Get best of the week

Imitierte Cisco identisch mit natürlich

Bild

Vor kurzem stieß ich auf das Problem, eine Umgebung für die Erkundung einiger Funktionen von Cisco- Routern auszuwählen . Früher habe ich GNS3 verwendet, aber jetzt habe ich mich entschlossen zu sehen, was sich in der Welt geändert hat. Wie sich herausstellte, sind die Fortschritte weit fortgeschritten. Als ich in den Abgrund von Artikeln und Foren stürzte, stellte ich fest, dass eine große Menge an Informationen aus ihnen bereits veraltet ist. Um nicht in der Vielfalt der Software verwirrt zu werden, habe ich mir einen kleinen Spickzettel gemacht (Relevanz - März 2020). Jetzt möchte ich es dem Gericht der Öffentlichkeit vorlegen. Erstens, um nicht zu verschwinden (es scheint mir, dass dies für jemanden nützlich sein kann, da ich an einem Ort nicht alle Mittel auf einmal gefunden habe). Zweitens weisen sie möglicherweise in den Kommentaren auf Fehler in den Beschreibungen hin, was die Überprüfung verbessert.

Wenn Sie also keinen „Eisen“ -Schalter / Router zur Hand haben, um sich vor der Implementierung / Fortbildung auf Prüfungen / Übungsfunktionen vorzubereiten, wird Ihnen höchstwahrscheinlich geholfen:

1. Simulatoren
1.1. Cisco Packet Tracer
1.2. Boson NetSim
2. Emulatoren
2.1. Dynamips + Dynagen
2.2. IOU / IOL + WebIOL
2.3. Virtuelle Maschinen für QEMU / VMWare / ...
3. Laborumgebungen
3.1. VIRL
3.2. GNS3
3.3. iou-web → UNetLab → EVE-NG 4. Fernlabor
des Herstellers

1. Simulatoren


Diese Klasse von Software ahmt die Arbeit der ursprünglichen Software nach, ist es aber nicht. Die Simulatorsoftware enthält erhebliche Vereinfachungen und soll nur das äußere Verhalten des untersuchten Objekts reproduzieren. Simulatoren haben ihre eigenen Fehler, ihre eigene Leistung und nicht alle Funktionen sind implementiert. Daher werden sie hauptsächlich auf niedrigem Bildungsniveau eingesetzt. Sie sind nicht für anspruchsvolle Spezialisten geeignet. Aber für Anfänger - das war's.

1.1. Cisco Packet Tracer (CPT)


Der bekannteste Simulator für Cisco. Im Internet (und insbesondere bei Habr) gibt es viele Materialien, die sich mit der Arbeit befassen. Dieses Tool ist denjenigen bekannt, die Cisco in den offiziellen Kursen des Herstellers studieren. Sie können damit recht komplexe Netzwerke aus Catalyst 2960-Switches, ISR (Integrated Service Router), PC-Simulatoren und mehreren anderen, weniger wichtigen Elementen erstellen. Aktuelle Version 7.3. Es ist zu beachten, dass sich CPT viel langsamer entwickelt als die Technologien seines Herstellers. So finden Sie beispielsweise keine moderne Aufstellung wie den Catalyst 9200, aber es gibt Dinosaurier wie den Catalyst 2950, ​​der eine Verbindung ohne Auto-MDI, 3560 und sogar einen unkontrollierten Hub originalgetreu simuliert (nicht mit dem Switch verwechseln).

