網(wǎng)絡(luò)模擬實驗系統(tǒng)的設(shè)計及實現(xiàn)畢業(yè)論文

-1-網(wǎng)絡(luò)模擬實驗系統(tǒng)的設(shè)計與實現(xiàn)091007118劉同全指導(dǎo)教師陳建輝副教授第1章網(wǎng)絡(luò)模擬實驗系統(tǒng)研究背景隨著計算機(jī)網(wǎng)絡(luò)通信技術(shù)和多媒體技術(shù)的快速發(fā)展，信息時代的學(xué)習(xí)、生活方式都發(fā)生了重大變革。作為培養(yǎng)和提高學(xué)生動手實踐能力、觀察能力、分析問題和解決問題能力等方面有著先天優(yōu)勢的實驗教學(xué)是高校教育改革的關(guān)鍵問題之一。目前，我國傳統(tǒng)實驗教學(xué)環(huán)節(jié)不足、實驗資源不均衡，學(xué)生創(chuàng)新能力不足，模擬實驗教學(xué)環(huán)境研究與建設(shè)有利于解決當(dāng)前實驗教學(xué)中存在的問題。因此，對于模擬實驗教學(xué)環(huán)境的研究已經(jīng)成為當(dāng)前教育研究一個新熱點，分析其原因是主要信息技術(shù)的蓬勃發(fā)展已經(jīng)使部分模擬實驗環(huán)境的設(shè)計與開發(fā)成為現(xiàn)實，并在一定的理論指導(dǎo)下應(yīng)用于實踐，使各類模擬實驗室建設(shè)成為可能。模擬實驗降低了實驗室建設(shè)成本，緩解了由于財政壓力給實驗實訓(xùn)教學(xué)環(huán)節(jié)帶來的不利影響，有利于學(xué)生實踐操作能力的培養(yǎng)。

我國的網(wǎng)絡(luò)模擬實驗系統(tǒng)的研究起步較晚，但是發(fā)展速度較快。根據(jù)目前從網(wǎng)上可查到的信息和各院校開放的對外服務(wù)看，國內(nèi)部分高校已陸續(xù)建立了網(wǎng)絡(luò)模擬實驗系統(tǒng)。本文介紹了通過應(yīng)用PacketTracer軟件搭建網(wǎng)絡(luò)模擬工程項目規(guī)劃、設(shè)計的平臺，竟而比較具體的展示了網(wǎng)絡(luò)模擬系統(tǒng)的功能。第2章網(wǎng)絡(luò)模擬實驗工程需求分析2.1引言近年來我國網(wǎng)絡(luò)通信服務(wù)行業(yè)總體發(fā)展呈快速上升趨勢，其總體規(guī)模不斷增大，業(yè)務(wù)收入也不斷在穩(wěn)步提升。根據(jù)工信部相關(guān)數(shù)據(jù)表明，2011年網(wǎng)絡(luò)通信行業(yè)共完成網(wǎng)絡(luò)通信總量達(dá)12,964.6億元，同比增長10.1%；實現(xiàn)網(wǎng)絡(luò)通信業(yè)務(wù)收入10,762億元，同比增長8.0%，呈現(xiàn)相對較快的發(fā)展態(tài)勢。網(wǎng)絡(luò)通信業(yè)務(wù)量的增長帶來了網(wǎng)絡(luò)工程服務(wù)市場規(guī)模的高速發(fā)展。網(wǎng)絡(luò)工程服務(wù)行業(yè)前景如此廣闊，發(fā)展速度十分迅猛，日后必將稱為我國重要的支柱產(chǎn)業(yè)之一。本論文詳細(xì)地描述了網(wǎng)絡(luò)服務(wù)行業(yè)關(guān)于網(wǎng)絡(luò)工程的規(guī)劃與設(shè)計，并根據(jù)網(wǎng)絡(luò)市場的需求，比較系統(tǒng)地設(shè)計了關(guān)于國內(nèi)一些中小型企業(yè)內(nèi)部局域網(wǎng)以及其接入廣域網(wǎng)的總體規(guī)劃方案。以下是應(yīng)用網(wǎng)絡(luò)模擬系統(tǒng)平臺來設(shè)計、實現(xiàn)該網(wǎng)絡(luò)工程項目的方案。在網(wǎng)絡(luò)工程設(shè)計中體現(xiàn)網(wǎng)絡(luò)模擬平臺的功能。2.2項目功能需求2.2.1總公司內(nèi)部局域網(wǎng)間通信功能需求1.為了方便管理，總公司內(nèi)部要進(jìn)行模塊化劃分主要分為：銷售部、研發(fā)部、后勤部以及保安部，為了方便工作，各部門之間要實現(xiàn)相互通信。2.為了方便公司增添新設(shè)備的配置，各部門可以自動獲得IP地址，為了減輕總公司路由器的負(fù)荷，保安部的IP地址，由分公司路由器提供進(jìn)行自動分配。3.網(wǎng)管中心可以遠(yuǎn)程對公司核心層交換機(jī)進(jìn)行控制和管理。2.2.2總公司與分公司間網(wǎng)絡(luò)通信功能需求1.由于總公司與分公司相距比較遠(yuǎn)，為了公司內(nèi)部的資源安全，它們相互通信的鏈路需要認(rèn)證、加密。2.為了內(nèi)部資源的安全，總公司后勤部只能訪問分公司服務(wù)器的HTTP服務(wù)。 2.2.3總公司與廣域網(wǎng)間通信功能需求1.總公司內(nèi)部需要與互聯(lián)網(wǎng)連通，由于保安部與后勤部只處理總公司內(nèi)部一些生活上的事務(wù)，禁止保安部與后勤部訪問互聯(lián)網(wǎng)上資源。2.為了方便公司接入互聯(lián)網(wǎng)，公司邊緣路由器接入互聯(lián)網(wǎng)的端口可以由網(wǎng)通供應(yīng)商自動為其分配IP地址。2.2.4總公司與合作伙伴間通信功能需求總公司與其合作伙伴之間在廣域網(wǎng)上進(jìn)行互相通信，在通信時希望獲得低網(wǎng)絡(luò)時延、低設(shè)備費用、高帶寬利用率以及點對點通信等優(yōu)勢。2.2.5總公司與出差人員間通信功能需求公司內(nèi)部人員在出差時，也能訪問到總公司內(nèi)部的服務(wù)器，以獲得公司的相關(guān)信息，方便自己在外辦公。2.3項目技術(shù)需求2.3.1總公司內(nèi)部局域網(wǎng)間通信技術(shù)需求1.為了實現(xiàn)總公司模塊化管理，將總公司分為四個部門，即銷售部、研發(fā)部、后勤部、保安部，每一個部門劃分為一個VLAN；各VLAN間實現(xiàn)相互通信的功能。本設(shè)計使用三層路由交換技術(shù)方便、簡單的實現(xiàn)了該功能，因為三層交換機(jī)，既擁有二層交換機(jī)劃分不同VLAN的功能，而且擁有路由的功能，能夠使得不通VLAN間相互通信。