企业网络互连系统的设计和实验仿真

黄要武

摘要：为了在网络工程与系统集成课程中提高学生的综合实践能力，增加工程项目经验，将实际网络工程项目“企业网络互联系统”引入课堂，包括设计、安装、配置和测试。利用软件Cisco Packet tracer完成网络设备配置实验仿真，使每个学生仅用一臺PC完成一个综合的网络工程项目训练。

关键词：企业网络设计;网络互联;Packet Rracer;仿真实验

中图分类号：TP393.1        文献标识码：A

文章编号：1009-3044（2021）06-0046-03

网络工程师是网络工程专业的主要培养目标，而应聘网络工程师时通常需要工程项目经验，这需要毕业生在毕业前就做好充分准备。获得经验的途径主要有两条，一个是依靠网络设备实验室搭建网络环境进行实践训练，另一个是通过校外工作实习。但是多数高校的实验设备通常只能满足一些基本技能的练习;而在短期的社会工作实践中，对于综合能力和经验均不足的学生，只能做一些皮毛工作，能力很难得到提高。最好的办法就是能将实际工程项目案例引入课堂，让学生在实习前就能具备一定的工程项目经验。我们将“企业网络互联系统”经过提炼和适当修改，用于学生网络综合技能训练，并结合设备模拟器软件Cisco Packet tracer完成实验仿真。经过多轮教学实践验证，既解决了实验设备的不足问题，又给学生提供了工程项目经验。

1 项目场景

某钢铁股份有限公司总部位于市郊区，主要负责生产和管理。公司设立了一个分支机构，位于市中心，主要负责销售。公司计划实现企业的生产和销售的信息化管理。主要需求如下：

（1）总部共有三个建筑，主楼、建筑A和建筑B。总部计算机用户总数为115，分布在这三个建筑里的数量分别为60、25、30。市内分支机构用户数量15。总部用户需要与分支机构用户实时连接。

（2）所有用户通过快速以太网接入，都能访问Internet。

（3）用户划分为三个部门，技术与生产部、销售部和财务部。暂时所有部门用户都能够互相访问，以后制定部门用户间的隔离政策。

（4）网络布线系统已经完成。网络信息中心设在主楼。每个建筑物网络的干线采用多模光纤，用户接入均为超五类双绞线。建筑群采用单模光纤连接主楼、建筑A和建筑B。

2 项目分析和设计

根据用户需求，设计的网络结构拓扑图如图1所示，分为总部网络和分支机构网络两个部分。总部网络采用二层结构，核心层和接入层。干线采用吉比特以太网连接，用户接入采用快速以太网连接。常用的一些服务器直接千兆连接到核心交换机。由于每个建筑仅设计一个配线间，用户接入比较集中，所以采用了堆叠技术。总部网络与分支机构互联选用租用的专线或以太网线路。内部网与Internet之间使用防火墙过滤数据包，提高内部网的安全性。

本项目实现的难点在于，让所有部门用户都能访问因特网的同时，还要考虑部门用户间隔离。这需要先采用VLAN技术隔离部门用户，再通过三层交换技术互连所有用户，最后还需要在核心交换机上设置ACL，限制某个部门用户与其他部门的访问。因为用户需求是以后考虑部门用户间的隔离，所以暂时可以省略最后一步的ACL配置。这个ACL的配置可以留给学生做扩展练习。当然，如果用户不需要隔离，以上三步配置都没必要了。

3 仿真实现

3.1 搭建网络环境

使用软件Cisco Packet tracer搭建网络模拟环境如图2所示。核心交换机选用一台型号为3560-24FS的三层交换机（Switch0），防火墙选用路由器（Router3）代替，总部用户接入交换机选用一台2950-24（Switch1）代表。对于外网的模拟，仅有一台主机供测试即可，这里用三台服务器Web（Server0）、DNS（Server1）、FTP（Server2），以达更好仿真效果。

3.2 规划IP地址

内部网使用地址段172.16.0.0/24划分子网，分配给VLAN1、VLAN2、VLAN3、VLAN4，如表1所示。设备的管理IP地址分配如表2所示。外网使用公网地址段210.30.108.0/24，由ISP分配给企业的公网地址段为210.30.108.240/29，企业Web和FTP网站使用两个地址（见表3），其他用于NAT地址池。测试使用的各PC和服务器主机的IP地址分配如表3所示。

3.3 配置网络设备

由于配置比较复杂，为了便于识别，在图2中标注了每台设备的主要配置内容。主要配置思路如下：

（1）局域网的配置。在核心交换机上设置VTP Server，划分VLAN，配置三层交换的VLAN端口地址，设置Trunk端口，设置Telnet访问。所有接入交换机设置为VTP Client，设置与核心交换机连接的端口为Trunk，分配用户PC连接的端口到相应的VLAN，设置管理IP地址及Telnet访问。核心交换机的配置参考如下（接入交换机的配置略）。

