文/王亮 張素莉

古語(yǔ)道：理論不一定能推翻實(shí)踐，而實(shí)踐確可能重新推翻理論。在工作中實(shí)用的技術(shù)，很多時(shí)候在理論學(xué)習(xí)的時(shí)候易被忽略，這不是在教學(xué)過(guò)程沒(méi)有被要求，建立一個(gè)理論中心：“沒(méi)有被證實(shí)的理論即不是真理”，本文所描述的取證仿真是結(jié)合就業(yè)與工程實(shí)際中的核心網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)技術(shù)，工作原理進(jìn)行數(shù)據(jù)分析與對(duì)比，目的不是證實(shí)或推翻過(guò)去的網(wǎng)絡(luò)公理，而是形象解釋和描述這些原理是如何工作的，怎樣工作的，怎么使用這些公理，放在哪使用，便于花更少的時(shí)間，學(xué)到別人3到5年的工作經(jīng)驗(yàn)，甚至更深遠(yuǎn)。

1 靜態(tài)路由技術(shù)取證仿真

1.1 目標(biāo)、環(huán)境與背景

目標(biāo)：實(shí)現(xiàn)靜態(tài)路由配置。環(huán)境：四臺(tái)路由器串聯(lián)，分配配置不同網(wǎng)段及環(huán)回端口作為終端設(shè)備。要求環(huán)回端口之間的各個(gè)主機(jī)IP通過(guò)靜態(tài)路由能夠互聯(lián)互通。關(guān)鍵要素：目的子網(wǎng)：目標(biāo)主機(jī)所處的網(wǎng)段。目的子網(wǎng)掩碼：目標(biāo)網(wǎng)段中主機(jī)的子網(wǎng)掩碼，下一跳：鄰居接口IP地址，或鄰居接口均可。在實(shí)際工作中均可使用。

1.2 取證仿真步驟

分別在四臺(tái)路由器上配置鄰居接口IP地址，同時(shí)需要配置各個(gè)路由器接口上的環(huán)回IP，并且激活各個(gè)物理接口，執(zhí)行show ip route 查看路由表項(xiàng)狀態(tài)，靜態(tài)路由方式：R1（config）#ip route 192.168.2.0 255.255.255.0 192.168.12.2,仿真解釋:config全局模式下，關(guān)鍵字ip route指示目的網(wǎng)絡(luò)，/24位掩碼指示目的網(wǎng)絡(luò)，鏈接下一跳地址，在其他R2/R3/R4路由器上均使用如上配置和分析解釋。仿真標(biāo)識(shí)：show ip route 出現(xiàn)CS，C connected標(biāo)識(shí)直連路由，S static標(biāo)識(shí)剛剛創(chuàng)建的靜態(tài)路由。

2 默認(rèn)路由技術(shù)取證仿真

2.1 目標(biāo)、環(huán)境與背景

目標(biāo)：實(shí)現(xiàn)默認(rèn)路由，使R1到R2的各路終端全部互聯(lián)互通。仿真環(huán)境與背景：R1與R2直連，R2端建立4條環(huán)回接口及IP分配，R1與R2之間使用12.0.0.0/24段。

2.2 取證仿真步驟

基礎(chǔ)信息配置：路由R1仿真配置:

路由R2仿真配置:

默認(rèn)路由配置：

由于企業(yè)默認(rèn)邊界路由沒(méi)有具體的目標(biāo)路由，因此采用默認(rèn)路由實(shí)現(xiàn)不同路由協(xié)議動(dòng)態(tài)通告。但是在中間人路由過(guò)程中，不能使用默認(rèn)，原因在于，中間路由若使用默認(rèn)路由，則會(huì)產(chǎn)生路由的二義性，即位置目標(biāo)網(wǎng)絡(luò)經(jīng)過(guò)兩個(gè)下一跳，故此無(wú)法知道目標(biāo)網(wǎng)絡(luò)，默認(rèn)路由會(huì)認(rèn)為目標(biāo)不可達(dá)。在目標(biāo)網(wǎng)絡(luò)上使用接口當(dāng)做下一跳默認(rèn)路由的出口，則會(huì)讓ARP緩存表資源長(zhǎng)期處于不同的目標(biāo)網(wǎng)絡(luò)到達(dá)統(tǒng)一目標(biāo)MAC滿(mǎn)表狀態(tài)，這樣實(shí)時(shí)加大路由器的開(kāi)銷(xiāo)，降低路由查詢(xún)效率，因此在沒(méi)有特殊要求情況下，不建議使用基于接口的下一跳默認(rèn)路由。

3 基于鏈路狀態(tài)的OSPF動(dòng)態(tài)協(xié)議

3.1 目標(biāo)、環(huán)境與背景

目標(biāo)：讓網(wǎng)絡(luò)收斂速度加快，無(wú)最大連接數(shù)路由限制，支持可變長(zhǎng)子網(wǎng)掩碼，協(xié)議占用網(wǎng)絡(luò)設(shè)備帶寬資源低，用組播地址完成路由更新，使用COST作為度量值，支持多區(qū)域和但區(qū)域并存網(wǎng)絡(luò)狀態(tài)。

