目录
第1章 IP地址配置.................................................................................................................1-1
1.1 IP地址简介........................................................................................................................1-1
1.1.1 IP地址的分类和表示...............................................................................................1-1
1.1.2 子网和掩码..............................................................................................................1-2
1.2 IP地址配置........................................................................................................................1-3
1.2.1 IP地址配置任务简介...............................................................................................1-4
1.2.2 配置VLAN接口的IP地址.......................................................................................1-4
1.2.3 配置主机名和对应的IP地址....................................................................................1-4
1.3 IP地址配置显示.................................................................................................................1-5
1.4 IP地址典型配置举例..........................................................................................................1-5
1.5 IP地址配置排错.................................................................................................................1-6第2章 ARP配置....................................................................................................................2-1
2.1 ARP简介............................................................................................................................2-1
2.1.1 ARP地址解析的必要性...........................................................................................2-1
2.1.2 ARP报文结构..........................................................................................................2-1
2.1.3 ARP表.....................................................................................................................2-2
2.1.4 ARP地址解析的实现过程........................................................................................2-3
2.2 ARP基础配置....................................................................................................................2-4
2.2.1 ARP基础配置任务简介...........................................................................................2-4
2.2.2 手工添加静态ARP表项..........................................................................................2-4
2.2.3 配置动态ARP表项的老化时间...............................................................................2-5
2.2.4 配置ARP表项的检查功能.......................................................................................2-5
2.2.5 配置ARP转发模式..................................................................................................2-6
2.2.6 配置每秒上送CPU的ARP请求报文的最大个数....................................................2-6
2.3 端口ARP报文限速配置.....................................................................................................2-7
2.3.1 端口ARP报文限速功能简介...................................................................................2-7
2.3.2 端口ARP报文限速配置..........................................................................................2-7
2.3.3 端口ARP报文限速典型配置举例............................................................................2-8
2.4 ARP源抑制配置.................................................................................................................2-9
2.4.1 ARP源抑制功能简介...............................................................................................2-9
2.4.2 配置ARP源抑制功能............................................................................................2-10
2.4.3 配置ARP源抑制增强功能.....................................................................................2-10
2.4.4 ARP源抑制功能典型配置举例..............................................................................2-11
2.4.5 ARP源抑制增强功能典型配置举例.......................................................................2-11
2.5 免费ARP配置.................................................................................................................2-12
2.5.1 免费ARP简介.......................................................................................................2-12
2.5.2 配置免费ARP........................................................................................................2-13
2.6 ARP的显示和维护...........................................................................................................2-13第3章 ARP代理....................................................................................................................3-1
3.1 ARP代理简介....................................................................................................................3-1
3.1.1 ARP代理.................................................................................................................3-1
3.1.2 ARP代理增强..........................................................................................................3-1
3.2 配置ARP代理...................................................................................................................3-2
3.2.1 配置ARP代理功能..................................................................................................3-2
3.2.2 配置ARP代理增强功能..........................................................................................3-3
3.3 ARP代理显示....................................................................................................................3-3第4章 DHCP概述..................................................................................................................4-1
4.1 DHCP简介.........................................................................................................................4-1
4.2 DHCP的IP地址分配.........................................................................................................4-1
4.2.1 IP地址分配策略.......................................................................................................4-1
4.2.2 IP地址动态获取过程...............................................................................................4-2
