网络模拟实验系统的设计及实现毕业论文

-1-网络模拟实验系统的设计与实现091007118刘同全指导教师陈建辉副教授第1章网络模拟实验系统研究背景随着计算机网络通信技术和多媒体技术的快速发展，信息时代的学习、生活方式都发生了重大变革。作为培养和提高学生动手实践能力、观察能力、分析问题和解决问题能力等方面有着先天优势的实验教学是高校教育改革的关键问题之一。目前，我国传统实验教学环节不足、实验资源不均衡，学生创新能力不足，模拟实验教学环境研究与建设有利于解决当前实验教学中存在的问题。因此，对于模拟实验教学环境的研究已经成为当前教育研究一个新热点，分析其原因是主要信息技术的蓬勃发展已经使部分模拟实验环境的设计与开发成为现实，并在一定的理论指导下应用于实践，使各类模拟实验室建设成为可能。模拟实验降低了实验室建设成本，缓解了由于财政压力给实验实训教学环节带来的不利影响，有利于学生实践操作能力的培养。

我国的网络模拟实验系统的研究起步较晚，但是发展速度较快。根据目前从网上可查到的信息和各院校开放的对外服务看，国内部分高校已陆续建立了网络模拟实验系统。本文介绍了通过应用PacketTracer软件搭建网络模拟工程项目规划、设计的平台，竟而比较具体的展示了网络模拟系统的功能。第2章网络模拟实验工程需求分析2.1引言近年来我国网络通信服务行业总体发展呈快速上升趋势，其总体规模不断增大，业务收入也不断在稳步提升。根据工信部相关数据表明，2011年网络通信行业共完成网络通信总量达12,964.6亿元，同比增长10.1%；实现网络通信业务收入10,762亿元，同比增长8.0%，呈现相对较快的发展态势。网络通信业务量的增长带来了网络工程服务市场规模的高速发展。网络工程服务行业前景如此广阔，发展速度十分迅猛，日后必将称为我国重要的支柱产业之一。本论文详细地描述了网络服务行业关于网络工程的规划与设计，并根据网络市场的需求，比较系统地设计了关于国内一些中小型企业内部局域网以及其接入广域网的总体规划方案。以下是应用网络模拟系统平台来设计、实现该网络工程项目的方案。在网络工程设计中体现网络模拟平台的功能。2.2项目功能需求2.2.1总公司内部局域网间通信功能需求1.为了方便管理，总公司内部要进行模块化划分主要分为：销售部、研发部、后勤部以及保安部，为了方便工作，各部门之间要实现相互通信。2.为了方便公司增添新设备的配置，各部门可以自动获得IP地址，为了减轻总公司路由器的负荷，保安部的IP地址，由分公司路由器提供进行自动分配。3.网管中心可以远程对公司核心层交换机进行控制和管理。2.2.2总公司与分公司间网络通信功能需求1.由于总公司与分公司相距比较远，为了公司内部的资源安全，它们相互通信的链路需要认证、加密。2.为了内部资源的安全，总公司后勤部只能访问分公司服务器的HTTP服务。 2.2.3总公司与广域网间通信功能需求1.总公司内部需要与互联网连通，由于保安部与后勤部只处理总公司内部一些生活上的事务，禁止保安部与后勤部访问互联网上资源。2.为了方便公司接入互联网，公司边缘路由器接入互联网的端口可以由网通供应商自动为其分配IP地址。2.2.4总公司与合作伙伴间通信功能需求总公司与其合作伙伴之间在广域网上进行互相通信，在通信时希望获得低网络时延、低设备费用、高带宽利用率以及点对点通信等优势。2.2.5总公司与出差人员间通信功能需求公司内部人员在出差时，也能访问到总公司内部的服务器，以获得公司的相关信息，方便自己在外办公。2.3项目技术需求2.3.1总公司内部局域网间通信技术需求1.为了实现总公司模块化管理，将总公司分为四个部门，即销售部、研发部、后勤部、保安部，每一个部门划分为一个VLAN；各VLAN间实现相互通信的功能。本设计使用三层路由交换技术方便、简单的实现了该功能，因为三层交换机，既拥有二层交换机划分不同VLAN的功能，而且拥有路由的功能，能够使得不通VLAN间相互通信。2.为了方便各部门设备的网络配置，这里应用了DHCP（动态主机设置协议）协议，当某个部门增添新设备后，不需要网络管理员手动设置，该设备就能自动获得IP地址，实现网络通信，而且DHCP避免了手动配置IP出现的不同设备IP地址重复的问题。3.运用远程登录（TELNET）控制技术来实现网管中心对总公司核心层交换机的控制，网管中心远程控制核心层交换机而实现对总公司内部局域网的控制。 