2.為了方便各部門設(shè)備的網(wǎng)絡(luò)配置，這里應(yīng)用了DHCP（動態(tài)主機(jī)設(shè)置協(xié)議）協(xié)議，當(dāng)某個部門增添新設(shè)備后，不需要網(wǎng)絡(luò)管理員手動設(shè)置，該設(shè)備就能自動獲得IP地址，實現(xiàn)網(wǎng)絡(luò)通信，而且DHCP避免了手動配置IP出現(xiàn)的不同設(shè)備IP地址重復(fù)的問題。3.運用遠(yuǎn)程登錄（TELNET）控制技術(shù)來實現(xiàn)網(wǎng)管中心對總公司核心層交換機(jī)的控制，網(wǎng)管中心遠(yuǎn)程控制核心層交換機(jī)而實現(xiàn)對總公司內(nèi)部局域網(wǎng)的控制。 2.3.2總公司與分公司間網(wǎng)絡(luò)通信技術(shù)需求1.本設(shè)計應(yīng)用了OSPF（開放式最短路徑優(yōu)先）協(xié)議，實現(xiàn)了公司與分公司之間網(wǎng)絡(luò)通信，為了總公司與分公司的通信安全，它們之間網(wǎng)絡(luò)通信的鏈路封裝了PPP協(xié)議，且PPP協(xié)議采用chap認(rèn)證機(jī)制。2.為實現(xiàn)減輕總公司網(wǎng)絡(luò)負(fù)擔(dān)的功能，分公司核心路由器為為總公司的保安部動態(tài)提供IP地址，由于總公司保安部設(shè)備和其DHCP服務(wù)器不在同一廣播域內(nèi)，因此需要中間路由器，作為中繼來實現(xiàn)這一功能，這里應(yīng)用了DHCP+IPHelper-address技術(shù)來實現(xiàn)。3.分公司為了自己內(nèi)部信息的安全，僅允許總公司后勤部的設(shè)備以HTTP的方式訪問其服務(wù)器，這里應(yīng)用了ACL技術(shù)，僅允許后勤部網(wǎng)段通過80端口訪問服務(wù)器，來實現(xiàn)這一功能。2.3.3總公司與廣域網(wǎng)間通信技術(shù)需求1.由于公司內(nèi)部網(wǎng)絡(luò)需要接入廣域網(wǎng)，而公司內(nèi)部網(wǎng)絡(luò)使用的是內(nèi)部私有的IP地址，而私有的網(wǎng)絡(luò)是不可以與廣域網(wǎng)上的設(shè)備直接相通信的，因此公司內(nèi)部網(wǎng)絡(luò)與廣域網(wǎng)通信時，需要將私有的IP地址轉(zhuǎn)換為公有的IP地址，才能實現(xiàn)公司專用網(wǎng)與廣域網(wǎng)的連通，這里應(yīng)用了NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)實現(xiàn)了這一功能。2.網(wǎng)絡(luò)通信中，為實現(xiàn)禁止保安部與后勤部訪問互聯(lián)網(wǎng)上資源的功能，需要應(yīng)用ACL（訪問控制列表）技術(shù)，它可以過濾網(wǎng)絡(luò)中的流量，允許控制列表中的網(wǎng)絡(luò)設(shè)備（根據(jù)其IP地址）與外網(wǎng)之間實現(xiàn)通信，而阻止其他設(shè)備與外網(wǎng)相互通信。3.網(wǎng)絡(luò)提供商（網(wǎng)通）為總公司邊緣路由器（用于連接廣域網(wǎng)）與外網(wǎng)連接的端口提供IP地址，為了方便總公司與網(wǎng)絡(luò)提供商的網(wǎng)絡(luò)配置，這里網(wǎng)通路由器開啟DHCP協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動獲得IP地址。2.3.4總公司與合作伙伴間通信技術(shù)需求為實現(xiàn)總公司與其合作伙伴的高質(zhì)量的點對點通信，在他們之間建立了高性能的虛擬廣域網(wǎng)連接，這里應(yīng)用了幀中繼技術(shù)，并在其上封裝了點對點協(xié)議。2.3.5總公司與出差人員間通信技術(shù)需求為了方便公司員工在外地辦公時，依然能夠訪問總公司的服務(wù)器，本設(shè)計應(yīng)用了VPN（虛擬專用網(wǎng)絡(luò)）來實現(xiàn)這一功能。第3章網(wǎng)絡(luò)模擬實驗工程技術(shù)及原理概述3.1網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)系統(tǒng)對網(wǎng)絡(luò)通信的安全性有著十分高的要求。雖然計算機(jī)系統(tǒng)本身具有一定的安防措施，但是網(wǎng)絡(luò)系統(tǒng)的安全防范仍然是整個網(wǎng)絡(luò)系統(tǒng)安全性中一道重要的關(guān)卡。局域網(wǎng)內(nèi)的交換機(jī)應(yīng)當(dāng)能夠?qū)緝?nèi)部網(wǎng)絡(luò)進(jìn)行虛擬網(wǎng)劃分和鏈路層網(wǎng)絡(luò)管理，把實際地理位置上分散而邏輯上緊密相關(guān)的站點劃入同一虛擬網(wǎng)，從而實現(xiàn)不相關(guān)網(wǎng)絡(luò)的邏輯隔離是網(wǎng)絡(luò)安全性的重要保證。因此，我們在網(wǎng)絡(luò)方案施工過程中選用的網(wǎng)絡(luò)設(shè)備應(yīng)該具有包括物理層、網(wǎng)絡(luò)層、應(yīng)用層等多個層次實現(xiàn)安全管理的能力，從而避免發(fā)生在同一虛擬網(wǎng)內(nèi)以及虛擬網(wǎng)之間互聯(lián)點上的非法侵犯。本網(wǎng)絡(luò)工程方案涉及到的網(wǎng)絡(luò)通信安全協(xié)議與數(shù)據(jù)加密技術(shù)有：總公司內(nèi)部局域網(wǎng)與分公司網(wǎng)絡(luò)連接鏈路采用PPP封裝CHAP認(rèn)證機(jī)制協(xié)議。CHAP協(xié)議是PPP（點對點協(xié)議）詢問握手認(rèn)證協(xié)議。它對對端身份的校驗是通過三次握手機(jī)制周期性的檢驗，其完成是在鏈路建立初期。通過不斷增長變化的標(biāo)識符和可變的詢問數(shù)值結(jié)果，可避免來自惡意端點的欺騙性攻擊。