武 装
摘 要:本文提出应充分利用在高校现有的公共校园网络平台,结合学校计算机教育教学需求,构建校园网络课程教学与实验的环境,为学习者提供访问便捷、接近现实环境的网络教学和实验平台。目前具体建设实现内容主要包括三个部分:IPv6技术学习与实验平台;校园网网络数据分析与研究平台;网络管理与网络安全技术学习平台,是利用校园网络资源实现计算机网络相关课程教学改革的有益尝试。
关键词:校园网 网络课程 实验
中图分类号:G434文献标识码:A 文章编号:1673-8454(2009)17-0059-04
一、引言
随着互联网的飞速发展,社会对网络技术人员的需求也在持续增加。为在学校搞好计算机网络课程的教育、教学工作,提高计算机专业学生的实践能力,提供真实的、接近现实环境的网络实验平台是十分必要和迫切的。传统的计算机教学实验大多在计算机机房中完成,这一方面限制了学习实验的时间与地点,给学习者带来很大不便;另一方面计算机机房内很难提供非常真实的网络环境,很难达到网络课程的教学实验目的。基于计算机网络课程的教学现状及实际的提高网络教学便捷性与高效性的需求,笔者经过多年的计算机网络相关课程的教育、教学工作,根据自己的校园网络规划、建设、管理经验,特提出在高校现有的校园网内建设网络课程教学与实验的开放环境。
二、总体介绍
教学实验平台的建设基于学校的校园网,教学实验平台既属于整个校园网的一部分,又是一个独立的子系统。实验平台自成一体,学习者可以到网络实验室直接接入实验平台进行学习研究,同时,整个实验平台又接入到校园网核心设备上,这样学习者也可以不必进入网络实验室,而是通过任意的校园网接入信息点进入到实验平台网络当中进行学习研究,这样就极大地方便了学习者。教学实验平台的建设基于上面的设想与构思,目前具体建设内容主要包括三个部分:IPv6技术学习与实验平台;校园网网络数据分析与研究平台;网络管理与网络安全技术学习平台。除以上列举的学习内容外,还可以根据教学的实际需要增加其他的学习实验环境,下面逐一介绍三个子平台的建设情况。
三、IPv6技术学习与实验平台
1.平台建设背景
IPv6技术克服了原有协议栈的很多缺点,具有逐渐替代IPv4技术的趋势。这一替代过程需要较长的过渡时期,实现这种过渡的主要技术包括:隧道、地址翻译、双栈。基于网络技术这一发展现状及未来趋势,通过在校园网络内建设IPv6学习与实验平台,可为学习及研究者提供内容丰富、效果生动而且可以随时随地操作的网络学习实验环境。
2.平台建设现状
(1)网络环境
目前建设完成的校园网中已包含了IPv4网络、IPv4/IPv6混合网络、IPv6网络等多种网络技术。在对外出口方面,除了原有的Internet 接入与中国教育和科研计算机网(CERNET)接入资源外,目前还实现了1G光纤接入CERNET2。
实验平台既属于整个校园网的一部分,又是一个独立的子系统。平台由多台IPv6路由器,网络交换机和一套分布式网络协议分析系统构成。同时,整个实验平台通过两根千兆光纤接入到校园网核心IPv6设备上,这样学习者也可以不必进入网络实验室,而是通过任意的校园网接入信息点进入到实验平台网络当中进行学习研究。实验平台网络拓扑如图1所示。
(2)硬件配置
实验网络的硬件配置包括两大部分:
第一部分是一些校园网络当中原有的设备,包括:Cisco6509 核心交换机,Cisco7609核心IPv6路由器。
第二部分是完全用于实验研究的非在线网络设备,包括:H3C MSR 5040路由器、H3C MSR 3040 路由器、H3C S3610-28TP 以太网交换机。
以上所有设备均支持IPv4/IPv6混网技术及IPv6纯网技术。涉及了国外主流品牌Cisco设备以及国内主流品牌H3C设备。
(3)系统参数配置
对现有设备的配置主要包括三部分:
第一部分是基本网络配置,包括端口的IPv6地址的配置,命令如下:
ipv6 address 2001:0DB8:2:1234/64
exit
第二部分是路由配置,列举OSPF路由协议配置,命令如下:
ipv6 ospf 109 area 1
interface Ethernet7/0
ipv6 address 2001:0DB8:0:0:7::/64 eui-64
ipv6 enable
ipv6 ospf 1 area 1
第三部分是配置IPv4网络与IPv6网络的互联,涉及了现有的三类过渡技术,下面列举其中的隧道技术:
ip address 192.168.99.1 255.255.255.0
interface tunnel 0
