正文共:2023 字 27 图,预估阅读时间:3 分钟
目录
0、序言1、Windows系统中的网络 1.1、桌面中的网卡 1.2、命令行中的网卡 1.3、路由表 1.4、家用路由器2、认识企业设备 2.1、MSR810-W外观 2.2、登录MSR810-W管理页面 2.3、快速设置上网 2.4、WLAN配置 2.5、LTE模块配置 2.6、MSR810-W高级设置3、认识设备命令行 3.1、通过Console接口登录设备 3.2、远程登录设备 3.3、Comware系统的基本命令 3.4、MSR810-W配置解读 3.5、MSR810-W初始化配置4、认识网络模拟器 4.1、HCL华三云实验室4.2、eNSP企业网络模拟平台网络之路13:认识模拟器Cisco Packet Tracer
4.3、CiscoPacketTracer4.4、EVE-NG 4.4.1、从OVF导入部署到ESXi 4.4.2、使用ISO安装到WorkStation 4.4.3、EVE-NG导入iol镜像 4.4.4、EVE-NG导入qemu镜像4.5、虚拟化环境VMwareESXi 4.5.1、定制ESXi 6.7安装镜像 4.5.2、部署ESXi 6.7 4.5.3、ESXi 6.7升级ESXi 7.0 4.5.4、vCenter纳管ESXi主机4.6、虚拟化环境CAS 4.6.1、部署CVM管理节点 4.6.2、部署CVK计算节点 4.6.3、CVM纳管CVK节点了解完了网络设备模拟器和虚拟化环境,我们已经已经初步具备了搭建模拟网络环境的能力。但是,我们前面也测试过,像Cisco模拟器Packet Tracer的功能比较简单,HCL的性能又差点意思(HCL中虚拟设备的转发性能怎么样?今天我们来测一下),eNSP的性能会稍微好一些(中华之名,有为之势!看eNSP如何吊打HCL)。EVE-NG的功能整体会好一些,但是性能也受底层硬件性能的限制,那如果我们想看看最接近物理设备的设备,那就要提到网络功能虚拟化(Network Functions Virtualization,NFV)了。
4.7、网络功能虚拟化NFV
NFV是一种关于网络架构的概念,我们平时使用的服务器由不同的硬件厂商生产,在安装了不同的操作系统以及软件后实现了各种各样的功能。而传统的网络设备并没有采用这种模式,路由器、交换机、防火墙、负载均衡等设备均有自己独立的硬件和软件系统。而NFV提供了一种方法,一般是在商用服务器硬件上部署虚拟化软件,将原本运行在专有硬件上的网络服务(如路由器、防火墙等)打包为虚拟机(Virtual Machine,VM),对外提供虚拟化的网络功能,而对最终用户无感知。借助NFV,我们无需再为每个网络功能配备专用硬件,提高了系统的扩展性和敏捷性。
在介绍EVE-NG时(没想到啊,竟然万物皆可EVE-NG!),很多同学都在问我要这些NFV的镜像。其实,这里面绝大多数的NFV镜像都是可以从H3C官网直接下载的,我也不止一次的提到,H3C对于从业者和学习者的开放态度,完全比华为高出不止一个层级。
比较常用的NFV镜像有虚拟路由器VSR、虚拟防火墙vFW、虚拟负载均衡vLB、虚拟交换机vSW、虚拟DHCP服务器vDHCP、虚拟宽带接入服务器vBRAS、虚拟无线控制器VAC等等,这些都是可以在H3C官网进行下载的。
其中,vDHCP、VSR和vBRAS都在软件下载页面下的“NFV”产品线下,1000系列指的是适用于虚拟机部署环境,2000系列指的是适用于物理服务器部署环境。
vAC在软件下载页面下的“无线”产品线下。
vFW和vLB在软件下载页面下“安全”产品线下。
vSW在软件下载页面下“ADNET&SNA”产品线下。
还有其他很多NFV,期待大家到H3C官网的“软件下载”页面进行探索。
https://www.h3c.com/cn/Service/Document_Software/Software_Download/
4.7.1、部署NFV
我们今天在ESXi 6.7环境中部署3台NFV:VSR1000、vFW1000和VLB1000,供大家参考一下部署过程。
首先我们把3台NFV的部署镜像上传到ESXi服务器的数据存储中。
然后我们创建一台VSR1000的虚拟机,主机配置如下:
安装过程就很简单了,启动虚拟机之后,首先根据提示输入“1”(全新安装),然后输入“yes”开始部署,最后输入“yes”重启主机,安装就结束了。
当然,还会有一个提示确认的过程,提示移除安装介质之后按回车继续重启。
重启之后就能成功进入到系统了。
然后我们再创建一台vFW1000的虚拟机,主机配置如下:
安装过程和VSR一样,启动虚拟机之后,首先根据提示输入“1”(全新安装),然后输入“yes”开始部署,最后输入“yes”重启主机,回车确认,安装就结束了。
进入系统和VSR有点小差异,那就是需要进行验证,输入默认的账号密码admin/admin即可登录设备,同时可以看到接口G1/0还开启了DHCP自动获取IP地址的功能。
最后我们再创建一台vLB1000的虚拟机,主机配置如下:
安装过程和VSR也是一样的,启动虚拟机之后,首先根据提示输入“1”(全新安装),然后输入“yes”开始部署,最后输入“yes”重启主机,回车确认,安装就结束了。
