基于eNSP的中小型企业组网实验设计

郭文普， 陈天豪， 杨百龙

（火箭军工程大学作战保障学院，西安 710025）

0 引 言

计算机网络组网实验，需要大量的设备，价格昂贵，很难做到一人一套实验设备，采用eNSP仿真软件［1-2］，进行方便高效的教学，这种实验模式已经在高校计算机网络课程教学中得到广泛应用［3-4］。计算机网络组网实验是电子信息类专业的专业基础，当学生经过路由器、交换机各个知识点的分项实验后，为帮助学生将所学知识融会贯通，需要设计相对复杂与案例相结合的综合性实验［5］，eNSP仿真软件相比采用真实设备的优势更加凸显［6］。本文以中小型企业组网为背景，设计一种融合所学计算机网络知识的综合性实验，对提高学生综合运用具有促进作用。

1 主要协议介绍

1.1 VLAN

VLAN即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的技术［7-8］。在企业网络中，为实现对客户和员工的访问控制，使用了MUX VLAN技术，提供了一种在VLAN的端口之间进行二层流量隔离的机制。

1.2 OSPF最短路径优先协议

OSPF是一种应用非常广泛的动态路由协议，属于内部网关协议［9-11］。主要特点有：①有区域化层次结构；②扩展性好，收敛速度快；③基础配置简单。适合配置在各种网络中，也是最常见的路由协议之一。

1.3 RSTP快速生成树协议

RSTP协议［12-13］在STP协议的基础上进行了改进。STP虽然能解决环路问题，但网络结构的收敛速度很慢，不能满足用户需求。RSTP协议保留了STP协议的基础，对STP进行补充，极大的提升了收敛速度，使其满足低延迟、高可靠性的要求。

1.4 IS-IS链路状态协议

与OSPF一样IS-IS协议［14］也是一种应用广泛的IGP路由协议，它们都是基于链路状态的路由协议，与OSPF不同的是IS-IS协议的区域分界位于链路上而不是路由器上，IS-IS只支持P2P和广播型网络。为让学生对两者的异同有直观的认识，本实验中总部和分部网络的内部网关协议分别采用OSPF和IS-IS协议。

1.5 BGP边界网关协议

除了如OSPF和IS-IS这样的内部网关协议外，还有外部网关协议。内部网关协议IGP主要用于自治系统AS内部，而外部网关协议用于连接不同的AS。BGP协议是一种常用的外部网关协议，它提供了丰富的路由属性，能够非常容易的实现丰富而灵活的路由决策。

2 组网实验设计

2.1 实验目的

使学生掌握常见的网络配置，包括VLAN划分、3层交换机、OSPF协议、RSTP协议、IS-IS、BGP等，以增强对中型网络的分析、纠错、验证能力。

2.2 实验设备

实验在仿真软件eNSP上实现。设备包括AR2220路由器4台，S5700交换机2台，S3700交换机2台，Server服务器2台，Client客户端2台，PC机7台。

2.3 实验设计要求

某公司需要进行网络规划。

实验网络分为公司总部网和公司分部网。公司总部网提供员工办公网络接入，客户访问权限，文件传输等功能。公司分部与公司总部属于不同的自治域，通过配置互通。为充分利用设备，现有的两台S5700交换机具有3层功能和2层功能，为节约预算，可将交换机作为核心设备使用。其网络结构如图1所示。

图1 某公司网络结构配置图

网络需求如下：

（1）公司总部与公司分部的网络互通。

（2）实现员工和客户的访问控制。要求员工和客户都可以访问企业内部的DNS服务器，员工与员工之间可以互相访问，而客户只能访问企业内部服务器，不能与员工或其他用户互通。

（3）实现DNS服务器对Server3的域名解析。要求员工、客户和Client可通过访问域名的方式连通Server3。并开启Server3的FTP服务器，公司总部与分部之间可以传输文件。

（4）实现财务部数据安全。要求只有总裁PC所在网段可以访问财务部主机，而其他所有网段都不能访问财务部。公司总部与公司分部其他各网段之间正常互通。

3 实验方案配置与验证

3.1 实验网络设计

根据网络规划及实验要求，在公司总部划分了10个VLAN，其中VLAN 10 20 30是办公区，VLAN110是高层区，VLAN120是市场部，VLAN130是财务部，VLAN 51 52 61 62用作为3层交换机创建VLANIF接口。

