文/王亮 張素莉

古語道：理論不一定能推翻實踐，而實踐確可能重新推翻理論。在工作中實用的技術(shù)，很多時候在理論學(xué)習(xí)的時候易被忽略，這不是在教學(xué)過程沒有被要求，建立一個理論中心：“沒有被證實的理論即不是真理”，本文所描述的取證仿真是結(jié)合就業(yè)與工程實際中的核心網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)技術(shù)，工作原理進行數(shù)據(jù)分析與對比，目的不是證實或推翻過去的網(wǎng)絡(luò)公理，而是形象解釋和描述這些原理是如何工作的，怎樣工作的，怎么使用這些公理，放在哪使用，便于花更少的時間，學(xué)到別人3到5年的工作經(jīng)驗，甚至更深遠。

1 靜態(tài)路由技術(shù)取證仿真

1.1 目標(biāo)、環(huán)境與背景

目標(biāo)：實現(xiàn)靜態(tài)路由配置。環(huán)境：四臺路由器串聯(lián)，分配配置不同網(wǎng)段及環(huán)回端口作為終端設(shè)備。要求環(huán)回端口之間的各個主機IP通過靜態(tài)路由能夠互聯(lián)互通。關(guān)鍵要素：目的子網(wǎng)：目標(biāo)主機所處的網(wǎng)段。目的子網(wǎng)掩碼：目標(biāo)網(wǎng)段中主機的子網(wǎng)掩碼，下一跳：鄰居接口IP地址，或鄰居接口均可。在實際工作中均可使用。

1.2 取證仿真步驟

分別在四臺路由器上配置鄰居接口IP地址，同時需要配置各個路由器接口上的環(huán)回IP，并且激活各個物理接口，執(zhí)行show ip route 查看路由表項狀態(tài)，靜態(tài)路由方式：R1（config）#ip route 192.168.2.0 255.255.255.0 192.168.12.2,仿真解釋:config全局模式下，關(guān)鍵字ip route指示目的網(wǎng)絡(luò)，/24位掩碼指示目的網(wǎng)絡(luò)，鏈接下一跳地址，在其他R2/R3/R4路由器上均使用如上配置和分析解釋。仿真標(biāo)識：show ip route 出現(xiàn)CS，C connected標(biāo)識直連路由，S static標(biāo)識剛剛創(chuàng)建的靜態(tài)路由。

2 默認(rèn)路由技術(shù)取證仿真

2.1 目標(biāo)、環(huán)境與背景

目標(biāo)：實現(xiàn)默認(rèn)路由，使R1到R2的各路終端全部互聯(lián)互通。仿真環(huán)境與背景：R1與R2直連，R2端建立4條環(huán)回接口及IP分配，R1與R2之間使用12.0.0.0/24段。

2.2 取證仿真步驟

基礎(chǔ)信息配置：路由R1仿真配置:

路由R2仿真配置:

默認(rèn)路由配置：

由于企業(yè)默認(rèn)邊界路由沒有具體的目標(biāo)路由，因此采用默認(rèn)路由實現(xiàn)不同路由協(xié)議動態(tài)通告。但是在中間人路由過程中，不能使用默認(rèn)，原因在于，中間路由若使用默認(rèn)路由，則會產(chǎn)生路由的二義性，即位置目標(biāo)網(wǎng)絡(luò)經(jīng)過兩個下一跳，故此無法知道目標(biāo)網(wǎng)絡(luò)，默認(rèn)路由會認(rèn)為目標(biāo)不可達。在目標(biāo)網(wǎng)絡(luò)上使用接口當(dāng)做下一跳默認(rèn)路由的出口，則會讓ARP緩存表資源長期處于不同的目標(biāo)網(wǎng)絡(luò)到達統(tǒng)一目標(biāo)MAC滿表狀態(tài)，這樣實時加大路由器的開銷，降低路由查詢效率，因此在沒有特殊要求情況下，不建議使用基于接口的下一跳默認(rèn)路由。

