2012年江苏省高等职业院校技能大赛

2012年江苏省高等职业院校技能大赛
1、路由技术
（1）静态路由及缺省路由
静态路由是指由网络管理员手工配置的路由信息。

当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。

当然，网管员也可以通过对路由器进行设置使之成为共享的。

静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

静态路由的优点：
使用静态路由的另一个好处是网络安全保密性高。

动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。

因此，网络出于安全方面的考虑也可以采用静态路由。

静态路由的缺点：
大型和复杂的网络环境通常不宜采用静态路由。

一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。

缺省路由是一种特殊的路由，可以通过静态路由配置，某些动态路由协议也可以生成缺省路由，如OSPF和IS-IS。

在小型互连网中，使用缺省路由可以减轻路由器对路由表的维护工作量，从而降低内存和CPU的使用率。

Default route 路由表（routing table）中的一条记录，指明信息包（packet）的目的地不在路由表中时的路由，是一种特殊的静态路由，简单地说，就是在没有找到匹配的路由时使用的路由。

在路由表中，缺省路由以目的网络为0.0.0.0、子网掩码为0.0.0.0的形式出现。

如果数据包的目的地址不能与任何路由相匹配，那么系统将使用缺省路由转发该数据包。

（2）动态路由RIP协议
RIP协议的全称是一种内部网关协议（IGP），是一种动态路由选择，用于一个自治系统（AS）内的路由信息的传递。

RIP协议是基于距离矢量算法（DistanceVectorAlgorithms）的，它使用“跳数”，即metric来衡量到达目标地址的路由距离。

这种协议的路由器只关心自己周围的世界，只与自己相邻的路由器交换信息，范围限制在15跳(15度)之内，再远，它就不关心了。

RIP应用于OSI网络七层模型的网络层。

RIP协议采用距离向量算法，是当今应用最为广泛的内部网关协议。

在默认情况下，RIP使用一种非常简单的度量制度：距离就是通往目的站点所需经过的链路数，取值为1~15，数值16表示无穷大。

RIP进程使用UDP的520端口来发送和接收RIP 分组。

RIP分组每隔30s以广播的形式发送一次，为了防止出现“广播风暴”，其后续的的分组将做随机延时后发送。

在RIP中，如果一个路由在180s内未被刷，则相应的距离就被设定成无穷大，并从路由表中删除该表项。

RIP分组分为两种：请求分组和响应分组。

（3）动态路由OSPF协议
OSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。

与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。

OSPF的协议管理距离（AD）是110。

链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。

OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。

OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。

在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。

在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

作为一种链路状态的路由协议，OSPF将链路状态广播数据LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。

运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

（4）策略路由
策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。

应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。

应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。

一个路由图由很多条策略组成，每个策略都定义了1 个或多个的匹配规则和对应操作。

一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。

策略路由可以使数据包按照用户指定的策略进行转发。

对于某些管理目的，如QoS需求或VPN拓扑结构，要求某些路由必须经过特定的路径，就可以使用策略路由。

例如，一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。

策略路由的种类
大体上分为两种：一种是根据路由的目的地址来进行的策略称为：目的地址路由；
另一种是根据路由源地址来进行策略实施的称为：源地址路由！
随着策略路由的发展现在有了第三种路由方式：智能均衡的策略方式！
策略路由的应用
策略路由在中国最大的应用莫过于用于电信网通的互联互通的问题了，电信网通分家之后出现了中国特色的网络环境，就是南电信，北网通，电信的访问网通的线路较慢，网通访问电信的也较慢！人们就想到了接入
电信网通双线路，这种情况下双线路的普及就使得策略路由就有了大的用武之地了！通过在路由设备上添加策略路由包的方式，成功的实现了电信数据走电信，网通数据走网通，这种应用一般都属于目的地址路由！
由于光纤的费用在今天的中国并不便宜，于是很多地方都采用了光纤加ADSL的方式，然而这样的使用就出现了两条线不如一根线快的现象，通过使用策略路由让一部分优先级较高的用户机走光纤，另一部分级别低的用户机走ADSL，这种应用就是属于源地址路由！
而现在出现的第三种策略方式：智能均衡策略，就是两条线不管是网通还是电信，光纤还是ADSL，都能自动的识别，并且自动的采取相应的策略方式，是策略路由的发展趋势！
（5）路由策略
路由策略是针对路由信息的策略，是对路由信息进行控制的一种方法过滤路由信息的手段发布路由信息时只发送部分信息接收路由信息时只接收满足条件的部分信息。

