基于H3C Cloud Lab的企業網絡設計與仿真

邱 鵬， 霍 瑛， 蔣 悅

（南京工程學院計算機工程學院，南京211167）

0 引 言

近年來，隨著計算機網絡技術的發展，各類企業幾乎都部署了不同的網絡系統，這些系統基本都歸化依賴于不同類型的計算機網絡，構建網絡在保障企業各部門之間連通性的同時，也可以為網絡系統的上層應用提供靈活而智能的服務［1-2］。在實際網絡中，由于一個實體自制系統規模龐大且復雜，導致網絡數據庫所存儲的數據量巨大，可能引發數據溢出［3］；如網絡中某一鏈路或設備出現故障，勢必影響整個網絡的信息通信，甚至導致網絡通信過程中的信息被非法監聽、截獲、篡改等安全問題［4-5］。

本文通過某品牌云實驗室（H3C Cloud Lab，HCL）模擬軟件設計了一個企業網絡構建仿真實驗，利用開放式最短路徑優先（Open Shortest Path First，OSPF）鏈路狀態路由協議支持區域劃分的特性［6-7］，對企業各職能部門進行區域劃分，以減少需要傳遞的路由信息量，改善路由計算；通過部署虛擬路由冗余協議（Virtual Router Redundancy Protocol，VRRP）、多生成樹協議（Multiple Spanning Tree Protocol，MSTP）、通用路由封裝協議虛擬專用網絡（Generic Routing Encapsulation Virtual Private Network，GRE VPN）等網絡技術，給企業網絡提供安全防護功能，增加可靠性。

1 企業網絡架構設計

根據企業需求劃分多區域，整體網絡架構由總部和分部組成。總部可簡述為核心層設備與雙出口路由設備，通過專線或者外網與分部進行數據交互。分部根據骨干區域和非骨干區域的分布，把不同職能部門劃分到不同虛擬局域網（Virtual Local Area Network，VLAN）中再進行數據通信。設計的重點是企業內部業務流量在各部分之間的選路情況及全網連接情況。根據企業網絡整體規劃，設計的企業總部與分部的網絡連接結構如圖1 所示。

圖1 企業網絡連接拓撲圖

2 企業網絡仿真實驗

本次實驗采用HCL作為仿真網絡模擬軟件，為企業網絡設計提供了具有圖形界面化功能的組網平臺［8］。整體采取從分部到總部的順序進行網絡設計和設備配置。

2.1 分部網絡設計

在分部網絡的設計中，把不同職能部門隔離劃分成不同的VLAN，骨干區為AREA0，非骨干區為area1

和area2，通過訪問控制技術按照需求過濾各VLAN之間的通信數據。由圖1 可見，AREA0 是管理部門包括人事部和總裁辦；area1 是開發部，包括產品設計、研發和測試部門；area2 是市場部包含銷售和宣傳兩個職能部門以及由售前和售后組成的客服部。

2.2 分部網絡互通區域配置

步驟1在開發部的交換機SW1 上開啟3 層路由功能，并規劃在OSPF 路由進程下的非骨干區域area1。具體配置如下：

interface LoopBack0

ip address 1.1.1.1 255.255.255.255 / /進入Loopback接口配置ip地址

ospf 1 router-id 1.1.1.1 / /啟動OSPF進程，標識此臺路由器router-id1.1.1.1

area 0.0.0.1 / /配置在OSPF進程1中的區域為1

network 10.1.1.0 0.0.0.255 / /配置AREA0 中存在的網

段，并且在指定網段內上使用OSPF

network 10.3.1.0 0.0.0.255

同時，分別部署在非骨干區域area2 和客服部的交換機SW2、SW9，也使用類似配置用以實現網絡連通。

步驟2在路由器R3 上進行OSPF多區域配置，R3 作為區域邊界路由器（Area Border Route，ABR）在area1 中與SW1 建立鄰居的同時，在AREA0 與路由器R1 完成鄰居建立，實現報文在不同區域之間的轉發。具體配置如下：

