低成本和高拓展性网络管理实验方案的设计与实现

余瑞丰 牛德智 白文华

收稿日期：2023-08-17

基金项目：国防科技大学院级教育教学研究课题（JY21B015）；陕西省自然科学基础研究项目（2019JQ-715）

DOI：10.19850/j.cnki.2096-4706.2024.06.038

摘  要：针对当前网络工程、网络安全专业在网络管理实验教学方面的不足，提出一种在有限的教学资源下，综合运用虚拟化技术、网络技术（虚实结合）的低成本、高拓展性网络管理实验方案。该方案可提供灵活的网络管理环境，降低了教学平台的建设成本，提高了网管管理教学的课堂学习效果，能够为想要学习网络管理的教学、管理及技术人员提供一定的参考和依据。

关键词：高拓展性；网络管理；虚实结合；实验设计

中图分类号：TP393.0    文献标识码：A  文章编号：2096-4706（2024）06-0178-08

Design and Implementation of Low Cost and High Expansibility Network Management Experimental Scheme

YU Ruifeng1， NIU Dezhi2， BAI Wenhua1

（1.School of Information and Communication， National University of Defense Technology， Wuhan  430019， China;

2.Trial and Training Base， National University of Defense Technology， Xi'an  710061， China）

Abstract： Aiming at the shortcomings of current network engineering and network security majors in network management experimental teaching， a low-cost and highly expansibility network management experimental scheme is proposed， which integrates virtualization technology and network technology （with the combination of virtual and reality） under limited teaching resources. This scheme can provide a flexible network management environment， reduce the construction cost of the teaching platform， improve the classroom learning effect of network management teaching， and can provide a certain reference and basis for teaching， management， and technical personnel who want to learn network management.

Keywords： high expansibility; network management; the combination of virtual and reality; experimental design

0  引  言

在互聯网技术飞速发展、网络规模迅速扩张、网络业务种类层出不穷的现实背景下，网络管理的重要性日益凸显。网络管理是指对网络的运行状态进行监测和控制，使其能够安全有效、经济合理地提供服务[1-4]。在实际就业中，有相当一部分人员从事网络管理工作，各大高校也相继开设了计算机网络的有关课程，但各类计算机网络管理课程学习中普遍缺少对学生的实训练习和能力培养，同时也存在许多问题。本网络管理实验方案的实施，可以帮助学生更好地理解网络管理原理，提升他们的网络管理岗位任职能力。

结合国防科技大学信息通信学院网络管理教学组多年的教学改革经验，提出一种在有限的教学资源下，综合运用虚拟化技术、网络技术（虚实结合）的低成本、高拓展性网络管理实验方案。综合使用实体交换机和PC机、虚拟化工具VMware Workstation、华为eNSP及VirtualBox、H3C网管平台iMC，以SNMP管理技术为核心，在网络设备的使用上以静态路由、ARP代理为通信基础，全面构建网络管理教学模型。详细的仿真实验和结果分析表明，该方案可以为相关专业教育教学人员的教学提供一定的参考和依据。

1  当前网管教学中存在的问题

网络管理教学内容的设计，主要体现在网络管理功能的实现。OSI将网络管理划分为配置管理、性能管理、故障管理、安全管理和计费管理五大功能[5-7]。计算机网络及实训课程中一般会设置相关实验，但在传统实验环境中仍会面临一些实际问题。

1.1  教学实验中的被管设备不足

多数高校的网络工程、网络安全专业，在计算机网络或路由交换技术的实训教学中一般会采用Cisco的EVE、华为的eNSP、H3C的HCL模拟器[8]，可以仿真的路由交换设备受实验PC机内存的影响，16 GB内存的主机一般不超过10台，难以仿真实际用到很多设备的网管管理环境。

1.2  教学组网方式受限

每名学生可管理的网络拓扑连接关系局限于单台实验主机，灵活组网的可拓展能力差，不能实现与其他管理人员的协同管理，无法模拟实际工作中分权分级的分布式网络管理结构，课程所展现的综合实验场景缺乏多样性，导致学生对网管人员工作过程的体验欠佳。

1.3  教学实验管理系统不足

由于网络管理系统成本高昂，市场价格可达几十万元以上，难以保障每个学员都能使用，大多高校一般会采购一套网管系统部署在服务器分发子账号给多个学生使用，批量实验时会出现卡顿，高度依赖服务器的性能。由于会有很多学生同时使用一套网管系统，不同学生的实验操作会相互干扰，使得可能会影响网络环境的误操作增多，严重影响网络管理的学习效果。

