企業園區網的仿真實現

■ 濰坊 趙培元

為了更好地掌握路由交換技術的原理與配置，采用仿真器是最佳的選擇。

學習交換路由技術的根本是為了網絡架構，而企業園區網絡架構中采用的技術主要有網絡拓撲規劃、IP地址規劃、VLAN技術、MSTP技術、VRRP技術、堆疊技術、PPP MP、OSPF技術、NAT技術以及網絡安全技術等。那么能否較好支持上述技術，成為網絡技術學習者選擇網絡設備仿真器的依據。

當前主流網絡設備仿真器，主要有HCL（華三公司）、eNSP（華為公司）、GNS3（針對思科設備的第三方開發者）和Packet Tracer（思科公司）等。下面主要從軟件易用性、對系統的硬件需求以及對網絡技術的支持（即仿真度）三個方面進行分析。

第一，仿真軟件易用性。

HCL、eNSP與Packet Tracer在軟件安裝完成后即可正常使用，無需進行另外的配置；GNS3是Dynamips仿真器的圖形化而來的，所以需要自行下載思科的IOS系統來進行配置，雖然比早期的Dynamips容易使用，但相對于另外三個仿真器而言，使用前的配置比較復雜。

第二，仿真軟件對系統的硬件需求。

Packet Tracer軟件比較小巧，安裝運行對系統的要求較低，即使大型拓撲對系統也沒有過多的要求，運行流暢。HCL、eNSP、GNS3均是基于虛擬機運行，仿真度高，但由于基于虛擬機技術，占用內存、硬盤、CPU資源較多，隨著拓撲增大，對系統的硬件需求會越來越高，若系統性能不足，會出現設備（仿真的交換機、路由器、防火墻等）無法啟動或者運行卡頓等現象。

第三，仿真軟件的仿真度。

HCL、eNSP、GNS3均基于虛擬機運行，即運行了網絡設備的IOS系統，除了性能上因物理設備的原因無法達到，設備支持的技術均支持。Packet Tracer是思科開發的仿真器，對系統進行了改動，所以對設備的仿真度較低。但從實際使用角度來說，Packet Tracer基本上能滿足在校生學習的需求。

綜合上述分析，初學者建議采用Packet Tracer進行學習。那么Packet Tracer是否能滿足企業園區網機構的技術需求呢？本文從一個具體的企業園區網的仿真架構來論證了該問題。

企業園區網的架構案例

某知名外企步入中國，在北京建設了自己的國內總部。為滿足公司經營、管理的需要，現在建立公司信息化網絡。總部辦公區設有市場部、財務部、人力資源部、信息技術部等4個部門,并在異地設立了一個分部，為了業務的開展需要合作伙伴訪問公司內部服務器。

根據這個企業的建網的需求，某系統集成公司進行網絡規劃和部署。為了確保部署成功，前期進行仿真測試，測試環境包括了3臺路由器、3臺三層交換機、1臺UTM、2臺服務器、1臺POE交換機、1臺AP及3臺主機。具體拓撲如圖1所示。

在Packet Tracer中，為實施企業網絡的仿真拓撲，學習企業網絡架構，本文對網絡設備進行了調整，測試環境包括了3臺2811路由器、2臺三層交換機、1臺819HGW路由器、2臺服務器及3臺主機，具體拓撲及端口規劃如圖2所示。

企業園區網的主要技術實施及測試

圖1 H3C設備仿真拓撲

圖2 Packet Tracer中仿真拓撲

鑒于企業網絡工程的復雜性，本文僅對主要技術的部分規劃與實施進行論述。

1.VLAN的規劃與實施

仿真實施采用了四個部門，分別規劃為四個VLAN，具體規劃如表1所示。

以SW1設備VLAN10創建為例說明VLAN的實施。

（1）利用VLAN命令創建VLAN10。

（2）利用interfac e命令進入需要加入VLAN10的端口視圖，將端口加入VLAN10。

表1 企業部門VLAN規劃

2.網絡可靠性的規劃與實施

為保證網絡可靠性運轉，在SW1、SW2、SW3交換機上采用Rapid-PVST技術防止二層環路，在SW2、SW3上采用HSRP技術實現主機的網關冗余。為減少數據的傳輸，要求修剪流經SW1、SW2、SW3的VLAN數據。

