千兆網絡實驗室環境設計與實現

楊剛 田春

[摘要]對于高校中的計算機技術類專業而言，專業實驗室在實驗課教學中扮演著非常重要的角色。對網絡通信實驗室的實驗功能以及通信和安全的需求進行了分析，給出了一種典型的網絡通信實驗室物理和邏輯設計方案，可滿足信息技術類專業中網絡通信相關實驗實訓課程對實驗環境的需求。

[關鍵詞]信息技術 實驗室 設計 安全 IP地址

一、網絡通信實驗室物理環境

在進行網絡通信實驗室規模設計時，按照容納一個標準班，即40人同時進行實驗進行設計。考慮到網絡類實驗一般以工程項目的形式出現，需要對學生進行分組，組內多名學生協作完成實驗的實際情況，實驗室的物理規劃采用了如圖1所示的方式。

在圖1中實驗室共劃分為8個學習島，每一個學習島由一臺機柜和5臺計算機組成。在學習島上，從每臺計算機上引出兩條網線，其中一條是從網卡的RJ-45接口引出，用于連接數據通信網絡;另一條則是從計算機的串口經過DB9到RJ45的轉換后引出，用于連接機柜中網絡設備的Console接口。兩條網線使用不同的顏色，以進行區別。從5臺計算機上引出的共10條網線通過墻體上的線槽進行布線進入到本學習島的機柜中，在機柜中根據用途將網線分成兩組分別進行綁扎布放到相應的位置，網線兩端使用標簽來標識其來源計算機。

在學習島上，從每臺計算機上引出兩條網線，其中一條是從網卡的RJ-45接口引出，用于連接數據通信網絡;另一條則是從計算機的串口經過DB9到RJ45的轉換后引出，用于連接機柜中網絡設備的Console接口。兩條網線使用不同的顏色，以進行區別。從5臺計算機上引出的共10條網線通過墻體上的線槽進行布線進入到本學習島的機柜中，在機柜中根據用途將網線分成兩組分別進行綁扎布放到相應的位置，網線兩端使用標簽來標識其來源計算機。

對于學習島上的機柜，考慮到學生每次實驗時都需要對設備進行物理連接的建立和拆除，因此將其左右擋板和前后門全部拆掉，以方便實驗實施。按照網絡類課程實驗對設備的要求，每臺機柜中從上至下分別安裝4臺路由器、兩臺二層交換機、兩臺三層交換機、兩臺統一威脅管理平臺設備、兩臺無線接入點設備和一臺有線無線一體化交換機。網絡設備的電源線在機柜中統一進行布線，由于每次實驗使用的設備可能不同，因此使用分控開關插排對每一臺網絡設備進行單獨的電源管理。另外，為了保護網絡設備的Console接口，同時也方便實驗時Console線纜的跳接，將所有網絡設備的Console線纜在機柜中進行統一布線，并將其按照設備從上至下的順序依次從左至右端接到機柜中間的配線架上。

在機柜中的配線架上除了提供各個網絡設備的Console接口外，還提供了一個連接外部網絡的WAN接口，該接口通過墻體線槽和地下線管的布線連接到了實驗室的出口三層交換機上，使學習島上的網絡可以通過該接口連接到學校的校園網，實現實驗正確完成后可以訪問外部網絡的目的。

二、網絡通信實驗室邏輯環境

（一）網絡通信實驗室邏輯拓撲與IP地址規劃

為了能夠讓各個學習島可以訪問外部網絡，在網絡通信實驗室的出口處使用了一臺路由器和一臺三層交換機來進行校園網與實驗室網絡之間的連接。在IP地址的規劃上，具體的規劃原則和IP地址分配情況如下：

（1）三層交換機與各個學習島之間的鏈路使用的IP網段為10.0.x.0/24，其中x為學習島的編號。當學習島上的實驗網絡拓撲為計算機直連或者通過二層交換機連接到WAN接口上時，為計算機分配10.0.x.0/24網段的IP地址，網關為10.0.x.1。

（2）為每一個學習島預留了IP網段10.x.0.0/16。當學習島上的實驗網絡拓撲為通過三層交換機或路由器連接到WAN接口上時，實驗網絡內可以使用網段10.x.0.0/16，而且還可以根據實驗的需求將10.x.0.0/16劃分成若干個子網。

在出口三層交換機上，除了為每一個學習島配置了一條靜態路由外，還配置了一條指向出口路由器的默認路由。在出口路由器上共配置了兩條路由，一條為指向出口三層交換機的目的網絡為10.0.0.0/8的靜態路由;另一條為指向校園網的默認路由。

（二）網絡通信實驗室的安全策略

（1）地址轉換策略。通過配置靜態和默認路由，實現了各個學習島之間的連通性，但是由于使用私有地址段10.0.0.0/8的關系，各個學習島依然無法訪問外部網絡。如果要實現對外部網絡的訪問，就必須要在出口路由器上配置網絡地址轉換。由于校園網只給網絡實驗室分配了一個合法IP地址202.207.127.98，并且該地址已經被分配給了出口路由器連接校園網的接口Fao/0，因此需要配置基于接口的地址轉換，即EasyIP。

（2）訪問控制策略。對于訪問外部網絡的需求，一方面學生需要訪問校園網內和Internet上的的一些服務器，例如訪問教務處的網站進行選課和成績查詢、訪問河北省人事考試中心的網絡進行網絡管理員認證的報名和成績查詢、訪問百度網站進行實驗連通性驗證等;另一方面又需要防止學生在實驗室進行上網聊天、打游戲或看電影等與學習無關的事情。這就需要在出口路由器上進行訪問控制列表的配置來實現對網絡的訪問控制。

三、結語

通過對石家莊郵電職業技術學院的網絡通信實驗室進行上述物理和邏輯上的環境設計，較好地滿足了學院信息技術類專業中網絡通信相關實驗實訓課程對實驗環境的需求，達到了非常好的實驗實訓教學效果。