基于GNS3和VMware的虛擬網(wǎng)絡系統(tǒng)集成實驗室研究

龍艷軍，歐陽建權，俞佳曦

（1.湘潭大學信息工程學院，湖南湘潭 411105；2.永州職業(yè)技術學院網(wǎng)絡信息中心，湖南永州 425100）

在網(wǎng)絡工程實驗教學中，為了增強學生的實際動手能力，經(jīng)常需要進行操作系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫等多個系統(tǒng)的學習、操作以及網(wǎng)絡設備和系統(tǒng)間的互連互通，并且所需的實驗環(huán)境必須獨立，不能與其他課程共用。但網(wǎng)絡設備（如交換機、路由器、防火墻、IDS／IPS等）、服務器、存儲設備［1］等實驗硬件設備昂貴，且更新淘汰快，學校很難為學生提供較全面、系統(tǒng)的網(wǎng)絡實驗環(huán)境，而且學校已有的實驗設備非常有限，相對于學生數(shù)量非常欠缺。因此，對于一個實驗，常把全班學生分成2組或者3組來做，這樣不僅任課教師任務重，而且效率低下?？梢詫NS3圖形化的網(wǎng)絡仿真軟件和VMware虛擬機軟件引入到計算機網(wǎng)絡實驗教學中，利用VMware模擬服務器、存儲設備等硬件設備，可以很容易地搭建復雜的網(wǎng)絡系統(tǒng)集成實驗的虛擬實驗平臺，從而有效地解決硬件設備不足的問題。利用該方案，能較好地實現(xiàn)對真實網(wǎng)絡系統(tǒng)環(huán)境的模擬，充分培養(yǎng)學生的綜合學科知識和綜合解決實際問題的能力。

1 構建虛擬網(wǎng)絡系統(tǒng)集成實驗室相關軟件

1.1 圖形化網(wǎng)絡設備仿真軟件GNS3

GNS3（graphical network simulator）是一款圖形化的網(wǎng)絡設備仿真軟件，允許在Windows、Linux系統(tǒng)上仿真Cisco 的IOS（internetwork operating system），其支持的路由器平臺（2600／3600／3700／7200）、防火墻平臺（PIX、ASA）、入侵檢測系統(tǒng)／入侵保護系統(tǒng)（IDS／IPS）的類型非常豐富，甚至還可以模擬Juniper公司的JunOS 平臺。通過在路由器插槽中配置NM－16ESW 模塊［2］后，GNS3還可模擬出該模塊所支持的交換機命令。

大多數(shù)網(wǎng)絡仿真軟件都是仿真Cisco 的網(wǎng)絡設備［3］，但他們支持的路由器命令較少，在進行相關實驗時，常常發(fā)現(xiàn)這些模擬器不支持某些命令或參數(shù)。用戶使用這些模擬器通常只能看到模擬路由器的輸出結果。在GNS3 中，所運行的是實際的IOS，能夠使用IOS所支持的所有命令和參數(shù)。

1.2 虛擬機軟件VMware Workstation

VMware是由美國VMware 公司開發(fā)的非常有名的虛擬機軟件，該公司開發(fā)的系列虛擬機軟件包括VMware ESX Server、VMware GSX Server、VMware Workstation。其中，VMware ESX Server 用于對任務執(zhí)行要求嚴格的數(shù)據(jù)中心，VMware GSX Server可以滿足企業(yè)級的需求。

VMware是一個虛擬機軟件，它在1個操作系統(tǒng)上虛擬出多臺虛擬機環(huán)境，從而可以在1臺物理計算機上同時運行多個操作系統(tǒng)［4］，即可以在1臺計算機上同時運行2 個或更多的Windows 2000／Windows XP／Windows 7／Linux／Unix 等系統(tǒng)。運行VMware的平臺稱為主機，在VMware上運行的系統(tǒng)稱為客戶機。VMware是真正“同時”運行多個操作系統(tǒng)在主機的平臺上，就像標準的Windows 應用程序那樣切換。由此可見，利用VMware可以讓一臺計算機實現(xiàn)一個局域網(wǎng)的功能，可大大節(jié)省硬件設備和物理空間，管理方便、安全性高［5］，特別適合做計算機的教學、軟件開發(fā)和網(wǎng)絡安全等實驗。