3 基于鏈路狀態(tài)的OSPF動態(tài)協(xié)議

3.1 目標(biāo)、環(huán)境與背景

目標(biāo)：讓網(wǎng)絡(luò)收斂速度加快，無最大連接數(shù)路由限制，支持可變長子網(wǎng)掩碼，協(xié)議占用網(wǎng)絡(luò)設(shè)備帶寬資源低，用組播地址完成路由更新，使用COST作為度量值，支持多區(qū)域和但區(qū)域并存網(wǎng)絡(luò)狀態(tài)。

環(huán)境與背景：三臺路由通過以太網(wǎng)千兆鏈路連接到交換機上，形成MCSA多路訪問形式的網(wǎng)絡(luò)，啟動OSPF形成3表：鄰居、拓?fù)浜吐酚杀?，查看RT、間隔時間及COST值等。

3.2 取證仿真步驟

路由器R1、R2、R3分別配置接口并激活物理端口，可以用IP123.0.0.0/24段，便于區(qū)分路由器的接口地址，開啟OSPF，進程號對應(yīng)R1的為1,依次類推，指定ROUTER-ID作為DR和BDR的身份權(quán)限，宣告自身直連路由網(wǎng)段及還回接口網(wǎng)段，area骨干區(qū)域號為0。反向掩碼為4個255-正向NETMASK。仿真過程中，注意DR、BDR及DROTHER的區(qū)別：誰先搶占DR誰為主路由，次搶占為備份指定路由，剩余為OTHTER其他路由，仿真結(jié)果表明：搶占>priority>大Rid>小Rid,若手動指定RID和誰路由優(yōu)先重啟均屬搶占，兩臺路由RID不可以相同，用于區(qū)分每個路由的身份信息。手動指定RID則立即生效，需要清除ospf process。物理接口當(dāng)RID需要重啟路由，清除進程無效。自動指定RID需要將物理或環(huán)回口激活，但次于手工指定優(yōu)先級，運用sh ip ospf 或sh ip protocols查詢RID。修改物理端口優(yōu)先級,ip ospf priority 優(yōu)先級，大于1則默認(rèn)值生效，不用改為100等倍數(shù)，sh ip ospf int查看 state為 DR/BDR/DROTHER。DR:收集并且轉(zhuǎn)發(fā)，bdr收集暫時不轉(zhuǎn)發(fā)，待命狀態(tài)，drother收集狀態(tài)。端口優(yōu)先級若修改0，則屬于DROTHER。

優(yōu)先級大于RID，在OSPF中不存在搶占，當(dāng)OSPF選舉出新的DR和bdr之后，即使有一個更高PR的路由器，亦不進行重新選舉。

語法規(guī)則：

4 訪問控制列表ACL

4.1 目標(biāo)、環(huán)境與背景

目標(biāo)：控制網(wǎng)絡(luò)流量訪問及興趣流量定義，源地址與目標(biāo)地址訪問、NAT轉(zhuǎn)換流量、VPN加密流量，入站與出站的匹配特性。

環(huán)境與背景：R1、R2、R3分別串聯(lián)一起，分別在末端路由配置環(huán)回，根據(jù)ACL標(biāo)準(zhǔn)與擴展特性，分別仿真不同規(guī)則與匹配效果。

4.2 取證仿真步驟

（1）仿真標(biāo)準(zhǔn)ACL3種規(guī)則。

實現(xiàn)標(biāo)準(zhǔn)ACL的通用型。

（2）允許部分?jǐn)?shù)據(jù)包放心，拒絕其他ALL。

默認(rèn)ACL是隱式狀態(tài)，故無需添加DENY。

（3）部分拒絕優(yōu)先級高。

部分拒絕ACL條目開始，則后需加PERMIT ANY。

（4）中間路由端口出入站。

中間路由入站出站只允許一個ACL激活，若多個規(guī)則，需要放入同一個ACL，并且調(diào)整好ACL優(yōu)先級順序。

（5）ACL查詢生效與匹配規(guī)則。

自定向下查詢并匹配，沒有查詢繼續(xù)查詢，查詢匹配，不匹配繼續(xù)查詢，制止匹配。精確覆蓋規(guī)則放入ACL上層，寬泛覆蓋規(guī)則放入ACL下層，從精確到模糊過程。

