基于Cisco 模拟器的中小企业网络配置方案设计

朱建帮,何 军

(安徽商贸职业技术学院,安徽 芜湖 241002)

0 引言

伴随着网络时代的迅猛发展,企业的组织架构变得相当扁平,显得更加灵活多变,从而使得企业的业务种类变得十分复杂,大量的业务系统需要迁移到云端,同时自身的一些数据和IT 资产要保留在内网中,这样可以对原有的网络进行减负,增加现有网络的稳定性和安全性。 本次案例以Cisco 模拟器中的三层交换机为核心交换机,使用VLAN 技术和NAT 技术实现内外网的通信和 VLAN 之间的联系。

1 相关知识点概念讲解

1.1 Cisco 模拟器

Cisco Packet Tracer 是由思科系统设计的跨平台可视化仿真工具,允许用户创建网络拓扑以模仿计算机网络和使用命令行界面来模拟配置思科路由器和交换机[1]。 Packet Tracer 的用户界面为拖放式,允许用户根据自己的需要添加和删除模拟的网络设备。 该软件主要面向参加思科网络工程师认证考试的学生,作为他们备考思科网络工程师认证考试的学习工具。

1.2 三层交换机与二层交换机的区别

二层交换机属数据链路层设备,可以识别数据包中的MAC 地址信息,所以二层交换机的数据交换基于MAC 地址,反观三层交换机的交换工作在OSI 七层网络模型中的第3 层即网络层,是利用第3 层协议中的IP 包的包头信息来对后续数据业务流进行标记。 三层交换机具有VLAN 功能,交换和路由,基于IP,就是网络。

1.3 VLAN 技术

虚拟局域网(Virtual Local Area Network,VLAN 或V-LAN)是一种建构于局域网交换技术(LAN Switch)的网络管理技术,为实现交换机以太网的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。 这种对连接到第2 层交换机端口的网络用户的逻辑分段技术实现非常灵活,可以不受用户物理位置限制,根据用户需求进行VLAN 划分;可在一个交换机上实现,也可跨交换机实现;可以根据网络用户的位置、作用、部门,或使用的应用程序、上层协议,或以太网连接端口硬件地址进行划分[2]。

1.4 NAT 技术

网络地址转换(Network Address Translation,NAT),NAT 是作为一种解决IPv4 地址短缺以避免保留IP 地址困难的方案而流行起来的,在很多国家广泛使用。 Basic NAT 要求对每一个当前连接都要对应一个公网IP 地址,NAPT 这种方式支持端口的映射,并允许多台主机共享一个公网IP 地址。 支持端口转换的NAT 又可以分为两类:源地址转换和目的地址转换。 前一种情形下发起连接的计算机的IP 地址将会被重写,使得内网主机发出的数据包能够到达外网主机[3-4];后一种情况下被连接计算机的IP 地址将被重写,使得外网主机发出的数据包能够到达内网主机。 实际上,以上两种方式通常会一起被使用以支持双向通信。

2 实验内容

2.1 实验目标

理论知识目标要求了解网络规划(VLSM,CIDR等)、基础网络(VLAN,OSFP,RIP 等)以及网络平台搭建的过程和原理。 技能知识目标要求掌握Cisco 交换机、路由器的简单模拟环境搭建,熟练掌握Cisco 交换机、路由器的命令配置和操作步骤。

2.2 实验场景及任务描述

假设某小型企业现有的设备为:两台服务器、两台思科服务器、一台思科三层3 560 交换机、3 台思科2 960 两层交换机以及3 个部门若干电脑。 企业网络拓扑图设计方案如图1 所示,企业内网地址规划如表1所示。

表1 企业内网地址规划

图1 企业网络拓扑图设计

任务一:3 个部门可以跨区域协同办公。

任务二:公司员工可以进行上网以及访问内网资源。

任务三:要求在外办公的员工可以访问到公司内网的资源。

2.3 实验步骤

公司内部有3 个部门需要与企业内网地址规划相对应划分所属的VLAN,配置公司部门办公电脑的IP地址,也可以使用DHCP 方式进行IP 地址分配,部分代码如图2 所示。

图2 二层交换机VLAN 配置信息

按照公司要求查看公司内部服务器中所存在的应用资源(FTP 服务器、Web 服务器等),配置三层交换机VLAN 信息以及网关地址,针对性地做ACL 策略,部分代码如图3 所示。

