在华为eNSP平台上实现企业级网络模拟与仿真

摘要：随着现代化网络的迅猛发展以及通信技术的成熟化运用，社会各行业领域都需要更加缜密的组网设计来应对飞速到来的物联网时代。在进行通信网络系统及各类型计算机网络规划设计之前，通常要针对具体的网络功能需求完成详细的网络仿真设计与分析，因此网络仿真过程在整个网络设计中不可或缺。该文介绍了企业级网络的组成特点相关网络技术原理，并通过网络仿真软件华为eNSP平台，对企业级网络进行组网配置，完成一些网络功能的模拟与仿真。

关键词：网络仿真设计;eNSP平台;通信网络;组网配置

中图分类号：TP393

文献标识码：A

文章编号：1009-3044（2019）36-0063-03

随着5G时代的到来，网络通信的高速稳定和新技术的开发与应用成为通信网络研究行业的核心内容。通过复杂的网络搭建构想，新兴网络设备直接进行网络组建再进行测试与诊断，配置过程复杂且耗资巨大，网络环境状况也无法短时体现，网络数据的获取与统计也不够方便。网络仿真所凸显的优越性也被相关的网络管理人员和爱好者关注和青睐。对于未来网络的部署，网络工作人员会更加热衷于选择eNSP仿真平台进行网络方案设计，网络仿真会更加普遍化。网络管理人员在eNSP平台上通过图形化的界面实现真实网络环境的模拟与仿真，还能对网络运行状况进快速仿真模拟，获取相关网络参数，对网络的性能进行分析与评估，方便网络管理人员通过相关参数和图形化界面直观地判断网络状况，合理部署网络，更好地优化配置组网。

1仿真软件及相关网络技术

1.1 eNSP

该网络仿真平台有着图形化界面，操作便捷，具有极高的仿真度，并支持大规模组网。用户在PC端直接拖曳相关网络设备并进行各种接线的连接，模拟各种网络设备接口抓包，让用户能够更加直观地观测网络通信过程中各种数据和路由信息协议的交互过程。内部集成Virtualbox，直接连接真实网络设备，并可以模拟华为各种系列的路由器，交换机，PC机和Cloud云等的绝大部分特性。为用户去设计、配置、排除网络故障提供了网络模拟环境，高效地进行网络的管理和配置，学习各种网络协议与网络技术。

1.2 Wireshark

该软件也被称为“抓包软件”。通过截取网络通信交互过程中的网络数据封包，并能完整而又全面地显示出在整个网络通信传输中网络封包相关信息的详细资料。其使用作为该软件的接口，能同时与各系列的网卡完成数据报文的交换，进行网络状况的具体分析，网络取证、应用程序的分析和网络故障的排查。

1.3 USG6000V

作为虚拟综合业务网关，其能够全面化部署虚拟化的網络安全防护，为用户的网络业务提供安全保障。该网关能对网络快速布局，更能够对路由策略进行删减选取最优路径以方便网络的优化管理。支持网络可视化管理，方便后台部署网络，具备IPS、防病毒、负载均衡和简单化网络运维。

1.4 NAT

该技术可以应用于多台主机但只通过一个公有IP地址访问互联网的私有网络环境，实现了对内部私有lP地址转变成合公共IP地址的“翻译”。通过只申请一个合法的网络地址，再将整个企业局域网的终端连通，通过多台PC共享连接至互联网，可以实现局域网内部节点与外部网络通信时公用地址对内部地址在网关处的替换，防止公网地址不够的现象发生。

1.5 ACL

访问控制列表，在网络部署中，其能够充当企业网络内部与外网之间进行通信访问的第一扇保护门，通过在人为设定的相关规则下，选择过滤或者允许访问来控制这些在网络通信过程中的来往数据包，其可以通过对源（目的）地址，各种网络服务端口号等任意指示条件来确定具体的访问规则，同时，还可以设定若十安全策略，对用户进行授权访问，实现对数据包定向访问的控制功能。

1.6 VRRP

虚拟路由冗余协议也是一种容错协议，简化网络管理，解决企业网络中配置静态网关时出现网络单点故障，保证下行网络设备在故障发生时流量的无障碍转发。无须修改每台终端上的动态路由协议，仍然能够转发给虚拟网络地址多组数据包，并提供可靠的缺省路由保证IP数据流转发失败情况下但不会引起网络崩溃，尽快修复网络，维护企业网络中各路由器之间的连通性，保证网络通畅。

1.7 VLAN技术

VLAN也叫“虚拟局域网技术”，就是为了对广播域进行分割，将同一局域网络逻辑上划分多个虚拟子网（LAN），减少参与广播风暴的设备数量，控制网络流量，限制广播报文的泛洪，提升网络利用率，更好地保证了网络安全。

1.81PSEC VPN

它是一种高效的vpn解决模式，也是一个安全框架，保护OSI中网络层lP数据流及相关通信应用。通过身份认证和完整性验证等多种认证方式，且都必须进行数据的加密处理，从而确保数据信息传输过程中没有被修改或截取，数据来源合法且唯一。

