在華為eNSP平臺上實現(xiàn)企業(yè)級網(wǎng)絡(luò)模擬與仿真

摘要：隨著現(xiàn)代化網(wǎng)絡(luò)的迅猛發(fā)展以及通信技術(shù)的成熟化運用，社會各行業(yè)領(lǐng)域都需要更加縝密的組網(wǎng)設(shè)計來應對飛速到來的物聯(lián)網(wǎng)時代。在進行通信網(wǎng)絡(luò)系統(tǒng)及各類型計算機網(wǎng)絡(luò)規(guī)劃設(shè)計之前，通常要針對具體的網(wǎng)絡(luò)功能需求完成詳細的網(wǎng)絡(luò)仿真設(shè)計與分析，因此網(wǎng)絡(luò)仿真過程在整個網(wǎng)絡(luò)設(shè)計中不可或缺。該文介紹了企業(yè)級網(wǎng)絡(luò)的組成特點相關(guān)網(wǎng)絡(luò)技術(shù)原理，并通過網(wǎng)絡(luò)仿真軟件華為eNSP平臺，對企業(yè)級網(wǎng)絡(luò)進行組網(wǎng)配置，完成一些網(wǎng)絡(luò)功能的模擬與仿真。

關(guān)鍵詞：網(wǎng)絡(luò)仿真設(shè)計;eNSP平臺;通信網(wǎng)絡(luò);組網(wǎng)配置

中圖分類號：TP393

文獻標識碼：A

文章編號：1009-3044（2019）36-0063-03

隨著5G時代的到來，網(wǎng)絡(luò)通信的高速穩(wěn)定和新技術(shù)的開發(fā)與應用成為通信網(wǎng)絡(luò)研究行業(yè)的核心內(nèi)容。通過復雜的網(wǎng)絡(luò)搭建構(gòu)想，新興網(wǎng)絡(luò)設(shè)備直接進行網(wǎng)絡(luò)組建再進行測試與診斷，配置過程復雜且耗資巨大，網(wǎng)絡(luò)環(huán)境狀況也無法短時體現(xiàn)，網(wǎng)絡(luò)數(shù)據(jù)的獲取與統(tǒng)計也不夠方便。網(wǎng)絡(luò)仿真所凸顯的優(yōu)越性也被相關(guān)的網(wǎng)絡(luò)管理人員和愛好者關(guān)注和青睞。對于未來網(wǎng)絡(luò)的部署，網(wǎng)絡(luò)工作人員會更加熱衷于選擇eNSP仿真平臺進行網(wǎng)絡(luò)方案設(shè)計，網(wǎng)絡(luò)仿真會更加普遍化。網(wǎng)絡(luò)管理人員在eNSP平臺上通過圖形化的界面實現(xiàn)真實網(wǎng)絡(luò)環(huán)境的模擬與仿真，還能對網(wǎng)絡(luò)運行狀況進快速仿真模擬，獲取相關(guān)網(wǎng)絡(luò)參數(shù)，對網(wǎng)絡(luò)的性能進行分析與評估，方便網(wǎng)絡(luò)管理人員通過相關(guān)參數(shù)和圖形化界面直觀地判斷網(wǎng)絡(luò)狀況，合理部署網(wǎng)絡(luò)，更好地優(yōu)化配置組網(wǎng)。

1仿真軟件及相關(guān)網(wǎng)絡(luò)技術(shù)

1.1 eNSP

該網(wǎng)絡(luò)仿真平臺有著圖形化界面，操作便捷，具有極高的仿真度，并支持大規(guī)模組網(wǎng)。用戶在PC端直接拖曳相關(guān)網(wǎng)絡(luò)設(shè)備并進行各種接線的連接，模擬各種網(wǎng)絡(luò)設(shè)備接口抓包，讓用戶能夠更加直觀地觀測網(wǎng)絡(luò)通信過程中各種數(shù)據(jù)和路由信息協(xié)議的交互過程。內(nèi)部集成Virtualbox，直接連接真實網(wǎng)絡(luò)設(shè)備，并可以模擬華為各種系列的路由器，交換機，PC機和Cloud云等的絕大部分特性。為用戶去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境，高效地進行網(wǎng)絡(luò)的管理和配置，學習各種網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)技術(shù)。