2.3.2总公司与分公司间网络通信技术需求1.本设计应用了OSPF（开放式最短路径优先）协议，实现了公司与分公司之间网络通信，为了总公司与分公司的通信安全，它们之间网络通信的链路封装了PPP协议，且PPP协议采用chap认证机制。2.为实现减轻总公司网络负担的功能，分公司核心路由器为为总公司的保安部动态提供IP地址，由于总公司保安部设备和其DHCP服务器不在同一广播域内，因此需要中间路由器，作为中继来实现这一功能，这里应用了DHCP+IPHelper-address技术来实现。3.分公司为了自己内部信息的安全，仅允许总公司后勤部的设备以HTTP的方式访问其服务器，这里应用了ACL技术，仅允许后勤部网段通过80端口访问服务器，来实现这一功能。2.3.3总公司与广域网间通信技术需求1.由于公司内部网络需要接入广域网，而公司内部网络使用的是内部私有的IP地址，而私有的网络是不可以与广域网上的设备直接相通信的，因此公司内部网络与广域网通信时，需要将私有的IP地址转换为公有的IP地址，才能实现公司专用网与广域网的连通，这里应用了NAT（网络地址转换）技术实现了这一功能。2.网络通信中，为实现禁止保安部与后勤部访问互联网上资源的功能，需要应用ACL（访问控制列表）技术，它可以过滤网络中的流量，允许控制列表中的网络设备（根据其IP地址）与外网之间实现通信，而阻止其他设备与外网相互通信。3.网络提供商（网通）为总公司边缘路由器（用于连接广域网）与外网连接的端口提供IP地址，为了方便总公司与网络提供商的网络配置，这里网通路由器开启DHCP协议，使得缘路由器与外网连接的端口可以自动获得IP地址。2.3.4总公司与合作伙伴间通信技术需求为实现总公司与其合作伙伴的高质量的点对点通信，在他们之间建立了高性能的虚拟广域网连接，这里应用了帧中继技术，并在其上封装了点对点协议。2.3.5总公司与出差人员间通信技术需求为了方便公司员工在外地办公时，依然能够访问总公司的服务器，本设计应用了VPN（虚拟专用网络）来实现这一功能。第3章网络模拟实验工程技术及原理概述3.1网络安全技术网络系统对网络通信的安全性有着十分高的要求。虽然计算机系统本身具有一定的安防措施，但是网络系统的安全防范仍然是整个网络系统安全性中一道重要的关卡。局域网内的交换机应当能够对公司内部网络进行虚拟网划分和链路层网络管理，把实际地理位置上分散而逻辑上紧密相关的站点划入同一虚拟网，从而实现不相关网络的逻辑隔离是网络安全性的重要保证。因此，我们在网络方案施工过程中选用的网络设备应该具有包括物理层、网络层、应用层等多个层次实现安全管理的能力，从而避免发生在同一虚拟网内以及虚拟网之间互联点上的非法侵犯。本网络工程方案涉及到的网络通信安全协议与数据加密技术有：总公司内部局域网与分公司网络连接链路采用PPP封装CHAP认证机制协议。CHAP协议是PPP（点对点协议）询问握手认证协议。它对对端身份的校验是通过三次握手机制周期性的检验，其完成是在链路建立初期。通过不断增长变化的标识符和可变的询问数值结果，可避免来自恶意端点的欺骗性攻击。从而保证了总公司与分公司之间网络通信的安全性。在总公司接入互联网，总公司与分公司以及总公司与出差人员之间的通信中都应用到了访问控制列表（AccessControlList，ACL）网络安全技术。ACL是交换机与路由器接口的指令表，用来对相关端口数据包的进出进行控制。ACL可以用于所有的路由协议，例如AppleTalk、IP等。相关的匹配关系、条件和查询语句都包含在这张表中，表是一种基本框架结构，它的作用是控制某种网络资源访问。为了确保公司内部网络的安全性，需要通过相关安全机制来保证没有授权的用户只能访问特定的网络资源，从而实现对访问进行控制的功能。ACL还可以过滤网络通信过程中的流量，这是一种控制访问的网络技术手段。应用ACL技术给公司不同部门设置不同的网络访问权限更加有效的保证了公司内部资料的安全性。3.在总公司与出差人员之间VPN通信中应用到网络安全协议以及网络安全机制相关算法有：IKE协议、IPSec协议、3DES加密算法、MD5算法。 IKE协议是因特网密钥交换协议，它能够解决在复杂的网络环境中十分安全地建立或更新共享密钥的问题。这是一种混合型协议，主要是由密钥管理协议（ISAKMP）和Internet安全关联以及SKEME与OAKLEY两种密钥交换协议构成。