系统的登录和使用与VSR基本一致,无需登录认证,接口配置为空。
4.7.2、配置NFV网络
接下来,我们点击导航器的“网络”进入到ESXi的网络配置页面,点击切换到“虚拟交换机”页签下,点击“添加标准虚拟交换机”。
输入vSwitch的名称,配置接受安全属性,点击“添加”完成添加标准虚拟交换机。
然后,在“端口组”页签下面,点击“添加端口组”。
输入端口组的名称,建议配置一个单独的VLAN ID用于隔离业务,虚拟交换机选择刚刚新建的NFV,安全配置均保持“从vSwitch继承”即可,完成“添加”。
现在我们就用了nfv1001和nfv1002两个端口组,当每个端口组仅连接一台主机时,一个端口组就像是一条单独的物理线路一样,有着比较好的隔离和模拟效果。
然后,我们用这两条线将3台设备连接起来,像下图这样。
我们回到VSR1000上,编辑设置来为它配置两个网卡,并分别选择连接到nfv1001和nfv1002两个端口组。
我们现在看主机的硬件配置有两个网卡,但是在系统里面只能看到一个。这一点我们之前介绍过,因为VSR的网卡调整后,需要重启生效。
重启之后,就能在系统里看到两个网卡了,我们配置好网卡地址。
然后我们调整VLB的网卡连接到nfv1002,无需重启,直接配置IP地址和路由即可实现到全网网段的访问。
最后,我们配置vFW的网卡连接到nfv1001,同样无需重启,直接配置IP地址和路由即可实现到全网网段的访问。
这是防火墙的最简单配置,因为防火墙的接口G1/0加入到了Management安全域,可以实现Management到Local的访问。
这里仅做一个示范,如果想看大型NFV组网,请查看(付出总有回报,全国SRv6组网实验成功了!)。
4.7.3、NFV设备初始配置
一般为了方便管理,建议按照“位置+型号+管理IP”的格式设置设备名称。我是虚拟化,没有位置,就直接设置成vFW-200.1了。
查看接口信息,和物理防火墙不一样的是,设备默认的第一个接口没有配置信息,需要手工配置地址。在G1/0接口上配置了192.168.100.200/24的地址,ping网关100.1发现不通,也没有ARP信息,才发现是完全的空配置。
#sysnamevFW-200.1#interfaceGigabitEthernet1/0portlink-mode routedescriptionManagementipaddress 192.168.100.200 255.255.255.0
对于防火墙,需要额外调整域间策略配置。首先将接口G1/0加入到安全域Management,如果是还不支持安全策略的老版本,可以调整域间策略。
#security-zone name Management import interface GigabitEthernet1/0#zone-pair security source Local destination Management packet-filter 3000#zone-pair security source Management destination Local packet-filter 3000正常来讲,域间策略只应该精确地放通需要互访的流量,比如此处,放通规则仅添加192.168.100.0/24网段的互访,并在最后添加deny规则。
#acladvanced 3000descriptionzonepairrule 0 permitipsource 192.168.100.0 0.0.0.255destination 192.168.100.0 0.0.0.255rule 100 denyip一般为了管理方便,我们都要配置远程管理。在条件允许的情况下,尽量避免使用Telnet、HTTP等非加密协议,建议使用SSH和HTTPS,并使用ACL进行远程访问控制。
#linevty 0 63authentication-modeschemeuser-rolenetwork-operator#sshserver enablesshserver acl 2400#aclbasic 2400descriptionvtyloginrule0 permit source 192.168.100.0 0.0.0.255#iphttps port 8443iphttps acl 2400iphttps enable为避免收到攻击,需要关闭不必要的服务并删除无关账号信息,如上次传版本使用的FTP服务就要及时关闭,创建的FTP临时账号也要及时删除。
同时,为了安全考虑,我们还要调整用户配置。这次,我们新增了用户Tietou,并删除默认用户admin,提升安全级别。要保证用户权限设置合理,密码强度符合要求,一般是包含数字、大小写字母、特殊字符,并且字符长度不低于8位。
#local-user Tietou classmanage password simple Tietou@h3c.com service-type ssh terminal https authorization-attribute user-role network-admin
长按二维码
关注我们吧