Alle Netzwerk-Tools (Analysator, Terminal-Client usw.) sind bereits in ihrer eigenen Implementierung in der CPT-Schnittstelle enthalten (was nicht überraschend ist, da sich in der Realität einfach keine Netzwerkpakete im Simulator befinden). Daher ist die Verwendung Ihres bevorzugten Wireshark und PuTTY nicht erfolgreich. Darin befindet sich jedoch ein Debugger, mit dem Sie das durch das Netzwerk übertragene Paket Schritt für Schritt visualisieren können - andere Tools können sich solcher Funktionen nicht rühmen.
CPT ist ein proprietäres Produkt und nicht gemeinfrei. Aber es kostenlos zu bekommen ist einfach genug. Besuchen Sie dazu die Website der Cisco Network Academy - https://netacad.comSuchen Sie dort den Cisco Packet Tracer-Kurs, registrieren Sie sich auf der Website und melden Sie sich an. Danach können Sie in den Ressourcen des Kurses CPT herunterladen (verfügbar für verschiedene Betriebssysteme). Beim Start werden Sie von CPT nach einem Konto für die Netzwerkakademie gefragt. Verschwenden Sie deshalb keine Zeit mit Versionen von Torrents mit gemeinsam genutzten Schlüsseln, die regelmäßig gesperrt werden.

Cisco ASA verfügt übrigens über einen Packet-Tracer-Befehl, mit dem Sie Ihre Firewall-Einstellungen überprüfen können. Sie hat also nichts mit Packet Tracer zu tun.

1.2. Boson NetSim


Ein weiterer Simulator konzentrierte sich auf die Prüfungsvorbereitung für die offizielle Cisco-Zertifizierung von CCNA und CCNP. Verfügbar unter https://www.boson.com/netsim-cisco-network-simulator . Der Simulator wird bezahlt: Der Preis reicht von 179 bis 349 US-Dollar für verschiedene Versionen von Prüfungen. Nur unter Windows verfügbar.

Es handelt sich um eine Sammlung von Laborarbeiten, die nach Prüfungsthemen gruppiert sind. Wie aus den Screenshots hervorgeht, besteht die Benutzeroberfläche aus mehreren Abschnitten: Beschreibung der Aufgabe, Netzwerkkarte, auf der linken Seite finden Sie eine Liste aller Labore. Nach Abschluss der Arbeiten können Sie das Ergebnis überprüfen und feststellen, ob alles erledigt wurde. Mit einigen Einschränkungen können Sie eigene Topologien erstellen. [ 1 ]
Vielleicht ist das alles mit Simulatoren.

2. Emulatoren


Emulatoren sind Programme, mit denen Original- oder leicht modifizierte Software auf einer x86- oder x64-Plattform (in diesem Fall) ausgeführt werden kann. Die Arbeit von Emulatoren ist der Arbeit von realen Geräten viel näher als die Arbeit von Simulatoren. Obwohl es geringfügige Unterschiede geben kann. Betrachten Sie die gängigsten Cisco-Netzwerkgeräteemulatoren.

2.1. Dynamips + Dynagen


Ein Cisco-Router-Emulator, der unter Windows, Linix und Mac OS X ausgeführt werden kann. Er wird unter der GNU GPLv2-Lizenz vertrieben (was für die verwendeten Images nicht gesagt werden kann). Ermöglicht das Starten einer virtuellen Maschine mit einem Original-Betriebssystem-Image von alten Routern der Familien 1700, 3725, 7200 und einigen anderen. Ermöglicht die Simulation von Ethernet-Schnittstellen und gefährdeten Geldautomaten und seriellen Geräten. Gleichzeitig kann Dynamips nicht mit der Firmware der Switches arbeiten, da sich ihre Betriebssysteme auf die Verwendung von ASICs konzentrieren, die in vielen Switches zu finden sind und auf x86-Systemen nur sehr schwer zu simulieren sind.

Dynamips wurde erstmals 2005 veröffentlicht. Es wurde von Christophe Fillot entwickelt. Bereits 2007, in Version 0.2.8, gab er dieses Projekt auf. Wikipedia schreibt, dass es Version 0.2.15 von 2015 gibt, aber die Seite mit dem Proof ist nicht verfügbar. Für Dynamips gab es ein Konsolen-Frontend Dynagen.