2  网络管理实验设计关键技术及软件工具

2.1  SNMP技术

在网络管理的具体实施过程中，首先需要依托一种管理模型来设计管理系统软件。SNMP是传统网络中广为使用的一种网络管理技术，它是一种基于TCP/IP的应用层协议，以SNMP技术为核心的网络管理模型称为SNMP网络管理模型，其设计理念源于OSI网络管理模型，也是传统网络中大多数计算机网络管理结构的基础[9，10]。SNMP网管模型需要具备管理者（Management）、代理（Agent）和协议（Protocol）三个要素。管理者作为监控被管设备的执行者，通过主动和被动两种形式收集被管设备信息，对其进行整理和图形化呈现；代理程序运行在被管设备上，通过不断查询、记录、上报被管设备上管理信息库MIB中更新内容的方式来获取被管设备的具体管理信息；SNMP协议作为管理者和代理之间通信的主要协议，具备轮询和trap两种通信机制[11，12]。轮询是由管理者主动发起的，通过与运行在被管设备上代理程序的周期性交互，不断更新同步被管设备上MIB變化的方式，采用161端口，管理站会周期性发起get-request操作的报文，被管设备响应get-response报文实现交互。trap机制是指当被管设备状态发生一定程度的变化时，主动向管理者发送trap报文进行告警的一种方式，采用162端口。SNMP通过轮询和trap两种通信机制实现对被管网络设备近乎实时的管理，并通过读写团体字（Community）的方式对通信报文进行安全确认。

2.2  静态路由和ARP代理

本实验在网络连通部署上采用了静态路由和ARP代理技术。静态路由是一种网络路由配置方法，用于手动指定网络数据包在网络中的传输路径，它不会随网络拓扑结构的改变而改变[13]。

ARP代理是ARP协议的一个变种，可以使没有配置缺省网关的主机与其他网络中的主机实现通信，网关收到源计算机的ARP请求后会使用自己的MAC地址和目标计算机的IP地址对源计算机进行应答[14]，使原本被路由器隔开的广播域重新连通。

2.3  仿真平台

华为企业网络仿真平台（Enterprise Network Simulation Platform， eNSP）是一款免费、可扩展、图形化操作的网络设备仿真平台，可以对企业级路由器、交换机等进行仿真[15-17]。通过与VirtualBox开源虚拟机软件的结合，仿真更多型号的路由交换设备，与Wireshark软件的结合可以对捕获的报文进行协议分析。

VMware Workstation是一款虚拟桌面计算机软件，它为用户提供了在单一桌面上同时运行不同操作系统的能力，并可为用户开发、测试、部署新的应用程序提供最佳解决方案。该软件所部署的虚拟机系统具有易于迁移、复制和快速重装的特点[18，19]。

H3C iMC是一款由H3C公司开发、为用户提供简单易用网络管理功能的平台软件，商用版价格昂贵，教学实验采用免费试用版，license使用期限为45天，使用期限与操作系统绑定，重装系统可以再次使用。

3  网络管理实验方案

3.1  实验目的

为全面推进网络管理教学手段创新及实训平台的搭建，采取以下方式和手段：

1）实施网络管理实验可使学生深刻体会并验证SNMP网络管理的原理，掌握网络管理的具体流程。

2）使用虚实结合的手段构建基于SNMP协议的网络管理模型体系，使网络管理中涵盖设备、拓扑、告警等主要功能，使学生在实验后能够获得对网络进行有效管理的基本能力。

3.2  实验清单

实体设备：浪潮S5660 V2-48T4X-S交换机1台、PC主机2台、双绞线若干。

虚拟设备与软件平台：eNSP模拟仿真的AR2200路由器3台、S3700交换机2台、PC机3台，VMware Workstation仿真的Server 2008服务器2台、H3C iMC网管系统2套。

3.3  实验总体设计思路

提供可以实现单人单机、互不影响的低成本、高拓展性网络管理实验方案。方案需要满足SNMP网管模型要素的构建、各要素间通信的实现以及基本网络管理功能的呈现。

网管模型的构建要素如下：

1）SNMP管理模型中的管理者。在两台本地实体PC上分别使用VMware Workstation仿真服务器部署H3C iMC网管系统，规划管理站的地址。

2）运行代理程序的被管设备。eNSP仿真的路由器3台、交换机2台，在虚拟设备上通过配置命令使代理程序生效。

各要素间的通信实现：

1）实体部分的网络。两台实体PC机通过浪潮交换机互联。此时在单台PC机的连接关系上，管理者和代理（被管设备）都集合在实体PC一处，多个实体PC端（本次实验使用2台，具有可拓展性）又互联在同一实体交换机之下，这样可以保障每名学生在被管网络中的个人操作独立，在需要协作时又可以连通，进行分级网管间的实验模拟。