Switch0#show run

！……

hostname Switch0

ip routing

！

interface FastEthernet0/1

switchport access vlan 2

！……

interface Vlan1

ip address 172.16.1.1 255.255.255.0

！

interface Vlan2

ip address 172.16.2.1 255.255.255.0

！

interface Vlan3

ip address 172.16.3.1 255.255.255.0

！

router rip

network 172.16.0.0

！

ip classless

ip route 0.0.0.0 0.0.0.0 172.16.1.3

……

！

line vty 0 4

password 123

login

end

（2）路由的配置。內部网配置RIP，分别在Router1、Router2、Router3和三层交换机Switch0上配置。为了让内部网用户访问外网，分别在Router1、Router2和三层交换机上Switch0上配置默认路由，指向外网方向。需要注意，Router1的下一跳地址取决于Switch0的端口F0/1连接的VLAN。这里将Switch0的端口F0/1分配到VLAN2，因此Router1的下一跳地址为VLAN2端口的地址172.16.2.1。Router1配置参考如下（Router2的配置略）。

Router1#show run

！……

hostname Router1

interface FastEthernet0/0

ip address 172.16.2.2 255.255.255.0

duplex auto

speed auto

！

interface Serial0/1/0

ip address 172.16.5.1 255.255.255.0

clock rate 2000000

！

router rip

network 172.16.0.0

！

ip route 0.0.0.0 0.0.0.0 172.16.2.1

！……

line vty 0 4

password 123

login

end

（3）NAT和ACL的配置。在与外网连接的路由器Router3上配置NAT，允许内部网172.16.0.0/16地址转换，公网地址池为210.30.108.243～210.30.108.246。设置指向外网的默认路由。ACL。为了保障NAT成功，避免数据包通过RIP访问外网，使用标准ACL过滤172.16.0.0/16地址的包流向外网。路由器Router3的配置参考如下。

Router3#show run

！……

hostname Router3

interface FastEthernet0/0

ip address 172.16.1.3 255.255.255.0

ip nat inside

duplex auto

speed auto

！

interface FastEthernet0/1

ip address 210.30.108.1 255.255.255.0

ip access-group 10 out

ip nat outside

duplex auto

speed auto

！

router rip

network 172.16.0.0

！

ip nat pool to-internet 210.30.108.243 210.30.108.246 netmask 255.255.255.0

ip nat inside source list 1 pool to-internet overload

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

！

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 10 deny 172.16.0.0 0.0.255.255

access-list 10 permit any

！……

line vty 0 4

password 123

login

end

4 网络系统的测试

第一步，测试局域网。验证PC1、PC2和PC3之间能够ping通，确认VTP、VLAN配置、三层交换和PC的IP设置等正确。

第二步，测试RIP路由。验证PC4与路由器Router3的端口F0/0（地址172.16.1.3）的网络连通性，确认RIP配置正确。

第三步，测试Internet访问。验证内部网的任何一台PC与外部网的任何一台Server之间的连通性，并检查路由器Router3的NAT转换统计，确认Router3的NAT、ACL、默认路由以及Server的IP设置等正确。Router3的NAT转换统计参考如下，如果不能显示类似的地址转换数据，说明NAT没有工作，可以从ACL、NAT等设置逐一检查。

Router#show ip nat translations

Pro  Inside global     Inside local       Outside local      Outside global

icmp 210.30.108.243：15 172.16.4.5：15      210.30.108.242：15  210.30.108.242：15

icmp 210.30.108.243：16 172.16.4.5：16      210.30.108.242：16  210.30.108.242：16

icmp 210.30.108.243：17 172.16.4.5：17      210.30.108.242：17  210.30.108.242：17

icmp 210.30.108.243：18 172.16.4.5：18      210.30.108.242：18  210.30.108.242：18

第四步，测试Telnet管理。验证PC1能够通过管理IP地址分别Telnet到各个设备。

第五步，如果能进一步适当设置DNS、Web和FTP服务器，还可以在PC上测试，通过浏览器访问外网的网站主机，测试结果参考如图3所示。服务器配置部分可以留给学生选做。

5 结束语

本项目将实际的工程项目案例以仿真形式引入课堂，对提高学生的网络系统设计、设备的安装和配置等综合能力效果明显。如果能将更多的实际工程案例以这种方式引入课堂教学中，对学生应聘网络工程师一定会帮助很大。由于篇幅有限，文中略去了一些简单的内容，在实际运用时需适当补充。本项目内容也可以供网络工程师实际应用参考。同时也应当清楚，模拟仿真虽然优点很多，仍然存在诸多不足，只能用于初级阶段的网络工程专业学习。使用真实设备搭建网络环境仍然是最佳的能力训练方式。

【通联编辑：代影】