Get best of the week

模仿思科自然

图片

最近,我遇到了选择一种环境来探索Cisco路由器某些功能的问题。我曾经使用GNS3,但现在我决定看看世界上发生了什么变化。事实证明,进步已向前迈进了一大步。深入文章和论坛的深渊,我发现来自它们的大量信息已经过时了。为了不引起对各种软件的困惑,我给自己写了一个简短的备忘单(相关性-2020年3月)。现在,我想将其提交公众法庭。首先,为了不消失(在我看来这对某人可能有用,因为在一个地方我没有一次找到所有手段)。其次,也许在评论中它们将指示描述中的错误,这将改善审查。

因此,如果在实施/高级培训之前没有手头的“铁”开关/路由器准备考试/练习功能,则很可能会得到帮助:

1.模拟器
1.1。思科Packet Tracer
1.2。Boson NetSim2
。仿真器
2.1。Dynamips + Dynagen
2.2。借条/借条+ WebIOL
2.3。用于QEMU / VMWare / ...的虚拟机
。3.实验室环境
3.1。VIRL
3.2。GNS3
3.3。iou-web→UNetLab→EVE-NG
4.制造商的远程实验室

1.模拟器


此类软件模仿原始软件的工作,但事实并非如此。Simulator软件包含大量的简化功能,仅用于重现所研究对象的外部行为。模拟器具有自己的一组错误,性能,并且并未实现所有功能。因此,它们主要用于低学历的人。它们不适合经验丰富的专家。但是对于初学者-就是这样。

1.1。思科Packet Tracer(CPT)


思科最著名的模拟器。在Internet(尤其是Habr)上,有许多资料可供使用。在制造商的官方课程中学习Cisco的人都知道该工具。它使您能够构建相当复杂的Catalyst 2960交换机,ISR(集成服务路由器),PC模拟器和其他一些不太重要的元素的网络。当前版本7.3。应当指出的是,CPT的发展速度比其制造商的技术要慢得多。因此,例如,在这里您找不到任何现代产品阵容,例如Catalyst 9200,但同时存在诸如Catalyst 2950之类的恐龙,它们忠实地模拟了没有Auto-MDI,3560甚至是不受控制的集线器的连接(请勿与交换机混淆)。

所有网络工具(分析器,终端客户端等)已经包含在其自己的实现中的CPT接口中(这并不奇怪,因为实际上模拟器中根本没有网络数据包)。因此,使用您喜欢的Wireshark和PuTTY不会成功。但是其中有一个调试器,它使您可以逐步可视化通过网络传递的数据包-其他工具无法拥有此类功能。
CPT是专有产品,不在公共领域。但是免费获得它很容易。为此,请访问思科网络学院的网站-https: //netacad.com,在那儿找到Cisco Packet Tracer课程,在站点上注册并注册。之后,您可以在课程资源中下载CPT(适用于不同的操作系统)。启动后,CPT会要求您提供网络学院帐户。因此,不要浪费时间在具有定期禁止的共享密钥的torrent版本上。

顺便说一下,Cisco ASA有一个packet-tracer命令,该命令可让您检查防火墙设置。因此,她与Packet Tracer无关。

1.2。玻色子NetSim


另一个模拟器专注于为CCNA和CCNP官方Cisco认证准备考试。可从https://www.boson.com/netsim-cisco-network-simulator获得模拟器是有偿的:不同版本的考试价格从179美元到349美元不等。仅在Windows下可用。

它是一组实验室论文,按考试主题分组。从屏幕快照中可以看到,该界面包括几个部分:任务说明,网络图,左侧是所有实验室的列表。完成工作后,您可以检查结果并确定是否已完成所有操作。有一些限制,可以创建自己的拓扑。[ 1 ]
也许这就是模拟器的全部。

2.仿真器


仿真器是旨在在x86或x64平台(在这种情况下)上运行原始或经过稍微修改的软件的程序。仿真器的工作比仿真器的工作更接近真实设备的工作。虽然可能会有细微的差异。考虑最常见的思科网络设备仿真器。