（6）ACL源端口。

ACL源端口作為EX-ACL控制無效，目的端口必須指定端口才可使用。

（7）動態(tài)路由ACL。

動態(tài)路由放行：

ACL激活端口的in和out，如果本地路由器R3某接口為ACL出站out，則出站ACL不控制本地R3路由器自己產(chǎn)生的數(shù)據(jù)包規(guī)則。

in入站ACL控制進入或經(jīng)過本地路由器或到達目標(biāo)路由器的數(shù)據(jù)包，這個ACL的in入站較強

exp:ACL盡可能配置在out方向，這樣acl不會影響動態(tài)路由影響主體鏈路，更不會影響ACL的規(guī)則功能實施。

如果在影響動態(tài)路由的條件下（非命名的訪問控制列表），非要寫在入站口，那么必須要用擴展acl,然后添加上動態(tài)路由放行即可：

命名ACL，ip access-list無需上述步驟，因為他后邊有permit ip any any。

圖1

5 STP生成樹技術(shù)

5.1 目標(biāo)、環(huán)境與背景

目的：解決二層廣播，實現(xiàn)高速轉(zhuǎn)發(fā)，拒絕環(huán)路產(chǎn)生，屏蔽廣播風(fēng)暴與地址自學(xué)習(xí)錯誤。

環(huán)境與背景:4臺交換機S1、S2、S3、S4組成環(huán)形網(wǎng)絡(luò)。使用STP解決廣播風(fēng)暴與環(huán)路問題。

5.2 取證仿真步驟

分別取證找出每個交換機的BID，BID=Prio+MAC地址，確定最小的BID為root bridge。準(zhǔn)確方式為：

根據(jù)單個網(wǎng)橋的BID(非SYS-EXTID（單VLAN）BID。正向開銷找到根端口，單個非根sw舉例根橋最近cost+bid+port-prio，這里的BID經(jīng)過ID，不經(jīng)過自身ID，cost路徑向上不經(jīng)過交換機自身。

指定端口反向，根據(jù)網(wǎng)段兩個網(wǎng)橋端口之間離根橋最近的端口，經(jīng)過交換本身，比較COST如果相同比較BID。剩余的BP（nondesignated非指定端口，即阻塞端口）。如圖1所示。

6 結(jié)語

網(wǎng)絡(luò)工程類人才取證仿真是一個龐大的系統(tǒng)資源構(gòu)建過程，通過列舉網(wǎng)絡(luò)工程構(gòu)建過程的若干關(guān)鍵要點，重點要求能夠通過取證仿真，實現(xiàn)節(jié)省學(xué)習(xí)和實踐的開銷，掌握網(wǎng)絡(luò)工程技術(shù)的核心要點，實現(xiàn)網(wǎng)絡(luò)工程領(lǐng)域人才培養(yǎng)彎道超車的形勢和局面，國家提倡互聯(lián)網(wǎng)+授課等新興多媒體交叉學(xué)科構(gòu)建手段，但專業(yè)技能本身的挖掘與開發(fā)仍是一場艱苦卓絕的資源開辟斗爭，實現(xiàn)高水平應(yīng)用型大學(xué)的專業(yè)構(gòu)建，需要打造高精尖、用實專、新引能的課程體系。能夠在有限的理論與實踐教學(xué)學(xué)時時間內(nèi)，充分的強化學(xué)生掌握枯燥深奧的網(wǎng)絡(luò)原理，能夠?qū)崿F(xiàn)各種主流網(wǎng)絡(luò)廠商的網(wǎng)絡(luò)構(gòu)建與網(wǎng)絡(luò)設(shè)備調(diào)試，節(jié)省學(xué)生額外在社會實踐及培訓(xùn)的昂貴費用；引導(dǎo)學(xué)生掌握網(wǎng)絡(luò)原理取證、實驗取證，仿真實驗的方法，再去解決實際工程遇到的問題。提高學(xué)生網(wǎng)絡(luò)工程整體項目實施的能力，把綜合問題融入到項目建設(shè)過程中，為以后的畢業(yè)奠定良好的專業(yè)基礎(chǔ)，實現(xiàn)更好，更高效地為國家及企事業(yè)單位的網(wǎng)絡(luò)建設(shè)和社會發(fā)展服務(wù)。