■ 濰坊 趙培元
為了更好地掌握路由交換技術(shù)的原理與配置,采用仿真器是最佳的選擇。
學(xué)習(xí)交換路由技術(shù)的根本是為了網(wǎng)絡(luò)架構(gòu),而企業(yè)園區(qū)網(wǎng)絡(luò)架構(gòu)中采用的技術(shù)主要有網(wǎng)絡(luò)拓撲規(guī)劃、IP地址規(guī)劃、VLAN技術(shù)、MSTP技術(shù)、VRRP技術(shù)、堆疊技術(shù)、PPP MP、OSPF技術(shù)、NAT技術(shù)以及網(wǎng)絡(luò)安全技術(shù)等。那么能否較好支持上述技術(shù),成為網(wǎng)絡(luò)技術(shù)學(xué)習(xí)者選擇網(wǎng)絡(luò)設(shè)備仿真器的依據(jù)。
當(dāng)前主流網(wǎng)絡(luò)設(shè)備仿真器,主要有HCL(華三公司)、eNSP(華為公司)、GNS3(針對思科設(shè)備的第三方開發(fā)者)和Packet Tracer(思科公司)等。下面主要從軟件易用性、對系統(tǒng)的硬件需求以及對網(wǎng)絡(luò)技術(shù)的支持(即仿真度)三個方面進行分析。
第一,仿真軟件易用性。
HCL、eNSP與Packet Tracer在軟件安裝完成后即可正常使用,無需進行另外的配置;GNS3是Dynamips仿真器的圖形化而來的,所以需要自行下載思科的IOS系統(tǒng)來進行配置,雖然比早期的Dynamips容易使用,但相對于另外三個仿真器而言,使用前的配置比較復(fù)雜。
第二,仿真軟件對系統(tǒng)的硬件需求。
Packet Tracer軟件比較小巧,安裝運行對系統(tǒng)的要求較低,即使大型拓撲對系統(tǒng)也沒有過多的要求,運行流暢。HCL、eNSP、GNS3均是基于虛擬機運行,仿真度高,但由于基于虛擬機技術(shù),占用內(nèi)存、硬盤、CPU資源較多,隨著拓撲增大,對系統(tǒng)的硬件需求會越來越高,若系統(tǒng)性能不足,會出現(xiàn)設(shè)備(仿真的交換機、路由器、防火墻等)無法啟動或者運行卡頓等現(xiàn)象。
第三,仿真軟件的仿真度。
HCL、eNSP、GNS3均基于虛擬機運行,即運行了網(wǎng)絡(luò)設(shè)備的IOS系統(tǒng),除了性能上因物理設(shè)備的原因無法達到,設(shè)備支持的技術(shù)均支持。Packet Tracer是思科開發(fā)的仿真器,對系統(tǒng)進行了改動,所以對設(shè)備的仿真度較低。但從實際使用角度來說,Packet Tracer基本上能滿足在校生學(xué)習(xí)的需求。
綜合上述分析,初學(xué)者建議采用Packet Tracer進行學(xué)習(xí)。那么Packet Tracer是否能滿足企業(yè)園區(qū)網(wǎng)機構(gòu)的技術(shù)需求呢?本文從一個具體的企業(yè)園區(qū)網(wǎng)的仿真架構(gòu)來論證了該問題。
某知名外企步入中國,在北京建設(shè)了自己的國內(nèi)總部。為滿足公司經(jīng)營、管理的需要,現(xiàn)在建立公司信息化網(wǎng)絡(luò)??偛哭k公區(qū)設(shè)有市場部、財務(wù)部、人力資源部、信息技術(shù)部等4個部門,并在異地設(shè)立了一個分部,為了業(yè)務(wù)的開展需要合作伙伴訪問公司內(nèi)部服務(wù)器。
根據(jù)這個企業(yè)的建網(wǎng)的需求,某系統(tǒng)集成公司進行網(wǎng)絡(luò)規(guī)劃和部署。為了確保部署成功,前期進行仿真測試,測試環(huán)境包括了3臺路由器、3臺三層交換機、1臺UTM、2臺服務(wù)器、1臺POE交換機、1臺AP及3臺主機。具體拓撲如圖1所示。
在Packet Tracer中,為實施企業(yè)網(wǎng)絡(luò)的仿真拓撲,學(xué)習(xí)企業(yè)網(wǎng)絡(luò)架構(gòu),本文對網(wǎng)絡(luò)設(shè)備進行了調(diào)整,測試環(huán)境包括了3臺2811路由器、2臺三層交換機、1臺819HGW路由器、2臺服務(wù)器及3臺主機,具體拓撲及端口規(guī)劃如圖2所示。