2 實際案例及實驗模擬

2.1 實際案例介紹

筆者以某職業(yè)技術學院校園網(wǎng)為模型，該校園網(wǎng)采用三層網(wǎng)絡模型設計，分別為接入層、匯聚層、核心層?；ヂ?lián)網(wǎng)絡租用電信公司的光纖直連到出口防火墻上，出口帶寬為200 Mbit；在核心層中的服務器上安裝了網(wǎng)絡版殺毒軟件、網(wǎng)絡管理平臺、與防火墻聯(lián)動的日志審計系統(tǒng)、全局安全策略平臺、數(shù)字化校園管理平臺、DHCP服務器等常用的應用系統(tǒng)，通過一臺匯聚設備與核心交換機相連；采用千兆雙核心，可擴展到萬兆。核心交換機下連3臺匯聚設備，其中2臺匯聚設備分別連接到學院行政樓、圖書館的接入設備，另外1臺匯聚設備分別連接到3個教學樓的接入設備。在匯聚層設備上運行OSPF協(xié)議，實現(xiàn)了以千兆為主干、百兆到桌面的網(wǎng)絡系統(tǒng)。

2.2 實驗模擬

2.2.1 實驗拓撲構建

在本實驗中，GNS3與VMware有3個網(wǎng)段需要互聯(lián)，在宿主系統(tǒng)中應配有3個網(wǎng)卡；而一般宿主系統(tǒng)中只配有1個網(wǎng)卡，可通過在宿主操作系統(tǒng)中再添加2 個Microsoft Loopback網(wǎng)卡來實現(xiàn)，然后進入VMware虛擬網(wǎng)絡編輯窗口，將系統(tǒng)中的3個網(wǎng)卡分別橋接到不同的虛擬網(wǎng)絡上。

在利用GNS3及VMware模擬該校園網(wǎng)進行系統(tǒng)實驗時，對該校園網(wǎng)模型進行了簡化，利用GNS3進行拓撲圖的繪制，簡化的網(wǎng)絡拓撲模型如圖1 所示。Core1為核心交換機，B1、Bn為匯聚交換機，B2 為服務器區(qū)匯聚交換機，A1、An為接入交換機，C1、Cn為Windows XP 的虛擬機，ASA1 為出口防火墻。為了方便實驗，在服務器群的服務器中只運行了DHCP服務，核心層采用了1臺核心交換機，匯聚層采用了2臺匯聚交換機，接入層采用2臺接入交換機，分別與2臺虛擬機相連，使用運行Windows XP 的虛擬機來進行仿真實驗。

圖1 利用GNS3制作的某學院校園網(wǎng)拓撲圖

2.2.2 IP地址規(guī)劃

在設計任何一個網(wǎng)絡時，首先需要對IP地址進行規(guī)劃設計，在本實驗中，IP地址規(guī)劃如表1所示。

表1 實驗IP地址規(guī)劃

2.2.3 VLAN 設計

VLAN（虛擬局域網(wǎng)）是一種不用路由器解決隔離廣播域的網(wǎng)絡技術［6］。它是將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成網(wǎng)段，從而實現(xiàn)虛擬的工作組，可以幫助網(wǎng)絡管理者將處于相同LAN 網(wǎng)段（部門）的工作站進行分組［7］。在大型的局域網(wǎng)中，必須進行VLAN 的設計。

模擬接入交換機時使用3640路由器，在該路由器上配置NM－16ESW 模塊實現(xiàn)模擬二層交換機功能。本實例中的A1、An接入交換機，配置時分別將NM－16ESW 模塊設置在路由器的第1個插槽中，將A1交換網(wǎng)絡模塊的F1／1－15 端口設置為VLAN101，使用命令為：

A1（config）＃int range f1／1－15

A1（config－range）＃switchport access vlan 101

將F1／0設為trunk模式，使用命令為：

A1（config）＃int f1／0

A1（config－if）＃switchport mode trunk

An 的網(wǎng)絡模塊的 F1／1－15 端口設置為VLAN201，其他配置與A1 配置類似。本實驗中，為了簡化實驗，在匯聚層和核心層并沒有劃分VLAN 的端口，三層設備的互連端口均配置以太網(wǎng)接口模塊實現(xiàn)。