1.2 Wireshark

該軟件也被稱為“抓包軟件”。通過截取網(wǎng)絡(luò)通信交互過程中的網(wǎng)絡(luò)數(shù)據(jù)封包，并能完整而又全面地顯示出在整個網(wǎng)絡(luò)通信傳輸中網(wǎng)絡(luò)封包相關(guān)信息的詳細資料。其使用作為該軟件的接口，能同時與各系列的網(wǎng)卡完成數(shù)據(jù)報文的交換，進行網(wǎng)絡(luò)狀況的具體分析，網(wǎng)絡(luò)取證、應用程序的分析和網(wǎng)絡(luò)故障的排查。

1.3 USG6000V

作為虛擬綜合業(yè)務網(wǎng)關(guān)，其能夠全面化部署虛擬化的網(wǎng)絡(luò)安全防護，為用戶的網(wǎng)絡(luò)業(yè)務提供安全保障。該網(wǎng)關(guān)能對網(wǎng)絡(luò)快速布局，更能夠?qū)β酚刹呗赃M行刪減選取最優(yōu)路徑以方便網(wǎng)絡(luò)的優(yōu)化管理。支持網(wǎng)絡(luò)可視化管理，方便后臺部署網(wǎng)絡(luò)，具備IPS、防病毒、負載均衡和簡單化網(wǎng)絡(luò)運維。

1.4 NAT

該技術(shù)可以應用于多臺主機但只通過一個公有IP地址訪問互聯(lián)網(wǎng)的私有網(wǎng)絡(luò)環(huán)境，實現(xiàn)了對內(nèi)部私有l(wèi)P地址轉(zhuǎn)變成合公共IP地址的“翻譯”。通過只申請一個合法的網(wǎng)絡(luò)地址，再將整個企業(yè)局域網(wǎng)的終端連通，通過多臺PC共享連接至互聯(lián)網(wǎng)，可以實現(xiàn)局域網(wǎng)內(nèi)部節(jié)點與外部網(wǎng)絡(luò)通信時公用地址對內(nèi)部地址在網(wǎng)關(guān)處的替換，防止公網(wǎng)地址不夠的現(xiàn)象發(fā)生。

1.5 ACL

訪問控制列表，在網(wǎng)絡(luò)部署中，其能夠充當企業(yè)網(wǎng)絡(luò)內(nèi)部與外網(wǎng)之間進行通信訪問的第一扇保護門，通過在人為設(shè)定的相關(guān)規(guī)則下，選擇過濾或者允許訪問來控制這些在網(wǎng)絡(luò)通信過程中的來往數(shù)據(jù)包，其可以通過對源（目的）地址，各種網(wǎng)絡(luò)服務端口號等任意指示條件來確定具體的訪問規(guī)則，同時，還可以設(shè)定若十安全策略，對用戶進行授權(quán)訪問，實現(xiàn)對數(shù)據(jù)包定向訪問的控制功能。

1.6 VRRP

虛擬路由冗余協(xié)議也是一種容錯協(xié)議，簡化網(wǎng)絡(luò)管理，解決企業(yè)網(wǎng)絡(luò)中配置靜態(tài)網(wǎng)關(guān)時出現(xiàn)網(wǎng)絡(luò)單點故障，保證下行網(wǎng)絡(luò)設(shè)備在故障發(fā)生時流量的無障礙轉(zhuǎn)發(fā)。無須修改每臺終端上的動態(tài)路由協(xié)議，仍然能夠轉(zhuǎn)發(fā)給虛擬網(wǎng)絡(luò)地址多組數(shù)據(jù)包，并提供可靠的缺省路由保證IP數(shù)據(jù)流轉(zhuǎn)發(fā)失敗情況下但不會引起網(wǎng)絡(luò)崩潰，盡快修復網(wǎng)絡(luò)，維護企業(yè)網(wǎng)絡(luò)中各路由器之間的連通性，保證網(wǎng)絡(luò)通暢。