從而保證了總公司與分公司之間網(wǎng)絡(luò)通信的安全性。在總公司接入互聯(lián)網(wǎng)，總公司與分公司以及總公司與出差人員之間的通信中都應(yīng)用到了訪問控制列表（AccessControlList，ACL）網(wǎng)絡(luò)安全技術(shù)。ACL是交換機(jī)與路由器接口的指令表，用來對相關(guān)端口數(shù)據(jù)包的進(jìn)出進(jìn)行控制。ACL可以用于所有的路由協(xié)議，例如AppleTalk、IP等。相關(guān)的匹配關(guān)系、條件和查詢語句都包含在這張表中，表是一種基本框架結(jié)構(gòu)，它的作用是控制某種網(wǎng)絡(luò)資源訪問。為了確保公司內(nèi)部網(wǎng)絡(luò)的安全性，需要通過相關(guān)安全機(jī)制來保證沒有授權(quán)的用戶只能訪問特定的網(wǎng)絡(luò)資源，從而實現(xiàn)對訪問進(jìn)行控制的功能。ACL還可以過濾網(wǎng)絡(luò)通信過程中的流量，這是一種控制訪問的網(wǎng)絡(luò)技術(shù)手段。應(yīng)用ACL技術(shù)給公司不同部門設(shè)置不同的網(wǎng)絡(luò)訪問權(quán)限更加有效的保證了公司內(nèi)部資料的安全性。3.在總公司與出差人員之間VPN通信中應(yīng)用到網(wǎng)絡(luò)安全協(xié)議以及網(wǎng)絡(luò)安全機(jī)制相關(guān)算法有：IKE協(xié)議、IPSec協(xié)議、3DES加密算法、MD5算法。 IKE協(xié)議是因特網(wǎng)密鑰交換協(xié)議，它能夠解決在復(fù)雜的網(wǎng)絡(luò)環(huán)境中十分安全地建立或更新共享密鑰的問題。這是一種混合型協(xié)議，主要是由密鑰管理協(xié)議（ISAKMP）和Internet安全關(guān)聯(lián)以及SKEME與OAKLEY兩種密鑰交換協(xié)議構(gòu)成。IKE創(chuàng)建在由ISAKMP定義的框架上，使用了密鑰更新和SKEME的共享技術(shù)以及OAKLEY的密鑰交換模式。IPSec全稱是Internet協(xié)議安全性（InternetProtocolSecurity），它通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊，而且是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)。它為了防止Internet與專用網(wǎng)絡(luò)的攻擊，采用端對端的安全性來提供對主動的保護(hù)。在通信過程中，只有收發(fā)兩方才能而且必須了解IPSec保護(hù)的計算機(jī)。3DES是三重數(shù)據(jù)加密算法（TDEA，TripleDataEncryptionAlgorithm）塊密碼的統(tǒng)稱。它的本質(zhì)就是將DES加密算法分別三次應(yīng)用于每個要發(fā)送的數(shù)據(jù)塊，使用的是對稱密鑰加密法算法。它是DES向AES過渡的加密算法，相對于DES，3DES的加密安全性更加可靠，以DES為基本模塊，通過組合分組方法設(shè)計出分組加密算法。MD5是一種散列函數(shù)，它廣泛應(yīng)用于計算機(jī)安全領(lǐng)域，它的功能是提供消息的完整性保護(hù)，它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式。3.2虛擬網(wǎng)支持計算機(jī)網(wǎng)絡(luò)系統(tǒng)采用現(xiàn)代交換原理，它促使虛擬網(wǎng)技術(shù)的應(yīng)用在全球范圍內(nèi)快速猛增。按照網(wǎng)絡(luò)區(qū)域的不同分布對全網(wǎng)實施虛擬網(wǎng)劃分，這是提高網(wǎng)絡(luò)安全性、增強(qiáng)網(wǎng)絡(luò)性能、加強(qiáng)網(wǎng)絡(luò)管理、隔離網(wǎng)絡(luò)故障的有效措施。但是如果虛擬網(wǎng)的應(yīng)用僅僅局限于局部網(wǎng)絡(luò)或單個交換機(jī)內(nèi)部，經(jīng)過網(wǎng)絡(luò)劃分后，整個網(wǎng)絡(luò)工程系統(tǒng)將成為一塊塊支離破碎的盲區(qū)。所以總公司選用的網(wǎng)絡(luò)核心層交換機(jī)應(yīng)具備跨越分支和主干自由地在全網(wǎng)范圍內(nèi)進(jìn)行劃分虛擬網(wǎng)的功能，而且所有網(wǎng)絡(luò)設(shè)備的虛擬網(wǎng)劃分功能應(yīng)當(dāng)基于IEEE802.1Q這個統(tǒng)一的標(biāo)準(zhǔn)。3.3第三層交換技術(shù)網(wǎng)絡(luò)通信中的大部分?jǐn)?shù)據(jù)流量不再局限于各子網(wǎng)內(nèi)部，這是Internet/Intranet的相關(guān)計算方式對各公司廣域網(wǎng)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的另一個重大考驗。網(wǎng)絡(luò)通信大多是跨越子網(wǎng)邊界訪問，它對網(wǎng)絡(luò)中相關(guān)設(shè)備處理子網(wǎng)間路由的能力要求非常高。傳統(tǒng)路由器以軟件方式進(jìn)行路由操作，這種操作方式產(chǎn)生的傳輸延遲是交換機(jī)產(chǎn)生的幾十倍，而且當(dāng)網(wǎng)絡(luò)負(fù)載變化時，延遲時間會隨之有很大變化，這很不利于多媒體的傳輸；由于采用價格昂貴的高性能處理器和大量高速內(nèi)存而導(dǎo)致性能價格比非常低，無法進(jìn)一步對吞吐量進(jìn)行提高。如今局域網(wǎng)主干上增加了許多的路由任務(wù)，以往路由器的吞吐量已經(jīng)不能滿足當(dāng)前的網(wǎng)絡(luò)需求，而過大的延遲又不能適應(yīng)語音通信、多媒體視頻的服務(wù)質(zhì)量需求，使用具有網(wǎng)絡(luò)層功能的交換機(jī)替代路由器實現(xiàn)低延遲、大容量的路由即第三層交換已勢在必行。