具体的网段和IP地址规划见表1。

表1 IP地址规划

3.2 网络设备配置

3.2.1 基本配置

根据图1、表1连接网络并进行相应的配置，检查直连网段的连通性。

3.2.2 VLAN划分

根据要求，在公司总部的所有交换机上创建VLAN 10、VLAN 20、VLAN 30、VLAN 110、VLAN 120、VLAN 130。

关键的配置命令如下（以S1为例）：

［S1］vlan batch 10 20 30 110 120 130#在S1上创建vlan

配置S1和S3之间的端口为Access口，S1和S4之间的端口、S2和S3之间的端口、S2和S3之间的端口、S2和S4之间的端口为Trunk口，并允许VLAN 10、VLAN 20、VLAN 30、VLAN 110、VLAN 120、VLAN 130通过。

关键配置命令如下（以S1为例，其余类似）：

2017年全国金融工作会议强调了金融对外开放作为金融改革的一项重要内容，如何稳步实现资本项目可兑换、合理安排开放顺序是各界关注的焦点问题。至今学界仍然对资本账户开放的推进存在广泛争论，导致这一现象的主要原因是目前对金融开放影响经济增长是正面还是负面，以及其综合影响通过何种机制产生作用尚未厘清。因此，本文试图从金融部门发展的视角，考察金融开放对经济增长的影响及其作用机制。金融开放政策到底如何影响一国的经济增长水平？金融发展到什么阶段才能享受金融开放政策带来的好处？金融开放、金融发展与经济增长三者之间的关系又如何？

为了实现R1、S1、S2之间的3层通信，在S1中为VLAN 20、VLAN 51、VLAN 52创建VLANIF接口，在S2中为VLAN 61、VLAN 62、VLAN 110、VLAN 120、VLAN 130创建VLANIF接口。

关键配置命令如下（以S1为例，S2类似）：

公司总部办公区中，公司的员工和客户都能够访问公司的DNS和Server服务器，公司员工内部也可以互相交流，但要保证公司员工和客户之间是隔离的。为实现客户与客户之间不能互访、员工与客户之间也不能互访的目的。可以通过配置MUX VLAN实现：配置Server、DNS服务器所在的VLAN 20为Principal VLAN（主VLAN），可与其他VLAN用户互通。员工所在的VLAN 10为Group VLAN（互通型从VLAN），可以与VLAN内部用户以及Principal VLAN内用户互通。客户所在VLAN 30为Separate VLAN（隔离型从VLAN），只能与Principal VLAN内用户互通。

关键配置如下（以接口e0/0/1为例，g/0/0/2、e0/0/2至e0/0/5类似）：

（把其余接口划分到对应的vlan中，配置与e0/0/1相同，略）

3.2.3 配置RSTP协议

为防止公司总部网络出现环路，配置所有交换机工作在RSTP模式。

（S2、S3、S4配置相同）

配置S1为根交换机，S2为备份交换机。

［S1］stp root primary#配置S1为根交换机

［S2］stp root secondary#配置S2为备份交换机

3.2.4 配置OSPF路由协议

在R1、S1、S2上配置OSPF协议（以R1为例）。

为加强网络的安全性，防止非法用户接入公司网网络，在R1、S1、S2上配置OSPF认证功能，使其需要相互验证才可以正常通信。OSPF认证的配置如下：

（S1、S2认证密码均设置为huawei，配置略）

3.2.5 配置IS-IS路由协议

公司分部路由器R2、R3、R4，通过IS-IS协议连通。配置如下（R2为例）：

在IS-IS协议中，路由器和路由器接口都有3种不同的级别：Level-1、Level-2和Level-1-2。路由器的ISIS接口默认都为Level-1-2状态，IS-路由器默认为Level-1-2路由器。Level-1-2路由器既可以与Level-1路由器建立临接关系，又可与Level-2路由器建立邻接关系。为了减少IS-IS邻居关系和精简链路状态数据库，将R2、R3、R4配置为IS-ISLevel-2路由器。

