唐俊勇　王輝　陳翔

摘要：基于云平臺(tái)技術(shù)和虛擬技術(shù)，在云平臺(tái)上構(gòu)建三個(gè)虛擬局域網(wǎng)絡(luò)。每個(gè)虛擬網(wǎng)絡(luò)采用三層結(jié)構(gòu)設(shè)計(jì)，在虛擬網(wǎng)絡(luò)中可以進(jìn)行各種路由與交換配置。并且采用VPN技術(shù)，將分布在不同云平臺(tái)上的虛擬網(wǎng)絡(luò)連接起來(lái)，最大程度的對(duì)分部網(wǎng)絡(luò)的工作工程進(jìn)行仿真。結(jié)果表明，利用云平臺(tái)和虛擬技術(shù)的網(wǎng)絡(luò)仿真實(shí)驗(yàn)，真實(shí)模擬分布網(wǎng)絡(luò)的運(yùn)行，可操作性強(qiáng)，有助于提高條件有限的教學(xué)實(shí)驗(yàn)效果。

關(guān)鍵詞：云平臺(tái)；虛擬技術(shù)；分布式網(wǎng)絡(luò)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）29-0066-02

隨著以太網(wǎng)技術(shù)在互聯(lián)網(wǎng)中的廣泛應(yīng)用，在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的教學(xué)過(guò)程中，為了能夠達(dá)到較好的教學(xué)效果，需要進(jìn)行大量的實(shí)驗(yàn)實(shí)訓(xùn)。然而，目前幾乎所有高校在組建自己的網(wǎng)絡(luò)實(shí)訓(xùn)室中都選擇了最常見的路由器和交換機(jī)，這些設(shè)備要么由于數(shù)量缺乏，要么由于配置功能不夠，只能進(jìn)行基礎(chǔ)的路由和交換的單一實(shí)驗(yàn)。對(duì)綜合實(shí)訓(xùn)內(nèi)容不能完全支持。再加上學(xué)生們?cè)谧鼍W(wǎng)絡(luò)實(shí)訓(xùn)時(shí)需要進(jìn)行大量的設(shè)備拔插以及網(wǎng)線的鏈接，導(dǎo)致設(shè)備的損害以及上課秩序的混亂。所以很多院校網(wǎng)絡(luò)工程專業(yè)只能開設(shè)驗(yàn)證性實(shí)驗(yàn)，即主要進(jìn)行相關(guān)查看命令觀察運(yùn)行結(jié)果。由于這種驗(yàn)證性實(shí)驗(yàn)較為抽象，尤其僅靠幾臺(tái)網(wǎng)絡(luò)設(shè)備更無(wú)法使學(xué)生建立一個(gè)網(wǎng)絡(luò)工作整體印象，導(dǎo)致效果不佳。

近兩年來(lái)云平臺(tái)IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）的發(fā)展，通過(guò)互聯(lián)網(wǎng)讓資源實(shí)現(xiàn)了共享，其突出優(yōu)點(diǎn)是空間大，帶寬高，有獨(dú)立的TP。云服務(wù)器在處理能力與運(yùn)行速度上要比傳統(tǒng)的服務(wù)器快的多，可以根據(jù)需要安裝各種操作系統(tǒng)和應(yīng)用軟件。

本文提出一種方案，通過(guò)在云平臺(tái)上仿真大型局域網(wǎng)運(yùn)行，不僅改善了傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)在綜合大型實(shí)訓(xùn)方面的不足，而且利用IDC的高速網(wǎng)絡(luò)傳輸服務(wù)實(shí)現(xiàn)跨骨干網(wǎng)的分布式局域網(wǎng)絡(luò)的實(shí)現(xiàn)，可以給局域網(wǎng)用戶提供高速接人的服務(wù)。

1局域網(wǎng)絡(luò)在云平臺(tái)中的構(gòu)建

云主機(jī)可以選擇Windows或者Linux操作系統(tǒng)，本方案中的局域網(wǎng)是在一個(gè)云主機(jī)內(nèi)，采用虛擬機(jī)軟件（Dvnamips）的形式構(gòu)建。Dynamips是Cisco路由交換虛擬機(jī)平臺(tái)，采用虛擬化技術(shù)在云主機(jī)中建立多個(gè)虛擬路由器和交換機(jī)，并且這些虛擬設(shè)備可以同時(shí)運(yùn)行并且互聯(lián)成局域網(wǎng)絡(luò)。使用虛擬機(jī)技術(shù)而且可以運(yùn)行思科官方的設(shè)備操作系統(tǒng)（IOS），在虛擬出的網(wǎng)絡(luò)平臺(tái)上具備物理設(shè)備的所有功能。

1.1局域網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)

本方案以一個(gè)跨越三個(gè)校區(qū)的大型校園網(wǎng)絡(luò)為例，采用的設(shè)計(jì)模式是：三個(gè)設(shè)計(jì)層次、以及樹型與星型的連接方式。見

