在華為eNSP平臺上實現企業級網絡模擬與仿真

摘要：隨著現代化網絡的迅猛發展以及通信技術的成熟化運用，社會各行業領域都需要更加縝密的組網設計來應對飛速到來的物聯網時代。在進行通信網絡系統及各類型計算機網絡規劃設計之前，通常要針對具體的網絡功能需求完成詳細的網絡仿真設計與分析，因此網絡仿真過程在整個網絡設計中不可或缺。該文介紹了企業級網絡的組成特點相關網絡技術原理，并通過網絡仿真軟件華為eNSP平臺，對企業級網絡進行組網配置，完成一些網絡功能的模擬與仿真。

關鍵詞：網絡仿真設計;eNSP平臺;通信網絡;組網配置

中圖分類號：TP393

文獻標識碼：A

文章編號：1009-3044（2019）36-0063-03

隨著5G時代的到來，網絡通信的高速穩定和新技術的開發與應用成為通信網絡研究行業的核心內容。通過復雜的網絡搭建構想，新興網絡設備直接進行網絡組建再進行測試與診斷，配置過程復雜且耗資巨大，網絡環境狀況也無法短時體現，網絡數據的獲取與統計也不夠方便。網絡仿真所凸顯的優越性也被相關的網絡管理人員和愛好者關注和青睞。對于未來網絡的部署，網絡工作人員會更加熱衷于選擇eNSP仿真平臺進行網絡方案設計，網絡仿真會更加普遍化。網絡管理人員在eNSP平臺上通過圖形化的界面實現真實網絡環境的模擬與仿真，還能對網絡運行狀況進快速仿真模擬，獲取相關網絡參數，對網絡的性能進行分析與評估，方便網絡管理人員通過相關參數和圖形化界面直觀地判斷網絡狀況，合理部署網絡，更好地優化配置組網。

1仿真軟件及相關網絡技術

1.1 eNSP

該網絡仿真平臺有著圖形化界面，操作便捷，具有極高的仿真度，并支持大規模組網。用戶在PC端直接拖曳相關網絡設備并進行各種接線的連接，模擬各種網絡設備接口抓包，讓用戶能夠更加直觀地觀測網絡通信過程中各種數據和路由信息協議的交互過程。內部集成Virtualbox，直接連接真實網絡設備，并可以模擬華為各種系列的路由器，交換機，PC機和Cloud云等的絕大部分特性。為用戶去設計、配置、排除網絡故障提供了網絡模擬環境，高效地進行網絡的管理和配置，學習各種網絡協議與網絡技術。

1.2 Wireshark

該軟件也被稱為“抓包軟件”。通過截取網絡通信交互過程中的網絡數據封包，并能完整而又全面地顯示出在整個網絡通信傳輸中網絡封包相關信息的詳細資料。其使用作為該軟件的接口，能同時與各系列的網卡完成數據報文的交換，進行網絡狀況的具體分析，網絡取證、應用程序的分析和網絡故障的排查。

1.3 USG6000V

作為虛擬綜合業務網關，其能夠全面化部署虛擬化的網絡安全防護，為用戶的網絡業務提供安全保障。該網關能對網絡快速布局，更能夠對路由策略進行刪減選取最優路徑以方便網絡的優化管理。支持網絡可視化管理，方便后臺部署網絡，具備IPS、防病毒、負載均衡和簡單化網絡運維。

1.4 NAT

該技術可以應用于多臺主機但只通過一個公有IP地址訪問互聯網的私有網絡環境，實現了對內部私有lP地址轉變成合公共IP地址的“翻譯”。通過只申請一個合法的網絡地址，再將整個企業局域網的終端連通，通過多臺PC共享連接至互聯網，可以實現局域網內部節點與外部網絡通信時公用地址對內部地址在網關處的替換，防止公網地址不夠的現象發生。

1.5 ACL

訪問控制列表，在網絡部署中，其能夠充當企業網絡內部與外網之間進行通信訪問的第一扇保護門，通過在人為設定的相關規則下，選擇過濾或者允許訪問來控制這些在網絡通信過程中的來往數據包，其可以通過對源（目的）地址，各種網絡服務端口號等任意指示條件來確定具體的訪問規則，同時，還可以設定若十安全策略，對用戶進行授權訪問，實現對數據包定向訪問的控制功能。

1.6 VRRP

虛擬路由冗余協議也是一種容錯協議，簡化網絡管理，解決企業網絡中配置靜態網關時出現網絡單點故障，保證下行網絡設備在故障發生時流量的無障礙轉發。無須修改每臺終端上的動態路由協議，仍然能夠轉發給虛擬網絡地址多組數據包，并提供可靠的缺省路由保證IP數據流轉發失敗情況下但不會引起網絡崩潰，盡快修復網絡，維護企業網絡中各路由器之間的連通性，保證網絡通暢。

1.7 VLAN技術

VLAN也叫“虛擬局域網技術”，就是為了對廣播域進行分割，將同一局域網絡邏輯上劃分多個虛擬子網（LAN），減少參與廣播風暴的設備數量，控制網絡流量，限制廣播報文的泛洪，提升網絡利用率，更好地保證了網絡安全。