此时R2、R3、R4只需要维护Level-2邻接关系和Level-2链路状态数据库。

3.2.6 配置BGP路由协议

经过前面的配置，公司总部和公司分部的设备都已经可以互通。但是公司总部与公司分部还不能够互相访问。在本公司的网络中，总部与分部分别处在自治域AS 100和自治域AS200中。

BGP的邻居关系有2种：IBGP和EBGP。当2台BGP路由器处于统一AS时，为IBGP关系，处于不同AS时，为EBGP关系。R2、R3、R4的IBGP关系采用Loopback 0接口建立，R1与R2、R3之间的EBGP关系采用直连物理接口来建立。配置如下（R1、R2为例）：

3.2.7 配置ACL访问控制列表协议

为确保公司财务保密，要求总裁PC以外，其余所有客户都不能访问财务部PC。可以在交换机S2上配置高级ACL实现。

3.2.8 Server和Client使用

Server可以作为DNS服务器使用，实现地址解析。进入DNS的服务器信息界面，将主机域名www.neiwang.com和IP地址20.1.10.50相匹配的添加至DNS服务器中，最后点击启动。

Server可作为Ftp服务器，实现文本传输的功能。进入Server3的服务器信息界面，点击选择FtpServer，配置文件根目录，在本机选择一个文件夹，模拟作为公司FTP服务器Server3的内部储存。最后启动服务。

Client可作为Ftp客户端，实现文本传输功能。进入总部Client1的客户端信息界面，点击FtpClient，将服务器地址设置为Server3的IP地址，在本机选择一个文件夹，用于模拟总部Client1的内部储存。默认用户名为1，密码为1，点击登陆。可以看到出现了Ftp服务器的文件列表。

进入分部Client3的客户端信息界面，点击FtpClient，将服务器地址设置为Server3的IP地址，在本机选择一个文件夹，用于模拟分部Client3的内部储存。默认用户名为1，密码为1，点击登陆。可以看到出现了Ftp服务器的文件列表。

3.3 实验验证

3.3.1 总部与分部网络连通性验证

在公司总部的员工1命令行输入ping 10.0.34.4，检查总部与分部之间的连通性。员工1与分部的网络正常连接，总部网络和分部网络已经连通。

3.3.2 员工和客户的访问控制

在员工1的命令行输入ping 20.1.10.3，检查员工与员工之间是否互通。

在员工1的命令行输入ping 20.1.10.5，检查员工和客户是否连通。

在客户1的命令行分别输入ping 20.1.10.100和ping 20.1.10.5，检查客户是否能够访问公司服务器、客户之间是否可以互通。

如图2所示，员工1和员工2之间可以正常连通。员工和客户之间不能互相访问。客户可以正常访问公司服务器，但客户与客户之间也不能互通。

图2 访问控制验证结果

说明已经实现的对员工和客户之间的访问控制，并达到了要求。

3.3.3 域名解析和文件传输功能验证

（1）选择员工1主机验证DNS功能。在员工1的基础配置界面，配置DNS1为20.1.10.100。在命令行输入ping www.neiwang.com。

（2）在总部Client1上将文件neiwangwenjian.docx传送到服务器上。接着在分部Client3上将文件neiwangwenjian.docx下载到Clinent3本地。

如图3所示，域名解析和文件传输功能已经成功实现。

图3 DNS验证结果

3.3.4 财务部数据安全验证

在分部路由器用户界面、总裁PC的命令行、市场部PC的命令行、员工2的命令行分别输入ping 60.2.30.2，检查是否能够访问财务部。

如图4所示，最终只有总裁PC可以访问财务部PC。公司总部的员工、分部网络以及公司其他部门均不能访问财务部PC。

综上，实现了财务部的数据安全。

4 结 语

本文设计的实验作为计算机网络课程实验教学中的一个综合性实验案例，已应用于近两期的课程实验教学。学员普遍反映经历一次这样的综合性实验，学习的压力更大、动力更足，对相关知识的掌握更加熟练，实践能力得到了更好的培养。