路由策略是提供给路由协议实现路由信息过滤的手段。

路由协议在与对端路由器进行路由信息交换时，可能需要只接收或发布一部分满足给定条件的路由信息；路由协议在引入其它路由协议路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置和修改以使其满足本网的要求。

路由策略常被称为路由过滤，这是因为路由策略的主要功能是过滤发布和接收路由信息。

当然路由策略不仅仅起到过滤的作用，还可以灵活地控制路由属性。

如我们常用 route-map 的方法来调整 BGP 的众多属性，以控制路由表信息。

使用路由策略无非是为了达到以下目的：1：有选择的接收路由信息，选择接收路由信息的时候，针对距离矢量路由协议和链路状态路由协议是不一样的，像RIP和BGP之类的距离矢量路由协议对邻居发布的路由信息直接筛选，OSPF等链路状态协议不能控制导入的LSA，只能控制是否导入路由表。

2：有选择的发布路由信息，由于安全或者网络设计的原因，需要控制发布的路由信息。

（6）访问控制列表、基于时间访问控制列表、专家级访问控制列表
访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

它是保证网络安全最重要的核心策略之一。

访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

访问控制列表(ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。

作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（Network Address Translation，NAT）、按需拨号路由（Dial on Demand Routing，DDR）、路由重分布（Routing Redistribution）、策略路由（Policy-Based Routing，PBR）等很多场合都需要访问控制列表。

基于时间的访问控制列表就是通过ACL规则在路由器的出口或进口进行一些规则的设置。

比如说：在公司规定上班的时候不可以上QQ或访问一些网站，下班的时候能上，这个时候就会用到基于时间的访问控制列表。

也就是规定一些规则让在规定时间内能访问一些资源，不能访问其它资源。

专家级访问控制列表就是可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型、时间ACL等元素进行灵活组合，定义规则。

从而更加灵活的控制网络的流量，保证网络的安全运行。

也就是说当有人攻击你的服务器的时候，你检测到对方的IP地址和MAC地址，我们可以把这个IP地址和MAC地址绑在一起，然后禁止他访问服务器。

（7）PPTP VPN、IPSec VPN、L2TP VPN
虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。

其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式）、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。

VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。

例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。

外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。

为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。

有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。

但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。

即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。

有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。

在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用dsn(数字数据网)专线或帧中继。

这样的通讯方案必然导致高昂的网络通讯/
维护费用。

对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路(Internet)进入企业的局域网，而这样必然带来安全上的隐患。

虚拟专用网的提出就是来解决这些问题：
(1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

(3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。

用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。

在企业内部也可以自己建立虚拟专用网。

点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用 Microsoft的点对点加密算法MPPE。

其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。

PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。

PPTP 允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络(如Internet)发送的 IP 头中对其进行封装。

L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。

是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。

PPTP只能在两端点间建立单一隧道。

L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。

L2TP可以提供隧道验证，而PPTP则不支持隧道验证。

但是当L2TP 或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道使用L2TP。

PPTP要求互联网络为IP网络。

L2TP只要求隧道媒介提供面向数据包的点对点的连接，L2TP可以在
IP(使用UDP)，桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