2.1。动态+动态


可以在Windows,Linix和Mac OS X上运行的Cisco路由器仿真器。根据GNU GPLv2许可证发行(对于使用的映像不能说)。允许您使用来自1700、3725、7200系列等旧路由器的原始OS映像启动虚拟机。允许模拟以太网接口以及濒临危险的ATM和串行。同时,Dynamips无法使用交换机的固件,因为它们的操作系统专注于ASIC的使用,而ASIC在许多交换机上都可以找到,并且很难在x86系统上进行仿真。

Dynamips于2005年首次出版。它由Christophe Fillot开发。但是,在2007年的0.2.8版中,他放弃了这个项目。维基百科写道,2015年的版本为0.2.15,但是没有提供证明的页面。对于Dynamips,有一个控制台前端Dynagen。

Cisco IOS操作系统非常保守,因此即使使用这样的旧软件,您也可以轻松学习一些功能。但是,OS映像存在问题:IOS不能长时间以7200等价格正式购买,因为它们不仅处于终止销售(09/29/2012),而且处于终止支持日期(09/30/2017)[ 2]。因此,您不能合法使用Dynamips。尽管不太可能将这种使用对思科造成的损害至少视为对提起诉讼的任何重大影响,但可以如此。

2.2。IOU / IOL + WebIOL


下一个仿真器是UNIX上的Cisco IOS-IOU及其在Linux上的Cisco IOS的​​变体-IOL。它是一个二进制可执行文件,包含由制造商编译以在UNIX / Linux上运行的Catalyst交换机L3操作系统(L2IOU,是的L2不是错字)或多功能路由器ISR(L3IOU)。 IOU的特点是资源消耗非常低(相对于其他仿真器)。而且与Dynamips不同,它可以运行交换机软件。对于IOL,有一个官方的图形前端WebIOL(不要与非官方的iou-web [ 3 ] 混淆),它使您可以从设备创建复杂的网络拓扑。

问题是IOU由Cisco Systems开发供内部使用,因此仅对员工和合作伙伴可用。尽管如此,Internet上还是有有关下载和安装它的说明。但是,请记住,这是非法的。

不幸的是,我找不到有关IOL当前是否正在开发或QEMU和VMWare的映像是否已取代它的信息,这将在后面讨论。如果有人知道借条的命运,请分享证明以改进本条。

2.3。用于QEMU / VMWare / ...的虚拟机

根据虚拟化的普遍趋势(尤其是网络功能的虚拟化-NFV,网络功能虚拟化),思科系统公司本身以所谓的形式发布了越来越多的产品。虚拟设备,或更简单地说,是设计为在常见虚拟机管理程序中运行的普通虚拟机:QEMU,VMWare,Hyper-V等

。例如,以下产品可用作虚拟机。

  • ASAv(Cisco自适应安全虚拟设备)是著名的但已过时的ITU Cisco ASA。现在在虚拟机中。
  • NGFWv和NGIPSv(思科Firepower-下一代防火墙和入侵防御系统)-新一代的安全设备。
  • IOS XRv是运营商级路由器的IOS-XR版本。这样的东西可以代替Quagga或更强大的东西。
  • CSR1000v (Cloud Service Router) – IOS-XE. VPN, MPLS, VXLAN, .. .
  • NX-OSv – /, IOS-NX, «» Cisco Nexus. .
  • Nexus 1000v – Nexus, Hyper-V VMWare. , , , . [4] .
  • Cisco Nexus Titanum – NX-OS, Cisco.
  • 另外,其他流行产品ISE,WLC,MSE / CMX等也已经可以作为虚拟机使用。

