Packet Tracer在独立学院网络教学中的应用研究

和凤珍　石进平　贾志洋

摘要：将Cisco Packet Tracer仿真软件引入到计算机网络课程教学中，运用VLAN、DHCP、NAT、OSPF、WIFI、IPSec VPN和端口映射技术组建云南大学旅游文化学院校园网，实现了不同校区、因特网之间的互联互通。利用仿真工具教学不仅有助于加深学生对计算机网络的认识，同时激发了学生的创造性和积极性，提高了学生未来职业素养和就业竞争力，而且有助于完成很多真实环境中不易完成的实验。

关键词：Packet Tracer；校园网；仿真；OSPF； IPSec； NAT

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）03-0123-06

近年来，计算机网络在云计算时代上的应用越来越注重分布式计算。作为高校计算机网络课程的教师，如何在更好地讲授计算机网络课程的同时切实提高学生学习的积极性和创造性，提高学生的实际动手能力和效率是一项严峻的挑战。文献[1]、[2]详细分析了在真实环境下进行计算机网络实验教学的局限性。利用仿真工具可以帮助教师打破现实环境对计算机网络课程教学的束缚，而且仿真软件可以让学生灵活地参与到学习活动中，提高学生的学习的积极性和创造性。Cisco Packet Tracer模拟仿真软件很好地解决了上述问题。

在这篇文章中，我们以云南大学旅游文化学院为例演示了如何在Cisco Packet Tracer工具中模拟组建校园网。该工具软件可以让学生建立真实的网络，触及真实的网络环境并感受一些关于未来职业工作中需要做的事情。

本文的内容组织如下：第1部分是组网设计，网络拓扑结构、VLAN、DHCP、NAT、VPN等关键技术将在本部分进行详细分析；第2部分是网络设备功能的具体配置实现；第3部分是测试，DHCP、VPN、NAT和连通性将被测试；第4部分是结束语，对本文工作进行总结。

1 组网设计

1.1网络拓扑结构图

校园网由校本部、因特网、分校区三部分组成，采用三层网络结构即核心层、汇聚层和接入层，实现校本部与因特网、分校区的互联互通，同时可以进行家庭办公。校本部校园网的核心使用带路由功能的核心三层交换机（Multi Switch），它向外与因特网的出口路由器相联，向内联接汇聚层交换机和网管中心，使得校内各个主机相互连接且相互能够通信，并接入因特网，汇聚层交换机下联接入层交换机，接入层交换机则直接与用户终端相连，为了简化拓扑结构，所有接入层的交换机在图1中均未给出。分校区采用二层交换机连接内网各主机、出口路由并接入因特网。另外还模拟了采用无线网络访问Internet。图1中的拓扑结构图是在Cisco Packet Tracer 5.3.1软件界面下绘制的，图1中只是象征性的画出了教学楼、宿舍、图书馆、网管中心等实例，在实际情况中，还可以扩展很多，但配置实现的原理都相同。

1.2 VLAN

本文采用静态端口分配的方法在交换机上划分了4个VLAN ，如表1所示。端口分别连接到对应的部门，并为每一个接口设置一个IP地址，这些IP地址同时也将作为各个部门计算机的默认网关。最后在启动三层交换机上的路由功能，实现个网段的互相通信。被分配在一个VLAN里的主机通过交换机只能和本VLAN的主机通信[3]。

1.3 DHCP

校园网内计算机非常多，除服务器需要手动配置静态IP地址外，其他计算机一般都是自动获取IP地址。一般情况下，DHCP对自己直联网段内的主机，通过配置地址池，可以直接实现DHCP服务[4]。但这需要在核心三层交换机Multi Switch启用DHCP服务，为每个VLAN独立动态的分配地址。配置完毕后需单击其图标，选择Desktop下的IP Configuration配置中选择DHCP选项即可自动获取IP地址。详细信息如表2所示：

1.4 NAT

由于IPV4地址紧缺，可获得的公网IP又不能满足校园众多计算机的接入因特网的需求。因此，校内网一般采用专用地址（私有地址），但网内主机又必须和因特网上的主机通信，目前使用得最多的方法是采用网络地址转换NAT。NAT至少需要一个全球IP地址（100.1.1.2）才能和因特网相连。NAT技术虽然解决了IP地址紧缺的问题，但是NAT也破坏了传统的端到端的传输方式。

1.5 端口映射

由于校园内网使用的是私有地址，因此因特网上的主机不能访问其内部，但是有时候内网的Web服务器需要对外发布信息，这时就要采用端口映射技术，只要因特网上的主机访问路由器的80端口，就自动映射到Web服务器的80端口，这样就实现了内网的网页对外发布。

