文/王亮 张素莉

古语道：理论不一定能推翻实践，而实践确可能重新推翻理论。在工作中实用的技术，很多时候在理论学习的时候易被忽略，这不是在教学过程没有被要求，建立一个理论中心：“没有被证实的理论即不是真理”，本文所描述的取证仿真是结合就业与工程实际中的核心网络协议、网络技术，工作原理进行数据分析与对比，目的不是证实或推翻过去的网络公理，而是形象解释和描述这些原理是如何工作的，怎样工作的，怎么使用这些公理，放在哪使用，便于花更少的时间，学到别人3到5年的工作经验，甚至更深远。

1 静态路由技术取证仿真

1.1 目标、环境与背景

目标：实现静态路由配置。环境：四台路由器串联，分配配置不同网段及环回端口作为终端设备。要求环回端口之间的各个主机IP通过静态路由能够互联互通。关键要素：目的子网：目标主机所处的网段。目的子网掩码：目标网段中主机的子网掩码，下一跳：邻居接口IP地址，或邻居接口均可。在实际工作中均可使用。

1.2 取证仿真步骤

分别在四台路由器上配置邻居接口IP地址，同时需要配置各个路由器接口上的环回IP，并且激活各个物理接口，执行show ip route 查看路由表项状态，静态路由方式：R1（config）#ip route 192.168.2.0 255.255.255.0 192.168.12.2,仿真解释:config全局模式下，关键字ip route指示目的网络，/24位掩码指示目的网络，链接下一跳地址，在其他R2/R3/R4路由器上均使用如上配置和分析解释。仿真标识：show ip route 出现CS，C connected标识直连路由，S static标识刚刚创建的静态路由。

2 默认路由技术取证仿真

2.1 目标、环境与背景

目标：实现默认路由，使R1到R2的各路终端全部互联互通。仿真环境与背景：R1与R2直连，R2端建立4条环回接口及IP分配，R1与R2之间使用12.0.0.0/24段。

2.2 取证仿真步骤

基础信息配置：路由R1仿真配置:

路由R2仿真配置:

默认路由配置：

由于企业默认边界路由没有具体的目标路由，因此采用默认路由实现不同路由协议动态通告。但是在中间人路由过程中，不能使用默认，原因在于，中间路由若使用默认路由，则会产生路由的二义性，即位置目标网络经过两个下一跳，故此无法知道目标网络，默认路由会认为目标不可达。在目标网络上使用接口当做下一跳默认路由的出口，则会让ARP缓存表资源长期处于不同的目标网络到达统一目标MAC满表状态，这样实时加大路由器的开销，降低路由查询效率，因此在没有特殊要求情况下，不建议使用基于接口的下一跳默认路由。

3 基于链路状态的OSPF动态协议

3.1 目标、环境与背景

目标：让网络收敛速度加快，无最大连接数路由限制，支持可变长子网掩码，协议占用网络设备带宽资源低，用组播地址完成路由更新，使用COST作为度量值，支持多区域和但区域并存网络状态。

环境与背景：三台路由通过以太网千兆链路连接到交换机上，形成MCSA多路访问形式的网络，启动OSPF形成3表：邻居、拓扑和路由表，查看RT、间隔时间及COST值等。

3.2 取证仿真步骤

路由器R1、R2、R3分别配置接口并激活物理端口，可以用IP123.0.0.0/24段，便于区分路由器的接口地址，开启OSPF，进程号对应R1的为1,依次类推，指定ROUTER-ID作为DR和BDR的身份权限，宣告自身直连路由网段及还回接口网段，area骨干区域号为0。反向掩码为4个255-正向NETMASK。仿真过程中，注意DR、BDR及DROTHER的区别：谁先抢占DR谁为主路由，次抢占为备份指定路由，剩余为OTHTER其他路由，仿真结果表明：抢占>priority>大Rid>小Rid,若手动指定RID和谁路由优先重启均属抢占，两台路由RID不可以相同，用于区分每个路由的身份信息。手动指定RID则立即生效，需要清除ospf process。物理接口当RID需要重启路由，清除进程无效。自动指定RID需要将物理或环回口激活，但次于手工指定优先级，运用sh ip ospf 或sh ip protocols查询RID。修改物理端口优先级,ip ospf priority 优先级，大于1则默认值生效，不用改为100等倍数，sh ip ospf int查看 state为 DR/BDR/DROTHER。DR:收集并且转发，bdr收集暂时不转发，待命状态，drother收集状态。端口优先级若修改0，则属于DROTHER。