環(huán)境與背景：三臺(tái)路由通過(guò)以太網(wǎng)千兆鏈路連接到交換機(jī)上，形成MCSA多路訪問(wèn)形式的網(wǎng)絡(luò)，啟動(dòng)OSPF形成3表：鄰居、拓?fù)浜吐酚杀恚榭碦T、間隔時(shí)間及COST值等。

3.2 取證仿真步驟

路由器R1、R2、R3分別配置接口并激活物理端口，可以用IP123.0.0.0/24段，便于區(qū)分路由器的接口地址，開(kāi)啟OSPF，進(jìn)程號(hào)對(duì)應(yīng)R1的為1,依次類(lèi)推，指定ROUTER-ID作為DR和BDR的身份權(quán)限，宣告自身直連路由網(wǎng)段及還回接口網(wǎng)段，area骨干區(qū)域號(hào)為0。反向掩碼為4個(gè)255-正向NETMASK。仿真過(guò)程中，注意DR、BDR及DROTHER的區(qū)別：誰(shuí)先搶占DR誰(shuí)為主路由，次搶占為備份指定路由，剩余為OTHTER其他路由，仿真結(jié)果表明：搶占>priority>大Rid>小Rid,若手動(dòng)指定RID和誰(shuí)路由優(yōu)先重啟均屬搶占，兩臺(tái)路由RID不可以相同，用于區(qū)分每個(gè)路由的身份信息。手動(dòng)指定RID則立即生效，需要清除ospf process。物理接口當(dāng)RID需要重啟路由，清除進(jìn)程無(wú)效。自動(dòng)指定RID需要將物理或環(huán)回口激活，但次于手工指定優(yōu)先級(jí)，運(yùn)用sh ip ospf 或sh ip protocols查詢(xún)RID。修改物理端口優(yōu)先級(jí),ip ospf priority 優(yōu)先級(jí)，大于1則默認(rèn)值生效，不用改為100等倍數(shù)，sh ip ospf int查看 state為 DR/BDR/DROTHER。DR:收集并且轉(zhuǎn)發(fā)，bdr收集暫時(shí)不轉(zhuǎn)發(fā)，待命狀態(tài)，drother收集狀態(tài)。端口優(yōu)先級(jí)若修改0，則屬于DROTHER。

優(yōu)先級(jí)大于RID，在OSPF中不存在搶占，當(dāng)OSPF選舉出新的DR和bdr之后，即使有一個(gè)更高PR的路由器，亦不進(jìn)行重新選舉。

語(yǔ)法規(guī)則：

4 訪問(wèn)控制列表ACL

4.1 目標(biāo)、環(huán)境與背景

目標(biāo)：控制網(wǎng)絡(luò)流量訪問(wèn)及興趣流量定義，源地址與目標(biāo)地址訪問(wèn)、NAT轉(zhuǎn)換流量、VPN加密流量，入站與出站的匹配特性。

環(huán)境與背景：R1、R2、R3分別串聯(lián)一起，分別在末端路由配置環(huán)回，根據(jù)ACL標(biāo)準(zhǔn)與擴(kuò)展特性，分別仿真不同規(guī)則與匹配效果。

4.2 取證仿真步驟

（1）仿真標(biāo)準(zhǔn)ACL3種規(guī)則。

實(shí)現(xiàn)標(biāo)準(zhǔn)ACL的通用型。

（2）允許部分?jǐn)?shù)據(jù)包放心，拒絕其他ALL。

默認(rèn)ACL是隱式狀態(tài)，故無(wú)需添加DENY。

（3）部分拒絕優(yōu)先級(jí)高。

部分拒絕ACL條目開(kāi)始，則后需加PERMIT ANY。

（4）中間路由端口出入站。

中間路由入站出站只允許一個(gè)ACL激活，若多個(gè)規(guī)則，需要放入同一個(gè)ACL，并且調(diào)整好ACL優(yōu)先級(jí)順序。

（5）ACL查詢(xún)生效與匹配規(guī)則。

自定向下查詢(xún)并匹配，沒(méi)有查詢(xún)繼續(xù)查詢(xún)，查詢(xún)匹配，不匹配繼續(xù)查詢(xún)，制止匹配。精確覆蓋規(guī)則放入ACL上層，寬泛覆蓋規(guī)則放入ACL下層，從精確到模糊過(guò)程。