2.2.4 OSPF設計

OSPF（開放最短路徑優(yōu)先）是一種鏈路狀態(tài)路由協(xié)議，運行OSPF的路由器根據(jù)自身的和鄰居路由器傳播過來的鏈路狀態(tài)信息生成路由表［8］。

本實驗中，利用OSPF協(xié)議進行動態(tài)路由計算，主要是在三層交換機上運行OSPF，即在核心交換機、匯聚交換機B1、匯聚交換機Bn的互連端口啟用OSPF協(xié)議。

在核心交換機Core1上配置4個以太網(wǎng)接口卡，分別與B1、B2、Bn以及ASA1互連，具體IP設置見表1。啟用OSPF協(xié)議，將與其相連的接口網(wǎng)絡全部加入到OSPF協(xié)議中，同時使用命令ip route 0.0.0.0 0.

0.0.0 192.168.253.242配置缺省路由，以實現(xiàn)接入Internet。

在匯聚交換機B1、B2和Bn上啟動OSPF 協(xié)議，將與其相連的接口網(wǎng)絡全部加入到OSPF 協(xié)議進程中，如果接入交換機數(shù)量較多的話，需要對接入交換機的IP網(wǎng)段做歸納路由。本實例每個接入交換機只有一個VLAN，因此不需要配置。

2.2.5 GNS3與VMware中的虛擬機互連

在本實驗中，使用VMware來模擬服務器操作系統(tǒng)，在1 臺VMware 虛擬機運行Windows Server 2003系統(tǒng)，GNS3可以很容易地與VMware虛擬機相連［9］。具體的操作方法為：在GNS3的拓撲結構設計界面中，將Cloud圖標（可代表1臺主機）拖入設計界面，然后右擊該圖標并選擇配置選（菜）單（見圖2），在以太網(wǎng)NIO 標簽下選擇一個與安裝了Windows Server 2003服務器相連的網(wǎng)卡并單擊“添加”按鈕，然后單擊“OK”，即可實現(xiàn)GNS3 與VMware 的主機相連。

圖2 節(jié)點配置圖

運行Windows XP 的虛擬機C1、Cn與GNS3通信，采用與上述相同的操作步驟，所不同的是需要分別選擇與各虛擬機相連的網(wǎng)卡。

2.2.6 DHCP服務部署

DHCP（動態(tài)主機配置協(xié)議）能自動為網(wǎng)絡客戶機的TCP／IP 分配IP 地址、子網(wǎng)掩碼、默認網(wǎng)關以及DNS服務器和WINS 服務器的IP 地址［10］。在大型網(wǎng)絡中，DHCP 服務是最常用的一種網(wǎng)絡服務，它能極大地簡化網(wǎng)絡管理員的工作。

在本模擬實驗中，DHCP服務部署在服務器區(qū)中，采用的是Windows Server 2003操作系統(tǒng)，在DHCP服務器為每個VLAN 配置一個C 類網(wǎng)絡。本實驗中為VLAN 101分配172.17.1.x／24網(wǎng)段，為VLAN 201分配172.17.2.x／24網(wǎng)段。由于DHCP是采用廣播方式進行尋址的，而在該實驗中，每個VLAN 均為一個廣播域，因此客戶端通過廣播方式是不能找到DHCP服務器的。為了實現(xiàn)在服務器群中的DHCP服務器能夠為全網(wǎng)的所有工作站分配IP地址，需要在每一個VLAN 中啟用DHCP中繼服務［11］，以實現(xiàn)DHCP請求數(shù)據(jù)包的轉(zhuǎn)發(fā)。在本實驗中，需要到B1和Bn匯聚交換機中，進入每一個VLAN 后，使用ip help－address dhcp－server（DHCP的IP地址）命令實現(xiàn)。

2.2.7 防火墻的部署

在本工程實驗中，ASA1防火墻部署在網(wǎng)絡出口處，防火墻采用NAT（網(wǎng)絡地址轉(zhuǎn)換）方式，將內(nèi)部私有網(wǎng)絡地址轉(zhuǎn)換成公網(wǎng)IP，實現(xiàn)內(nèi)部網(wǎng)絡訪問Internet的目的。

也可以在外網(wǎng)防火墻上配置外網(wǎng)地址與內(nèi)網(wǎng)地址之間的映射，實現(xiàn)外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡特定的系統(tǒng)資源。