1.6 OSPF

路由协议的选择是校园网设计中最为重要的环节。文献[4]采用静态路由，由于静态路由配置是双向的，需添加两者相互连通的路由表项，而且内网又划分了VLAN，采用静态路由会随着VLAN和路由器数目的增加而使静态路由表项增多，这不利于网络管理。动态路由协议将被广泛应用于网络组建，常用的动态路由协议有RIP、OSPF。RIP协议主要用于规模较小的网络中，随着网络规模的扩大，网络开销也随之增大，路由更新过程的收敛时间过长。而OSPF协议具有适用范围广、快速收敛、支持VLSM 等特点[5]，它在校园网的路由设计中得到了广泛的应用。文中采用OSPF动态路由协议进行路由配置，其中HQ路由器和Internet路由器的端口地址如表3、表4所示：

1.7 应用服务器

在Cisco Packet Tracer中提供了WEB、FTP、DNS、EMAIL等多种应用服务器，配置应用服务器时只需要单击需要配置的应用服务器图标，单击Config选项卡配置相应的服务，在配置服务器时需要留意服务器的DHCP服务是否关闭。

1.8 WiFi

Cisco Packet Tracer提供了多种无线宽带路由设备，组建无线网络时只需选择一个无线宽带路由设备，安装上无线网卡模块即可。无线宽带路由设备默认处于通电状态，添加无线网卡时会提示通电状态下不能添加模块，我们需按照先断电、添加模块、通电的步骤进行操作，同时无线宽带路由设备提供的GUI管理界面和真实的无线路由器几乎完全一样，这个设备高度逼真地模拟了现实世界。

1.9 VPN

由于业务的需要，校本部需要与分校区共享一些内部数据。传统的解决方案一般通过租用专线解决，这种方式通常需要花费高额费用而且扩展性差。目前主流的方法是在Internet基础之上利用IPSec对数据流进行加密，从而确保业务数据的安全传输，在应用上达到专用网效果的同时具有低费用、接入灵活、扩展性良好的特点[6]。

2配置实现

经过上述组网设计的详细分析后，下面给出核心交换机、HQ路由器 、Internet路由器 、Branch路由器上的部分关键配置，#表示注释。

2.1 VLAN配置

2.1.1 基于端口的VLAN划分

点击Multi Switch交换机，进入CLI界面，通过命令创建VLAN，并将端口加入到VLAN。

Switch（config）#vlan 10 #创建一个VLAN 10

Switch（config-if）#interface fa0/23 #进入快速以太网端口23的配置模式

Switch（config-if）#switchport access vlan 10 #把端口23分配给VLAN 10

Switch（config-if）#no shut #激活端口

…… #省略了VLAN 1、VLAN 20、VLAN 30相关配置，方法同上

2.1.2 配置VLAN并启用路由

Switch（config）#interface vlan 1 #进入vlan 1接口配置模式

Switch（config-if）#ip address 192.168.1.1 255.255.255.0 #为vlan1接口配置IP地址

Switch（config-if）#no shut #激活vlan 1

…… #省略了VLAN 10 、VLAN 20、 VLAN30的相关配置，方法同上

Switch（config-if）#exit

Switch（config）#ip routing #启动路由功能

2.2 配置启用DHCP

Switch（config）#ip dhcp pool wgzx #创建名为wgzx的地址池

Switch（dhcp-config）#default-router 192.168.1.1 #配置wgzx的默认网关

Switch（dhcp-config）#dns-server 192.168.1.2 #配置wgzx的默认DNS服务器

Switch（dhcp-config）#network 192.168.1.0 255.255.255.0 #配置wgzxd的动态分配的网段

Switch（dhcp-config）#exit

Switch（config）#ip dhcp excluded 192.168.1.1 #排除地址，当采用自动获取IP地址时，192.168.1.1地址不会自动分配

