Get best of the week

Cisco imité identique au naturel

image

Récemment, j'ai rencontré le problème du choix d'un environnement pour explorer certaines fonctionnalités des routeurs Cisco . J'avais l'habitude d'utiliser GNS3, mais maintenant j'ai décidé de voir ce qui a changé dans le monde. Il s'est avéré que les progrès ont été très avancés. Plongeant dans l'abîme des articles et des forums, j'ai trouvé qu'une énorme quantité d'informations d'eux était déjà dépassée. Afin de ne pas me confondre dans la variété des logiciels, je me suis fait une petite triche (pertinence - mars 2020). Maintenant, je veux le mettre sur la cour du public. Tout d'abord, pour ne pas disparaître (il me semble que cela peut être utile à quelqu'un, car en un seul endroit je n'ai pas trouvé tous les moyens à la fois). Deuxièmement, peut-être que dans les commentaires, ils indiqueront des erreurs dans les descriptions, ce qui améliorera l'examen.

Donc, si vous n'avez pas de commutateur / routeur (s) «à repasser» à portée de main pour vous préparer aux examens / fonctionnalités pratiques avant la mise en œuvre / la formation avancée, alors vous serez probablement aidé:

1. Simulateurs
1.1. Cisco Packet Tracer
1.2. Boson NetSim
2. Émulateurs
2.1. Dynamips + Dynagen
2.2. IOU / IOL + WebIOL
2.3. Machines virtuelles pour QEMU / VMWare / ...
3. Environnements de laboratoire
3.1. VIRL
3.2. GNS3
3.3. iou-web → UNetLab → EVE-NG
4. Laboratoire distant du fabricant

1. Simulateurs


Cette classe de logiciels imite le travail du logiciel d'origine, mais ce n'est pas le cas. Le logiciel de simulation contient des simplifications importantes et est uniquement destiné à reproduire le comportement externe de l'objet étudié. Les simulateurs ont leur propre ensemble de bogues, leurs performances et toutes les fonctionnalités ne sont pas implémentées. Par conséquent, ils sont principalement utilisés à de faibles niveaux d'éducation. Ils ne conviennent pas aux spécialistes sophistiqués. Mais pour les débutants - c'est tout.

1.1. Cisco Packet Tracer (CPT)


Le simulateur le plus célèbre pour Cisco. Sur Internet (et sur Habr en particulier) il y a beaucoup de matériel consacré à travailler avec lui. Cet outil est bien connu de ceux qui étudient Cisco dans les cours officiels du fabricant. Il vous permet de créer des réseaux assez complexes de commutateurs Catalyst 2960, d'ISR (Integrated Service Router), de simulateurs PC et de plusieurs autres éléments moins importants. Version actuelle 7.3. Il est à noter que CPT se développe beaucoup plus lentement que les technologies de son constructeur. Ainsi, par exemple, vous ne trouverez aucune gamme moderne comme le Catalyst 9200, mais en même temps, il y a des dinosaures comme le Catalyst 2950, ​​qui simule fidèlement une connexion sans Auto-MDI, 3560 et même un concentrateur non contrôlé (ne pas confondre avec un commutateur).

Tous les outils réseau (analyseur, client terminal, etc.) sont déjà inclus dans l'interface CPT dans leur propre implémentation (ce qui n'est pas surprenant, car en réalité il n'y a tout simplement pas de paquets réseau à l'intérieur du simulateur). Par conséquent, l'utilisation de Wireshark et de PuTTY ne réussira pas. Mais il contient un débogueur qui vous permet de visualiser étape par étape le paquet passant par le réseau - d'autres outils ne peuvent pas se vanter de telles fonctionnalités.
CPT est un produit propriétaire et n'est pas dans le domaine public. Mais l'obtenir gratuitement est assez facile. Pour ce faire, accédez au site Web de Cisco Network Academy - https://netacad.com, trouvez le cours Cisco Packet Tracer, inscrivez-vous sur le site et inscrivez-vous. Après cela, dans les ressources du cours, vous pouvez télécharger CPT (disponible pour différents systèmes d'exploitation). Une fois lancé, CPT vous demandera un compte académie réseau. C'est pourquoi ne perdez pas de temps sur les versions de torrents avec des clés partagées qui sont périodiquement interdites.

