物联网实验基地网络虚拟化部署的应用研究

杨春霞，宋姗姗

（济南大学 泉城学院，山东 蓬莱 265600）

1 研究背景

本研究的开展是基于新工科条件下物联网工程实践基地建设研究的产学研协同育人项目。结合国家对校企合作新工科建设的倡导，我校积极响应号召，与企业方展开实践基地建设的综合探讨，深度讨论实验方案。随着我校物联网专业的发展，实践基地的建设越发迫切。校企双方以应用型人才的培养为目标，结合当前的云计算技术，合理部署软硬件设备，方便开展多途径物联网实验。当前，云计算技术发展快速，在组建物联网实验室环境的过程中，其中的相关技术纳入了实验环境部署的考虑范围。云计算相关的技术有大数据技术、群集技术、虚拟化技术以及Docker技术等[1]。在此，重点讨论网络虚拟化实验环境的部署。

2 硬件设备搭建

实验基地建设场所的面积为130 m2。为了提高设备的利用率，需要兼容新技术的要求。硬件设备按照云计算的相关技术要求进行相应的配置。3台高性能服务器、1台浪潮服务器、2台戴尔服务器以及30台高性能戴尔台式机，主机操作系统配置为Win10。网络互联设备是神州数码、思科以及华为3个品牌的路由器、二层交换机以及三层交换机。此外，还需要配置30台物联网实验箱、2块配线架、1个配电机架以及5个机柜。其中，2个机柜放置各种网络互联设备，3个机柜放置各实验箱。

3 网络拓扑设计

网络平台作为物联网基地的重要基础平台，其物理基础实施结合实际需求分析。根据现有具体物理设施，进行网络拓扑规划与设计。网络需求分析是为了了解局域网用户现在想要实现什么功能，未来需要什么功能，并依据计算机网络建设的方向、原则以及作用，制定并建设计算机网络拓扑规划。本基地要实现的网络功能是将30台主机和实验箱进行有线和无线等不同的通信。具体实施是通过连接二层交换机、三层交换机以及路由器等网络互联设备，构建多层网络拓扑结构。30台物联网实验箱通过WiFi和蓝牙等技术与本基地路由器、二层交换机以及三层交换机组建不同的局域网，用于满足本地物联网通信的目的[2]。通过相关的广域网技术搭建广域网，用于实现物联网远程通信的目的。

4 网络虚拟化

网络虚拟化是在一个物理网络上模拟出多个逻辑网络来。基于网络的虚拟化方法可以在网络设备之间实现数据存储和数据转发等虚拟化功能。其主要包括VLAN虚拟局域网和VPN虚拟专用网两种[3]。

4.1 VLAN虚拟局域网

虚拟局域网（VLAN）是一组逻辑上的设备和用户。这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像在同一个网段中一样。具有网络设备的移动灵活、添加和修改的管理开销减少、控制广播活动以及提高网络安全性等优点。通过VLAN技术可以实现本实验基地物联网虚拟局域网之间通信的实验目的。本实验基地基于VLAN技术，将现有二层交换机虚拟出多个VLAN，分别设置为VLAN 10、VLAN 20、VLAN 30、VLAN 40、VLAN 50、VLAN 60、VLAN 70以及VLAN 80。这8个VLAN通过4台接入型交互机进行划分，每台交换机划分为2个不同的VLAN。每个VLAN都有4台主机接入，4台主机所连接交换机的接口为Ethernet接口，网速为10 Mb/s。通过设置接口配置模式下的switchport mode access命令，将对应的接口配置为access类型。这样配置的好处是每个接口只允许转发本VLAN内的数据流。通过设置接口配置模式下的switchport access vlan n命令，将对应的接口配置到对应的VLAN中。这样，8个不同的VLAN也就是8个不同的虚拟局域网。要想实现不同VLAN主机之间的数据通信，需要通过配置网络层的路由协议。主机划分如表1所示。

表1 主机划分

至此，每台主机都划归到某一具体网段。通过不同VLAN，可以实现物联网实验中的局域网内部通信和局域网间通信。此外，本实验基地还可以通过虚拟专用网VPN实现物联网的远程通信。

4.2 VPN虚拟专用网

VPN属于远程访问技术。以共享的公用网络为基础，架设私有的专用网络。例如，某公司员工出差到外地，他想访问企业内网的服务器资源时，这种访问就属于远程访问。

本实验基地通过构建远程网络，以实现物联网远程通信的目的。为保证数据安全，在此采用了VPN远程访问技术，构建物联网的远程通信平台。将上述8个VLAN分属于4个远程地点。其中VLAN 10和VLAN 20属于A地，VLAN 30和VLAN 40属于B地，VLAN 50和VLAN 60属于C地，VLAN 70和VLAN 80属于D地。A、B、C、D分别连接出口路由器，出口路由器之间连接中间路由器E。网段设置时，A和E之间的网段为1.1.1.0。该网段中，路由器A的接口IP地址配置为1.1.1.1，路由器E的接口IP地址配置为1.1.1.2。B和E之间的网段为2.2.2.0。该网段中，路由器B的接口IP地址配置为2.2.2.1，路由器E的接口IP地址配置为2.2.2.2。C和E之间的网段为3.3.3.0。该网段中，路由器C的接口IP地址配置为3.3.3.1，路由器E的接口IP地址配置为3.3.3.2。D和E之间的网段为4.4.4.0。该网段中，路由器D的接口IP地址配置为4.4.4.1，路由器E的接口IP地址配置为4.4.4.2。

在通信协议分层中，网络层是实现端到端安全通信的最底层，它为所有应用层数据提供透明的安全保护。本实验基地采用IPSec VPN实现远程物联网安全通信。IPSec VPN 主要通过加密技术、隧道协议以及认证协议3 种技术为数据的安全转发保驾护航。下面以VLAN 10和VLAN 80两个远程虚拟局域网内部主机PC0和主机PC7间的数据转发过程为例，分析IPSec VPN的5个通信步骤。

第1步：确定需要IPSec安全保护的数据流。PC0向PC7发送数据属于局域网内部通信，因此数据转发相对安全。

第2步：IKE阶段1—通过命令crypto isakmp enable使能IKE，并进行第一次回话。在这个阶段中，IKE鉴别IPSec对等体路由器A和D之间协商IKE安全关联，并且为IKE阶段2中的IPSec安全关联协商下列参数。

第3步：IKE阶段2—IKE协商IPSec安全关联参数，并在对等体路由器A和D之间建立相匹配的IPSec安全关联。添加外网IP报头更好地保护内容IP地址，通过以下命令配置本IPSec路由设备的对端路由器。

RouterA（config）#crypto isakmp key cisco1234 address 4.4.4.2

第4步：数据传送—基于保存在安全关联数据库中的IPSec参数和密钥，在IPSec对等体路由器A和D之间搭建的隧道内传送数据，保证数据进行安全转发。

第5步：IPSec隧道终止—IPSec安全关联因被删除或超时而终止。

5 结 论

网络虚拟化是物联网通信的基础架构。本实验基地采用VPN+VLAN的虚拟化技术，实现了网络基础平台的搭建，且后期各种物联网通信实验都是基于该网络平台展开实施。此外，本实验基地的建设符合学校实验环境，同时也符合学科建设的需要，对物联网专业的教学具有促进作用。