（6）ACL源端口。

ACL源端口作為EX-ACL控制無(wú)效，目的端口必須指定端口才可使用。

（7）動(dòng)態(tài)路由ACL。

動(dòng)態(tài)路由放行：

ACL激活端口的in和out，如果本地路由器R3某接口為ACL出站out，則出站ACL不控制本地R3路由器自己產(chǎn)生的數(shù)據(jù)包規(guī)則。

in入站ACL控制進(jìn)入或經(jīng)過(guò)本地路由器或到達(dá)目標(biāo)路由器的數(shù)據(jù)包，這個(gè)ACL的in入站較強(qiáng)

exp:ACL盡可能配置在out方向，這樣acl不會(huì)影響動(dòng)態(tài)路由影響主體鏈路，更不會(huì)影響ACL的規(guī)則功能實(shí)施。

如果在影響動(dòng)態(tài)路由的條件下（非命名的訪問(wèn)控制列表），非要寫(xiě)在入站口，那么必須要用擴(kuò)展acl,然后添加上動(dòng)態(tài)路由放行即可：

命名ACL，ip access-list無(wú)需上述步驟，因?yàn)樗筮呌衟ermit ip any any。

圖1

5 STP生成樹(shù)技術(shù)

5.1 目標(biāo)、環(huán)境與背景

目的：解決二層廣播，實(shí)現(xiàn)高速轉(zhuǎn)發(fā)，拒絕環(huán)路產(chǎn)生，屏蔽廣播風(fēng)暴與地址自學(xué)習(xí)錯(cuò)誤。

環(huán)境與背景:4臺(tái)交換機(jī)S1、S2、S3、S4組成環(huán)形網(wǎng)絡(luò)。使用STP解決廣播風(fēng)暴與環(huán)路問(wèn)題。

5.2 取證仿真步驟

分別取證找出每個(gè)交換機(jī)的BID，BID=Prio+MAC地址，確定最小的BID為root bridge。準(zhǔn)確方式為：

根據(jù)單個(gè)網(wǎng)橋的BID(非SYS-EXTID（單VLAN）BID。正向開(kāi)銷(xiāo)找到根端口，單個(gè)非根sw舉例根橋最近c(diǎn)ost+bid+port-prio，這里的BID經(jīng)過(guò)ID，不經(jīng)過(guò)自身ID，cost路徑向上不經(jīng)過(guò)交換機(jī)自身。

指定端口反向，根據(jù)網(wǎng)段兩個(gè)網(wǎng)橋端口之間離根橋最近的端口，經(jīng)過(guò)交換本身，比較COST如果相同比較BID。剩余的BP（nondesignated非指定端口，即阻塞端口）。如圖1所示。

6 結(jié)語(yǔ)

網(wǎng)絡(luò)工程類(lèi)人才取證仿真是一個(gè)龐大的系統(tǒng)資源構(gòu)建過(guò)程，通過(guò)列舉網(wǎng)絡(luò)工程構(gòu)建過(guò)程的若干關(guān)鍵要點(diǎn)，重點(diǎn)要求能夠通過(guò)取證仿真，實(shí)現(xiàn)節(jié)省學(xué)習(xí)和實(shí)踐的開(kāi)銷(xiāo)，掌握網(wǎng)絡(luò)工程技術(shù)的核心要點(diǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)工程領(lǐng)域人才培養(yǎng)彎道超車(chē)的形勢(shì)和局面，國(guó)家提倡互聯(lián)網(wǎng)+授課等新興多媒體交叉學(xué)科構(gòu)建手段，但專(zhuān)業(yè)技能本身的挖掘與開(kāi)發(fā)仍是一場(chǎng)艱苦卓絕的資源開(kāi)辟斗爭(zhēng)，實(shí)現(xiàn)高水平應(yīng)用型大學(xué)的專(zhuān)業(yè)構(gòu)建，需要打造高精尖、用實(shí)專(zhuān)、新引能的課程體系。能夠在有限的理論與實(shí)踐教學(xué)學(xué)時(shí)時(shí)間內(nèi)，充分的強(qiáng)化學(xué)生掌握枯燥深?yuàn)W的網(wǎng)絡(luò)原理，能夠?qū)崿F(xiàn)各種主流網(wǎng)絡(luò)廠商的網(wǎng)絡(luò)構(gòu)建與網(wǎng)絡(luò)設(shè)備調(diào)試，節(jié)省學(xué)生額外在社會(huì)實(shí)踐及培訓(xùn)的昂貴費(fèi)用；引導(dǎo)學(xué)生掌握網(wǎng)絡(luò)原理取證、實(shí)驗(yàn)取證，仿真實(shí)驗(yàn)的方法，再去解決實(shí)際工程遇到的問(wèn)題。提高學(xué)生網(wǎng)絡(luò)工程整體項(xiàng)目實(shí)施的能力，把綜合問(wèn)題融入到項(xiàng)目建設(shè)過(guò)程中，為以后的畢業(yè)奠定良好的專(zhuān)業(yè)基礎(chǔ)，實(shí)現(xiàn)更好，更高效地為國(guó)家及企事業(yè)單位的網(wǎng)絡(luò)建設(shè)和社會(huì)發(fā)展服務(wù)。