4.2.3 IP地址的租约更新...................................................................................................4-2
4.3 DHCP报文格式..................................................................................................................4-3
4.4 设备对DHCP报文的处理模式...........................................................................................4-4
4.5 协议规范.............................................................................................................................4-4第5章 DHCP服务器配置.......................................................................................................5-1
5.1 DHCP服务器简介..............................................................................................................5-1
5.1.1 DHCP服务器的应用环境........................................................................................5-1
5.1.2 DHCP地址池...........................................................................................................5-1
5.1.3 DHCP服务器分配IP地址的优先次序.....................................................................5-2
5.2 配置基于全局地址池的DHCP服务器................................................................................5-2
5.2.1 基于全局地址池的DHCP服务器配置任务简介.......................................................5-2
5.2.2 使能DHCP服务......................................................................................................5-3
5.2.3 配置接口工作在DHCP服务器全局地址池模式.......................................................5-3
5.2.4 配置DHCP全局地址池...........................................................................................5-3
5.2.5 配置DHCP客户端的域名........................................................................................5-5
5.2.6 配置DHCP服务器支持DNS服务...........................................................................5-6
5.2.7 配置DHCP服务器支持NetBIOS服务....................................................................5-6
5.2.8 配置DHCP客户端的网关地址................................................................................5-7
5.2.9 配置DHCP服务器支持DHCP客户端的自动配置功能...........................................5-8
5.2.10 配置DHCP自定义选项.........................................................................................5-9
5.3 配置基于接口地址池的DHCP服务器..............................................................................5-10
5.3.1 基于接口地址池的DHCP服务器配置任务简介.....................................................5-10
5.3.2 使能DHCP服务....................................................................................................5-11
5.3.3 配置接口工作在DHCP服务器接口地址池模式.....................................................5-11
5.3.4 配置DHCP接口地址池的静态绑定地址................................................................5-11
5.3.5 配置DHCP接口地址池IP地址租用有效期限.......................................................5-12
5.3.6 配置DHCP客户端的域名......................................................................................5-13
5.3.7 配置DHCP服务器支持DNS服务.........................................................................5-13
5.3.8 配置DHCP服务器支持NetBIOS服务..................................................................5-14
5.3.9 配置DHCP服务器支持DHCP客户端的自动配置功能.........................................5-15
5.3.10 配置DHCP自定义选项.......................................................................................5-17
5.4 配置DHCP地址池中不参与自动分配的IP地址..............................................................5-18
5.5 配置IP地址重复分配检测功能........................................................................................5-18
5.6 配置伪DHCP服务器检测功能.........................................................................................5-19
5.7 DHCP服务器配置显示和维护..........................................................................................5-19
5.8 DHCP服务器典型配置举例.............................................................................................5-20
5.9 DHCP服务器常见配置错误举例......................................................................................5-22第6章 DHCP中继配置...........................................................................................................6-1
6.1 DHCP中继简介..................................................................................................................6-1
6.1.1 DHCP中继的应用环境............................................................................................6-1
6.1.2 DHCP中继的基本原理............................................................................................6-1
6.2 DHCP中继配置..................................................................................................................6-2
6.2.1 DHCP中继配置任务简介........................................................................................6-2
6.2.2 使能DHCP服务......................................................................................................6-2
6.2.3 配置接口工作在DHCP中继模式.............................................................................6-3
6.2.4 配置DHCP中继转发的DHCP服务器地址.............................................................6-3
6.2.5 配置DHCP中继轮询功能........................................................................................6-4
6.2.6 通过DHCP中继释放客户端的IP地址....................................................................6-4
6.2.7 配置VLAN接口上的DHCP安全特性.....................................................................6-5
6.2.8 配置DHCP中继的动态安全表项是否有效..............................................................6-5
6.2.9 配置是否允许自由连接的机器通过DHCP安全检查................................................6-6
6.2.10 配置DHCP中继的静态安全地址表项...................................................................6-6
6.2.11 DHCP中继安全表项定时刷新...............................................................................6-6
6.2.12 配置伪DHCP服务器检测功能..............................................................................6-7
6.3 DHCP中继配置显示和维护...............................................................................................6-7
6.4 DHCP中继典型配置举例...................................................................................................6-8