ospf 1 router-id 2.2.2.2 / /使用Loopback口作為id標識R3

area 0.0.0.0 / /進程1中區域號為0，默認為骨干區域

network 10.3.2.0 0.0.0.255 / /宣告與R1 相連接的網段，與其建立鄰居關系

area 0.0.0.1 / /進入進程1中非骨干區域1

network 10.3.1.0 0.0.0.255 / /宣告與SW1相連接的網段

network 2.2.2.2 0.0.0.0 / /宣告Loopback口

步驟3 在R1 上完成骨干區域AREA0 的OSPF路由進程宣告配置，具體配置如下：

ospf 1 router-id 3.3.3.3 / /標識R1的id為3.3.3.3

area 0.0.0.0 / /進入進程1中骨干區域

network 10.2.2.0 0.0.0.255 / /宣告與SW5相連接的網段

network 10.3.2.0 0.0.0.255 / /宣告與R3相連接的網段

network 10.2.3.0 0.0.0.255 / /宣告與SW6相連接的網段

network 10.3.3.0 0.0.0.255 / /宣告與R4相連接的網段

配置完成后，驗證OSPF 路由進程下設備SW1、R3、R1、R4 已經建立的鄰居關系，如圖2 ～5 所示。

圖2 SW1上的OSPF鄰居信息

圖3 R3上的OSPF鄰居信息

圖4 R1上的OSPF鄰居信息

圖5 R4上的OSPF鄰居信息

以路由器R4 的鄰居信息為例，如圖5：Area 為鄰居所屬的區域，Router ID 為鄰居路由地址，Address 為鄰居接口地址，Pri為路由器優先級，Dead-Time為鄰居失效時間，State Full/ BDR 為鄰居狀態建立成功，Interface為與鄰居相連的接口。

R4 上的OSPF接口信息如圖6 所示，鏈路的OSPF網絡類型Type為廣播類型，該路由器在area1 區域的當前鏈路狀態State 是指定路由器（designated router，DR），接口開銷Cost為1，優先級Pri為1，接口所屬網段的指定路由器DR 的網際互聯協議（Internet Protocol，IP）地址是10.3.3.2，備份指定路由器（Backup Designated Router，BDR）IP地址是10.3.3.1。需要說明的是如果DR BDR 字段顯示為0.0.0.0，則表示鏈路上不存在DRBDR。

2.3 分部業務流量需求及配置分析

（1）訪問外網流量控制。企業網絡通過路由器R1 訪問外網，不允許總部流量通過分部訪問外網；分部網絡通過R4 訪問外網，不允許分部通過總部訪問外網。以R1 為例，在R1 上配置網絡地址轉換（Networt Address Translation，NAT）技術，具體配置

圖6 R4上的OSPF接口信息

如下：

acl basic 2001

rule 0 permit source 10.1.0.0 0.0.255.255 / /匹配通過

網段的路由

interface Serial3 / 0

ip address 100.0.1.1 255.255.255.0

nat outbound 2001 / /在接口配置easynat

在出網設備上向內網發送一個路由，告訴內網需要通過出網設備訪問外網。

default-route imported / /將引入的靜態路由發布到ospf進程中

import-route static / /同樣是引入靜態路由

在R1 上配置路由過濾技術，具體配置如下：

acl number 2001 / /配置acl

rule 4 deny source 0.0.0.0 0 / /拒絕默認路由

rule 6 permit / /允許其他路由通過

（2）DHCP 地址池配置。在交換機SW1、SW5、SW6、SW2、SW9 上部署動態主機設置協議（Dynamic Host Configuration Protocol，DHCP）地址池技術，這樣可以為設備自動提供地址，從而減少人工配置過程中的誤操作，降低配置工作量，提高網絡系統安全性［9］。以SW1 為例具體配置如下：

dhcp enable / /開啟dhcp服務

dhcp server ip-pool 0 / /配置地址池名字

gateway-list 10.1.1.62 / /配置網關地址

network 10.1.1.0 mask 255.255.255.192 / /配置地址池范圍

（3）網絡設備的VRRP技術部署。為了防止網關設備故障導致下層接入設備無法正常入網使用，把分部網絡骨干區域中的人事部劃分到VLAN40，總裁辦劃分到VLAN50，利用VRRP 技術進行虛擬網關備份［10］。對交換機SW5 和SW6 進行VRRP 冗余設計，以SW5 為例，配置結果如圖7 所示。