1.9 SVI

也被称为交换机虚拟接口。专用于三层交换机上，其和接口是一一对应的关系，在网络项目中，网络管理人员都会为所有的配置，并在对应接口上配置lP信息，实现VLAN间的路由信息传递。通过SVI接口可以并且能够解决单点故障报错和单臂路由带宽限制等问题。

2企业级网络的搭建

根据需要可以选用模拟器中提供的各种网络设备进行合适地构建，然后定义网络中各通信实体，包括二层与三层交换、服务器和通信线路等，并分别设置它们的相关参数。再进入各个网络设备的命令行窗口对所需要的网络技术进行具体配置，实现相关的网络功能。

（1）把各台所需要的网络设备逐个从工具栏拖入工作环境模拟区域，之后再对各台设备分别选择合适配速的连线类型对设备进行互连。

（2）搭建8台主机PC，完成地址、子网掩码和网关的配置。以为例：在未启动工作区域拓扑图之前双击PC10，在弹出对话框中切换至相关的基础配置栏目，配置IPv4地址等。

（3）搭建6台接入层交换机和6台汇聚核心层交换机，并在交换机上配置。分别在12台交换机上创建不同的VLAN。然后查看当前的VLAN详细配置情况，检测排错并作相应地修正。完成VLAN在交换机上的划分后，要对划分的VLAN分配虚接口地址。

（4）配置两个防火墙，两个防火墙分别挂载在总公司和分部公司，防火墙FW1是分公司连通公网，防火墙FW2是本部公司连通公网。

（5）公司配置了专门的内部服务器，给其分配lP地址为，再通过三个不同端口集成了FTP，WEB和DHCP三个功能。

（6）将IPSEC VPN隧道建立在本部与分公司之间，确保相互访问的私密性，防止总部与分部交流的信息被第三方窃取。

（7）用NAT转换把内部私网lP映射成公网IP再访问公网的资源。

3关键步骤

3.1交换机配置

在接人层交换机上创建了多个VLAN，不同部门划分到不同VLAN，之后根据端口的划分情况，将用户加入相对应的VLAN中。接入层交换机与上联交换机互联的端口配置为中继端口模式，并通过配置命令行允许所有的VLAN通过。并将分配给汇聚层交换机互联的端口配置为中继模式，在三层交换机上创建vlanif，并为其配置对应的网络地址，形成直连路由。

3.2防火墙及IPSEC VPN配置

由于eNSP平台支持综合业务网关的文件导入，因此可在仿真平台上导入USG6000V的防火墙压缩包，在PC机上建一个虚拟网卡，通过登录华为设备WEB界面进行图形化配置防火墙NAT策略，IPSEC VPN及众多路由协议。并在安全区域列表配置LOCAL，TRUST、UNTRUST和DMZ区域。设置安全区域的相关信息，配置相关安全策略。

4网络测试

（1）通过命令行查看包括相关交换机VLAN的划分、IPSEC VPN以及防火墙的配置情况，核对并进行修改。

（2）通过ping命令，在总公司和分公司各终端以及内部服务器的CMD界面，对网络的通达进行测试。如PC1（总公司财务处）可以ping通运营商ISP（8.8.8.8），即表示总公司可以通过NAT技术转换，完成私网地址转换成公网地址再对公网（互联网）的连接，成功访问。

（3）利用Wireshark抓包软件对某次网络通信进行NAT转换过程数据包的转移变更进行详细分析。如先在总部的PC2处（ip地址为172.16.2.1），进行与（ip地址为8.8.8.8）的ping命令测试，之后通过数据包获取工具“wireshark”对防火墙FW1的GO/O/O端口进行详细的数据抓包分析，观察到已经成功把来自PC2的ICMP报文的源地址172.16.2.1经转换成为公网地址12.1.1.1，并ping通了8.8.8.8。同上述步骤，再对分公司PClO（ip地址为192.168.2.1）往往ISP（ip地址8.8.8.8）ping命令测试，在防火墙FW2的GEl/0/2端口对数据报文进行抓包，观察到源地址也转换成公网地址23.1.1.3，并ping通了运营商（8.8.8.8），即表示NAT转换成功。

参考文献：

[1]张洁.计算机網络安全之防火墙[J]电脑知识与技术，2010（5）.

[2]卢卡斯.防火墙策略与VPN配置[M].谢琳，等，译.水利水电出版社，2008.

[3]刘晓云.企业网安全访问控制体系的构建[J].现代电子技术，2010（17）.

[4]迪波斯，奥克斯.防火墙基于华为路由器和交换机[M].李展，等，译.清华大学出版社，2008.

[5]赵怡.利用Wireshark实现数据包分析的应用案例[J].电脑编程技巧与维护.2018（05）.

【通联编辑：代影】

收稿日期：2019-10-08

作者简介：徐鹏（1996-），男，安徽六安人。