Soit dit en passant, Cisco ASA dispose d'une commande packet-tracer qui vous permet de vérifier les paramètres de votre pare-feu. Donc, elle n'a rien à voir avec Packet Tracer.

1.2. Boson NetSim


Un autre simulateur s'est concentré sur la préparation aux examens pour la certification officielle CCNA et CCNP de Cisco. Disponible sur https://www.boson.com/netsim-cisco-network-simulator . Le simulateur est payant: le prix varie de 179 $ à 349 $ pour différentes versions d'examens. Disponible uniquement sous Windows.

Il s'agit d'une collection d'articles de laboratoire, regroupés par thèmes d'examen. Comme on peut le voir sur les captures d'écran, l'interface se compose de plusieurs sections: description de la tâche, carte du réseau, sur le côté gauche est une liste de tous les laboratoires. Après avoir terminé le travail, vous pouvez vérifier le résultat et savoir si tout a été fait. Il est possible de créer vos propres topologies, avec certaines limitations. [ 1 ] C'est
peut-être tout avec des simulateurs.

2. Émulateurs


Les émulateurs sont des programmes conçus pour exécuter des logiciels originaux ou légèrement modifiés sur une plate-forme x86 ou x64 (dans ce cas). Le travail des émulateurs est beaucoup plus proche du travail de l'équipement réel que du travail des simulateurs. Bien qu'il puisse y avoir de légères différences. Considérez les émulateurs de périphériques réseau Cisco les plus courants.

2.1. Dynamips + Dynagen


Un émulateur de routeur Cisco qui peut fonctionner sur Windows, Linix et Mac OS X. Distribué sous la licence GNU GPLv2 (ce qui ne peut pas être dit pour les images qu'il utilise). Vous permet de démarrer une machine virtuelle avec une image de système d'exploitation d'origine provenant d'anciens routeurs des familles 1700, 3725, 7200 et d'autres. Permet de simuler des interfaces Ethernet et ATM et série en danger. Dans le même temps, Dynamips ne peut pas fonctionner avec le micrologiciel des commutateurs, car leurs systèmes d'exploitation sont axés sur l'utilisation d'ASIC, qui se trouvent dans de nombreux commutateurs et sont très difficiles à simuler sur les systèmes x86.

Dynamips a été publié pour la première fois en 2005. Il a été développé par Christophe Fillot. Cependant, déjà en 2007, sur la version 0.2.8, il abandonne ce projet. Wikipedia écrit qu'il existe la version 0.2.15 de 2015, mais la page avec la preuve n'est pas disponible. Pour Dynamips, il y avait un frontend de console Dynagen.

Le système d'exploitation Cisco IOS est très conservateur, vous pouvez donc facilement apprendre certaines fonctionnalités même avec de tels anciens logiciels. Cependant, il y a un problème avec les images du système d'exploitation: IOS ne peut pas être officiellement acheté pour 7200 et d'autres pendant longtemps, car elles sont dans un état non seulement de fin de vente (29/09/2012), mais aussi de dernière date de support (30/09/2017) [ 2]. Par conséquent, vous ne pouvez pas utiliser légalement Dynamips. Bien qu'il soit peu probable que les dommages causés à Cisco par une telle utilisation puissent être considérés au moins comme importants pour engager des poursuites, mais ils peuvent l'être.

2.2. IOU / IOL + WebIOL


Le prochain émulateur est Cisco IOS sous UNIX - IOU et sa variante de Cisco IOS sous Linux - IOL. Il s'agit d'un fichier exécutable binaire contenant le système d'exploitation du commutateur Catalyst L3 (L2IOU, oui L2 n'est pas une faute de frappe) ou le routeur multifonction ISR (L3IOU), compilé par le fabricant pour fonctionner sous UNIX / Linux. IOU se caractérise par une très faible consommation de ressources (par rapport aux autres émulateurs). Et contrairement à Dynamips, il peut exécuter un logiciel de commutation. Pour IOL, il existe une interface graphique WebIOL officielle (à ne pas confondre avec l'iou-web non officiel [ 3 ]), qui vous permet de créer des topologies de réseau complexes à partir de périphériques.