圖7 SW5的VRRP配置結果

配置方法如下：

interface Vlan-interface40 / /進入vlan 40的虛擬接口

ip address 10.1.2.253 255.255.255.0 / /配置ip地址

vrrp vrid 1 virtual-ip 10.1.2.254 / /設置vlan40 的虛擬IP地址，并作為網關

vrrp vrid 1 priority 120 / /配置vlan40 的優先級，默認100，越大越優先

interface Vlan-interface50 / /進入vlan 50的虛擬接口

ip address 10.1.3.252 255.255.255.0 / /配置ip地址

vrrp vrid 2 virtual-ip 10.1.3.254 / /設置vlan50 的虛擬IP地址，并作為網關

（4）網絡設備的鏈路聚合技術部署。在SW5、SW6 之間配置鏈路聚合技術，可以有效增加兩臺交換機之間的鏈路帶寬，保障網絡鏈路可靠性［11］，具體配置如下：

interface bridge-aggregation 1 / /在系統視圖下創建二層聚合端口

interface GigabitEthernet1 / 0 / 3 / /進入接口模式

port link-type trunk / /配置交換機之間Trunk口互連

port trunk permit vlan all / /允許通過所有VLAN

interface Gigabit Ethernet1 / 0 / 4 / /進入接口模式

port link-type trunk / /配置交換機之間Trunk口互連

port trunk permit vlan all / /允許通過所有VLAN

port link-aggregation group 1 / /將G1 / 0 / 4加入聚合組1

配置完成后，兩臺交換機之間建立了靜態鏈路聚合，檢查2 層聚合端口表項，顯示如圖8 所示，2 層端口狀態是UP打開狀態，端口速度為2 Gb / s，端口鏈路類型是Trunk，通過的VLAN有40 和50，Trunk端口協議類型為802.1q。

端口鏈路聚合詳情如圖9 所示，聚合組模式Status為靜態，端口G1 / 0 / 3、G1 / 0 / 4 是Selected端口。

圖8 2層聚合端口表項

圖9 鏈路聚合詳細信息

（5）網絡設備的MSTP技術部署。對交換機SW5和SW6 部署MSTP 技術，不僅可以解決廣播風暴問題，還可以向下兼容生成樹協議（Spanning Tree Protocol，STP）和快速生成樹協議（Rapid Spanning Tree Protocol，RSTP），收斂速度快，實現企業分部的VLAN流量負載分擔以及備份功能，保證網絡的冗余性［12］。具體配置如下：

stp region-configuration / /進入區域配置視圖

region -name jy / /配置多生成樹（Multiple Spanning Tree，MST）域的域名

instance 1 vlan 40 / /創建組1放置VLAN 40

instance 2 vlan 50 / /創建組2放置VLAN 50

active region-configuration / /激活區域配置

stp instance 1 root primary / /配置實例1所在交換機為首選根橋

stp instance 2 root secondary / /配置實例2所在交換機為備份根橋

stp global enable / /激活開啟MSTP

已經生效的MST 域的配置信息如圖10 所示，配置VLAN40 映射到實例1，VLAN50 映射到實例2，備份根橋相關端口在首選根橋被破壞或者關機的情況下及時取代它，成為指定實例的根。

圖10 MST域配置信息

2.4 分部網絡IP地址規劃

除了需要規劃分部各職能部門子網地址，對網絡設備的IP地址進行合理的規劃也是必不可少的，這不但能減輕后期維護、管理壓力，對將來網絡擴展或增加服務也能帶來很大便利。仿真實驗中主要設備的IP地址規劃見表1。

表1 主要設備IP地址規劃

2.5 總部網絡設計

（1）總部業務流量需求及配置分析。在交換機SW11 和SW12 之間部署鏈路聚合技術，并通過VRRP技術對下游設備進行雙備份，通過更改鏈路開銷或改變路由的優先級，選舉產生備份鏈路，防止單點故障造成整個網絡癱瘓，確保鏈路可靠性。在訪問外網設備上配置NAT轉換技術作為訪問控制策略，總部網絡使用的是私網地址，與分部的IP 地址規劃類似，此處不再贅述。為了防止用戶私自更改地址，造成網絡地址沖突，在接入層設備部署DHCP地址池技術，為用戶自動分配地址。

（2）企業總部與分部邊界網絡設計。總部與分部邊界網絡通過虛擬專用網絡（Virtual Private Network，VPN）隧道進行網絡數據交互，部署的是GRE VPN 技術，GRE VPN支持除IP 協議之外的其他特殊協議并且不局限于單播報文的傳送，組播、廣播數據包在GRE隧道中也可以暢通無阻，這意味著它能夠支持運行動態路由協議。GRE VPN隧道技術配置簡單，容易部署，維護不復雜［13］。

在R1、R2 路由設備上配置GRE VPN技術，以R2為例具體配置如下：

interface tunnel 0 mode gre / /創建tunnel 口，模式為GRE，進入其接口視圖

ip address 10.4.1.2 255.255.255.0 / /接口模式下設置tunnel接口的IP地址

source 100.0.2.2 / /指定tunnel 口的源端，即出口路由器的出接口地址

destination 100.0.1.1 / /指定tunnel口的目的端，即對方出口路由器的出接口地址

keepalive / /開啟tunnel 口的keepalive 功能，采用了默認參數

ospf 1 / /進入進程1

area 0

network 10.0.0.0 0.0.0.255 / /宣告私網出接口以及tunnel口所在網段

3 企業網絡的安全策略

仿真實驗中的企業網絡采用了路由協議安全技術、防止地址解析協議（Address Resolution Protocol，ARP）欺騙攻擊技術、配置端口隔離技術等安全策略。在保證網絡可靠性的基礎上，增加了網絡的安全性。