1.7 VLAN技術(shù)

VLAN也叫“虛擬局域網(wǎng)技術(shù)”，就是為了對廣播域進行分割，將同一局域網(wǎng)絡(luò)邏輯上劃分多個虛擬子網(wǎng)（LAN），減少參與廣播風暴的設(shè)備數(shù)量，控制網(wǎng)絡(luò)流量，限制廣播報文的泛洪，提升網(wǎng)絡(luò)利用率，更好地保證了網(wǎng)絡(luò)安全。

1.81PSEC VPN

它是一種高效的vpn解決模式，也是一個安全框架，保護OSI中網(wǎng)絡(luò)層lP數(shù)據(jù)流及相關(guān)通信應用。通過身份認證和完整性驗證等多種認證方式，且都必須進行數(shù)據(jù)的加密處理，從而確保數(shù)據(jù)信息傳輸過程中沒有被修改或截取，數(shù)據(jù)來源合法且唯一。

1.9 SVI

也被稱為交換機虛擬接口。專用于三層交換機上，其和接口是一一對應的關(guān)系，在網(wǎng)絡(luò)項目中，網(wǎng)絡(luò)管理人員都會為所有的配置，并在對應接口上配置lP信息，實現(xiàn)VLAN間的路由信息傳遞。通過SVI接口可以并且能夠解決單點故障報錯和單臂路由帶寬限制等問題。

2企業(yè)級網(wǎng)絡(luò)的搭建

根據(jù)需要可以選用模擬器中提供的各種網(wǎng)絡(luò)設(shè)備進行合適地構(gòu)建，然后定義網(wǎng)絡(luò)中各通信實體，包括二層與三層交換、服務器和通信線路等，并分別設(shè)置它們的相關(guān)參數(shù)。再進入各個網(wǎng)絡(luò)設(shè)備的命令行窗口對所需要的網(wǎng)絡(luò)技術(shù)進行具體配置，實現(xiàn)相關(guān)的網(wǎng)絡(luò)功能。

（1）把各臺所需要的網(wǎng)絡(luò)設(shè)備逐個從工具欄拖入工作環(huán)境模擬區(qū)域，之后再對各臺設(shè)備分別選擇合適配速的連線類型對設(shè)備進行互連。

（2）搭建8臺主機PC，完成地址、子網(wǎng)掩碼和網(wǎng)關(guān)的配置。以為例：在未啟動工作區(qū)域拓撲圖之前雙擊PC10，在彈出對話框中切換至相關(guān)的基礎(chǔ)配置欄目，配置IPv4地址等。

（3）搭建6臺接入層交換機和6臺匯聚核心層交換機，并在交換機上配置。分別在12臺交換機上創(chuàng)建不同的VLAN。然后查看當前的VLAN詳細配置情況，檢測排錯并作相應地修正。完成VLAN在交換機上的劃分后，要對劃分的VLAN分配虛接口地址。