图3 三层交换机配置网关地址相关信息

根据网络拓扑图配置公司内部路由器网络接口信息,对网络进行合理的分析,选用合适的路由协议,查看路由链接情况,并测试网络的联通性,部分代码如图4 所示。

图4 企业内部路由OSPF 路由配置信息

根据公司网络的实际情况配置公司内部路由器,添加DNAT,PNAT 策略并进行安全性功能的相关配置,部分代码如图5 所示。

图5 企业内部路由器NAT 转化配置信息

3 实验设计的实施方案测试结果

3.1 在企业内部电脑PC0 上Ping 通PC1 和PC2 测试结果

Ping 通PC1 和 PC2 测试结果,如图6 所示,测试结果可见,PC0 可以与PC1 和PC2 正常通行,由此可以得出,二层交换机和三层交换机的VLAN 设置正确,三层交换机VLAN 之间的路由也配置成功,这样内网之间的通信也即可保持畅通。 但是,配置太过于单一,仅局限于网络的通信,在实际生产活动中需要更多的需求,比如VLAN 之间的隔离、限制某时间段内网上外网的设置、内网端口安全的设置等,这些都需要在具体实施中加以体现。

图6 Ping 通PC1 和PC2 测试结果

3.2 企业内网客户机Ping 通外网SERVER0 服务器和访问内网SERVER1 服务器Web 服务测试

PC0 上Ping 通SERVER0 服务器测试,如图7 所示,测试结果可以看出,内外网访问实现畅通,但是在安全性方面尚欠考虑,外网访问内网没有做加密处理,这样对于黑客来说,内网的重要资源直接裸露在外网之中,如果在真实的环境中,需要在内网中加上防火墙以及安全WAF 产品,以此来保护企业核心资源的安全性,此次测试则受限于模拟器实验的局限性。

图7 PC0 上Ping 通SERVER0 服务器和访问Web 服务测试

4 实验结果分析与反思

通过客户终端Ping 命令和客户端浏览器访问服务器网站的反馈,可以判断这次实验的成功性和可行性,其中实验的重难点在于VLAN 的划分以及路由协议的选择。 在实际的生产活动中可能还不够,例如需要配置ACL 策略、带宽策略、QoS 策略等。 随着时代的发展需求,简单的网络配置中需要更多的安全配置以防范黑客的攻击。 现有的配置中,VLAN 的放行不严谨,ACL 策略颗粒度大,OSPF 路由协议存在漏洞,所以要加强安全的相关配置。 比如,OSPF 协议在宣告网段没有进行加密操作,黑客就可以与任何一台路由器建立邻居关系,从而获取内部信息,重要的财务部门VLAN 之间没有做隔离,对于公司来说是非常致命的。

以上是对本实验技术层面的分析,但是实验和实践往往存在很大的差异,实验的成功离实际生产生活还有很大一步需要去谋划。 现实中的企业,既需要考虑企业用户的需求,也需要考虑企业的成本问题。 在满足用户需求的同时,需要充分地降低成本,这就要丰

富的实践经验和扎实的理论知识。 以本实验为例,需要考虑如何充分地利用企业原有的设备进行网络规划和设计;网络设备是否能够再次利用;对于楼宇之间的接入,交换机是否需要更换升级来提高传输的速度;原有的设备之间的网线可否再次利用等。 对于特殊用户群体,在不提高成本的情况下满足其要求,比如企业的技术部门需要更快更稳定的网络环境,在网络设计中对于带宽的分配就要做出详细颗粒化的动态分配,对于网络要求不是太高的部门进行网络和应用下载限制,从而保障关键部门的网络环境,而不是简单地提高出口带宽。

5 结语

本设计方案充分地利用了企业原有的设备进行网络拓扑设计分析,通过VLAN 技术将各部门的网络进行隔离,保障了日后的管理,IP 地址得到了优化,NAT技术解决了企业内外网的连通性,同时保障了外出办公人员外出访问公司内网的基本需求。

理论与实践相结合,是计算机有关教学课程中非常关键的一种方法与手段,针对高等专科学校的学生,使其提高动手能力和熟练程度是适应社会的最好方法。 实验类课程对于高等专科学校学生的技能素养的提高有着举足轻重的地位,应当在课程和人才培养计划中适当地提高实验类课程占有的比例,同时加大加强实验室、实训室的建设和教师技能的培养工作,为高等专科学校大力培养高素质技能型人才创造更好的条件。