2）虚拟部分的网络。在本地PC端通过eNSP的云桥接功能将虚拟网络与真实设备连接之后，教师和学生即可以根据上课需要，在eNSP搭建的虚拟网络中使用静态路由、OSPF等网络协议扩展配置虚拟局域网，形成更大的被管网络。

3）虚实设备之间的通联。本方案选择静态路由作为跨网段通信的路由手段，可以更为简单、清晰地呈现实验效果。由于在本实验中管理者和代理分别采用不同的虚拟系统进行仿真模拟，在主机上产生了多块虚拟网卡，在初始连接状态下跨虚拟系统的设备之间并不能相互通信，通过开启虚拟路由器的ARP代理功能，可以简单有效地将广播帧透明传输到多个虚拟系统设备，满足实验所需的通信要求。

4）网络管理功能呈现。使用H3C iMC网管系统实现对被管网络设备、拓扑、告警、性能的管理。

其虚实结合后在逻辑上的网络结构如图1所示。

图1  虚实结合的网络管理实验模型逻辑拓扑

3.4  实验任务

分步完成网管实验方案的部署与验证：

1）虚拟化服务器搭建的网管站与被管虚拟设备之间的连通。

2）使用网管站对仿真网络设备进行添加和管理，并进行拓扑查看。

3）分析SNMP轮询和trap报文，验证SNMP的工作原理。

3.5  详细网络规划

通过VMware在第一台实体PC中创建服务器1台，安装iMC网管站1套，使用eNSP模拟可开启代理的网络被管设备。通过云桥接功能将虚拟网络中的设备与本地实体PC连通，在虚拟网络中模拟两个以太网子网，分别设置不同的网段，通过静态路由将R1与R2之间的子网连通。第一台实体PC规划如图2所示，第二台实体PC规划如图3所示。

图2、图3中各设备的具体命名及IP地址规划如表1所示。

图2  第一台实体PC上的设备拓扑

图3  第二台实体PC上的设备拓扑

表1  设备IP地址规划

实体设备 虚拟设备 接口 IP地址

第一台

实体PCA PCA本地网卡 — 192.168.5.50/24

服务器与iMC网管站M1 — 192.168.5.250/24

二层交换机S1 — —

二层交换机S2 — —

路由器R1 E0/0/0 192.168.5.150/24

E0/0/1 192.168.6.150/24

G0/0/0 192.168.8.254/24

路由器R2 E0/0/0 192.168.6.151/24

G0/0/0 192.168.7.254/24

测试PC1 — 192.168.7.1/24

测试PC2 — 192.168.7.2/24

测试PC3 — 192.168.8.1/24

实体设备 虚拟设备 接口 IP地址

第二台

实体PCB PCB本地网卡 — 192.168.5.3/24

服务器与iMC网管站M2 — 192.168.5.203/24

路由器R1 E0/0/0 192.168.5.103/24

核心交换机CORE E0/0/1 N/A

E0/0/2 N/A

4  虚实结合的网络管理实验方案的实现

4.1  第一台实体PCA配置步骤及内容

SNMP网管模型仿真及虚实间通信配置：

1）PCA的本地以太网卡IP地址设置为192.168.

5.50/24。在PCA的Windows系統中通过VMware工具创建虚拟机，为虚拟机配置4核、4 GB内存、40 GB存储空间。在所创建的虚拟机上安装Server 2008操作系统，在该操作系统上安装H3C iMC。通过桥接模式将虚拟机与PCA的本地以太网卡相连。配置服务器的地址为192.168.5.250/24。此步骤完成SNMP中管理站M1的建立。

2）通过eNSP创建R1、R2，然后启动代理，完成SNMP中被管设备的创建。

主要配置代码如下：

R1的配置：

[R1] interface Ethernet0/0/0

[R1-Ethernet0/0/0]ip address 192.168.5.150 255.255.

255.0 #配置e0/0/0的IP地址

[R1] interface Ethernet0/0/1

[R1-Ethernet0/0/1]ip address 192.168.6.150 255.255.

255.0 #配置e0/0/1的IP地址

[R1] interface GigabitEthernet0/0/0

[R1-GigabitEthernet0/0/1]ip address 192.168.8.254 255.255.255.0 #配置R1作为192.168.8.0的网关出口

[R1] ip route-static 20.0.0.0 255.255.255.0 30.0.0.1             #配置R1到20.0.0.0网络的静态路由

[R1] ip route-static 192.168.7.0 255.255.255.0 192.168.