可以从制造商处购买这些软件产品(至少其中一些非常昂贵)。以前,可以在https://cisco.com上查看这些图像现在,要下载它们,您需要产品的有效服务合同,或来自Cisco经理或其合作伙伴的秘密链接。但是,大多数图像都是洪流,并且在60-90天内可以提供全部功能。但是,使用此类图像并不完全合法。
还有两个非常有趣的虚拟机映像。

  • IOSvL2-路由交换机的虚拟映像。
  • IOSv是Cisco路由器的虚拟映像。

这些图像不会单独分发,但是可以从VIRL实验室环境中提取出来,稍后将进行讨论。不幸的是,VIRL许可协议未描述IOSv的单独使用,因此,即使购买了VIRL,此处也可能会发生法律事件。

不应将已经考虑过的L2IOU和IOSvL2混淆(甚至Google和Yandex有时会使它们混淆)。这些是不同的软件产品。[ 5 ]

3.虚拟实验室

一个虚拟机是好的,但是计算机网络仍然是独立节点的集合。因此,通常需要运行多个仿真设备并使它们整体交互。可以手动执行此操作,但是这种方法很困难。因此,有些软件产品可让您自动创建虚拟网络环境并为其提供图形界面。对于他们来说,没有单独的公认术语,因此在这里我们将它们称为虚拟实验室。

3.1。思科VIRL


首先,有必要提及思科的官方虚拟实验室。这是Cisco VIRL(虚拟Internet路由实验室)。当前版本1.6。官方网站为http://virl.cisco.com(可笑的是,到2020年,该网站由网络安全解决方案的最大制造商之一创建,没有TLS版本)。

该产品以虚拟机或软件包的形式分发,可安装在裸机上。 365天的费用是不人道的199美元,最多不超过20个虚拟网络节点(紧急订阅本地软件-一切都非常时尚和现代)。在Packet.net上具有云版本VIRL。

VIRL已经包含IOSv,IOSvL2,IOS XRv,NX-OSv,CSR1000v,ASAv映像的培训版本。另外,可以将其他网络制造商的第三方虚拟机添加到其中。

要使用VIRL,它自己的GUI客户端是VM Maestro。

3.2。GNS3


下一个虚拟实验室是GNS(图形网络模拟器)。 GNS的第一个版本出现在2007年,它是用Qt编写的Dynamips的图形界面。 2014年,对该项目进行了重大修订(根据开发人员的说法,该项目仅保留了5%的代码),并出现了GNS3。而且,“ 3”不是一个版本,而是一个名称。 GNS3的当前版本是2.2。 GNS3现在使您不仅可以运行Dynamips映像,还可以运行QEMU,并与IOU和其他虚拟机进行交互。该应用程序是“厚”的,即直接在其所在的计算机上运行。为了模拟设备,它可以使用位于同一主机上或远程的虚拟机。在Linux,Windows和Mac OS X上受支持。GNS3的一大优势是能够使用与实际硬件相同的工具:PuTTY,SecureCRT,Wireshark等。

GNS3是根据GNU GPL免费分发的。要下载它,您需要在项目的官方网站上注册:https : //gns3.com,然后发送请求(!)以接收分发,该分发最多被视为2(!)个“工作日”。网络官僚主义的一个罕见例子(我想知道这段时间正在检查什么吗?)。在评论中, @ exhalance建议您可以使用github.com/GNS3/gns3-gui/releases上的项目页面-“无需注册和SMS”。
但是虚拟机的映像将必须独立处理。最不重要的是使用从VIRL拍摄的图像。但这是法律问题。从技术上讲,您可以与GNS3一起运行上述所有模拟器。在此必须注意,GNS3不仅限于启动Cisco仿真器。它支持来自不同制造商的多种设备:瞻博网络,MikroTik,阿鲁巴(HPE),Fortinet等。[ 6]分别允许您构建异构网络。此外,GNS3包含自己的几种网络原语:终端节点(虚拟PC模拟器-VPCS),交换机等。经常,您会遇到对GNS3的斥责,因为它无法启动交换机仿真器。但事实并非如此。当然,原始2960的映像无法在此处启动,但支持IOSvL2或可以连接L2IOU。