圖1 H3C設(shè)備仿真拓撲
圖2 Packet Tracer中仿真拓撲
鑒于企業(yè)網(wǎng)絡(luò)工程的復(fù)雜性,本文僅對主要技術(shù)的部分規(guī)劃與實施進行論述。
仿真實施采用了四個部門,分別規(guī)劃為四個VLAN,具體規(guī)劃如表1所示。
以SW1設(shè)備VLAN10創(chuàng)建為例說明VLAN的實施。
(1)利用VLAN命令創(chuàng)建VLAN10。
(2)利用interfac e命令進入需要加入VLAN10的端口視圖,將端口加入VLAN10。
表1 企業(yè)部門VLAN規(guī)劃
為保證網(wǎng)絡(luò)可靠性運轉(zhuǎn),在SW1、SW2、SW3交換機上采用Rapid-PVST技術(shù)防止二層環(huán)路,在SW2、SW3上采用HSRP技術(shù)實現(xiàn)主機的網(wǎng)關(guān)冗余。為減少數(shù)據(jù)的傳輸,要求修剪流經(jīng)SW1、SW2、SW3的VLAN數(shù)據(jù)。
(1)VLAN數(shù)據(jù)修剪配置以SW2為例說明:進入需修剪數(shù)據(jù)的端口fa0/2、fa0/3,進行數(shù)據(jù)修剪。
需要注意的是,修剪數(shù)據(jù)的端口需要為trunk端口類型,可在端口視圖下通過命令swit mode trunk實現(xiàn)。
(2)HSRP技術(shù)以SW3的市場部VLAN10配置為例說明。
進入需配置HSRP的端口VLAN10,設(shè)定HSRP的虛IP地址、優(yōu)先級、搶占機制等。
需要注意的是,端口物理地址要設(shè)定,且不能與虛IP地址沖突。
RT1與RT3使用廣域網(wǎng)串口線連接,使用PPP協(xié)議。為了安全起見,使用雙向PAP驗證。本文僅給出單向驗證配置說明,雙向驗證即反向再做一次單向驗證即可。
(1)主驗證方RT1利用uername命令配置驗證的用戶名與密碼,對參與PAP驗證的端口設(shè)定封裝協(xié)議為PPP,并啟用PAP驗證。
(2)被驗證方RT3對參與PAP驗證的端口設(shè)定瘋轉(zhuǎn)協(xié)議為PPP,并發(fā)送在主驗證方設(shè)定的用戶名與密碼。
公網(wǎng)路由器和合作伙伴屬于公網(wǎng)部分,使用靜態(tài)路由。公司總部網(wǎng)絡(luò)使用OSPF協(xié)議,配置為OSPF的骨干區(qū)域。在UTM上配置去往分部的靜態(tài)路由,并引入到OSPF中。分部使用靜態(tài)路由。為了管理方便,要求公司內(nèi)部網(wǎng)絡(luò)(包括公司分部)的所有網(wǎng)絡(luò)設(shè)備均將Loopback地址發(fā)布。
因為路由規(guī)劃內(nèi)容均在UTM上有實施,所以以UTM設(shè)備實施為例加以說明。
(1)到公網(wǎng)路由采用缺省路由實現(xiàn),下一跳為RT1的f0/0端口地址。
(2)設(shè)定到公司分部的靜態(tài)路由。其中,目標網(wǎng)絡(luò)為公司分部IP地址,下一跳為公司分部RT2設(shè)備的VPN轉(zhuǎn)發(fā)數(shù)據(jù)接口的IP地址。
(3)進入OSPF路由視圖,設(shè)定router-id。
(4)在OSPF視圖中利用network命令發(fā)布設(shè)備的私網(wǎng)端口直連網(wǎng)絡(luò)。本文拓撲中需發(fā)布的網(wǎng)絡(luò)地址為utm設(shè)備f0/0、f0/1端口地址所在網(wǎng)絡(luò)與loopback端口地址。
(5)在OSPF視圖中重分發(fā)缺省路由與靜態(tài)路由。
在UTM上配置NAT。要求內(nèi)網(wǎng)的所有私有地址(網(wǎng)絡(luò)設(shè)備除外)均可經(jīng)地址轉(zhuǎn)換(使用地址池方式)后而訪問公網(wǎng)。公網(wǎng)用戶通過靜態(tài)NAT轉(zhuǎn)換而訪問公司內(nèi)服務(wù)器。
NAT配置均在出口路由器UTM設(shè)備上實施。