6.151     #配置R1到192.168.7.0网络的静态路由

[R1]snmp-agent #启动代理程序

[R1]snmp-agent community read 123 #配置读团体字为123

[R1]snmp-agent community read 321 #配置写团体字为321

[R1]snmp-agent sys-info version all #允许通过的SNMP版本为所有

[R1]snmp-agent target-host trap address udp-domain 192.168.5.250 params securityname 123 #SNMP Trap报文发送指向M1网管站地址，安全名123

[R1-Ethernet0/0/1]arp-proxy enable 由于路由器隔离广播域，使能该接口的ARP代理功能

R2的配置：

[R2] interface Ethernet0/0/0

[R2-Ethernet0/0/0]ip address 192.168.6.151 255.255.

255.0 #配置e0/0/0的IP地址

[R2] interface GigabitEthernet0/0/0

[R2-GigabitEthernet0/0/1]ip address 192.168.7.254 255.255.255.0 #配置R2作为192.168.7.0的网关出口

[R2] ip route-static 192.168.5.0 255.255.255.0 192.

168.6.150 #配置R2到192.168.5.0网络的静态路由

[R2] ip route-static 192.168.8.0 255.255.255.0 192.

168.8.254 #配置R2到192.168.8.0网络的静态路由

*** R2上SNMP配置和R1相同，此处不再重复***

3）虚拟网络和本地PCA实体网卡通信的Cloud组件配置。Cloud1选取绑定信息，创建虚拟通道，一端连接R1左端口E0/0/0，一端连接PCA物理网卡，创建PCA与虚拟设备的通道，在端口映射处选择对创建的端口进行双向通道连通，配置参数如图4所示。

图4  Cloud1上的配置参数

4.2  第二台实体PCB配置步骤及内容

分级网管站与被管网络的拓展部署仿真、虚实间通信配置：

1）PCB与PCA类似，本地网卡地址为192.168.

5.3/24，服务器的地址为192.168.5.203/24，完成管理站M2的建立。

2）通過eNSP创建R1，功能上与PCA一致，主要配置代码变化如下：

R1的配置：

[R1] interface Ethernet0/0/0

[R1-Ethernet0/0/0]ip address 192.168.5.103 255.255.

255.0  #配置e0/0/0的IP地址

[R1]snmp-agent target-host trap address udp-domain 192.168.5.203 params securityname 123  #配置trap信息和安全确认

3）eNSP创建能和本地PCB网卡通信的云cloud组件，配置方法如图4所示。

4.3  CORE交换机配置

将PCA和PCB分别接入浪潮交换机的上下前两个LAN接口，实现实体设备的连通，划分同一VLAN即可，代码如下：

[SW]vlan 10  #创建VLAN10

[SW] interface Ethernet0/0/0

[SW -Ethernet0/0/0]port link aceess

[SW -Ethernet0/0/0]port default vlan 10  #配置将e0/0/0划入VLAN10

[SW] interface Ethernet0/0/1

[SW -Ethernet0/0/1]port link aceess

[SW -Ethernet0/0/1]port default vlan 10  #配置将e0/0/1划入VLAN10

5  网络管理功能实现及验证分析

5.1  验证VM虚拟服务器与被管虚拟设备之间的连通性

在PCA上的PC1对网管站M1执行ping命令，PC1（192.168.7.1）可以和M1（192.168.5.250）通信，如图5所示。M1可以与PCA上R1、R2的网关通信，如图6所示。

5.2  验证设备管理、拓扑查看和可拓展性

1）验证设备管理。在本地PCA或PCB中，使用浏览器登录http：//192.168.5.250/imc：8080打开网管站M1界面，通过手动添加设备方式添加虚拟路由器，设置读团体字123、写团体字321。添加成功后可以对被管虚拟设备R1进行管理。同样添加管理设备R2。如图7所示，可以查看到R1设备的详细信息，图中蓝色“可修改”字体代表缺省状态下权限是读写的管理信息。

2）验证拓扑查看。使用网管站M1拓扑查看功能，可以看到网管站中呈现的拓扑关系与图2规划的网络情况一致，如图8所示。

3）验证被管网络的拓展性。按照上述方法操作管理站M1，通过SNMP协议添加PCB上的R1，结果如图9所示。

PCB上网管站M2可以添加PCB上的R1，过程如上，不再赘述演示。证明该方案可以不断拓展网络组网规模。

5.3  验证SNMP原理

1）验证轮询过程。当前管理关系中，M1可以对PCA上的R1、R2以及PCB上的R1进行管理，M2可以对PCB上的R1进行管理。Wireshark是当前广泛使用的网络抓包分析软件，通过Wireshark抓取PCA上R2左端e0/0/0接口，并观察采用UDP占用161端口，可以看到地址为192.168.5.250的网管站M1和地址为192.168.7.254的R2设备在重复进行SNMP的get-request请求和get-response的响应报文交互，从而可以证明SNMP轮询是通过161端口进行周期性的轮询通信，如图10所示。