（1）VLAN數據修剪配置以SW2為例說明：進入需修剪數據的端口fa0/2、fa0/3，進行數據修剪。

需要注意的是，修剪數據的端口需要為trunk端口類型，可在端口視圖下通過命令swit mode trunk實現。

（2）HSRP技術以SW3的市場部VLAN10配置為例說明。

進入需配置HSRP的端口VLAN10，設定HSRP的虛IP地址、優先級、搶占機制等。

需要注意的是，端口物理地址要設定，且不能與虛IP地址沖突。

3.廣域網鏈路配置

RT1與RT3使用廣域網串口線連接，使用PPP協議。為了安全起見，使用雙向PAP驗證。本文僅給出單向驗證配置說明，雙向驗證即反向再做一次單向驗證即可。

（1）主驗證方RT1利用uername命令配置驗證的用戶名與密碼，對參與PAP驗證的端口設定封裝協議為PPP，并啟用PAP驗證。

（2）被驗證方RT3對參與PAP驗證的端口設定瘋轉協議為PPP，并發送在主驗證方設定的用戶名與密碼。

4.路由的規劃與實施

公網路由器和合作伙伴屬于公網部分，使用靜態路由。公司總部網絡使用OSPF協議，配置為OSPF的骨干區域。在UTM上配置去往分部的靜態路由，并引入到OSPF中。分部使用靜態路由。為了管理方便，要求公司內部網絡（包括公司分部）的所有網絡設備均將Loopback地址發布。

因為路由規劃內容均在UTM上有實施，所以以UTM設備實施為例加以說明。

（1）到公網路由采用缺省路由實現，下一跳為RT1的f0/0端口地址。

（2）設定到公司分部的靜態路由。其中，目標網絡為公司分部IP地址，下一跳為公司分部RT2設備的VPN轉發數據接口的IP地址。

（3）進入OSPF路由視圖，設定router-id。

（4）在OSPF視圖中利用network命令發布設備的私網端口直連網絡。本文拓撲中需發布的網絡地址為utm設備f0/0、f0/1端口地址所在網絡與loopback端口地址。

（5）在OSPF視圖中重分發缺省路由與靜態路由。

5.NAT的規劃與實施

在UTM上配置NAT。要求內網的所有私有地址（網絡設備除外）均可經地址轉換(使用地址池方式)后而訪問公網。公網用戶通過靜態NAT轉換而訪問公司內服務器。

NAT配置均在出口路由器UTM設備上實施。

（1）利用命令ip nat inside設定NAT內網端口，利用命令ip nat outside設定NAT公網數據端口。需要注意的是，不論靜態NAT還是NAPT均需指定內網端口與外網端口。

（2）利用ip nat inside source static命令設定公司內網服務器IP地址到公網IP地址的映射。

（3）NAPT設定內網用戶訪問公網。

①利用ACL設定私網訪問公網的IP地址范圍。

②設定公網地址，本文采用地址池方式。

③完成私網地址到公網地址的映射。

6.WLAN的規劃與實施

無線WLAN采用WPA-PSK方式驗證，采用819HGW路由器仿真實現，因為該路由器集成了無線模塊。

（1）進入路由器與無線模塊通信端口Wlan-GigabitEthernet0，將其加入WLAN所在VLAN。

（2）在特權模式下利用命令service-module wlanap 0 session進入819HGW的無線AP模式。

（3）設定WLAN無線功能。

①利用dot11 ssid命令進入SSID視圖，設定驗證模式、密碼及工作模式

②進入無線射頻端口，綁定前面設定的SSID，并利用no shut命令啟用端口

7.VPN的規劃與實施

總部與分部間通過IKE+IPSec VPN互訪。具體實施以總部的UTM路由器實施為例，分部的RT2同理。

（1）通過ACL設定需通過VPN轉發數據的IP網絡地址。

（2）通過crypto isakmp policy命令進入ISAKMP視圖，設定IKE的加密方式、驗證方式。

（3）設定IKE的預共享密鑰。

（4）設定IPSec交換集的安全協議、加密算法、驗證算法。

（5）利用crypto map命令進入加密圖（因采用IKE+IPsec模式，所以需指定參數ipsec-isakmp），設定對等體，綁定前面設定的交換集、ACL。

（6）進入VPN數據轉發端口，綁定VPN加密圖。

8.測試網絡功能

當整個網絡均配置完成后可以對網絡的技術實施進行驗證。

對于VLAN可采用show vlan brief進行查看；對于STP可采用show spanningtree查看。

對于HSRP可采用show standby brief查看。

對于PPP驗證可采用show protocols查看（端口與line protocol均為up）。

對于路由可以采用show ip route查看網絡的路由是否可達查看。

對于NAT可以通過show ip nat translations來查看（內外網訪問后查看是否正常轉換）。

對于WLAN可以通過是否能通過無線通信來驗證。

對于VPN可以通過show crypto isakmp policy及show crypto isakmp sa來查看。在前述步驟中每完成一個技術就進行相應查看并進行一定的連通性測試，最終能夠完成網絡部署。

本文因篇幅所限，對技術驗證測試未展開論述。

結語

通過案例實施可以看到，主流的路由交換技術均能在Packet Tracer下實施，能夠滿足入門者的學習使用。

事實上，Packet Tracer可以滿足CCNA、CCNP的認證考試，所以不論對于初學者還是相對高級的工程師均能夠滿足學習架構的需求。

當學習者需要更高級的技術學習時，基本上已經在網絡工程領域工作多年，架構復雜的仿真器就不會有問題，個人電腦的配置也會相對較高，能夠滿足使用基于虛擬機技術的仿真器使用環境。