(1)利用命令ip nat inside設(shè)定NAT內(nèi)網(wǎng)端口,利用命令ip nat outside設(shè)定NAT公網(wǎng)數(shù)據(jù)端口。需要注意的是,不論靜態(tài)NAT還是NAPT均需指定內(nèi)網(wǎng)端口與外網(wǎng)端口。
(2)利用ip nat inside source static命令設(shè)定公司內(nèi)網(wǎng)服務(wù)器IP地址到公網(wǎng)IP地址的映射。
(3)NAPT設(shè)定內(nèi)網(wǎng)用戶訪問公網(wǎng)。
①利用ACL設(shè)定私網(wǎng)訪問公網(wǎng)的IP地址范圍。
②設(shè)定公網(wǎng)地址,本文采用地址池方式。
③完成私網(wǎng)地址到公網(wǎng)地址的映射。
無線WLAN采用WPA-PSK方式驗證,采用819HGW路由器仿真實現(xiàn),因為該路由器集成了無線模塊。
(1)進入路由器與無線模塊通信端口Wlan-GigabitEthernet0,將其加入WLAN所在VLAN。
(2)在特權(quán)模式下利用命令service-module wlanap 0 session進入819HGW的無線AP模式。
(3)設(shè)定WLAN無線功能。
①利用dot11 ssid命令進入SSID視圖,設(shè)定驗證模式、密碼及工作模式
②進入無線射頻端口,綁定前面設(shè)定的SSID,并利用no shut命令啟用端口
總部與分部間通過IKE+IPSec VPN互訪。具體實施以總部的UTM路由器實施為例,分部的RT2同理。
(1)通過ACL設(shè)定需通過VPN轉(zhuǎn)發(fā)數(shù)據(jù)的IP網(wǎng)絡(luò)地址。
(2)通過crypto isakmp policy命令進入ISAKMP視圖,設(shè)定IKE的加密方式、驗證方式。
(3)設(shè)定IKE的預(yù)共享密鑰。
(4)設(shè)定IPSec交換集的安全協(xié)議、加密算法、驗證算法。
(5)利用crypto map命令進入加密圖(因采用IKE+IPsec模式,所以需指定參數(shù)ipsec-isakmp),設(shè)定對等體,綁定前面設(shè)定的交換集、ACL。
(6)進入VPN數(shù)據(jù)轉(zhuǎn)發(fā)端口,綁定VPN加密圖。
當(dāng)整個網(wǎng)絡(luò)均配置完成后可以對網(wǎng)絡(luò)的技術(shù)實施進行驗證。
對于VLAN可采用show vlan brief進行查看;對于STP可采用show spanningtree查看。
對于HSRP可采用show standby brief查看。
對于PPP驗證可采用show protocols查看(端口與line protocol均為up)。
對于路由可以采用show ip route查看網(wǎng)絡(luò)的路由是否可達查看。
對于NAT可以通過show ip nat translations來查看(內(nèi)外網(wǎng)訪問后查看是否正常轉(zhuǎn)換)。
對于WLAN可以通過是否能通過無線通信來驗證。
對于VPN可以通過show crypto isakmp policy及show crypto isakmp sa來查看。在前述步驟中每完成一個技術(shù)就進行相應(yīng)查看并進行一定的連通性測試,最終能夠完成網(wǎng)絡(luò)部署。
本文因篇幅所限,對技術(shù)驗證測試未展開論述。
通過案例實施可以看到,主流的路由交換技術(shù)均能在Packet Tracer下實施,能夠滿足入門者的學(xué)習(xí)使用。
事實上,Packet Tracer可以滿足CCNA、CCNP的認證考試,所以不論對于初學(xué)者還是相對高級的工程師均能夠滿足學(xué)習(xí)架構(gòu)的需求。
當(dāng)學(xué)習(xí)者需要更高級的技術(shù)學(xué)習(xí)時,基本上已經(jīng)在網(wǎng)絡(luò)工程領(lǐng)域工作多年,架構(gòu)復(fù)雜的仿真器就不會有問題,個人電腦的配置也會相對較高,能夠滿足使用基于虛擬機技術(shù)的仿真器使用環(huán)境。