IPSec 隧道模式隧道是封装、路由与解封装的整个过程。

隧道将原始数据包隐藏(或封装)在新的数据包内部。

该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。

隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。

封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。

隧道本身是封装数据经过的逻辑数据路径，对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。

连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。

将隧道和数据保密性结合使用时，可用于提供VPN。

封装的数据包在网络中的隧道内部传输。

在此示例中，该网络是 Internet。

网关可以是外部 Internet 与专用网络间的周界网关。

周界网关可以是路由器、防火墙、代理服务器或其他安全网关。

另外，在专用网络内部可使用两个网关来保护网络中不信任的通讯。

当以隧道模式使用 IPSec 时，其只为 IP 通讯提供封装。

使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统之间的相互操作。

2、交换技术
(1) Vlan
VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。

这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。

但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

VLAN的优点:
1. 广播风暴防范
限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。

LAN分段可以防止广播风暴波及整个网络。

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。

使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN 中的广播不会送到VLAN之外。

同样，相邻的端口不会收到其他VLAN产生的广播。

这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

2. 安全
增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。

不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

3.成本降低
成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。

4.性能提高
将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。

5.提高IT员工效率
VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。

6.简化项目管理或应用管理
VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。

通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。

此外，也很容易确定升级网络服务的影响范围。

7. 增加了网络连接的灵活性。

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。

VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

(2) Vlan间路由
vlan间路由，就是把每个vlan都设置上IP地址，然后每个vlan下面的PC 或终端设定的网关就是对应vlan的IP地址，然后上层连接路由器，通过路由器去让不同vlan之间进行通信。

（3）STP
STP（Spanning Tree Protocol）是生成树协议的英文缩写。

该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

STP的基本原理是，通过在交换机之间传递一种特殊的协议报文（在IEEE 802.1D中这种协议报文被称为“配置消息”）来确定网络的拓扑结构。

配置消息中包含了足够的信息来保证交换机完成生成树计算。

Spanning Tree Protocol(STP)是一种二层链路协议，又称生成树协议，该协议在IEEE802.1D文档中定义。

该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。

该协议使用BPDU报文传递生成树信息。

Spanning Tree Protocol(STP)的基本思想就是按照"树"的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根据设置不同，不同的
交换机会被选为根桥，但任意时刻只能有一个根桥。

由根桥开始，逐级形成一棵树，根桥定时发送配置报文，非根桥接收配置报文，并重新计算配置信息并转发，如果某台交换机能够从两个以上的端口接收到配置报文，则说明从该交换机到根有不止一条路径，便构成了循环回路，此时交换机根据端口的配置选出一个端口并把其他的端口阻塞，消除循环。

当某个端口长时间不能接收到配置报文的时候，交换机认为端口的配置超时，网络拓扑可能已经改变，此时重新计算网络拓扑，重新生成一棵树。

（4）RSTP
RSTP：快速生成树协议（rapid spanning Tree Protocol ）：802.1w 由802.1d发展而成，这种协议在网络结构发生变化时，能更快的收敛网络。

它比802.1d多了两种端口类型：预备端口类型（alternate port）和备份端口类型。

Rstp是从stp发展过来的，其实现基本思想一致，但它更进一步的处理了网络临时失去连通性的问题。

Rstp规定在某些情况下，处于Blocking 状态的端口不必经历2倍的Forward Delay时延而可以直接进入转发状态。

如网络边缘端口（即直接与终端相连的端口），可以直接进入转发状态，不需要任何时延。

或者是网桥旧的根端口已经进入Blocking状态，并且新的根端口所连接的对端网桥的指定端口仍处于Forwarding状态，那么新的根端口可以立即进入Forwarding状态。

即使是非边缘的指定端口，也可以通过与相连的网桥进行一次握手，等待对端网桥的赞同报文而快速进入Forwarding状态。

当然，这有可能导致进一步的握手，但握手次数会收到网络直径的限制。

(5) MSTP
多生成树（MST）是把IEEE802.1w 的快速生成树（RST）算法扩展而得到的，多生成树协议定义文档时IEEE802.1S。

多生成树提出了域的概念，在域的内部可以生成多个生成树实例，并将VLAN关联到相应的实例中，每个VLAN只能关联到一个实例中。

这样在域内部每个生成树实例就形成一个逻辑上的树拓扑结构，在域与域之间由CIST实例将各个域连成一个大的生成树。

各个VLAN内的数据在不同的生成树实例内进行转发，这样就提供了负载均衡功能。

具有相同的MST配置信息，并且具有完全一致的VLAN-实例映射关系同时运行MSTP协议的桥组成一个域。

每个域的内部有一个主实例，成为
IST(Instance Spanning Tree)，域和域之间有CST（Common Spanning Tree）连接，这样整个网络拓扑就有CST和IST功能组成了一个树形拓扑，这个树就是CIST。

MSTP（Multiple Spanning Tree Protocol，多生成树协议）将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。

MSTP 兼容STP 和RSTP，并且可以弥补STP 和RSTP 的。