IKE创建在由ISAKMP定义的框架上，使用了密钥更新和SKEME的共享技术以及OAKLEY的密钥交换模式。IPSec全称是Internet协议安全性（InternetProtocolSecurity），它通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯，而且是一种开放标准的框架结构。它为了防止Internet与专用网络的攻击，采用端对端的安全性来提供对主动的保护。在通信过程中，只有收发两方才能而且必须了解IPSec保护的计算机。3DES是三重数据加密算法（TDEA，TripleDataEncryptionAlgorithm）块密码的统称。它的本质就是将DES加密算法分别三次应用于每个要发送的数据块，使用的是对称密钥加密法算法。它是DES向AES过渡的加密算法，相对于DES，3DES的加密安全性更加可靠，以DES为基本模块，通过组合分组方法设计出分组加密算法。MD5是一种散列函数，它广泛应用于计算机安全领域，它的功能是提供消息的完整性保护，它的作用是让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式。3.2虚拟网支持计算机网络系统采用现代交换原理，它促使虚拟网技术的应用在全球范围内快速猛增。按照网络区域的不同分布对全网实施虚拟网划分，这是提高网络安全性、增强网络性能、加强网络管理、隔离网络故障的有效措施。但是如果虚拟网的应用仅仅局限于局部网络或单个交换机内部，经过网络划分后，整个网络工程系统将成为一块块支离破碎的盲区。所以总公司选用的网络核心层交换机应具备跨越分支和主干自由地在全网范围内进行划分虚拟网的功能，而且所有网络设备的虚拟网划分功能应当基于IEEE802.1Q这个统一的标准。3.3第三层交换技术网络通信中的大部分数据流量不再局限于各子网内部，这是Internet/Intranet的相关计算方式对各公司广域网计算机网络系统的另一个重大考验。网络通信大多是跨越子网边界访问，它对网络中相关设备处理子网间路由的能力要求非常高。传统路由器以软件方式进行路由操作，这种操作方式产生的传输延迟是交换机产生的几十倍，而且当网络负载变化时，延迟时间会随之有很大变化，这很不利于多媒体的传输；由于采用价格昂贵的高性能处理器和大量高速内存而导致性能价格比非常低，无法进一步对吞吐量进行提高。如今局域网主干上增加了许多的路由任务，以往路由器的吞吐量已经不能满足当前的网络需求，而过大的延迟又不能适应语音通信、多媒体视频的服务质量需求，使用具有网络层功能的交换机替代路由器实现低延迟、大容量的路由即第三层交换已势在必行。各公司广域网应选用具有硬件实现的第三层交换能力的网络交换机（本设计选用的是3560-24ps型三层交换机）用来满足不断增长的子网间通信需求，同时实现多媒体通信所要求的低延迟和延迟量的稳定性。为了使网络服务更好地支持不同应用的服务质量需求，应当考虑采用能够根据不同应用区别处理的具有应用认知功能的缓存设备和具有第四层智能的第二代多层交换机作为网络主干设备，从而更有效地利用宝贵的网络资源。Internet/Intranet计算是网络计算进一步发展的总体趋势，它需要适应应用技术发展的需求，这不仅要求主干交换机，而且配线间工作组交换机也应选择具备第三层交换能力的设备，这样可以在需要时分担主干交换机的负载，更加有效地利用有限的主干带宽。我们在强调网络第三层交换功能的同时，以前的第二层交换技术也不能被忽视，主干和分支交换机都应当能够在支持多层交换的同时支持我们可能需要的各种第二层交换技术，如快速以太网、ATM、FDDI、千兆以太网等。3.4网络管理和流量监控计算机网络系统是全球各公司广域网智能系统的神经中枢，它的运行状态应该得到全面的管理和监控。OSI对网络管理功能提出了性能管理、配置管理、安全管理、错误管理、记帐管理等五大要求，以此为基础，该网络管理系统应当选用基于工业标准的简单网络管理协议（SNMP）的开放式管理平台，而且需要配合专用的网络管理应用作为网管系统的设计框架。网管系统应支持设备的配置和监视、网络故障的监测、网络拓扑自动发现和报告等功能，而且能够提供简单方便的图形用户接口。