Le problème est que l'IOU a été développé par Cisco Systems pour un usage interne, il n'est donc disponible que pour les employés et les partenaires. Malgré cela, il existe des instructions sur Internet pour le télécharger et l'installer. Cependant, rappelez-vous que c'est illégal.

Malheureusement, je n'ai pas pu trouver d'informations sur le développement actuel d'IOL ou sur le remplacement des images pour QEMU et VMWare, ce qui sera discuté plus tard. Si quelqu'un connaît le sort de l'IOU, veuillez partager les preuves pour améliorer ce paragraphe.

2.3. Machines virtuelles pour QEMU / VMWare / ...

Conformément à la tendance générale à la virtualisation (et à la virtualisation des fonctions réseau en particulier - NFV, Network Functions Virtualization), Cisco Systems lui-même lance de plus en plus de produits sous la forme de Virtual Appliance, ou, plus simplement, des machines virtuelles ordinaires conçues pour s'exécuter dans des hyperviseurs courants: QEMU, VMWare, Hyper-V, etc.

Par exemple, les produits suivants sont disponibles en tant que machines virtuelles.

  • ASAv (Cisco Adaptive Security Virtual Appliance) est un Cisco ASA UIT bien connu mais quelque peu dépassé. Maintenant dans la machine virtuelle.
  • NGFWv et NGIPSv (Cisco Firepower - Pare-feu de nouvelle génération et système de prévention des intrusions) - une nouvelle génération de dispositifs de sécurité.
  • IOS XRv est la version IOS-XR pour les routeurs de classe opérateur. Une telle chose peut remplacer Quagga ou quelque chose de plus puissant.
  • CSR1000v (Cloud Service Router) – IOS-XE. VPN, MPLS, VXLAN, .. .
  • NX-OSv – /, IOS-NX, «» Cisco Nexus. .
  • Nexus 1000v – Nexus, Hyper-V VMWare. , , , . [4] .
  • Cisco Nexus Titanum – NX-OS, Cisco.
  • De plus, d'autres produits populaires ISE, WLC, MSE / CMX, etc. sont déjà disponibles en tant que machines virtuelles.

Ces produits logiciels peuvent être achetés auprès du fabricant (au moins certains d'entre eux sont très chers). Auparavant, les images étaient disponibles pour examen sur https://cisco.com . Maintenant, pour les télécharger, vous avez besoin d'un contrat de service valide pour le produit, ou d'un lien secret du gestionnaire Cisco ou de son partenaire. Néanmoins, la plupart des images sont sur des torrents et dans les 60 à 90 jours, elles offrent toutes les fonctionnalités. Mais l'utilisation de telles images n'est pas entièrement légale.
Il existe deux autres images très intéressantes de machines virtuelles.

  • IOSvL2 - Une image virtuelle d'un commutateur de routage.
  • IOSv est une image virtuelle d'un routeur Cisco.

Ces images ne sont pas distribuées séparément, mais elles peuvent être extraites de l'environnement du laboratoire VIRL, ce qui sera discuté plus tard. Malheureusement, l'accord de licence VIRL ne décrit pas l'utilisation séparée d'IOSv, par conséquent, des incidents juridiques peuvent survenir ici même avec la VIRL acquise.

Il ne faut pas confondre (et même google et Yandex les confondent parfois dans l'émission) les L2IOU et IOSvL2 déjà considérés. Ce sont différents produits logiciels. [ 5 ]

3. Laboratoires virtuels

Une machine virtuelle est bonne, mais un réseau informatique est toujours une collection de nœuds indépendants. Par conséquent, il est souvent nécessaire d'exécuter plusieurs périphériques émulés et de les faire interagir dans leur ensemble. Il est possible de le faire manuellement, mais cette approche est difficile. Par conséquent, il existe des produits logiciels qui vous permettent d'automatiser la création d'environnements de réseau virtuel et de lui fournir une interface graphique. Il n'y a pas de terme distinct bien établi pour eux, donc ici nous les appellerons laboratoires virtuels.

3.1. Cisco VIRL


Tout d'abord, il faut mentionner le laboratoire virtuel officiel de Cisco. Il s'agit de Cisco VIRL (Virtual Internet Routing Lab). Version actuelle 1.6. Le site officiel est http://virl.cisco.com (c'est drôle qu'en 2020 le site, créé par l'un des plus grands fabricants de solutions de sécurité réseau, n'ait pas de version TLS).