Das Cisco IOS-Betriebssystem ist sehr konservativ, sodass Sie einige Funktionen auch mit solch alter Software leicht erlernen können. Es gibt jedoch ein Problem mit Betriebssystemabbildern: IOS kann für 7200 und andere lange Zeit nicht offiziell gekauft werden, da sie sich nicht nur im End of Sale (29.09.2012) befinden, sondern auch im letzten Support-Datum (30.09.2017) [ 2]. Daher können Sie Dynamips nicht legal verwenden. Es ist zwar unwahrscheinlich, dass der Schaden, den Cisco durch eine solche Nutzung erleidet, für die Einleitung der Strafverfolgung als zumindest signifikant angesehen werden kann, aber es kann sein.

2.2. IOU / IOL + WebIOL


Der nächste Emulator ist Cisco IOS unter UNIX - IOU und seine Variation von Cisco IOS unter Linux - IOL. Es handelt sich um eine ausführbare Binärdatei, die das Betriebssystem Catalyst Switch L3 (L2IOU, ja, L2 ist kein Tippfehler) oder den vom Hersteller für die Ausführung unter UNIX / Linux kompilierten Multifunktionsrouter ISR (L3IOU) enthält. IOU zeichnet sich durch einen sehr geringen Ressourcenverbrauch aus (im Vergleich zu anderen Emulatoren). Und im Gegensatz zu Dynamips kann es Switch-Software ausführen. Für IOL gibt es eine offizielle grafische Front-End-WebIOL (nicht zu verwechseln mit inoffiziellem iou-web [ 3 ]), mit der Sie komplexe Netzwerktopologien aus Geräten erstellen können.

Das Problem ist, dass die IOU von Cisco Systems für den internen Gebrauch entwickelt wurde und daher nur Mitarbeitern und Partnern zur Verfügung steht. Trotzdem gibt es im Internet Anweisungen zum Herunterladen und Installieren. Denken Sie jedoch daran, dass dies illegal ist.

Leider konnte ich keine Informationen darüber finden, ob IOL derzeit entwickelt wird oder ob Images für QEMU und VMWare diese ersetzt haben, worauf später noch eingegangen wird. Wenn jemand über das Schicksal der IOU Bescheid weiß, teilen Sie bitte die Beweise mit, um diesen Absatz zu verbessern.

2.3. Virtuelle Maschinen für QEMU / VMWare / ...

Entsprechend dem allgemeinen Trend zur Virtualisierung (und insbesondere zur Virtualisierung von Netzwerkfunktionen - NFV, Network Functions Virtualization) veröffentlicht Cisco Systems selbst immer mehr Produkte in Form von sogenannten Virtuelle Appliance oder einfacher gewöhnliche virtuelle Maschinen, die für die Ausführung in gängigen Hypervisoren entwickelt wurden: QEMU, VMWare, Hyper-V usw.

Die folgenden Produkte sind beispielsweise als virtuelle Maschinen verfügbar.

  • ASAv (Cisco Adaptive Security Virtual Appliance) ist eine bekannte, aber etwas veraltete ITU Cisco ASA. Jetzt in der virtuellen Maschine.
  • NGFWv und NGIPSv (Cisco Firepower - Firewall- und Intrusion Prevention-System der nächsten Generation) - eine neue Generation von Sicherheitsgeräten.
  • IOS XRv ist die IOS-XR-Version für Carrier-Grade-Router. So etwas kann Quagga oder etwas Mächtigeres ersetzen.
  • CSR1000v (Cloud Service Router) – IOS-XE. VPN, MPLS, VXLAN, .. .
  • NX-OSv – /, IOS-NX, «» Cisco Nexus. .
  • Nexus 1000v – Nexus, Hyper-V VMWare. , , , . [4] .
  • Cisco Nexus Titanum – NX-OS, Cisco.
  • Auch andere beliebte Produkte ISE, WLC, MSE / CMX usw. sind bereits als virtuelle Maschinen verfügbar.