第三章介绍了网络模拟工程施工过程中需要应用到的网络技术及其相关原理，其中重点介绍了网络安全应用技术。下面的第四章就是要对整个网络模拟工程的施工进行详细的说明。第4章网络模拟实验工程总体规划4.1网络总体拓扑本网络工程方案的设计划分为五个模块，分别为：总公司内部局域网网络拓扑设计；总公司与分公司之间ppp+chap网络拓扑设计；总公司内部局域网接入广域网拓扑设计；总公司与合作伙伴间广域网上帧中继通信网络拓扑设计；总公司与公司出差人员间VPN网络通信拓扑设计。网络总体布局拓扑,如图4-1：图4-1网络工程总体拓扑图4.2项目工程网络规划4.2.1总公司内部局域网规划1.在总公司核心交换机上创建四个VLAN:VLAN2,VLAN3,VLAN4,VLAN8,分别分配给公司内部，销售部、研发部、后勤部、保安部，将公司划分为四个网段，便于管理；2.各VLAN之间互相通信，由于公司各部门一些特殊的设备需要设置静态IP，所以设需要留地址范围是：-20，-30，-40；3.在核心层交换机上配置TELNET，网管中心对公司内部局域网进行远程控制管理。4.2.2总公司与分公司网络规划总公司与分公司之间PPP连接需封装CHAP认证，认证密码设为：123；总公司与分公司之间应用OSPF技术实现网络连接。OSPF路由协议的相关配置过程有如下几个步骤：在相关路由器或三层交换上指定使用ospf协议，协议ID为10;在不同型号的路由设备上设置其路由ID；指定与路由器相连的网络，区域号设置为0。分公司核心路由器为总公司保安部提供动态IP,其IP地址范围是：-54；4.在总公司核心层交换机上应用ACL技术，仅允许后勤部网段的80端口可以访问分公司服务器。4.2.3总公司与广域网间网络规划应用了NAT技术，将公司内部私有的IP地址转换为公有的IP地址，使得公司内部网络接入广域网。该NAT的配置大致可分为以下步骤：在边缘路由器和ISP路由器上配置访问控制链表，用以规定允许访问广域网IP范围；将访问控制链表与相应的路由端口映射在一起；指定NAT网络内部和外部接口，用以确定NAT网络数据的流向。2.网络通信设置中，应用ACL技术，过滤网络中的流量，实现禁止保安部与后勤部访问互联网上资源的功能。3.网络提供商设置DHCP协议，使得缘路由器与外网连接的端口可以自动获得IP地址。DHCP协议的配置主要有以下步骤:（1）设定DHCP协议IP地址池；（2）定义DHCP网络地址，即一个网段，所有该网段内的网络设备只能获得规定的该网段内的IP地址；（3）配置该网段的网关；（4）给该网段配置DNS；（5）除去某些预留的IP地址段，网段内设备启动DHCP协议获取IP地址时，不能获取该段内的IP地址。4.2.4总公司与合作伙伴间网络规划总公司与其合作伙伴间采用点对点通信并结合帧中继技术，其网络设计主要分为以下步骤:在相关路由器广域网端口上封装帧中继协议；在上述物理端口上建立虚拟子接口，设置其为point-to-point类型，并为其配置相应IP地址；给子接口配置DLCI值并建立对端协议地址与本地DLCI的映射关系；配置帧中继中云相关端口,指定数据流流向的端口，从而实现点对点通信的链路连接。4.2.5总公司与出差人员间网络规划总公司与在外出员工间采用VPN技术，实现出差人员能够访问总公司的服务器功能。在VPN设计中，主要做以下工作:IKE（Internet密钥交换）协议设置：（1）分别对通信两端建立isakmp策略并且采用3des加密协议；（2）哈希采用md5算法验证，双方采用欲共享密钥认证方式；（3）对通道进行加密，并设置对端IP地址；（4）为了增强数据传输中的安全性，创建变换集，采用esp-3des和esp-md5-hmac算法。２.应用ACL技术定义感兴趣流，确定通信双方数据的流向。３.通过创建加密图将感兴趣流与变换集映射在一起，从而确定了受保护的数据流。４.将加密图绑定在对应的端口上。以上比较详细的介绍了整个模拟网络项目工程总体规划以及其中比较重要的网络技术或协议的设计流程，接下来是整个模拟网络工程拓扑的配置。第5章网络模拟实验项目配置概述5.1总公司内部局域配置5.1.1核心层交换机配置在核心层交换机上配置:VLAN2、VLAN3、VLAN4、VLAN8四个虚拟局网段分别分配给：销售部、研发部、后勤部及保安部。配置命令如下：1.