2）验证trap过程。Trap报文产生于网络故障。为达到实验目的，需要主动制造一个故障。在PCB的eNSP中对R1左端接口e0/0/0进行接口关闭操作，主动使PCB上R1网络中断。代码如下：

[R1] interface Ethernet0/0/0

[R1-Ethernet0/0/0]shutdown    #关闭结构e0/0/0

等待网管站生成告警反馈，结果如图11所示。通过Wireshark对PCB上R1的E0/0/0接口进行抓包，抓包结果如图12所示。

通过抓包发现162端口下PCB上R1产生的trap数据包，因为在步骤4.2中PCB上R1进行SNMP代理配置时指向的trap发送地址是192.168.5.203，故该trap报文是从203这个地址转发到250的。抓包结果可以证明SNMP中trap是故障设备通过162端口主动发送的单次报文，证明SNMP实验成功并可以实现交互管理。

6  结  论

本文设计的实验方案满足当前对传统网络管理教学的实验需求，已应用于我校本科、大专教育两个层次4个教学班的教学实践中，并取得了较好的教学效果。保证了学生单人单机独立完成网管功能实验，解决了网管资源紧缺和灵活组网的问题。SNMP是传统网络中最常用的管理协议，未来在SDN网络中也会发挥重大作用，熟练掌握SNMP网络管理原理并学会使用网管工具，是发现网络异常事件、分析网络隐患、制定网络规划策略的重要基础和依据。

参考文献：

[1] 郭军.网络管理：第3版 [M].北京：北京邮电大学出版社，2008.

[2] 康松林.现代通信网络管理 [M].北京：中国铁道出版社有限公司，2019.

[3] 雷震甲.計算机网络管理 [M].北京：人民邮电出版社，2014.

[4] 王宏，王承松，郦苏丹.计算机网络管理困境与对策 [J].计算机工程与科学，2021，43（11）：1952-1958.

[5] 单厚华.基于SDN的高可用网络管理架构的设计与实现 [D].上海：华东师范大学，2022.

[6] 邓博展.基于SNMP及SYSLOG协议的网络管理系统的设计与实现 [D].哈尔滨：哈尔滨工程大学，2021.

[7] 云红艳，高磊，杜祥军，等.计算机网络管理：第2版 [M].北京：人民邮电出版社，2014.

[8] 李凤银，禹继国，鞠宏伟，等.基于eNSP的网络工程实践教学体系探索 [J].实验技术与管理，2018，35（3）：209-212.

[9] 王焕然，徐明伟.SNMP网络管理综述 [J].小型微型计算机系统，2004（3）：358-366.

[10] 赵慧，蔡希尧.网络管理体系结构综述 [J].计算机科学，1999（9）：67-71.

[11] 贾宇琪.基于MIB动态解析技术的集群网络管理系统的设计与实现 [D].北京：北京邮电大学，2019.

[12] 蒋冉.基于SNMP的光传输设备网元软件系统的设计与实现 [D].上海：华东师范大学，2022.

[13] 田安红，付承彪.虚拟化网络平台下静态路由选择研究 [J].实验技术与管理，2014，31（3）：102-104.

[14] 时晨，赵洪钢，余瑞丰，等.基于eNSP的高可靠性企业园区网设计与仿真 [J].实验室研究与探索，2020，39（2）：112-117.

[15] 孟祥成.基于e NSP的防火墙仿真实验 [J].实验室研究与探索，2016，35（4）：95-100.

[16] 郭文普，陈天豪，杨百龙.基于eNSP的中小型企业组网实验设计 [J].实验室研究与探索，2022，41（2）：125-129+296.

[17] 甘发旺，张利香.基于eNSP虚拟平台的校园网络设计与研究 [J].网络安全技术与应用，2023，269（5）：85-87.

[18] 刘海燕.VMware虚拟化技术：第2版 [M].北京：中国铁道出版社，2021.

[19] 唐世泽.基于应用虚拟化的网络仿真实验平台的研究与实现 [D].北京：北京交通大学，2023.

作者简介：余瑞丰（1990—），男，满族，黑龙江哈尔滨人，讲师，硕士，研究方向：军事通信网管理。