（4）配置兩個防火墻，兩個防火墻分別掛載在總公司和分部公司，防火墻FW1是分公司連通公網(wǎng)，防火墻FW2是本部公司連通公網(wǎng)。

（5）公司配置了專門的內(nèi)部服務器，給其分配lP地址為，再通過三個不同端口集成了FTP，WEB和DHCP三個功能。

（6）將IPSEC VPN隧道建立在本部與分公司之間，確保相互訪問的私密性，防止總部與分部交流的信息被第三方竊取。

（7）用NAT轉(zhuǎn)換把內(nèi)部私網(wǎng)lP映射成公網(wǎng)IP再訪問公網(wǎng)的資源。

3關(guān)鍵步驟

3.1交換機配置

在接人層交換機上創(chuàng)建了多個VLAN，不同部門劃分到不同VLAN，之后根據(jù)端口的劃分情況，將用戶加入相對應的VLAN中。接入層交換機與上聯(lián)交換機互聯(lián)的端口配置為中繼端口模式，并通過配置命令行允許所有的VLAN通過。并將分配給匯聚層交換機互聯(lián)的端口配置為中繼模式，在三層交換機上創(chuàng)建vlanif，并為其配置對應的網(wǎng)絡(luò)地址，形成直連路由。

3.2防火墻及IPSEC VPN配置

由于eNSP平臺支持綜合業(yè)務網(wǎng)關(guān)的文件導入，因此可在仿真平臺上導入USG6000V的防火墻壓縮包，在PC機上建一個虛擬網(wǎng)卡，通過登錄華為設(shè)備WEB界面進行圖形化配置防火墻NAT策略，IPSEC VPN及眾多路由協(xié)議。并在安全區(qū)域列表配置LOCAL，TRUST、UNTRUST和DMZ區(qū)域。設(shè)置安全區(qū)域的相關(guān)信息，配置相關(guān)安全策略。

4網(wǎng)絡(luò)測試

（1）通過命令行查看包括相關(guān)交換機VLAN的劃分、IPSEC VPN以及防火墻的配置情況，核對并進行修改。

（2）通過ping命令，在總公司和分公司各終端以及內(nèi)部服務器的CMD界面，對網(wǎng)絡(luò)的通達進行測試。如PC1（總公司財務處）可以ping通運營商ISP（8.8.8.8），即表示總公司可以通過NAT技術(shù)轉(zhuǎn)換，完成私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址再對公網(wǎng)（互聯(lián)網(wǎng)）的連接，成功訪問。

（3）利用Wireshark抓包軟件對某次網(wǎng)絡(luò)通信進行NAT轉(zhuǎn)換過程數(shù)據(jù)包的轉(zhuǎn)移變更進行詳細分析。如先在總部的PC2處（ip地址為172.16.2.1），進行與（ip地址為8.8.8.8）的ping命令測試，之后通過數(shù)據(jù)包獲取工具“wireshark”對防火墻FW1的GO/O/O端口進行詳細的數(shù)據(jù)抓包分析，觀察到已經(jīng)成功把來自PC2的ICMP報文的源地址172.16.2.1經(jīng)轉(zhuǎn)換成為公網(wǎng)地址12.1.1.1，并ping通了8.8.8.8。同上述步驟，再對分公司PClO（ip地址為192.168.2.1）往往ISP（ip地址8.8.8.8）ping命令測試，在防火墻FW2的GEl/0/2端口對數(shù)據(jù)報文進行抓包，觀察到源地址也轉(zhuǎn)換成公網(wǎng)地址23.1.1.3，并ping通了運營商（8.8.8.8），即表示NAT轉(zhuǎn)換成功。

參考文獻：

[1]張潔.計算機網(wǎng)絡(luò)安全之防火墻[J]電腦知識與技術(shù)，2010（5）.

[2]盧卡斯.防火墻策略與VPN配置[M].謝琳，等，譯.水利水電出版社，2008.

[3]劉曉云.企業(yè)網(wǎng)安全訪問控制體系的構(gòu)建[J].現(xiàn)代電子技術(shù)，2010（17）.

[4]迪波斯，奧克斯.防火墻基于華為路由器和交換機[M].李展，等，譯.清華大學出版社，2008.

[5]趙怡.利用Wireshark實現(xiàn)數(shù)據(jù)包分析的應用案例[J].電腦編程技巧與維護.2018（05）.

【通聯(lián)編輯：代影】

收稿日期：2019-10-08

作者簡介：徐鵬（1996-），男，安徽六安人。