在網(wǎng)絡(luò)層次上可以分為核心層、匯聚層（可選）和用戶接入層的網(wǎng)絡(luò)結(jié)構(gòu)。整個(gè)網(wǎng)絡(luò)的核心是交換機(jī)設(shè)備，構(gòu)成網(wǎng)絡(luò)通訊的一級(jí)骨干。骨干核心交換機(jī)要求具有高性能的交換處理能力，靈活的可擴(kuò)充性，特別強(qiáng)調(diào)設(shè)備的高可靠性、高可用性要求。為保證可靠性采用兩臺(tái)設(shè)備構(gòu)成雙核心主干，形成設(shè)備冗余，實(shí)現(xiàn)流量的負(fù)載分擔(dān)進(jìn)一步提高性能。匯聚層需要承擔(dān)起所連各個(gè)網(wǎng)絡(luò)之間的子網(wǎng)路由工作，同時(shí)對(duì)接入層數(shù)據(jù)進(jìn)行分流和控制。接入層可以提供支持IEEE802.1q協(xié)議，提高網(wǎng)絡(luò)的控制能力。

1.2分布式互聯(lián)設(shè)計(jì)

本例中學(xué)校三個(gè)校區(qū)均采用圖l的局域網(wǎng)絡(luò)結(jié)構(gòu)，這些網(wǎng)絡(luò)結(jié)構(gòu)分別在三個(gè)云主機(jī)中部署，每個(gè)云主機(jī)采用支持VPN的Cisc03845虛擬路由器通過(guò)云主干線路模擬Cernet接入到其他區(qū)域的云主機(jī)VPN節(jié)點(diǎn)，該接入方式如圖2所示。

2實(shí)驗(yàn)過(guò)程

本實(shí)驗(yàn)的核心思想是在多個(gè)云平臺(tái)下部署虛擬機(jī)，主要過(guò)程要進(jìn)行以下幾個(gè)步驟：

1）單個(gè)區(qū)域下局域網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)，主要內(nèi)容是網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)以及IP地址規(guī)劃；

2）對(duì)網(wǎng)絡(luò)互聯(lián)設(shè)備的選型，處于云端的客戶機(jī)的網(wǎng)絡(luò)基礎(chǔ)配置；

3）對(duì)接入層交換機(jī)配置虛擬局域網(wǎng)，進(jìn)行安全和廣播隔離。

4）對(duì)核心層進(jìn)行鏈路匯聚，提高鏈路帶寬和利用率；配置生成樹防止鏈路環(huán)路；

5）實(shí)現(xiàn)各個(gè)元平臺(tái)下VPN配置并且實(shí)現(xiàn)云端互連；

6）對(duì)整個(gè)工程項(xiàng)目的調(diào)試。

3VPN實(shí)現(xiàn)與互連

本案例中，routerA代表西校區(qū)的連接路由。由于業(yè)務(wù)安全需要，要求將三個(gè)校區(qū)之間建立不同的安全通道。每個(gè)安全通道要求進(jìn)行數(shù)據(jù)加密和完整性驗(yàn)證，校區(qū)兩兩之間實(shí)現(xiàn)IPSecVPN的訪問。

1）基本配置。

用VmwareCloud部署三臺(tái)服務(wù)器作為云平臺(tái)，其中routerA（西校區(qū)）、routerB（本部）和routerC（南校區(qū)）配置默認(rèn)路由通往外部的internet。采用一臺(tái)路由器分別連接到三個(gè)云平臺(tái)代表intemet，不用配置到各個(gè)局域網(wǎng)絡(luò)的路由，所以各個(gè)校區(qū)的局域網(wǎng)絡(luò)無(wú)法連通。

2）配置IKE，包括啟用IKE策略和驗(yàn)證配置。

因?yàn)槿齻€(gè)分布的網(wǎng)絡(luò)需要建立VPN，所以需要六對(duì)sA，分別是routerA<->routerB（雙向兩對(duì)SA）、rouerA<->rouerC（雙向兩對(duì)SA）、rouerB<->rouerC（雙向兩對(duì)sA）。其中SA的協(xié)商和建立是由IKE在isakmp體系框架內(nèi)完成的。

在routerA上配置IKE參數(shù)，主要配置內(nèi)容如下所示：

//創(chuàng)建一個(gè)isakmp策略，每一個(gè)isakmp策略集合了IKE配置參數(shù)

routerA （config）#crypto isakmp policy 100

//IKE報(bào)文加密形式為預(yù)共享密鑰（其他形式不再討論）

routerA（config-isakmp）#authentication pre-share

//IKE報(bào)文加密算法為3des算法

routerA（config-isakmp）#encryption 3des

//IKE報(bào)文認(rèn)證為md5算法

routerA（config-isakmp）#hash md5

//密鑰交換為Diffie-Hellman算法，group2代表該算法產(chǎn)生1024位素?cái)?shù)，

//groupl代表該算法產(chǎn)生768位素?cái)?shù)

routerA（config-isakmp）#group 2

//在路由器上配置預(yù)共享密鑰和SA對(duì)等體，每對(duì)對(duì)等體的密鑰可以不同，本案例均

//為cisco，routerA的SA對(duì)等體分別為routerB和routerC

routerA（config）#crypto isakmp key 0 cisco address202.117.2.2

routerA（config）#crypto isakmp key 0 cisco address202.117.3.2

由于routerA與routerB互為安全關(guān)聯(lián)對(duì)等實(shí)體，所以routerB中的IKE配置參數(shù)必須和routerA中的一樣