…… #省略了VLAN 10 、VLAN 20、 VLAN30的相关配置，方法同上

2.3 配置路由器

2.3.1配置HQ路由器

Router#hostname HQ #设置主机名

HQ（config）#interface fa0/1

HQ（config-if）#ip address 100.1.1.2 255.255.255.0

HQ（config-if）#no shut

HQ（config-if）#exit

HQ（config）#interface fa0/0

HQ（config-if）#ip address 192.168.1.254 255.255.255.0

HQ（config-if）#no shut

2.3.2配置Internet路由器

Router（config）#hostname Internet #设置主机名为Internet

Internet（config）#interface fastethernet 0/1 #进入fe0/1接口配置模式

Internet（config-if）#ip add 100.1.1.1 255.255.255.0 #设置fe0/1的IP 地址

Internet（config-if）#no shut #激活fe0/1接口

Internet（config-if）#exit

…… #省略了Internet路由器其他3个接口的相关配置，方法同上

Internet（config）#ip dhcp pool wifi #定义名为wifi的地址池

Internet（dhcp-config）#network 210.1.1.0 255.255.255.0 #wifi动态分配的网段

Internet（dhcp-config）#default-router 210.1.1.1 #配置wifi的默认网关地址

Internet（dhcp-config）#dns-server 202.103.96.112 #配置wifi的默认DNS地址

Internet（config）#ip dhcp excluded-address 210.1.1.1 #设置wifi的排除地址

2.3.3配置Branch路由器

Router（config）#hostname Branch #将分校区的接口路由器命名为Branch

Branch（config）#interface fa0/0 #进入fa0/0的接口配置模式

Branch（config-if）#ip add 200.1.1.2 255.255.255.0 #设置fa0/0接口的IP地址

Branch（config-if）#no shut #激活接口

Branch（config-if）#ip nat outside #将此接口定义为外网

Branch（config-if）#exit

Branch（config）#interface fa0/1 #进入fa0/1的接口配置模式

Branch（config-if）#ip address 192.168.2.254 255.255.255.0 #设置fa0/1接口的IP地址

Branch（config-if）#no shut

Branch（config-if）#ip nat inside #将此接口定义为内网

Branch（config-if）#exit

Branch（config）#ip route 0.0.0.0 0.0.0.0 200.1.1.1 #添加默认路由

Branch（config）#ip dhcp pool Branch

Branch（dhcp-config）#network 192.168.2.0 255.255.255.0 Branch（dhcp-config）#default-router 192.168.2.254

Branch（dhcp-config）#dns-server 202.103.96.112

Branch（config）#ip dhcp excluded-address 192.168.2.254

Branch（dhcp-config）#exit

Branch（config）#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 #拒绝192.168.2.0网段中的主机访问本部校园网中的主机

Branch（config）#access-list 100 permit ip 192.168.2.0 0.0.0.255 any #允许192.168.2.0 网段中的主机访问任意主机

Branch（config）#ip nat inside source list 100 interface FastEthernet0/0 overload #加载NAT

2.4 配置OSPF

2.4.1 HQ路由器上的OSPF配置

HQ（config）#HQ ospf 100 #启用一个OSPF路由选择协议进程，进程号为100

HQ（config-HQ）#network 192.168.1.0 255.255.255.0 area 1 #指定与该路由器直接相连的网络

HQ（config-HQ）#network 100.1.1.0 255.255.255.0 area 0

2.4.2 Internet路由器上的OSPF配置

Internet（config）#router ospf 100

Internet（config-router）#network 100.1.1.0 255.255.255.0 area 0

Internet（config-router）#network 202.103.96.0 255.255.255.0 area 1

2.4.3核心三层交换机上的OSPF配置

Switch（config）#router ospf 100

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.10.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.20.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.30.0 255.255.255.0 area 1

Switch（config-router）#network 192.168.1.0 255.255.255.0 area 1

2.4.4本部路由器HQ上配置默认路由

HQ（config）#ip route 0.0.0.0 0.0.0.0 100.1.1.1 #指定默认路由

2.4.5核心交换机上配置默认路由

Switch（config）#ip route 0.0.0.0 0.0.0.0 192.168.1.254

2.5 配置NAT

鼠标单击HQ路由器，进入的CLI界面，配置启用NAT

HQ（config）#interface fa0/1

HQ（config-if）#ip nat outside #设置外网

HQ（config-if）#exit

HQ（config）#interface fa0/0

HQ（config-if）#ip nat inside #设置内网

HQ（config）#ip nat inside source list 100 interface FastEthernet0/1 overload #配置NAT映射

至此，已启用NAT方式，校园内的各主机，已能够访问因特网，可在校园网内任意一台主机上使用测试命令“ping 202.103.96.112”。

2.6端口映射配置

采用端口映射技术来配置路由器实现WEB服务器对外发布，配置如下：

HQ（config）#ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80 #把内网web服务器的80端口映射到外网

2.7 配置VPN

HQ路由器上的VPN配置如下：

HQ（config）#crypto isakmp policy 10 #进入IKE策略配置模式

HQ（config-isakmp）#encr 3des #加密算法为DES

HQ（config-isakmp）#hash md5 #散列算法为MD5

HQ（config-isakmp）#authentication pre-share #IKE策略的验证方法为预共享密钥

HQ（config-isakmp）#crypto isakmp key sjp address 200.1.1.2 #设置pre-share密钥为sjp

HQ（config）#crypto ipsec transform-set tim esp-3des esp-md5-hmac #变换集tim指定了两种，使用DES算法进行加密的ESP 和使用MD5-HMAC算法的验证