Diese Softwareprodukte können beim Hersteller erworben werden (zumindest einige davon sind sehr teuer). Zuvor standen die Bilder unter https://cisco.com zur Überprüfung zur Verfügung . Zum Herunterladen benötigen Sie nun einen gültigen Servicevertrag für das Produkt oder einen geheimen Link des Cisco-Managers oder seines Partners. Trotzdem befinden sich die meisten Bilder in Torrents und bieten innerhalb von 60 bis 90 Tagen die volle Funktionalität. Die Verwendung solcher Bilder ist jedoch nicht ganz legal.
Es gibt zwei weitere sehr interessante Bilder von virtuellen Maschinen.

  • IOSvL2 - Ein virtuelles Image eines Routing-Switches.
  • IOSv ist ein virtuelles Image eines Cisco-Routers.

Diese Bilder werden nicht separat verteilt, sondern können aus der VIRL-Laborumgebung extrahiert werden, auf die später noch eingegangen wird. Leider beschreibt die VIRL-Lizenzvereinbarung nicht die getrennte Verwendung von IOSv, daher können hier auch bei der erworbenen VIRL rechtliche Vorfälle auftreten.

Es sollte nicht verwechselt werden (und sogar Google und Yandex verwirren sie manchmal bei der Ausgabe), die bereits berücksichtigten L2IOU und IOSvL2. Dies sind verschiedene Softwareprodukte. [ 5 ]

3. Virtuelle Labore

Eine virtuelle Maschine ist gut, aber ein Computernetzwerk ist immer noch eine Sammlung unabhängiger Knoten. Daher müssen häufig mehrere emulierte Geräte ausgeführt werden, damit sie als Ganzes interagieren. Es ist möglich, dies manuell zu tun, aber dieser Ansatz ist schwierig. Daher gibt es Softwareprodukte, mit denen Sie die Erstellung virtueller Netzwerkumgebungen automatisieren und mit einer grafischen Oberfläche versehen können. Es gibt keinen gesonderten Begriff für sie, daher werden wir sie hier virtuelle Labors nennen.

3.1. Cisco VIRL


Zunächst muss das offizielle virtuelle Labor von Cisco erwähnt werden. Dies ist Cisco VIRL (Virtual Internet Routing Lab). Aktuelle Version 1.6. Die offizielle Website ist http://virl.cisco.com (es ist lustig, dass die Website, die von einem der größten Hersteller von Netzwerksicherheitslösungen erstellt wurde, im Jahr 2020 keine TLS-Version hat).

Das Produkt wird als virtuelle Maschine oder Paket zur Installation auf Bare Metal vertrieben. Die Kosten betragen unmenschlich 199 US-Dollar für 365 Tage und nicht mehr als 20 virtuelle Netzwerkknoten (dringendes Abonnement für lokale Software - alles ist sehr modisch und modern). Auf Packet.net gibt es eine Cloud-Version VIRL.

VIRL enthält bereits Schulungsversionen von IOSv-, IOSvL2-, IOS XRv-, NX-OSv-, CSR1000v- und ASAv-Images. Außerdem können virtuelle Maschinen von Drittanbietern anderer Netzwerkhersteller hinzugefügt werden.

Für die Arbeit mit VIRL wird der eigene GUI-Client von VM Maestro verwendet.

3.2. GNS3


Das nächste virtuelle Labor ist GNS (Graphical Network Simulator). Die erste Version von GNS erschien 2007 und war eine grafische Oberfläche für Dynamips, geschrieben in Qt. Im Jahr 2014 wurde das Projekt stark überarbeitet (laut den Entwicklern wurden nur 5% des Codes beibehalten) und GNS3 erschien. Außerdem ist „3“ keine Version, sondern ein Name. Die aktuelle Version von GNS3 ist 2.2. Mit GNS3 können Sie jetzt nicht nur Dynamips-Images, sondern auch QEMUs ausführen und mit IOUs und anderen virtuellen Maschinen interagieren. Die Anwendung ist "dick", d.h. läuft direkt auf der Maschine, auf der es sich befindet. Zum Emulieren von Geräten können virtuelle Maschinen verwendet werden, die sich auf demselben Host oder remote befinden. Unterstützt unter Linux, Windows und Mac OS X.Ein großer Vorteil von GNS3 ist die Möglichkeit, dieselben Tools wie für die Arbeit mit echter Hardware zu verwenden: PuTTY, SecureCRT, Wireshark usw.