3.1 路由協議安全技術

路由協議作為信息通信的根本，在路由學習交互時可能存在安全隱患，為了保證路由轉發過程的穩定性，本次網絡設計對路由學習轉發的鏈路進行了加密操作，包括鏈路間的VRRP 驗證和點對點協議（Pointto-Point Protocol，PPP）握手認證協議驗證（Challenge Handshake Authentication Protocol，CHAP）。

（1）VRRP驗證功能。在交換機SW5、SW6 實現VRRP驗證功能，以SW5 為例，具體配置如下：

ospf 1

area 0.0.0.0

authentication-mode simple / /在ospf域內宣告驗證

interface Gigabit Ethernet1 / 0 / 1

ospf authentication-mode simple cipher 7-CZB#/ YX］KQ = ^Q`

MAF4 ＜1！！ / /在接口配置驗證密碼，密碼加密

interface Vlan-inter40

vrrp vrid 1 authentication-mode simple jy / /配置vrrp的驗證密碼

interface Vlan-inte50

vrrp vrid 2 authentication-mode simple jy / /配置vrrp的驗證密碼

（2）PPP 協議的CHAP 驗證［14］。在路由器R1、R4 實現CHAP驗證功能，以R1 為例，具體配置如下：

local-user r1 / /配置本地用戶名

password simple jy / /配置密碼

service-type ppp / /設置服務類型

interface Serial1 / 1 / 1

ppp authentication-mode chap / /設置ppp的驗證類型

ppp chap user r4 / /以對方的用戶名作為驗證

3.2 防止ARP欺騙攻擊技術［15］

依據網絡設備中的ARP表，當局域網存在一個虛假的媒體存取控制（Media Access Control，MAC）地址而導致網絡不通時，可開啟動態ARP 監測，配置方法如下：

system-view / /進入全局模式

［H3C］vlan 11

［H3C-vlan1］arp detection enable / / arp檢測功能有效

［H3C］interface e1 / 1

［H3C -Ethernet0 / 1］arp detection trust / /將端口設置為信任端口

3.3 配置端口隔離技術

端口隔離技術可以實現報文間的2 層隔離，在同一VLAN中的不同部門之間實現通信隔離，每個部門都能與隔離組的上行端口通信［16］。將交換機SW7 的G1 / 0 / 1 和G1 / 0 / 3 加入隔離組，實現兩接口下的主機不能互訪，具體配置如下：

interface Ethernet1 / 0 / 1 / /上行鏈路端口

port link-mode bridge

port trunk permit vlan 80 / /允許VLAN 80通過

port-isolate uplink-port / /設置隔離組的上行端口

interface Ethernet1 / 0 / 3

port link-mode bridge

port access vlan 80 / /端口加入到VLAN 80

port-isolate enable / /端口加入隔離組

查看隔離組的狀態：

dis port-isolate group / /查看隔離組的配置

Port-isolate group information：

Uplink port support：YES

Group ID：1

Uplink port：Ethernet1 / 0 / 2

Group members：/ /隔離組成員

Ethernet1 / 0 / 1

Ethernet1 / 0 / 3

4 實驗仿真測試

為了測試企業網絡是否具備安全防范功能，人為致使網關設備或者網關設備上行鏈路出現故障，查看備用鏈路能否及時切換，以使得網絡通信依然正常。

以分部網絡骨干區域中的交換機SW5、SW6 為例，通過仿真測試，鏈路故障前SW5 是VLAN40 的主網關設備，優先級是120，同時是VLAN50 的備份網關設備，當設備SW5 出現故障宕機后，VLAN40 的主網關設備切換為SW6，備份網關設備切換為SW5，優先級降到了100，說明主備網關進行了切換。

圖11 為SW5 設備故障前的分部網絡業務流量選路情況，對照表1 主要設備的IP 地址可知，分部網絡的業務流量從產品測試部門路由到人事部的路徑為SW1→R3→R1→SW5→SW7，當SW5 上行鏈路故障后，即SW6 切換成為主網關設備后，對照表1 可以從圖12 中發現，業務流量從產品測試部門路由到人事部的路徑為SW1→R3→R1→SW6→SW7，符合選路的需求，證明了設計的網絡能夠有效防止由于單點故障引起的網絡中斷。

圖11 鏈路故障前流量選路情況

圖12 鏈路故障后流量選路情況

5 結 語

本文利用HCL模擬器設計了企業網絡仿真實驗，從網絡設計規劃到部署各項網絡技術都給出了具有代表性的配置方法，最終實現了網絡的互通并保障了網絡的安全性和可靠性。通過仿真實驗學生可以進一步了解OSPF路由選擇協議，加深對GRE VPN隧道技術支持動態路由協議以及對VRRP 冗余備份原理的理解，有助于提高學生綜合運用多種網絡技術配置計算機網絡的能力。