2所示。圖6-2NAT實(shí)驗(yàn)拓?fù)鋱DNAT網(wǎng)絡(luò)實(shí)驗(yàn)主要配置步驟如下：(1)在邊緣路由器和ISP路由器上配置ACL，用以規(guī)定允許訪問(wèn)廣域資源的網(wǎng)段；(2)將ACL允許的私有源地址配置轉(zhuǎn)換成公有網(wǎng)絡(luò)地址；(3)將訪問(wèn)控制鏈表與相應(yīng)的路由端口映射在一起；(4)指定NAT網(wǎng)絡(luò)內(nèi)部和外部接口，用以確定NAT網(wǎng)絡(luò)數(shù)據(jù)的流向；(5)配置IPROUTE命令實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的路由連接。該實(shí)驗(yàn)基于本網(wǎng)絡(luò)模擬系統(tǒng)，配置模擬完成了NAT實(shí)驗(yàn)項(xiàng)目。6.1.4網(wǎng)絡(luò)模擬幀中繼實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康模?）理解幀中繼的原理及功能（2）掌握幀中繼的配置（3）配合PPP協(xié)議實(shí)現(xiàn)廣域網(wǎng)幀中繼通信2.技術(shù)優(yōu)點(diǎn)（1）傳輸時(shí)延小、速率高，傳輸帶寬按需分配，適合為局域網(wǎng)提供互連（2）組網(wǎng)以及網(wǎng)絡(luò)處理簡(jiǎn)單（3）一個(gè)端口可以實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)設(shè)備的連接（4）可以和不通網(wǎng)絡(luò)速率的用戶通信3.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-3所示。圖6-3幀中繼實(shí)驗(yàn)拓?fù)鋱D幀中繼網(wǎng)絡(luò)實(shí)驗(yàn)主要配置步驟如下：（1）在相關(guān)路由器廣域網(wǎng)端口上封裝幀中繼協(xié)議；（2）在上述物理端口上建立虛擬子接口，設(shè)置其為point-to-poi