各公司廣域網(wǎng)應(yīng)選用具有硬件實現(xiàn)的第三層交換能力的網(wǎng)絡(luò)交換機(jī)（本設(shè)計選用的是3560-24ps型三層交換機(jī)）用來滿足不斷增長的子網(wǎng)間通信需求，同時實現(xiàn)多媒體通信所要求的低延遲和延遲量的穩(wěn)定性。為了使網(wǎng)絡(luò)服務(wù)更好地支持不同應(yīng)用的服務(wù)質(zhì)量需求，應(yīng)當(dāng)考慮采用能夠根據(jù)不同應(yīng)用區(qū)別處理的具有應(yīng)用認(rèn)知功能的緩存設(shè)備和具有第四層智能的第二代多層交換機(jī)作為網(wǎng)絡(luò)主干設(shè)備，從而更有效地利用寶貴的網(wǎng)絡(luò)資源。Internet/Intranet計算是網(wǎng)絡(luò)計算進(jìn)一步發(fā)展的總體趨勢，它需要適應(yīng)應(yīng)用技術(shù)發(fā)展的需求，這不僅要求主干交換機(jī)，而且配線間工作組交換機(jī)也應(yīng)選擇具備第三層交換能力的設(shè)備，這樣可以在需要時分擔(dān)主干交換機(jī)的負(fù)載，更加有效地利用有限的主干帶寬。我們在強(qiáng)調(diào)網(wǎng)絡(luò)第三層交換功能的同時，以前的第二層交換技術(shù)也不能被忽視，主干和分支交換機(jī)都應(yīng)當(dāng)能夠在支持多層交換的同時支持我們可能需要的各種第二層交換技術(shù)，如快速以太網(wǎng)、ATM、FDDI、千兆以太網(wǎng)等。3.4網(wǎng)絡(luò)管理和流量監(jiān)控計算機(jī)網(wǎng)絡(luò)系統(tǒng)是全球各公司廣域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，它的運行狀態(tài)應(yīng)該得到全面的管理和監(jiān)控。OSI對網(wǎng)絡(luò)管理功能提出了性能管理、配置管理、安全管理、錯誤管理、記帳管理等五大要求，以此為基礎(chǔ)，該網(wǎng)絡(luò)管理系統(tǒng)應(yīng)當(dāng)選用基于工業(yè)標(biāo)準(zhǔn)的簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的開放式管理平臺，而且需要配合專用的網(wǎng)絡(luò)管理應(yīng)用作為網(wǎng)管系統(tǒng)的設(shè)計框架。網(wǎng)管系統(tǒng)應(yīng)支持設(shè)備的配置和監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測、網(wǎng)絡(luò)拓?fù)渥詣影l(fā)現(xiàn)和報告等功能，而且能夠提供簡單方便的圖形用戶接口。第三章介紹了網(wǎng)絡(luò)模擬工程施工過程中需要應(yīng)用到的網(wǎng)絡(luò)技術(shù)及其相關(guān)原理，其中重點介紹了網(wǎng)絡(luò)安全應(yīng)用技術(shù)。下面的第四章就是要對整個網(wǎng)絡(luò)模擬工程的施工進(jìn)行詳細(xì)的說明。第4章網(wǎng)絡(luò)模擬實驗工程總體規(guī)劃4.1網(wǎng)絡(luò)總體拓?fù)浔揪W(wǎng)絡(luò)工程方案的設(shè)計劃分為五個模塊，分別為：總公司內(nèi)部局域網(wǎng)網(wǎng)絡(luò)拓?fù)湓O(shè)計；總公司與分公司之間ppp+chap網(wǎng)絡(luò)拓?fù)湓O(shè)計；總公司內(nèi)部局域網(wǎng)接入廣域網(wǎng)拓?fù)湓O(shè)計；總公司與合作伙伴間廣域網(wǎng)上幀中繼通信網(wǎng)絡(luò)拓?fù)湓O(shè)計；總公司與公司出差人員間VPN網(wǎng)絡(luò)通信拓?fù)湓O(shè)計。網(wǎng)絡(luò)總體布局拓?fù)?如圖4-1：圖4-1網(wǎng)絡(luò)工程總體拓?fù)鋱D4.2項目工程網(wǎng)絡(luò)規(guī)劃4.2.1總公司內(nèi)部局域網(wǎng)規(guī)劃1.在總公司核心交換機(jī)上創(chuàng)建四個VLAN:VLAN2,VLAN3,VLAN4,VLAN8,分別分配給公司內(nèi)部，銷售部、研發(fā)部、后勤部、保安部，將公司劃分為四個網(wǎng)段，便于管理；2.各VLAN之間互相通信，由于公司各部門一些特殊的設(shè)備需要設(shè)置靜態(tài)IP，所以設(shè)需要留地址范圍是：-20，-30，-40；3.在核心層交換機(jī)上配置TELNET，網(wǎng)管中心對公司內(nèi)部局域網(wǎng)進(jìn)行遠(yuǎn)程控制管理。4.2.2總公司與分公司網(wǎng)絡(luò)規(guī)劃總公司與分公司之間PPP連接需封裝CHAP認(rèn)證，認(rèn)證密碼設(shè)為：123；總公司與分公司之間應(yīng)用OSPF技術(shù)實現(xiàn)網(wǎng)絡(luò)連接。OSPF路由協(xié)議的相關(guān)配置過程有如下幾個步驟：在相關(guān)路由器或三層交換上指定使用ospf協(xié)議，協(xié)議ID為10;在不同型號的路由設(shè)備上設(shè)置其路由ID；指定與路由器相連的網(wǎng)絡(luò)，區(qū)域號設(shè)置為0。分公司核心路由器為總公司保安部提供動態(tài)IP,其IP地址范圍是：-54；4.在總公司核心層交換機(jī)上應(yīng)用ACL技術(shù)，僅允許后勤部網(wǎng)段的80端口可以訪問分公司服務(wù)器。4.2.3總公司與廣域網(wǎng)間網(wǎng)絡(luò)規(guī)劃應(yīng)用了NAT技術(shù)，將公司內(nèi)部私有的IP地址轉(zhuǎn)換為公有的IP地址，使得公司內(nèi)部網(wǎng)絡(luò)接入廣域網(wǎng)。