创建虚拟局域网：Sw-35(config)#vlan2Sw-35(config-vlan)#vlan3Sw-35(config-vlan)#vlan4Sw-35(config-vlan)#vlan8Sw-35(config-vlan)#exit2.将核心层交换机f0/2、f0/3、f0/4、f0/8端口分别接入到四个局域网中，而且这四个端口分别连接到四个部门的接入层交换机上，这里仅列出一个端口的配置，其他端口配置与此相似：Sw-35(config)#intf0/2Sw-35(config-if)#switchportaccessvlan2Sw-35(config-if)#switchportmodeaccess5.1.2DHCP协议配置1.创建三个IPDHCP地址池分别命名为：xsb,yfb,hqb分别分配给销售部、研发部、后勤部，其中之一配置为：Sw-35(config)#ipdhcppoolxsbSw-35(dhcp-config)#netSw-35(dhcp-config)#default-routerSw-35(dhcp-config)#dns2.保留一定范围的IP地址，其相关配置是：Sw-35(config)#ipdhcpexcluded-address0Sw-35(config)#ipdhcpexcluded-address0Sw-35(config)#ipdhcpexcluded-address03.定义VLAN子接口，各部门的计算机可以自动获得IP：Sw-35(config-if)#intvlan2Sw-35(config-if)#ipaddSw-35(config-if)#intvlan3Sw-35(config-if)#ipaddSw-35(config-if)#intvlan4Sw-35(config-if)#ipadd4.三层交换机上要实现各VLAN间的通信，需要开启路由功能，其命令是：Sw-35(config)#iprouting5.网管中心对总公司核心层交换机进行控制和管理命令：Sw-35(config)#linevty015Sw-35(config-line)#pass123Sw-35(config)#enablepass456Sw-35(config)#ipdefault-gatewaySw-35(config)#intf0/1Sw-35(config-if)#ipadd5.2总公司与分公司间网络配置1.配置总公司与分公司实现网络连通相关端口：R1(config)#intf0/0R1(config-if)#noshutR1(config-if)#ipaddR1(config)#ints1/0R1(config-if)#noshutR1(config-if)#ipadd2.配置OSPF路由协议实现总公司与分公司间相互通信，其中配置核心层交换机、路由器R1、R2的路由ID分别为：、、，其中仅列出了核心层交换机上OSPF的配置：Sw-35(config-if)#intf0/6Sw-35(config-if)#noswitchportSw-35(config-if)#ipaddSw-35(config)#routerospf10Sw-35(config-router)#router-idSw-35(config-router)#net55a03.为减轻总公司的负担分公司提供DHCP中继服务地址池-254，为保安部提供动态IP:R2(config)#ipdhcppoolbabR2(dhcp-config)#netR2(dhcp-config)#default-routerR2(dhcp-config)#dns4.需要在核心层交换机上给VLAN8配置IP，由于DHCP服务器与保安部设备不在同一广播域内，需要应用IPHelper-address技术来实现为保安部提供动态IP的功能：Sw-35(config)#intvlan8Sw-35(config-if)#ipaddSw-35(config-if)#iphelper-address5.在R1与R2之间封装PPP协议，并且建立chap认证安全机制，认证密码为123，这里仅说明了R1的配置，R2配置与此相似：R1(config)#ints1/0R1(config-if)#encapsulationpppR1(config-if)#pppauthenticationchapR1(config-if)#exitR1(config)#usernameR2pass1236.