3）配置IPSec

IKE建立的安全連接是為了進(jìn)行IPSec安全關(guān)聯(lián)的協(xié)商，必須正確配置VPN的IPSec參數(shù)才能保證VPN正常工作。IP-Sec配置內(nèi)容包括創(chuàng)建加密用的訪問控制列表、定義交換集，創(chuàng)建加密圖（crypto map）條目，并且在接口上應(yīng)用加密圖。

本案例中routerA應(yīng)該對(duì)所連接的私有網(wǎng)絡(luò)：192.168.1.0/24進(jìn)行加密，同樣，routerB和routerC也對(duì)所連接的私有網(wǎng)絡(luò)進(jìn)行加密，這就需要在三個(gè)路由中配置加密ACL。

routerA（config）#access-list 101 permit ip 192.168.1.00.0.0.255 192.168.2.0 0.0.0.255

routerA（config）#access-list 102 permit ip 192.168.1.00.0.0.255 192.168.3.0 0.0.0.255

在發(fā)起SA協(xié)商之前，兩個(gè)對(duì)等端需要統(tǒng)一參數(shù)，變換集就規(guī)定了sA協(xié)商所需的參數(shù)。

在routerA上配置IPSec的變換集，內(nèi)容如下所示：

routerA（config）#crypto ipsec transform-set setA-B esp-3desesp-md5-hmac

routerA（cfg-crypto-trans）#mode tunnel

routerA（cfg-crypto-trans）#exit

routerA（config）#crypto ipsec transform-set setA-C esp-3desesp-md5-hmac

routerA（cfg-crypto-trans）#mode tunnel

routerA（cfg-crypto-trans）#exit

routerA（coiffig）#erypto ipsec security-association lifetime sec-onds 1800

4）創(chuàng)建并應(yīng)用安全策略組。

安全策略組是通過(guò)加密映射crypto map命令實(shí)現(xiàn)的，安全策略組使本地的加密ACL生效，并且定義如何建立和維護(hù)IP-Sec SA。安全策略組中的每條安全策略都有一個(gè)序列號(hào)和名字，并且安全策略組需要在路由器接口上應(yīng)用。

在Router1上配置安全策略組，主要配置內(nèi)容如下所示：

routerA（config-crypto-map）#match address 101

routerA（config-crypto-map）#set peer 202.117.2.2

routerA（config-crypto-map）#set transform-set setA-B

routerA（config-crypto-map）#exit

routerA（eonfig）#crypto map routerA-map 20 ipsec-isakmp

routerA（config-crypto-map）#match address 101

routerA（coiffig-crypto-map）#set transform-set setA-CrouterA（config-crypto-map）#set peer 202.117.3.2

routerA（config-crypto-map）#exit

routerA（eonfig）#exit

最后，將安全策略組應(yīng)用到路由器相關(guān)接口

routerA（eonfig）#int s1/0

routerA（corrfig-if）#crypto map routerA-map

步驟4：測(cè)試和驗(yàn)證IPSec。

在西校區(qū)所在的云平臺(tái)中虛擬PC上使用ping命令測(cè)試到其他云平臺(tái)的連通性，測(cè)試通過(guò)，表明IPSec協(xié)議配置成功。調(diào)試IPSec事件（Debug crypto ipsec）觀察IPSec協(xié)議的保護(hù)。

4結(jié)束語(yǔ)

本文提出基于云平臺(tái)，利用虛擬機(jī)技術(shù)對(duì)分布網(wǎng)絡(luò)進(jìn)行仿真，具有使用方便、軟件仿真和造價(jià)便宜的特點(diǎn)。云平臺(tái)很好地模擬分布式局域網(wǎng)的連接，在云平臺(tái)上使用虛擬機(jī)技術(shù)構(gòu)造了不同的局域網(wǎng)，這種方案不僅鍛煉了學(xué)生基礎(chǔ)的路由交換技術(shù)，而且直觀地表現(xiàn)出了網(wǎng)絡(luò)互連的工作過(guò)程。本文最后采用VPN中的IpSec技術(shù)進(jìn)行分布網(wǎng)絡(luò)互連，也可采用IS-IS互連協(xié)議進(jìn)行仿真，解決了傳統(tǒng)網(wǎng)絡(luò)工程實(shí)驗(yàn)中大型互聯(lián)實(shí)現(xiàn)困難。