該NAT的配置大致可分為以下步驟：在邊緣路由器和ISP路由器上配置訪問控制鏈表，用以規(guī)定允許訪問廣域網(wǎng)IP范圍；將訪問控制鏈表與相應(yīng)的路由端口映射在一起；指定NAT網(wǎng)絡(luò)內(nèi)部和外部接口，用以確定NAT網(wǎng)絡(luò)數(shù)據(jù)的流向。2.網(wǎng)絡(luò)通信設(shè)置中，應(yīng)用ACL技術(shù)，過濾網(wǎng)絡(luò)中的流量，實現(xiàn)禁止保安部與后勤部訪問互聯(lián)網(wǎng)上資源的功能。3.網(wǎng)絡(luò)提供商設(shè)置DHCP協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動獲得IP地址。DHCP協(xié)議的配置主要有以下步驟:（1）設(shè)定DHCP協(xié)議IP地址池；（2）定義DHCP網(wǎng)絡(luò)地址，即一個網(wǎng)段，所有該網(wǎng)段內(nèi)的網(wǎng)絡(luò)設(shè)備只能獲得規(guī)定的該網(wǎng)段內(nèi)的IP地址；（3）配置該網(wǎng)段的網(wǎng)關(guān)；（4）給該網(wǎng)段配置DNS；（5）除去某些預(yù)留的IP地址段，網(wǎng)段內(nèi)設(shè)備啟動DHCP協(xié)議獲取IP地址時，不能獲取該段內(nèi)的IP地址。4.2.4總公司與合作伙伴間網(wǎng)絡(luò)規(guī)劃總公司與其合作伙伴間采用點對點通信并結(jié)合幀中繼技術(shù)，其網(wǎng)絡(luò)設(shè)計主要分為以下步驟:在相關(guān)路由器廣域網(wǎng)端口上封裝幀中繼協(xié)議；在上述物理端口上建立虛擬子接口，設(shè)置其為point-to-point類型，并為其配置相應(yīng)IP地址；給子接口配置DLCI值并建立對端協(xié)議地址與本地DLCI的映射關(guān)系；配置幀中繼中云相關(guān)端口,指定數(shù)據(jù)流流向的端口，從而實現(xiàn)點對點通信的鏈路連接。4.2.5總公司與出差人員間網(wǎng)絡(luò)規(guī)劃總公司與在外出員工間采用VPN技術(shù)，實現(xiàn)出差人員能夠訪問總公司的服務(wù)器功能。在VPN設(shè)計中，主要做以下工作:IKE（Internet密鑰交換）協(xié)議設(shè)置：（1）分別對通信兩端建立isakmp策略并且采用3des加密協(xié)議；（2）哈希采用md5算法驗證，雙方采用欲共享密鑰認(rèn)證方式；（3）對通道進(jìn)行加密，并設(shè)置對端IP地址；（4）為了增強(qiáng)數(shù)據(jù)傳輸中的安全性，創(chuàng)建變換集，采用esp-3des和esp-md5-hmac算法。２.應(yīng)用ACL技術(shù)定義感興趣流，確定通信雙方數(shù)據(jù)的流向。３.通過創(chuàng)建加密圖將感興趣流與變換集映射在一起，從而確定了受保護(hù)的數(shù)據(jù)流。４.將加密圖綁定在對應(yīng)的端口上。以上比較詳細(xì)的介紹了整個模擬網(wǎng)絡(luò)項目工程總體規(guī)劃以及其中比較重要的網(wǎng)絡(luò)技術(shù)或協(xié)議的設(shè)計流程，接下來是整個模擬網(wǎng)絡(luò)工程拓?fù)涞呐渲?。?章網(wǎng)絡(luò)模擬實驗項目配置概述5.1總公司內(nèi)部局域配置5.1.1核心層交換機(jī)配置在核心層交換機(jī)上配置:VLAN2、VLAN3、VLAN4、VLAN8四個虛擬局網(wǎng)段分別分配給：銷售部、研發(fā)部、后勤部及保安部。配置命令如下：1.創(chuàng)建虛擬局域網(wǎng)：Sw-35(config)#vlan2Sw-35(config-vlan)#vlan3Sw-35(config-vlan)#vlan4Sw-35(config-vlan)#vlan8Sw-35(config-vlan)#exit2.將核心層交換機(jī)f0/2、f0/3、f0/4、f0/8端口分別接入到四個局域網(wǎng)中，而且這四個端口分別連接到四個部門的接入層交換機(jī)上，這里僅列出一個端口的配置，其他端口配置與此相似：Sw-35(config)#intf0/2Sw-35(config-if)#switchportaccessvlan2Sw-35(config-if)#switchportmodeaccess5.1.2DHCP協(xié)議配置1.創(chuàng)建三個IPDHCP地址池分別命名為：xsb,yfb,hqb分別分配給銷售部、研發(fā)部、后勤部，其中之一配置為：Sw-35(config)#ipdhcppoolxsbSw-35(dhcp-config)#netSw-35(dhcp-config)#default-routerSw-35(dhcp-config)#dns2.保留一定范圍的IP地址，其相關(guān)配置是：Sw-35(config)#ipdhcpexcluded-address0Sw-35(config)#ipdhcpexcluded-address0Sw-35(config)#ipdhcpexcluded-address03.定義VLAN子接口，各部門的計算機(jī)可以自動獲得IP：Sw-35(config-if)#intvlan2Sw-35(config-if)#ipaddSw-35(config-if)#intvlan3Sw-35(config-if)#ipaddSw-35(config-if)#intvlan4Sw-35(config-if)#ipadd4.三層交換機(jī)上要實現(xiàn)各VLAN間的通信，需要開啟路由功能，其命令是：Sw-35(config)#iprouting5.網(wǎng)管中心對總公司核心層交換機(jī)進(jìn)行控制和管理命令：Sw-35(config)#linevty015Sw-35(config-line)#pass123Sw-35(config)#enablepass456Sw-35(config)#ipdefault-gatewaySw-35(config)#intf0/1Sw-35(config-if)#ipadd5.2總公司與分公司間網(wǎng)絡(luò)配置1.