ipv6 address 3ffe:b00:c18:1::3/127
tunnel source ethernet 0
tunnel destination 192.168.30.1
tunnel mode ipv6ip
ip address 192.168.30.1 255.255.255.0
interface tunnel 0
ipv6 address 3ffe:b00:c18:1::2/127
tunnel source ethernet 0
tunnel destination 192.168.99.1
tunnel mode ipv6ip
3.实验平台应用情况
实验平台目前可为学习者提供的学习及实验环境有:
(1)混网下实验研究:IPv4向IPv6过渡技术的研究,IPv4技术与IPv6技术的比较;
(2)纯网下实验研究:IPv6网络基本概念,IPv6网络规划与实施;
(3)IPv6相关命令的练习测试:端口IPv6地址配置、IPv6网络中静态路由配置、IPv6网络中动态路由协议配置;
(4)IPv6应用研究:IPv6网络环境下DHCP、DNS、WWW等服务的规划配置。
四、校园网网络数据采集与分析平台
随着网络在校园内的普及以及下一代互联网的应用与发展,校园网内网络数据日趋庞大而且错综复杂,由此,对校园网网络数据采集与分析的科研就显得尤为重要。一方面,校园网网络数据分析可以配合防火墙、IDS(Intrusion Detection Systems)入侵检测系统更好地保护网络安全;另一方面,校园网网络数据分析可以了解校园网用户行为的特点,更好地为用户提供网络服务,提高网络使用效率。
1.校园网网络数据的采集
目前,我校的校园网已经成功接入INTERNET和CERNET2网络,拓扑结构如图2所示。
校园网网络数据包括IPv4及IPv6两种数据包,过渡方式采用双协议栈。为了获取全部的网络数据包而又不影响网络的带宽,这里采用端口镜像的方法。即将获取网络数据的服务器部署到IPv4/IPv6双协议栈核心交换机上,并对此交换机的外出口进行端口镜像,再将网络服务器的网卡设为混杂模式,这样网卡就能够抓取所有进出校园网的数据报,为校园网网络数据分析研究提供了原始数据。
配置端口镜像命令格式如下:
#monitor session number source interface mod_number/port_number both
#monitor session number destination interface mod_ number/port_number
2.校园网网络数据的分析研究
通过端口镜像的方式获取了网络数据报后,就要根据具体的需求来分析网络数据。常见的分析方法有网络流量分析、网络用户行为分析等。
(1)校园网网络流量分析。网络流量是记录和反映网络及其用户活动的重要载体。目前,除了传统的HTTP、Email、Web、FTP等应用外,P2P的应用越来越多,因此,网络流量的分析主要采用分类统计的方法。而网络流量分类又主要有聚类和分类两种算法。聚类是根据数据之间的相似程度将数据划分成不同的数据集合,使得这些数据集合内部对象之间相似度大,而数据集合之间的差别大。而分类是一种有监督的学习,其目的是根据数据集的特点构造一个分类函数或分类模型(也常称做分类器)。该模型能将未知类别的样本映射到给定类别中的某一个。
(2)校园网网络用户行为分析。网络用户行为是指网络用户的构成、特点以及其在网络应用过程中行为上所表现出来的规律和模式,而网络行为分析就是运用多学科知识研究和分析这种规律。网络行为分析的过程主要包括三个阶段:预处理阶段、网络用户行为的模式发现阶段,以及网络用户行为模式分析阶段。预处理阶段是指将各种可利用数据源,如网络日志、网络数据包等转化为行为数据的提取过程。预处理阶段是整个网络行为分析的基础。网络用户行为的模式发现阶段是指利用各种知识、方法发现网络行为的规律。常用的方法有统计分析、关联规则、分类、序列分析、联系分析以及依赖模式等。网络用户行为模式分析阶段是指对模式发现中不关心的规则
或模式进行过滤处理。模式分析最常用的分析方法有知识的查询机制,如SQL。
五、网络管理与网络安全技术学习平台
1.校园实验网络环境实现的目标
基于校园网实验网络环境的建设中,首要目标就是实现为学校任何地域的任何人群在任何时间提供绝大部分网络功能的网络操作平台。这个平台不但要具有普遍性,还要具有可控性,要实现管理方便,操作安全。
2.设备选型