尽管产品本身是免费的,但在其网站上仍有一家商店,他们出售软件(图像),教育资料和纪念品。

贡献者:事实证明GNS3具有WebUI,但仍处于测试阶段:https : //github.com/GNS3/gns3-web-ui

3.3。iou-web→UNetLab→EVE-NG


最后,关于甜点,在我的评论中有一个虚拟实验室EVE-NG(模拟虚拟环境-下一代)。她的故事始于2012年Andrea Dainese为IOL发布了一个非正式的网络界面:iou-web。然后他教自己的实验室与其他仿真器一起工作,因此在2014年,UNetLab出现了。 2017年,Alain Degreffe创建了UNetLab项目的一个分支,他称之为EVE-NG。最初的UNetLab的作者也为该项目的开发和第二个版本的发布制定了宏伟的计划[ 3 ],但是逐渐地他放弃了这个想法:“ 不要要求UNetLab2,而是使用GNS3,VIRL或EVE-NG, ”他写道。因此,EVE-NG是唯一相关的产品线。当前版本:2.0
在功能方面,EVE-NG与GNS3非常相似:几乎相同的一组仿真器,并支持类似的设备映像(思科以外的许多制造商也支持它)。但是,分发形式和界面是不同的:EVE-NG是可以在您的工作场所或专用服务器上运行的虚拟机。实验室管理是通过浏览器执行的(在虚拟机中,内置了Web服务器)。就像GNS3一样,EVE-NG也没有图像,您需要获取它们(当然是“购买”)并将其自己上传到实验室。使用Web界面可以使实验室跨平台。而且,根据定义,虚拟机易于部署并且不受复杂的软件依赖性(以OVF格式-开放虚拟化格式分发,并且可以在免费的(供私人使用的)VMWare Player中完美发挥。尽管虚拟机中的环境受到隔离,但它也可以正常工作您可以使用PuTTY,SecureCRT,Wireshark等。

EVE-NG支持多用户实验室经验。包括扮演不同的角色。例如,一名学生在收集实验室,而一名老师在照顾他。
EVE-NG根据自己的许可在免费的公共(社区)中分发,并提供付费的专业或教育版本[ 7 ]。付费版本的角色模型有所不同(在免费模型中,只有一个管理员角色),每个实验室的节点数限制为1024(在免费模型中为63)。

4.奖金:制造商的远程实验室

除了模拟器和模拟器之外,您还可以使用对硬件的远程访问。思科正式提供了一些非常有趣的服务:https : //Developer.cisco.com/https://dCloud.cisco.com。这些服务具有一组沙箱(沙箱),包括虚拟和硬件(!),可让您感受到新的设备。通过思科帐户提供对服务的访问。NetAcad.com帐户非常适合(如果您已经注册访问CPT或课程)。但是,可用实验室的数量将取决于您的状态。合作伙伴或客户帐户比简单的学生提供了更多的机会。

开发人员针对解决网络自动化问题的程序员,因此介绍的拓扑非常简单。他们的任务是给“接触”铁API的机会。但是,尽管拓扑结构很简单,但在某些情况下,这种工具仍可以提供虚拟实验室无法提供的功能。例如,昨天我能够熟悉Cisco 9000的命令行和Cisco WLC 9800的Web界面。dCloud推出了新产品。

在大多数情况下,通过Cisco专有的VPN客户端AnyConnect与实验室进行连接。那些。您的计算机位于沙箱网络中。这意味着您可以将远程实验室与本地GNS3 [ 8 ]或EVE-NG结合使用!

结论


总之,我想总结一下在一个小方案中所说的内容(否则,尽管我只是很肤浅地仅描述了这些工具的最重要的功能,但是这个小备忘单已经变成了一块大鞋垫):

图片

更改:添加了有关dCloud的信息

More articles:


All Articles