3 測試與分析

模擬本實例是在CPU 為酷睿雙核2.27GHz、4 GB內(nèi)存、Windows 7操作系統(tǒng)、320GB硬盤的環(huán)境下進行的。

測試各三層交換機是否互通，可以在各交換機上使用ping命令進行測試；查看路由表情況，可使用show ip route命令；測試工作站是否獲得IP 地址時，啟動虛擬機Windows XP（C1），將IP地址設置為自動獲取IP 地址后，進入命令提示下輸入ipconfig命令，可查看到從DHCP服務器動態(tài)獲得IP地址（見圖3）。

圖3 在虛擬機Windows XP（C1）中動態(tài)獲得IP地址

由于GNS3和VMware在運行時會消耗非常大的CPU 資源和內(nèi)存資源，因此在運行操作系統(tǒng)時，盡量將運行在VMware中的主機內(nèi)存減少至操作系統(tǒng)最低要求的硬件環(huán)境，同時可以借助第三方CPU 管理軟件（如BES等）對占用CPU 的情況進行管理和控制。另外，當一臺PC 內(nèi)存不夠用時，也可利用GNS3的分布式功能，即將各IOS分布在多臺PC 上運行，可極大地減輕單臺PC 的負荷，可以模擬更大規(guī)模的網(wǎng)絡實驗［3］。

4 結束語

目前，GNS3能夠模擬Cisco的多種型號路由器、PIX／ASA 防火墻、以太網(wǎng)交換機、ATM 交換機、幀中繼交換機、IDS、IPS 等多種網(wǎng)絡設備［12］，結合VMware軟件，運行Cisco的基于服務器平臺的有關軟件，如MARS、ACS、Cisco－Works等，也可模擬各種操作系統(tǒng)的相關服務。利用該方案構建虛擬網(wǎng)絡集成實驗室，能夠為在校計算機網(wǎng)絡專業(yè)的學生或網(wǎng)絡技術人員模擬真實的網(wǎng)絡實驗環(huán)境，節(jié)省實訓室設備投資，降低實訓室管理難度。學生可以不受時間和空間的限制，自主完成相關網(wǎng)絡系統(tǒng)集成工程實驗，加強對實際工程案例的認識，提高整體網(wǎng)絡工程系統(tǒng)的架構和配置能力。

（

）

［1］韓榮珍.使用VMware技術實現(xiàn)服務器群的熱備與恢復［J］.計算機安全，2009（9）：58－59.

［2］馬素剛.VLAN 技術的研究與仿真［J］.制造業(yè)自動化，2011（11）：79－80.

［3］顧春峰，李偉斌，蘭秀風.基于VMware、GNS3實現(xiàn)虛擬網(wǎng)絡實驗室［J］.實驗室研究與探索，2012（1）：73－75，100.

［4］劉武，吳建平，段海新，等.用VMware構建高校的網(wǎng)絡安全實驗床［J］.計算機應用研究，2005（2）：212－214.

［5］韓起云，冉維，李靜.基于VMware的網(wǎng)絡安全虛擬實驗平臺構建［J］.重慶教育學院學報，2011（11）：31－34.

［6］鐘小平，黃建中，張金石.網(wǎng)絡應用方案與實例精講［M］.北京：人民郵電出版社，2003.

［7］張琦，崔新軍，卓維乾，等.案例精解：企業(yè)級網(wǎng)絡構建［M］.北京：電子工業(yè)出版社，2008.

［8］黃向農(nóng)，曾毅夫，譚永欣.關于OSPF路由優(yōu)化技術的探討［J］.實驗技術與管理，2012，29（2）：104－108.

［9］李元元.基于GNS3軟件構建三網(wǎng)融合仿真實訓平臺［J］.中國現(xiàn)代教育裝備，2012（1）：13－15.

［10］張興虎.網(wǎng)絡服務器的組建、配置與安全管理［M］.北京：清華大學出版社，2005.

［11］湯紅軍.DHCP中繼代理在校園網(wǎng)中的應用分析研究［J］.計算機系統(tǒng)應用，2008（4）：100－102.

［12］GNS3.Hardware emulated by GNS3［EB／OL］.［2012－05－18］.http：／／www.gns3.net／hardware－emulated.