配置總公司與分公司實現(xiàn)網(wǎng)絡(luò)連通相關(guān)端口：R1(config)#intf0/0R1(config-if)#noshutR1(config-if)#ipaddR1(config)#ints1/0R1(config-if)#noshutR1(config-if)#ipadd2.配置OSPF路由協(xié)議實現(xiàn)總公司與分公司間相互通信，其中配置核心層交換機(jī)、路由器R1、R2的路由ID分別為：、、，其中僅列出了核心層交換機(jī)上OSPF的配置：Sw-35(config-if)#intf0/6Sw-35(config-if)#noswitchportSw-35(config-if)#ipaddSw-35(config)#routerospf10Sw-35(config-router)#router-idSw-35(config-router)#net55a03.為減輕總公司的負(fù)擔(dān)分公司提供DHCP中繼服務(wù)地址池-254，為保安部提供動態(tài)IP:R2(config)#ipdhcppoolbabR2(dhcp-config)#netR2(dhcp-config)#default-routerR2(dhcp-config)#dns4.需要在核心層交換機(jī)上給VLAN8配置IP，由于DHCP服務(wù)器與保安部設(shè)備不在同一廣播域內(nèi)，需要應(yīng)用IPHelper-address技術(shù)來實現(xiàn)為保安部提供動態(tài)IP的功能：Sw-35(config)#intvlan8Sw-35(config-if)#ipaddSw-35(config-if)#iphelper-address5.在R1與R2之間封裝PPP協(xié)議，并且建立chap認(rèn)證安全機(jī)制，認(rèn)證密碼為123，這里僅說明了R1的配置，R2配置與此相似：R1(config)#ints1/0R1(config-if)#encapsulationpppR1(config-if)#pppauthenticationchapR1(config-if)#exitR1(config)#usernameR2pass1236.后勤部只能訪問分公司服務(wù)器的HTTP服務(wù)，其他部門不受此限制，實現(xiàn)此功能需要應(yīng)用ACL技術(shù)，斷開網(wǎng)段與分公司服務(wù)器TCP連接（除80端口外）:Sw-35(config)#access-list100denytcp55host0neq80Sw-35(config)#access-list100permitipanyanySw-35(config)#intf0/6Sw-35(config-if)#ipaccess-group100out5.3總公司接入互聯(lián)網(wǎng)配置1.為實現(xiàn)總公司與互聯(lián)網(wǎng)的，核心層交換機(jī)f0/5端口作為與外部網(wǎng)絡(luò)連接的接口，其配置：Sw-35(config-if)#intf0/5Sw-35(config-if)#noswSw-35(config-if)#ipadd2.邊緣路由器是連接總公司與廣域網(wǎng)的路由器，其f0/0端口配置IP：bound(config)#intf0/0bound(config-if)#ipadd3.網(wǎng)絡(luò)供應(yīng)商（網(wǎng)通）路由器ISP與總公司邊緣路由相連接，將公司局域網(wǎng)連接到廣域網(wǎng)上:ISP(config)#intf0/0ISP(config-if)#ipaddISP(config-if)#noshutISP(config)#ints1/0 ISP(config-if)#ipaddISP(config-if)#noshut 4.在ISP上配置DHCP為邊緣路由器的f0/1端口提供動態(tài)IP:ISP(config)#ipdhcppoolboundISP(dhcp-config)#netISP(dhcp-config)#deISP(dhcp-config)#dns5.打開邊緣路由器的f0/1端口，并設(shè)置其從DHCP獲得IP:bound(config)#intf0/1bound(config-if)#noshutbound(config-if)#ipadddhcp6.配置INTERNET，在其上設(shè)置環(huán)回口lo1,模擬公司內(nèi)部局域網(wǎng)可以與互聯(lián)網(wǎng)相連通：Internet(config)#ints1/0Internet(config-if)#noshutInternet(config-if)#ipadd0Internet(config-if)#clockrat64000Internet(config-if)#intlo1Internet(config-if)#ipadd7.在邊緣路由器上配置ospf協(xié)議,實現(xiàn)公司局域網(wǎng)與便于路由器的連接，為公司局域網(wǎng)接入廣域網(wǎng)作中繼：bound(config)#routerospf10bound(config-router)#router-idbound(config-router)#net55a08.為了公司內(nèi)部局域網(wǎng)的安全，配置單向路由阻止外部網(wǎng)絡(luò)訪問公司內(nèi)部資源：Sw-35(config)#iproute9.在ISP上執(zhí)行NAT轉(zhuǎn)換，允許銷售部、研發(fā)部接入INTERNET(后勤部、保安部除外):在邊緣路由器上配置訪問控制列表10，允許銷售部、研發(fā)部接入：bound(config)#access-list10permit55bound(config)#access-list10permit55bound(config)#ipnatinsidesourcelist10intf0/1overloadbound(config)#intf0/1bound(config-if)#ipnatoutsidebound(config-if)#intf0/0bound(config-if)#ipnatinside 在ISP路由器上配置訪問控制列表20，允許銷售部、研發(fā)部接入 互 聯(lián)網(wǎng)：ISP(config)#access-list20permit55ISP(config)#ipnatinsidesourcelist20ints1/0overloadISP(config)#ints1/0ISP(config-if)#ipnatoutsideISP(config-if)#intf0/0ISP(config-if)#ipnatinsideISP(config)#iproute05.4總公司與合作伙伴間網(wǎng)絡(luò)配置5.4.1幀中繼配置1.