后勤部只能访问分公司服务器的HTTP服务，其他部门不受此限制，实现此功能需要应用ACL技术，断开网段与分公司服务器TCP连接（除80端口外）:Sw-35(config)#access-list100denytcp55host0neq80Sw-35(config)#access-list100permitipanyanySw-35(config)#intf0/6Sw-35(config-if)#ipaccess-group100out5.3总公司接入互联网配置1.为实现总公司与互联网的，核心层交换机f0/5端口作为与外部网络连接的接口，其配置：Sw-35(config-if)#intf0/5Sw-35(config-if)#noswSw-35(config-if)#ipadd2.边缘路由器是连接总公司与广域网的路由器，其f0/0端口配置IP：bound(config)#intf0/0bound(config-if)#ipadd3.网络供应商（网通）路由器ISP与总公司边缘路由相连接，将公司局域网连接到广域网上:ISP(config)#intf0/0ISP(config-if)#ipaddISP(config-if)#noshutISP(config)#ints1/0 ISP(config-if)#ipaddISP(config-if)#noshut 4.在ISP上配置DHCP为边缘路由器的f0/1端口提供动态IP:ISP(config)#ipdhcppoolboundISP(dhcp-config)#netISP(dhcp-config)#deISP(dhcp-config)#dns5.打开边缘路由器的f0/1端口，并设置其从DHCP获得IP:bound(config)#intf0/1bound(config-if)#noshutbound(config-if)#ipadddhcp6.配置INTERNET，在其上设置环回口lo1,模拟公司内部局域网可以与互联网相连通：Internet(config)#ints1/0Internet(config-if)#noshutInternet(config-if)#ipadd0Internet(config-if)#clockrat64000Internet(config-if)#intlo1Internet(config-if)#ipadd7.在边缘路由器上配置ospf协议,实现公司局域网与便于路由器的连接，为公司局域网接入广域网作中继：bound(config)#routerospf10bound(config-router)#router-idbound(config-router)#net55a08.为了公司内部局域网的安全，配置单向路由阻止外部网络访问公司内部资源：Sw-35(config)#iproute9.在ISP上执行NAT转换，允许销售部、研发部接入INTERNET(后勤部、保安部除外):在边缘路由器上配置访问控制列表10，允许销售部、研发部接入：bound(config)#access-list10permit55bound(config)#access-list10permit55bound(config)#ipnatinsidesourcelist10intf0/1overloadbound(config)#intf0/1bound(config-if)#ipnatoutsidebound(config-if)#intf0/0bound(config-if)#ipnatinside 在ISP路由器上配置访问控制列表20，允许销售部、研发部接入 互 联网：ISP(config)#access-list20permit55ISP(config)#ipnatinsidesourcelist20ints1/0overloadISP(config)#ints1/0ISP(config-if)#ipnatoutsideISP(config-if)#intf0/0ISP(config-if)#ipnatinsideISP(config)#iproute05.4总公司与合作伙伴间网络配置5.4.1帧中继配置1.