HQ（config）#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #使用隧道分隔的访问列表

HQ（config）#crypto map sjp 11 ipsec-isakmp #创建名为sjp序列号为11的加密映射表

HQ（config-crypto-map）#set peer 200.1.1.2 #指定与IPSec对等体地址200.1.1.2

HQ（config-crypto-map）#set transform-set tim #指定在上面创建的名为tim的变换集

HQ（config-crypto-map）#match address 101 #指定表号为101的加密访问列表

HQ（config-crypto-map）#interface FastEthernet0/1 #进入端口配置模式

HQ（config-if）#crypto map sjp #将加密映射表应用于外部端口Fa0/1

HQ（config-if）#aaa new-model #启用AAA

HQ（config）#aaa authentication login eza local #定义验证方法列表eza

HQ（config）#aaa authorization network ezo local #定义网络授权方法列表ezo

HQ（config）#username qjnu password qjnuadmin #定义用户名为qjnu，密码为qjnuadmin

HQ（config）#ip local pool ez 192.168.3.1 192.168.3.100 #设置名为ez的地址池， HQ（config）#crypto isakmp client configuration group qjnu #创建名为qjnu的组策略配置文件

HQ（config-isakmp-group）#key qjnu #指定预共享密钥为 qjnu

HQ（config-isakmp-group）#pool ez #指定名为qjnu的给远程接入客户分配地址的IP地址池

HQ（config-isakmp-group）#crypto dynamic-map ezmap 10 #创建名为ezmap，序列号为10的动态加密映射表

HQ（config-crypto-map）#set transform-set tim #指定在上面创建的名为tim的变换集

HQ（config-crypto-map）#reverse-route #反向路由注入

HQ（config-crypto-map）#crypto map sjp client authentication list eza #使用上面创建的eza方法列表来配置扩展验证

HQ（config）#crypto map sjp isakmp authorization list ezo #使用上面创建的ezo方法列表来配置授权

HQ（config）#crypto map sjp client configuration address respond #指定客户模式地址，以便路由器响应的地址请求

HQ（config）#crypto map sjp 10 ipsec-isakmp dynamic ezmap #用ezmap来创建加密配置文件

Branch路由器上的VPN配置与HQ路由器的配置相同。

3 测试

3.1 DHCP测试

如图2所示，点击PC1图标，选择Desktop选项卡下的IP Configuration，选择DHCP即可成功获得动态IP地址。

3.2连通性测试

如图3所示，使用ping命令来检测链路的连通性，点击PC1图标，选择Desktop选项卡下的Command Prompt，输入“ping 202.103.96.120”后按回车键。

3.3 VPN测试

如图4所示，在连接VPN之前外网主机请求的数据包100%丢失，说明其无法访问校园网内部主机。如图5所示，当输入正确的VPN账号和密码后，点击Connect按钮后，VPN连接成功。如图6所示，当成功接入VPN后，可以成功的访问校园网内部主机。至此，VPN的功能已经成功实现。

3.4 NAT测试

如图7所示，因特网上的主机在浏览器中的URL地址栏中输入www.lywhxy.com后点击“Go”，可以成功的访问到校园网Web服务器上的信息，表明NAT功能已成功实现，学校可以对外发布主页。

4结束语

本文利用Cisco Packet Tracer仿真工具，模拟实现了校园网的基本功能。将Packet Tracer仿真软件引入计算机网络教学中，可以帮助我们完成很多真实环境中不易完成的实验，通过在Packet Tracer仿真软件中进行网络工程项目，阐明复杂抽象的路由协议和网络概念，切实提高了学生学习的积极性和创造性，同时让同学们可以独立自主地完成实际工程项目，为将来的职业工作积累经验，奠定基础。

参考文献：

[1] 郭雅，李泗兰.基于Packet Tracer仿真技术的校园网构建技术研究[J].电脑知识与技术，2012（12）.

[2] 郭亚利.基于Packet Tracer虚拟平台的校园网构建技术研究[J].信息通信， 2011（2）.

[3] 刘红艳. VLAN技术在校园网中的应用[J].计算机时代，2012（1）.

[4] 张顺吉，董德春.利用Pack Tracer学习校园网的组建[J].电脑知识与技术，20l0（21）.

[5] （美）Andrew著.潘爱民（译）. Computer Networks[M].北京：清华大学出版社，2008.

[6] 孙奇.基于Packet tracer的IPSEC VPN实验仿真[J].数字技术与应用，2015（5）.