优先级大于RID，在OSPF中不存在抢占，当OSPF选举出新的DR和bdr之后，即使有一个更高PR的路由器，亦不进行重新选举。

语法规则：

4 访问控制列表ACL

4.1 目标、环境与背景

目标：控制网络流量访问及兴趣流量定义，源地址与目标地址访问、NAT转换流量、VPN加密流量，入站与出站的匹配特性。

环境与背景：R1、R2、R3分别串联一起，分别在末端路由配置环回，根据ACL标准与扩展特性，分别仿真不同规则与匹配效果。

4.2 取证仿真步骤

（1）仿真标准ACL3种规则。

实现标准ACL的通用型。

（2）允许部分数据包放心，拒绝其他ALL。

默认ACL是隐式状态，故无需添加DENY。

（3）部分拒绝优先级高。

部分拒绝ACL条目开始，则后需加PERMIT ANY。

（4）中间路由端口出入站。

中间路由入站出站只允许一个ACL激活，若多个规则，需要放入同一个ACL，并且调整好ACL优先级顺序。

（5）ACL查询生效与匹配规则。

自定向下查询并匹配，没有查询继续查询，查询匹配，不匹配继续查询，制止匹配。精确覆盖规则放入ACL上层，宽泛覆盖规则放入ACL下层，从精确到模糊过程。

（6）ACL源端口。

ACL源端口作为EX-ACL控制无效，目的端口必须指定端口才可使用。

（7）动态路由ACL。

动态路由放行：

ACL激活端口的in和out，如果本地路由器R3某接口为ACL出站out，则出站ACL不控制本地R3路由器自己产生的数据包规则。

in入站ACL控制进入或经过本地路由器或到达目标路由器的数据包，这个ACL的in入站较强

exp:ACL尽可能配置在out方向，这样acl不会影响动态路由影响主体链路，更不会影响ACL的规则功能实施。

如果在影响动态路由的条件下（非命名的访问控制列表），非要写在入站口，那么必须要用扩展acl,然后添加上动态路由放行即可：

命名ACL，ip access-list无需上述步骤，因为他后边有permit ip any any。

图1

5 STP生成树技术

5.1 目标、环境与背景

目的：解决二层广播，实现高速转发，拒绝环路产生，屏蔽广播风暴与地址自学习错误。

环境与背景:4台交换机S1、S2、S3、S4组成环形网络。使用STP解决广播风暴与环路问题。

5.2 取证仿真步骤

分别取证找出每个交换机的BID，BID=Prio+MAC地址，确定最小的BID为root bridge。准确方式为：

根据单个网桥的BID(非SYS-EXTID（单VLAN）BID。正向开销找到根端口，单个非根sw举例根桥最近cost+bid+port-prio，这里的BID经过ID，不经过自身ID，cost路径向上不经过交换机自身。

指定端口反向，根据网段两个网桥端口之间离根桥最近的端口，经过交换本身，比较COST如果相同比较BID。剩余的BP（nondesignated非指定端口，即阻塞端口）。如图1所示。

6 结语

网络工程类人才取证仿真是一个庞大的系统资源构建过程，通过列举网络工程构建过程的若干关键要点，重点要求能够通过取证仿真，实现节省学习和实践的开销，掌握网络工程技术的核心要点，实现网络工程领域人才培养弯道超车的形势和局面，国家提倡互联网+授课等新兴多媒体交叉学科构建手段，但专业技能本身的挖掘与开发仍是一场艰苦卓绝的资源开辟斗争，实现高水平应用型大学的专业构建，需要打造高精尖、用实专、新引能的课程体系。能够在有限的理论与实践教学学时时间内，充分的强化学生掌握枯燥深奥的网络原理，能够实现各种主流网络厂商的网络构建与网络设备调试，节省学生额外在社会实践及培训的昂贵费用；引导学生掌握网络原理取证、实验取证，仿真实验的方法，再去解决实际工程遇到的问题。提高学生网络工程整体项目实施的能力，把综合问题融入到项目建设过程中，为以后的毕业奠定良好的专业基础，实现更好，更高效地为国家及企事业单位的网络建设和社会发展服务。