校园网的核心路由器是Cisco6509,防火墙选用FWSM防火墙模块。选用Cisco2600作为实验网的核心路由器,Cisco3500作为接入交换机,另外提供两台IBMX346服务器分别作为Windows操作系统和Unix操作系统攻防演练服务器。
3.拓扑设计及设备配置
平台拓扑结构如图3所示。
首先进行实验网内部的连通性配置。分配给网络设备的IP地址段为172.168.0.0/24,分配给服务器的IP地址段为172.168.1.0/24。为了实现这两个IP段的网络访问,核心路由2600上必须做相应的配置,命令如下:
interface fastEthernet 0/1.1
encapsulation dot1Q 10
ip address 172.168.0.1 255.255.255.0
2600对VLAN的区分是通过子接口来实现的,网络设备IP段的VLAN号是10,网关是172.168.0.1。对服务器IP段的配置另起一个子接口如上配置即可,服务器IP段的VLAN号是11,网关是172.168.1.1。3500交换机的配置:把与路由2600连接的端口配置成TRUNK端口,建立网络设备IP段的VLAN10和服务器IP段的VLAN11,并把与服务器连接的端口划分到服务器的VLAN11里,然后为3500交换机配置好IP地址和默认网关。最后为服务器配置上IP地址,子网掩码和网关。
接下来进行实验网与校园网的连通性配置。从物理连接上看,实验网的核心路由器2600是直接连接到校园网的核心路由器6509,但是为了实现对实验网的访问控制,事实上的逻辑链路是要经过6509上的防火墙模块FWSM,如图3的拓扑所示。要实现实验网和校园网的互通,要分别在2600、FWSM、6509上做相应的路由配置。首先2600的配置如下:
interface fastEthernet 0/0
ip address 172.168.2.1 255.255.255.252
ip route 0.0.0.0 0.0.0.0 172.168.2.2
FWSM与2600之间通过172.168.2.0/30这个网段路由,FWSM与6509之间通过172.168.3.0/30这个网段路由,由于校园网启用了OSPF(Open Shortest Path First,开放式最短路径优先)动态路由协议,所以在FWSM上只需把路由加入OSPF参与动态路由即可,但是2600是没有启用OSPF的,所以它下连的网段要在FWSM上写静态路由并参与OSPF广播。这样就实现了实验网与校园网的互联,并且访问策略可以由FWSM控制。
4.安全策略以及攻防服务器安全策略
实验网的访问对象应该局限到校内,应该在FWSM上做IP策略加以限制。由于网络设备和服务器的应用目的不同,所以这两组设备应该分属两组不同的策略。对网络设备而言,首先应该开放校园网对实验网网络设备的SNMP(Simple Network Management Protocol,简单网络管理协议)访问,被访问的网络设备也应该启用SNMP协议,定义相应的读写团体字,以及相应的TRAP主机来实现自身的SNMP功能。而网络设备对校园网的访问应该限制到具体的某台FTP服务器和安装了网管软件的TRAP主机。
对于攻防服务器而言,必须把访问服务器的对象限制在校园网内,服务器上也应该做好基本的安全策略,对于Windows的服务器要安装相应的杀毒软件并启用自带的防火墙,补丁应打SP2。对于Unix的服务器,只需要安装较新版本的操作系统即可。两台服务器都要开启远程控制,以便管理员操作和管理。由于攻防服务器处于比较恶劣的网络环境中,安全性是很难保障的,所以一定要限制其对校园网的访问,以免影响整个校园网的安全。
六、结束语
随着高校信息化的快速发展,大量的资金、技术、人员投入到了校园网络建设当中,硬件环境建设完成之后,更多的是思考如何利用校园网资源为学校教学科研服务。本文正是着眼于此,在实际应用当中,通过上面几个教学实验平台的建设,结合计算机网络体系结构、网络管理等相关课程的教学实践,取得了较好的效果,为计算机网络课程的教育、教学改革提供了新的思路。
参考文献:
[1]武装.计算机网络管理原理与实现[M].北京:电子工业出版社,2009.4.
[2]谢希仁.计算机网络[M].北京:电子工业出版社,2003.
[3]Silvia Hagen.IPv6精髓[M].北京:清华大学出版社,2004.
[4]邬贺铨.下一代互联网和下一代网[J].北京:世界电信,2004(6).
[5]杨家海.推动纯IPv6网络的建设[J].中国教育网络,2006(6).
[6]王志峰,陈海.IPv6下流量监测系统的分析[J].计算机与现代化,2007(7).