GNS3 wird kostenlos unter der GNU GPL vertrieben. Um es herunterzuladen, müssen Sie sich auf der offiziellen Website des Projekts registrieren: https://gns3.com und dann eine Anfrage (!) Senden, um die Verteilung zu erhalten, die als bis zu 2 (!) "Werktage" gilt. Ein seltenes Beispiel für Netzwerkbürokratie (ich frage mich, was dort in dieser Zeit überprüft wird?). In den Kommentaren schlug @exhalance vor, dass Sie die Projektseite unter github.com/GNS3/gns3-gui/releases verwenden können - „ohne Registrierung und SMS“.
Die Images von virtuellen Maschinen müssen jedoch unabhängig voneinander gepflegt werden. Am allerwenigsten ist die Verwendung von Bildern aus VIRL. Dies sind jedoch rechtliche Probleme. Technisch gesehen können Sie zusammen mit GNS3 alle oben beschriebenen Emulatoren ausführen. Hierbei ist zu beachten, dass GNS3 nicht auf das Starten von Cisco-Emulatoren beschränkt ist. Es unterstützt eine Reihe von Geräten verschiedener Hersteller: Juniper, MikroTik, Aruba (HPE), Fortinet usw. [ 6] ermöglicht es Ihnen, heterogene Netzwerke aufzubauen. Darüber hinaus enthält GNS3 mehrere eigene Netzwerkprimitive: Endknoten (Virtual PC Simulator - VPCS), Switches usw. Oft kann es vorkommen, dass GNS3 wegen der Unmöglichkeit, Switch-Emulatoren zu starten, zurechtgewiesen wird. Das ist aber nicht so. Natürlich kann das Image des ursprünglichen 2960 dort nicht gestartet werden, aber IOSvL2 wird unterstützt oder L2IOU kann verbunden werden.

Trotz der Tatsache, dass das Produkt selbst kostenlos ist, gibt es auf seiner Website ein Geschäft, in dem Software (Bilder), Lehrmaterialien und nur Souvenirs verkauft werden.

Hinzugefügt von: Es stellt sich heraus, dass GNS3 eine WebUI hat, aber es ist noch Beta: https://github.com/GNS3/gns3-web-ui

3.3. iou-web → UNetLab → EVE-NG


Und schließlich gab es zum Nachtisch in meiner Rezension ein virtuelles Labor EVE-NG (The Emulated Virtual Environment - Next Generation). Ihre Geschichte begann mit der Tatsache, dass Andrea Dainese 2012 ein inoffizielles Webinterface für IOL veröffentlichte: iou-web. Dann brachte er seinem Labor bei, mit anderen Emulatoren zu arbeiten, und so erschien 2014 UNetLab. Und 2017 schuf Alain Degreffe eine Abzweigung des UNetLab-Projekts, das er EVE-NG nannte. Der Autor des ursprünglichen UNetLab hatte auch große Pläne für die Entwicklung des Projekts und die Veröffentlichung der zweiten Version [ 3 ], gab diese Idee jedoch nach und nach auf: " Fragen Sie nicht nach UNetLab2 und entscheiden Sie sich für GNS3, VIRL oder EVE-NG ", schrieb er als Ergebnis. Somit ist EVE-NG die einzige relevante Produktlinie. Aktuelle Version: 2.0
EVE-NG ist in seiner Funktionalität GNS3 sehr ähnlich: Fast die gleichen Emulatoren und die Unterstützung für ähnliche Geräte-Images (und auf die gleiche Weise werden viele andere Hersteller als Cisco unterstützt). Das Verteilungsformular und die Schnittstelle unterscheiden sich jedoch: EVE-NG ist eine virtuelle Maschine, die an Ihrem Arbeitsplatz oder auf einem dedizierten Server ausgeführt werden kann. Die Laborverwaltung erfolgt über einen Browser (in der virtuellen Maschine ist unter anderem ein Webserver eingebaut). Genau wie GNS3 wird EVE-NG ohne Bilder geliefert, und Sie müssen sie (natürlich im Sinne von „Kaufen“) herunterladen und selbst ins Labor hochladen. Durch die Verwendung einer Webschnittstelle wird das Labor plattformübergreifend.Außerdem ist eine virtuelle Maschine per Definition einfach bereitzustellen und frei von komplexen Softwareabhängigkeiten (verteilt im OVF-Format - Open Virtualization Format) und spielt perfekt im kostenlosen (für den privaten Gebrauch) VMWare Player. Trotz der Isolation der Umgebung in einer virtuellen Maschine funktioniert sie auch Sie können PuTTY, SecureCRT, Wireshark usw. verwenden.