總公司核心路由器R1與合作伙伴相連接的端口配置：R1(config)#ints1/1R1(config-if)#ipaddR1(config-if)#noshut2.總公司與合作伙伴1、2封裝幀中繼并配置點對點協(xié)議，這里僅列出了其與合作伙伴1連接的命令,其他合作伙伴配置命令與此相似：連接端口的配置：R6(config)#intf0/0R6(config-if)#noshutR6(config-if)#ipadd在物理端口（廣域網(wǎng)端口s0/1/0）封裝幀中繼協(xié)議:R6(config-if)#ints0/1/0R6(config-if)#noshutR6config-if)#clockrate64000R6(config-if)#encapsulationframe-relay在物理端口上建立子接口，并指定接口類型:point-to-point，并配置IP地址：R6(config-if)#ints0/1/0.1point-to-pointR6(config-subif)#ipadd給子接口配置DLCI值

:R6(config-subif)#frame-relayinterface-dlci30建立對端協(xié)議地址與本地DLCI的映射關(guān)系:R6(config-subif)#descriptionlinktoR5dlic20應(yīng)用OSPF協(xié)議實現(xiàn)總公司與合作伙伴幀中繼分裝PPP的連接:R6(config)#routerospf10R6(config-router)#router-idR6(config-router)#net55a0R6(config-router)#net55a05.4.2幀中繼云配置配置幀中繼中云相關(guān)端口,指定數(shù)據(jù)流流向的端口，從而實現(xiàn)點對點通信的鏈路連接，該鏈接端口配置如圖5-1：圖5-1幀中繼云端口配置圖5.5出差人員與總公司間VPN配置總公司核心路由器R1建立VPN相關(guān)端口配置：R1(config)#intf0/1R1(config-if)#noshutR1(config-if)#ints1/2R1(config-if)#noshutR1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#intf0/1R1(config-if)#ipaddR1(config-if)#exit5.5.1IKE第一階段IKE配置：1.建立isakmp策略10:R1(config)#cryptoisakmppolicy102.采用3des加密:R1(config-isakmp)#encryption3des3.哈希采用md5驗證:R1(config-isakmp)#hashmd54.采用欲共享密鑰認(rèn)證方式:R1(config-isakmp)#authenticationpre-share R1(config-isakmp)#exit5.對通道進(jìn)行加密，并設(shè)置對端IP地址:R1(config)#cryptoisakmpkey123abcadd5.5.2IKE第二階段1.創(chuàng)建變換集sset，后面兩項為加密傳輸?shù)乃惴?R1(config)#cryptoipsectransform-setssetesp-3desesp-md5-hmac2.定義感興趣流：R1(config)#access-list110permitip55555.5.3感興趣流與變換集映射1.創(chuàng)建加密圖123abc序號10:R1(config)#cryptomap123abc10ipsec-isakmp 2.VPN隧道對端的IP地址:R1(config-crypto-map)#setpeer3.使用上面創(chuàng)建的變換集:R1(config-crypto-map)#settransform-setsset 4.定義進(jìn)行加密傳輸?shù)臄?shù)據(jù),與第一步對應(yīng)引入訪問列表確定受保護(hù)的數(shù)據(jù)流:R1(config-crypto-map)#matchaddress110R1(config-crypto-map)#exit5.5.4綁定Map接口R1(config)#ints1/2R1(config-if)#cryptomap123abcR1(config-if)#exitR1(config)#iproute第五章主要介紹了整個模擬網(wǎng)絡(luò)工程的詳細(xì)配置過程，接下來的第六章是在網(wǎng)絡(luò)模擬平臺上進(jìn)行網(wǎng)絡(luò)模擬項目實驗，從而展示其網(wǎng)絡(luò)模擬功能。網(wǎng)絡(luò)模擬平臺項目實驗前五章基于PacketTracer軟件將網(wǎng)絡(luò)模擬系統(tǒng)工程平臺已經(jīng)搭建完畢，本章主要介紹基于本系統(tǒng)來實現(xiàn)相關(guān)的網(wǎng)絡(luò)模擬項目實驗。6.1網(wǎng)絡(luò)模擬系統(tǒng)平臺項目實驗6.1.1模擬VLAN相互通信實驗1.實驗?zāi)康模?）理解VLAN的原理及功能；（2）掌握不同VLAN間通信原理；（3）掌握VLAN的配置，實現(xiàn)局域網(wǎng)內(nèi)VLAN間的通信。2.技術(shù)優(yōu)點（1）控制網(wǎng)絡(luò)廣播風(fēng)暴，VLAN是基于交換式以太網(wǎng)數(shù)據(jù)鏈路層網(wǎng)絡(luò)技術(shù)，它能夠?qū)?nèi)部局域網(wǎng)根據(jù)交換機(jī)端口劃分成一個個邏輯上相互獨立的網(wǎng)段，從而有效的控制了網(wǎng)絡(luò)廣播風(fēng)暴。（2）確保網(wǎng)絡(luò)安全，以上劃分的網(wǎng)段間是不能直接相互通信的需要借助第三層網(wǎng)絡(luò)路由功能才能實現(xiàn)相互通信，因此VLAN能限制用戶對相關(guān)網(wǎng)絡(luò)的訪問，從而保證了網(wǎng)絡(luò)的安全性。（3）簡化網(wǎng)絡(luò)管理，網(wǎng)絡(luò)管理員能應(yīng)用VLAN技術(shù)方便管理整個網(wǎng)絡(luò)，將不同地理位置的網(wǎng)絡(luò)終端劃分在同一VLAN中，實施統(tǒng)一高效的控制管理。3.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-1所示。圖6-1VLAN實驗拓?fù)鋱D4.本實驗是基于三層交換機(jī)來配置VLAN，并實現(xiàn)VLAN間的通信，其主要配置步驟如下：進(jìn)入vlan