1.81PSEC VPN

它是一種高效的vpn解決模式，也是一個安全框架，保護OSI中網絡層lP數據流及相關通信應用。通過身份認證和完整性驗證等多種認證方式，且都必須進行數據的加密處理，從而確保數據信息傳輸過程中沒有被修改或截取，數據來源合法且唯一。

1.9 SVI

也被稱為交換機虛擬接口。專用于三層交換機上，其和接口是一一對應的關系，在網絡項目中，網絡管理人員都會為所有的配置，并在對應接口上配置lP信息，實現VLAN間的路由信息傳遞。通過SVI接口可以并且能夠解決單點故障報錯和單臂路由帶寬限制等問題。

2企業級網絡的搭建

根據需要可以選用模擬器中提供的各種網絡設備進行合適地構建，然后定義網絡中各通信實體，包括二層與三層交換、服務器和通信線路等，并分別設置它們的相關參數。再進入各個網絡設備的命令行窗口對所需要的網絡技術進行具體配置，實現相關的網絡功能。

（1）把各臺所需要的網絡設備逐個從工具欄拖入工作環境模擬區域，之后再對各臺設備分別選擇合適配速的連線類型對設備進行互連。

（2）搭建8臺主機PC，完成地址、子網掩碼和網關的配置。以為例：在未啟動工作區域拓撲圖之前雙擊PC10，在彈出對話框中切換至相關的基礎配置欄目，配置IPv4地址等。

（3）搭建6臺接入層交換機和6臺匯聚核心層交換機，并在交換機上配置。分別在12臺交換機上創建不同的VLAN。然后查看當前的VLAN詳細配置情況，檢測排錯并作相應地修正。完成VLAN在交換機上的劃分后，要對劃分的VLAN分配虛接口地址。

（4）配置兩個防火墻，兩個防火墻分別掛載在總公司和分部公司，防火墻FW1是分公司連通公網，防火墻FW2是本部公司連通公網。

（5）公司配置了專門的內部服務器，給其分配lP地址為，再通過三個不同端口集成了FTP，WEB和DHCP三個功能。

（6）將IPSEC VPN隧道建立在本部與分公司之間，確保相互訪問的私密性，防止總部與分部交流的信息被第三方竊取。

（7）用NAT轉換把內部私網lP映射成公網IP再訪問公網的資源。

3關鍵步驟

3.1交換機配置

在接人層交換機上創建了多個VLAN，不同部門劃分到不同VLAN，之后根據端口的劃分情況，將用戶加入相對應的VLAN中。接入層交換機與上聯交換機互聯的端口配置為中繼端口模式，并通過配置命令行允許所有的VLAN通過。并將分配給匯聚層交換機互聯的端口配置為中繼模式，在三層交換機上創建vlanif，并為其配置對應的網絡地址，形成直連路由。

3.2防火墻及IPSEC VPN配置

由于eNSP平臺支持綜合業務網關的文件導入，因此可在仿真平臺上導入USG6000V的防火墻壓縮包，在PC機上建一個虛擬網卡，通過登錄華為設備WEB界面進行圖形化配置防火墻NAT策略，IPSEC VPN及眾多路由協議。并在安全區域列表配置LOCAL，TRUST、UNTRUST和DMZ區域。設置安全區域的相關信息，配置相關安全策略。

4網絡測試

（1）通過命令行查看包括相關交換機VLAN的劃分、IPSEC VPN以及防火墻的配置情況，核對并進行修改。

（2）通過ping命令，在總公司和分公司各終端以及內部服務器的CMD界面，對網絡的通達進行測試。如PC1（總公司財務處）可以ping通運營商ISP（8.8.8.8），即表示總公司可以通過NAT技術轉換，完成私網地址轉換成公網地址再對公網（互聯網）的連接，成功訪問。

（3）利用Wireshark抓包軟件對某次網絡通信進行NAT轉換過程數據包的轉移變更進行詳細分析。如先在總部的PC2處（ip地址為172.16.2.1），進行與（ip地址為8.8.8.8）的ping命令測試，之后通過數據包獲取工具“wireshark”對防火墻FW1的GO/O/O端口進行詳細的數據抓包分析，觀察到已經成功把來自PC2的ICMP報文的源地址172.16.2.1經轉換成為公網地址12.1.1.1，并ping通了8.8.8.8。同上述步驟，再對分公司PClO（ip地址為192.168.2.1）往往ISP（ip地址8.8.8.8）ping命令測試，在防火墻FW2的GEl/0/2端口對數據報文進行抓包，觀察到源地址也轉換成公網地址23.1.1.3，并ping通了運營商（8.8.8.8），即表示NAT轉換成功。

參考文獻：

[1]張潔.計算機網絡安全之防火墻[J]電腦知識與技術，2010（5）.

[2]盧卡斯.防火墻策略與VPN配置[M].謝琳，等，譯.水利水電出版社，2008.

[3]劉曉云.企業網安全訪問控制體系的構建[J].現代電子技術，2010（17）.

[4]迪波斯，奧克斯.防火墻基于華為路由器和交換機[M].李展，等，譯.清華大學出版社，2008.

[5]趙怡.利用Wireshark實現數據包分析的應用案例[J].電腦編程技巧與維護.2018（05）.

【通聯編輯：代影】

收稿日期：2019-10-08

作者簡介：徐鵬（1996-），男，安徽六安人。