EVE-NG unterstützt Mehrbenutzer-Laborerfahrungen. Einschließlich in verschiedenen Rollen. Zum Beispiel ein Schüler, der ein Labor sammelt, und ein Lehrer, der sich um ihn kümmert.
EVE-NG wird unter seiner eigenen Lizenz in einer freien Öffentlichkeit (Community) und kostenpflichtigen professionellen oder pädagogischen Versionen vertrieben [ 7 ]. Die kostenpflichtige Version unterscheidet sich im Vorbild (in der kostenlosen Version gibt es nur eine Administratorrolle), die Anzahl der Knoten pro Labor ist auf 1024 begrenzt (in der kostenlosen Version - 63) usw.

4. Bonus: Fernlabor des Herstellers

Neben Simulatoren und Emulatoren können Sie auch den Fernzugriff auf Hardware verwenden. Cisco präsentiert offiziell einige sehr interessante Dienste: https://Developer.cisco.com/ und https://dCloud.cisco.com . Diese Dienste verfügen über eine Reihe von Sandboxen (Sandbox), sowohl virtuelle als auch Hardware (!), Mit denen Sie neue Geräte fühlen können. Der Zugriff auf Dienste erfolgt über ein Cisco-Konto. Ein NetAcad.com- Konto passt gut (wenn Sie sich bereits für den Zugriff auf CPT oder Kurse registriert haben). Die Anzahl der verfügbaren Labore hängt jedoch von Ihrem Status ab. Das Partner- oder Kundenkonto bietet mehr Möglichkeiten als ein einfacher Schüler.

Der Entwickler richtet sich an Programmierer, die Probleme mit der Netzwerkautomatisierung lösen. Die vorgestellten Topologien sind daher recht einfach. Ihre Aufgabe ist es, die Möglichkeit zu geben, die Eisen-API zu "berühren". Trotz der Einfachheit der Topologien kann ein solches Tool in einigen Fällen etwas bieten, was ein virtuelles Labor nicht bietet. Zum Beispiel konnte ich gestern die Befehlszeile des eisernen Cisco 9000 und die Weboberfläche des Cisco WLC 9800 kennenlernen. Und dCloud stellt neue Produkte vor.

In den meisten Fällen erfolgt die Verbindung zum Labor über den proprietären VPN-Client von Cisco - AnyConnect. Jene. Ihr Computer befindet sich im Sandbox-Netzwerk. Dies bedeutet, dass Sie ein entferntes Labor mit lokalem GNS3 [ 8 ] oder EVE-NG kombinieren können !

Fazit


Abschließend möchte ich zusammenfassen, was in einem kleinen Schema gesagt wurde (ansonsten ist der kleine Spickzettel zu einem großen Fußtuch gewachsen, und dies trotz der Tatsache, dass ich nur oberflächlich nur die wichtigsten Merkmale der Werkzeuge beschrieben habe):

Bild

Änderungen: Informationen über dCloud hinzugefügt

More articles:


All Articles