Le produit est distribué sous forme de machine virtuelle ou de package pour une installation sur du métal nu. Le coût est inhumain de 199 $ pour 365 jours et pas plus de 20 nœuds de réseau virtuel (abonnement urgent à un logiciel local - tout est très à la mode et moderne). Sur Packet.net ont une version cloud VIRL.

VIRL comprend déjà des versions de formation des images IOSv, IOSvL2, IOS XRv, NX-OSv, CSR1000v et ASAv. En outre, des machines virtuelles tierces d'autres fabricants de réseaux peuvent y être ajoutées.

Pour travailler avec VIRL, le propre client GUI de VM Maestro est utilisé.

3.2. GNS3


Le prochain laboratoire virtuel est GNS (Graphical Network Simulator). La première version de GNS est apparue en 2007 et était une interface graphique pour Dynamips, écrite en Qt. En 2014, le projet a été fortement revu (selon les développeurs, il ne retenait que 5% du code) et GNS3 est apparu. De plus, «3» n'est pas tout à fait une version mais plutôt un nom. La version actuelle de GNS3 est 2.2. GNS3 vous permet désormais d'exécuter non seulement des images Dynamips, mais également des QEMU, ainsi que d'interagir avec des IOU et d'autres machines virtuelles. L'application est «épaisse», c'est-à-dire fonctionne directement sur la machine sur laquelle il se trouve. Pour émuler des appareils, il peut utiliser des machines virtuelles situées sur le même hôte ou à distance. Pris en charge sur Linux, Windows et Mac OS X.Un grand avantage de GNS3 est la possibilité d'utiliser les mêmes outils que pour travailler avec du vrai matériel: PuTTY, SecureCRT, Wireshark, etc.

GNS3 est distribué gratuitement sous la GNU GPL. Pour le télécharger, vous devez vous inscrire sur le site officiel du projet: https://gns3.com , puis envoyer une demande (!) Pour recevoir la distribution, qui est considérée jusqu'à 2 (!) «Jours ouvrables». Un exemple rare de bureaucratie de réseau (je me demande ce qui est vérifié là pendant ce temps?). Dans les commentaires, @exhalance a suggéré que vous puissiez utiliser la page du projet sur github.com/GNS3/gns3-gui/releases - «sans inscription et SMS».
Mais les images des machines virtuelles devront être prises en charge indépendamment. La moindre des questions est l'utilisation d'images prises à partir de VIRL. Mais ce sont des problèmes juridiques. Techniquement, avec GNS3, vous pouvez exécuter tous les émulateurs décrits ci-dessus. Il faut noter ici que GNS3 ne se limite pas au lancement d'émulateurs Cisco. Il prend en charge un certain nombre d'équipements de différents fabricants: Juniper, MikroTik, Aruba (HPE), Fortinet, etc. [ 6], respectivement, vous permet de créer des réseaux hétérogènes. De plus, GNS3 contient plusieurs primitives de réseau qui lui sont propres: nœuds d'extrémité (Virtual PC Simulator - VPCS), commutateurs, etc. Souvent, vous pouvez rencontrer un reproche à GNS3 concernant l'impossibilité de démarrer des émulateurs de commutateur. Mais ce n'est pas le cas. Bien sûr, l'image de l'original 2960 ne peut pas y être lancée, mais IOSvL2 est pris en charge ou L2IOU peut être connecté.

Malgré le fait que le produit lui-même soit gratuit, il y a un magasin sur son site Web où ils vendent des logiciels (images), du matériel éducatif et juste des souvenirs.