总公司核心路由器R1与合作伙伴相连接的端口配置：R1(config)#ints1/1R1(config-if)#ipaddR1(config-if)#noshut2.总公司与合作伙伴1、2封装帧中继并配置点对点协议，这里仅列出了其与合作伙伴1连接的命令,其他合作伙伴配置命令与此相似：连接端口的配置：R6(config)#intf0/0R6(config-if)#noshutR6(config-if)#ipadd在物理端口（广域网端口s0/1/0）封装帧中继协议:R6(config-if)#ints0/1/0R6(config-if)#noshutR6config-if)#clockrate64000R6(config-if)#encapsulationframe-relay在物理端口上建立子接口，并指定接口类型:point-to-point，并配置IP地址：R6(config-if)#ints0/1/0.1point-to-pointR6(config-subif)#ipadd给子接口配置DLCI值

:R6(config-subif)#frame-relayinterface-dlci30建立对端协议地址与本地DLCI的映射关系:R6(config-subif)#descriptionlinktoR5dlic20应用OSPF协议实现总公司与合作伙伴帧中继分装PPP的连接:R6(config)#routerospf10R6(config-router)#router-idR6(config-router)#net55a0R6(config-router)#net55a05.4.2帧中继云配置配置帧中继中云相关端口,指定数据流流向的端口，从而实现点对点通信的链路连接，该链接端口配置如图5-1：图5-1帧中继云端口配置图5.5出差人员与总公司间VPN配置总公司核心路由器R1建立VPN相关端口配置：R1(config)#intf0/1R1(config-if)#noshutR1(config-if)#ints1/2R1(config-if)#noshutR1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#intf0/1R1(config-if)#ipaddR1(config-if)#exit5.5.1IKE第一阶段IKE配置：1.建立isakmp策略10:R1(config)#cryptoisakmppolicy102.采用3des加密:R1(config-isakmp)#encryption3des3.哈希采用md5验证:R1(config-isakmp)#hashmd54.采用欲共享密钥认证方式:R1(config-isakmp)#authenticationpre-share R1(config-isakmp)#exit5.对通道进行加密，并设置对端IP地址:R1(config)#cryptoisakmpkey123abcadd5.5.2IKE第二阶段1.创建变换集sset，后面两项为加密传输的算法:R1(config)#cryptoipsectransform-setssetesp-3desesp-md5-hmac2.定义感兴趣流：R1(config)#access-list110permitip55555.5.3感兴趣流与变换集映射1.创建加密图123abc序号10:R1(config)#cryptomap123abc10ipsec-isakmp 2.VPN隧道对端的IP地址:R1(config-crypto-map)#setpeer3.使用上面创建的变换集:R1(config-crypto-map)#settransform-setsset 4.定义进行加密传输的数据,与第一步对应引入访问列表确定受保护的数据流:R1(config-crypto-map)#matchaddress110R1(config-crypto-map)#exit5.5.4绑定Map接口R1(config)#ints1/2R1(config-if)#cryptomap123abcR1(config-if)#exitR1(config)#iproute第五章主要介绍了整个模拟网络工程的详细配置过程，接下来的第六章是在网络模拟平台上进行网络模拟项目实验，从而展示其网络模拟功能。