database模式，在該模式下設(shè)置不同的VLAN；進(jìn)入相關(guān)端口配置模式，并配置該端口為access模式

；把相關(guān)的端口劃分到對應(yīng)VLAN中；進(jìn)入相關(guān)VLAN配置模式，為其設(shè)置IP，即該網(wǎng)段網(wǎng)關(guān)；在三層交換機(jī)上啟動iprouting命令，實現(xiàn)VLAN間網(wǎng)絡(luò)通信。該實驗基于本網(wǎng)絡(luò)模擬系統(tǒng)，配置模擬完成了VLAN的設(shè)置及不同VLAN間相互通信的實驗項目。6.1.2網(wǎng)絡(luò)模擬DHCP實驗1.實驗?zāi)康模?）理解DHCP的原理及功能；（2）掌握DHCP的配置過程。2.技術(shù)優(yōu)點（1）安全可靠性高，在網(wǎng)絡(luò)層設(shè)備上設(shè)置DHCP協(xié)議，終端設(shè)備就能自動獲得IP地址，避免了手動配置IP出現(xiàn)的不同設(shè)備IP地址沖突及配置出錯的問題。（2）減輕管理員IP設(shè)置的工作負(fù)擔(dān)，應(yīng)用DHCP協(xié)議技術(shù)減少了網(wǎng)絡(luò)配置的時間，終端設(shè)備的IP地址自動獲得，不需管理員逐一配置。3.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與圖6-1相同。4.本項實驗是基于三層交換機(jī)的路由功能來實現(xiàn)DHCP協(xié)議的配置，其主要配置步驟如下：（1）設(shè)定DHCP協(xié)議IP地址池；（2）定義DHCP網(wǎng)絡(luò)地址，即一個網(wǎng)段，所有該網(wǎng)段內(nèi)的網(wǎng)絡(luò)設(shè)備只能獲得規(guī)定的該網(wǎng)段內(nèi)的IP地址；（3）配置該網(wǎng)段的網(wǎng)關(guān)；（4）給該網(wǎng)段配置DNS；（5）除去某些預(yù)留的IP地址段，網(wǎng)段內(nèi)設(shè)備啟動DHCP協(xié)議獲取IP地址時，不可以獲取該段內(nèi)的IP地址。該實驗基于本網(wǎng)絡(luò)模擬系統(tǒng)，模擬完成了DHCP協(xié)議的配置以及網(wǎng)段內(nèi)終端設(shè)備能夠自動獲得IP地址功能的項目實驗。 6.1.3網(wǎng)絡(luò)模擬NAT實驗實驗?zāi)康模?）理解NAT的原理及功能；（2）掌握NAT的配置；（3）實現(xiàn)應(yīng)用NAT技術(shù)訪問廣域網(wǎng)資源功能。2.技術(shù)優(yōu)點（1）IP地址轉(zhuǎn)換，NAT技術(shù)可以實現(xiàn)私有IP地址與公有IP地址的轉(zhuǎn)換，從而實現(xiàn)內(nèi)部局域網(wǎng)與廣域網(wǎng)之間的網(wǎng)絡(luò)連通。（2）減緩可用IP地址空間的枯竭，使用NAT技術(shù)，不同局域網(wǎng)內(nèi)部可使用相同的IP地址，當(dāng)內(nèi)部局域網(wǎng)與廣域網(wǎng)通信時，NAT實現(xiàn)局域網(wǎng)內(nèi)部與廣域網(wǎng)IP地址的轉(zhuǎn)換功能。3.本實驗結(jié)合了ACL技術(shù)實現(xiàn)內(nèi)部局域網(wǎng)對公網(wǎng)資源的訪問，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-2所示。圖6-2NAT實驗拓?fù)鋱DNAT網(wǎng)絡(luò)實驗主要配置步驟如下：(1)在邊緣路由器和ISP路由器上配置ACL，用以規(guī)定允許訪問廣域資源的網(wǎng)段；(2)將ACL允許的私有源地址配置轉(zhuǎn)換成公有網(wǎng)絡(luò)地址；(3)將訪問控制鏈表與相應(yīng)的路由端口映射在一起；(4)指定NAT網(wǎng)絡(luò)內(nèi)部和外部接口，用以確定NAT網(wǎng)絡(luò)數(shù)據(jù)的流向；(5)配置IPROUTE命令實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的路由連接。該實驗基于本網(wǎng)絡(luò)模擬系統(tǒng)，配置模擬完成了NAT實驗項目。6.1.4網(wǎng)絡(luò)模擬幀中繼實驗實驗?zāi)康模?）理解幀中繼的原理及功能（2）掌握幀中繼的配置（3）配合PPP協(xié)議實現(xiàn)廣域網(wǎng)幀中繼通信2.技術(shù)優(yōu)點（1）傳輸時延小、速率高，傳輸帶寬按需分配，適合為局域網(wǎng)提供互連（2）組網(wǎng)以及網(wǎng)絡(luò)處理簡單（3）一個端口可以實現(xiàn)多個網(wǎng)絡(luò)設(shè)備的連接（4）可以和不通網(wǎng)絡(luò)速率的用戶通信3.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-3所示。圖6-3幀中繼實驗拓?fù)鋱D幀中繼網(wǎng)絡(luò)實驗主要配置步驟如下：（1）在相關(guān)路由器廣域網(wǎng)端口上封裝幀中繼協(xié)議；（2）在上述物理端口上建立虛擬子接口，設(shè)置其為point-to-poi