Ajouté par: Il s'avère que GNS3 possède une WebUI, mais elle est toujours en version bêta: https://github.com/GNS3/gns3-web-ui

3.3. iou-web → UNetLab → EVE-NG


Et enfin, pour le dessert, dans ma revue, il y avait un laboratoire virtuel EVE-NG (The Emulated Virtual Environment - Next Generation). Son histoire a commencé avec le fait qu'en 2012, Andrea Dainese a publié une interface Web non officielle pour IOL: iou-web. Puis il a enseigné à son laboratoire à travailler avec d'autres émulateurs, et donc en 2014 UNetLab est apparu. Et en 2017, Alain Degreffe a créé un fork du projet UNetLab, qu'il a appelé EVE-NG. L'auteur de l'UNetLab original avait également de grands projets pour le développement du projet et la sortie de la deuxième version [ 3 ], mais il a progressivement abandonné cette idée: « Ne demandez pas UNetLab2 et optez pour GNS3, VIRL ou EVE-NG », écrit-il en conséquence. Ainsi, EVE-NG est la seule ligne de produits pertinente. Version actuelle: 2.0
EVE-NG dans sa fonctionnalité est très similaire à GNS3: presque le même ensemble d'émulateurs et la prise en charge d'images d'appareils similaires (et de la même manière, de nombreux fabricants autres que Cisco sont pris en charge). Cependant, la forme et l'interface de distribution sont différentes: EVE-NG est une machine virtuelle qui peut être exécutée sur votre lieu de travail ou sur un serveur dédié. La gestion du laboratoire s'effectue à partir d'un navigateur (dans la machine virtuelle, entre autres, un serveur web est intégré). Tout comme GNS3, EVE-NG est livré sans images et vous devez les obtenir (dans le sens de «acheter», bien sûr) et les télécharger vous-même dans le laboratoire. L'utilisation d'une interface Web rend le laboratoire multiplateforme.De plus, une machine virtuelle est, par définition, facile à déployer et sans dépendances logicielles complexes (distribuée au format OVF - Open Virtualization Format et joue parfaitement dans VMWare Player gratuit (pour un usage privé). Malgré l'isolement de l'environnement dans une machine virtuelle, cela fonctionne également Vous pouvez utiliser PuTTY, SecureCRT, Wireshark, etc.

EVE-NG prend en charge l'expérience de laboratoire multi-utilisateurs. Y compris dans différents rôles. Par exemple, un étudiant qui collectionne un laboratoire et un enseignant qui s'occupe de lui.
EVE-NG est distribué sous sa propre licence dans une version publique gratuite (communautaire) et payante professionnelle ou éducative [ 7 ]. La version payante diffère dans le modèle de rôle (dans le libre, il n'y a qu'un seul rôle d'administrateur), la limite du nombre de nœuds par laboratoire est de 1024 (dans le libre - 63), etc.

4. Bonus: laboratoire distant du fabricant

En plus des simulateurs et des émulateurs, vous pouvez également utiliser l'accès à distance au matériel. Cisco présente officiellement certains services très intéressants: https://Developer.cisco.com/ et https://dCloud.cisco.com . Ces services disposent d'un ensemble de bacs à sable (bac à sable), à ​​la fois virtuel et matériel (!), Vous permettant de ressentir de nouveaux équipements. L'accès aux services est fourni via un compte Cisco. Un compte NetAcad.com est un bon choix (si vous êtes déjà inscrit pour accéder au CPT ou aux cours). Cependant, le nombre de laboratoires disponibles dépendra de votre statut. Le compte partenaire ou client offre plus d'opportunités qu'un simple étudiant.

Le développeur est destiné aux programmeurs qui résolvent les problèmes d'automatisation du réseau, les topologies présentées sont donc assez simples. Leur tâche est de donner la possibilité de "toucher" l'API de fer. Mais malgré la simplicité des topologies, dans certains cas, un tel outil peut fournir quelque chose qu'un laboratoire virtuel ne fournira pas. Par exemple, hier, j'ai pu me familiariser avec la ligne de commande du fer Cisco 9000 et l'interface Web du Cisco WLC 9800. Et dCloud présente de nouveaux produits.

Dans la plupart des cas, la connexion au laboratoire est effectuée via le client VPN propriétaire de Cisco - AnyConnect. Ceux. votre machine est dans le réseau sandbox. Cela signifie que vous pouvez combiner un laboratoire distant ... avec GNS3 [ 8 ] local ou EVE-NG!

Conclusion


En conclusion, je veux résumer ce qui a été dit dans un petit schéma (sinon la petite feuille de triche est devenue un grand footcloth et cela malgré le fait que je n'ai décrit que très superficiellement les caractéristiques les plus importantes des outils):

image

Modifications: ajout d'informations sur dCloud

More articles:


All Articles