网络模拟平台项目实验前五章基于PacketTracer软件将网络模拟系统工程平台已经搭建完毕，本章主要介绍基于本系统来实现相关的网络模拟项目实验。6.1网络模拟系统平台项目实验6.1.1模拟VLAN相互通信实验1.实验目的（1）理解VLAN的原理及功能；（2）掌握不同VLAN间通信原理；（3）掌握VLAN的配置，实现局域网内VLAN间的通信。2.技术优点（1）控制网络广播风暴，VLAN是基于交换式以太网数据链路层网络技术，它能够将内部局域网根据交换机端口划分成一个个逻辑上相互独立的网段，从而有效的控制了网络广播风暴。（2）确保网络安全，以上划分的网段间是不能直接相互通信的需要借助第三层网络路由功能才能实现相互通信，因此VLAN能限制用户对相关网络的访问，从而保证了网络的安全性。（3）简化网络管理，网络管理员能应用VLAN技术方便管理整个网络，将不同地理位置的网络终端划分在同一VLAN中，实施统一高效的控制管理。3.网络拓扑结构如图6-1所示。图6-1VLAN实验拓扑图4.本实验是基于三层交换机来配置VLAN，并实现VLAN间的通信，其主要配置步骤如下：进入vlan

database模式，在该模式下设置不同的VLAN；进入相关端口配置模式，并配置该端口为access模式

；把相关的端口划分到对应VLAN中；进入相关VLAN配置模式，为其设置IP，即该网段网关；在三层交换机上启动iprouting命令，实现VLAN间网络通信。该实验基于本网络模拟系统，配置模拟完成了VLAN的设置及不同VLAN间相互通信的实验项目。6.1.2网络模拟DHCP实验1.实验目的（1）理解DHCP的原理及功能；（2）掌握DHCP的配置过程。2.技术优点（1）安全可靠性高，在网络层设备上设置DHCP协议，终端设备就能自动获得IP地址，避免了手动配置IP出现的不同设备IP地址冲突及配置出错的问题。（2）减轻管理员IP设置的工作负担，应用DHCP协议技术减少了网络配置的时间，终端设备的IP地址自动获得，不需管理员逐一配置。3.网络拓扑结构与图6-1相同。4.本项实验是基于三层交换机的路由功能来实现DHCP协议的配置，其主要配置步骤如下：（1）设定DHCP协议IP地址池；（2）定义DHCP网络地址，即一个网段，所有该网段内的网络设备只能获得规定的该网段内的IP地址；（3）配置该网段的网关；（4）给该网段配置DNS；（5）除去某些预留的IP地址段，网段内设备启动DHCP协议获取IP地址时，不可以获取该段内的IP地址。该实验基于本网络模拟系统，模拟完成了DHCP协议的配置以及网段内终端设备能够自动获得IP地址功能的项目实验。 6.1.3网络模拟NAT实验实验目的（1）理解NAT的原理及功能；（2）掌握NAT的配置；（3）实现应用NAT技术访问广域网资源功能。2.技术优点（1）IP地址转换，NAT技术可以实现私有IP地址与公有IP地址的转换，从而实现内部局域网与广域网之间的网络连通。（2）减缓可用IP地址空间的枯竭，使用NAT技术，不同局域网内部可使用相同的IP地址，当内部局域网与广域网通信时，NAT实现局域网内部与广域网IP地址的转换功能。3.本实验结合了ACL技术实现内部局域网对公网资源的访问，其网络拓扑结构如图6-2所示。图6-2NAT实验拓扑图NAT网络实验主要配置步骤如下：(1)在边缘路由器和ISP路由器上配置ACL，用以规定允许访问广域资源的网段；(2)将ACL允许的私有源地址配置转换成公有网络地址；(3)将访问控制链表与相应的路由端口映射在一起；(4)指定NAT网络内部和外部接口，用以确定NAT网络数据的流向；(5)配置IPROUTE命令实现内网与外网的路由连接。该实验基于本网络模拟系统，配置模拟完成了NAT实验项目。6.1.4网络模拟帧中继实验实验目的（1）理解帧中继的原理及功能（2）掌握帧中继的配置（3）配合PPP协议实现广域网帧中继通信2.技术优点（1）传输时延小、速率高，传输带宽按需分配，适合为局域网提供互连（2）组网以及网络处理简单（3）一个端口可以实现多个网络设备的连接（4）可以和不通网络速率的用户通信3.网络拓扑结构如图6-3所示。图6-3帧中继实验拓扑图帧中继网络实验主要配置步骤如下：（1）在相关路由器广域网端口上封装帧中继协议；（2）在上述物理端口上建立虚拟子接口，设置其为point-to-poi