6.5 DHCP中继常见配置错误举例............................................................................................6-9第7章 DHCP-Snooping配置.................................................................................................7-1
7.1 DHCP-Snooping简介........................................................................................................7-1
7.1.1 DHCP-Snooping工作原理......................................................................................7-1
7.1.2 DHCP-Snooping安全特性......................................................................................7-1
7.1.3 DHCP-Snooping支持option 82..............................................................................7-2
7.2 DHCP-Snooping配置........................................................................................................7-4
7.2.1 配置DHCP-Snooping功能......................................................................................7-4
7.2.2 配置基于DHCP-Snooping的ARP源检查功能.......................................................7-4
7.2.3 配置DHCP-Snooping支持option82功能...............................................................7-4
7.3 DHCP-Snooping配置显示与调试......................................................................................7-5
7.4 DHCP-Snooping典型配置举例..........................................................................................7-5第8章 DHCP客户端配置.......................................................................................................8-1
8.1 DHCP客户端简介..............................................................................................................8-1
8.2 DHCP客户端配置..............................................................................................................8-1
8.3 DHCP客户端支持otpion 60..............................................................................................8-2
8.4 DHCP客户端显示和调试...................................................................................................8-2第9章 BOOTP客户端配置.....................................................................................................9-1
9.1 BOOTP客户端简介............................................................................................................9-1
9.2 BOOTP客户端配置............................................................................................................9-1
9.3 BOOTP客户端显示和调试.................................................................................................9-1第10章访问管理配置..........................................................................................................10-1
10.1 访问管理简介.................................................................................................................10-1
10.2 访问管理配置.................................................................................................................10-2
10.2.1 配置访问管理功能...............................................................................................10-2
10.2.2 配置基于端口的访问管理IP地址池.....................................................................10-2
10.2.3 配置VLAN内端口间的二层隔离.........................................................................10-3
10.2.4 配置访问管理告警功能........................................................................................10-3
10.3 访问管理配置显示..........................................................................................................10-4
10.4 访问管理配置举例..........................................................................................................10-4第11章 IP性能配置.............................................................................................................11-1
11.1 IP性能配置....................................................................................................................11-1
11.1.1 IP性能配置简介...................................................................................................11-1
11.1.2 FIB简介...............................................................................................................11-1
11.1.3 配置TCP属性.....................................................................................................11-1
11.2 IP性能显示和维护..........................................................................................................11-2
11.3 IP性能配置排错.............................................................................................................11-2
第1章 IP地址配置
1.1 IP地址简介
1.1.1 IP地址的分类和表示
IP地址是分配给连接在网络上的设备的一个长度为32bit的地址。IP地址由两个字
段组成:网络号码字段(net-id)和主机号码字段(host-id)。IP地址由美国国防
数据网的网络信息中心(NIC)进行分配。
IP地址采用点分十进制方式表示。每个IP地址被表示为以小数点隔开的4个十进制
整数,每个整数对应一个字节,取值范围为1~255,例如10.110.50.101。
为了方便管理,IP地址被分成五类。各类地址的分类依据及特点如图1-1所示:
A类
B类
C类
D类
E类
net-id:网网网网;host-id:主主网网
图1-1五类IP地址
其中A、B、C类地址为单播(unicast)地址;D类地址为组播(multicast)地址;
E类地址为保留地址,以备将来的特殊用途。目前大量使用中的IP地址属于A、B、
C三类地址。
在各类IP地址中,均包含有一些特定的地址,是保留作为特殊用途的,一般不使用。
表1-1列出用户可配置的IP地址范围。
表1-1IP地址分类及范围
IP地址类型地址范围
用户可用的IP
网络范围
说明
A 0.0.0.0~
127.255.255.255
1.0.0.0~
126.0.0.0
主机号码为全0的IP地址是网络的地址,用
于网络路由
全1的主机号码表示广播地址,即对该网络上
所有的主机进行广播
IP地址0.0.0.0用于启动后不再使用的主机
网络号码为0的IP地址表示网络上的特定主
机,此IP地址主机可以为源端,但不能为目
的端
所有形如127.X.Y.Z的地址都保留作回路测
试,发送到这个地址的分组不会输出到线路
上,它们被内部处理并当作输入分组
B 128.0.0.0~
191.255.255.255
128.0.0.0~
191.255.0.0
全0的主机号码表示该IP地址就是网络的地
址,用于网络路由
全1的主机号码表示广播地址,即对该网络上
所有的主机进行广播
C 192.0.0.0~
223.255.255.255
192.0.0.0~
223.255.255.0
全0的主机号码表示该IP地址就是网络的地
址,用于网络路由
全1的主机号码表示广播地址,即对该网络上
所有的主机进行广播
D 224.0.0.0~
239.255.255.255
无D类地址是一组组播地址
E 240.0.0.0~
255.255.255.254
无保留今后使用
其它地址255.255.255.255
255.255.255.25
5
255.255.255.255是局域网广播地址
1.1.2 子网和掩码
在Internet迅速发展的今天,IP地址消耗殆尽。而传统的IP地址分配方式,对IP
地址的浪费非常严重。为了充分利用已有的IP地址,人们提出了地址掩码(mask)
和子网(subnet)的概念。
掩码是一串与IP地址等长的数字,这些数字中一些为1,另外一些为0。原则上这
些1和0可以任意组合,不过一般在设计掩码时,把掩码开始连续的几位设置为1。
掩码可以把IP地址分为两个部分:子网地址和主机地址。IP地址与掩码中为1的位
对应的部分为子网地址,为0的位对应的是主机地址。当不进行子网划分时,子网
掩码即为默认值,此时子网掩码中“1”的长度就是网络号码的长度。即A类地址
对应的掩码默认值为255.0.0.0;B类地址的掩码默认值为255.255.0.0;C类地址
掩码的默认值为255.255.255.0。
使用掩码可以把一个包括1600多万台主机的A类网络或6万多台主机的B类网络
分割成许多小的网络,每一个小的网络就称之为子网。如一个B类网络地址
138.38.0.0就可以利用掩码255.255.224.0,把该网络分为8个子网:138.38.0.0、
138.38.32.0、138.38.64.0、138.38.96.0、138.38.128.0, 138.38.160.0、
138.38.192.0、138.38.224.0(请参见下图),而每个子网可以包括8000多台主机。
图1-2IP地址子网划分
1.2 IP地址配置
VLAN接口获取IP地址有三种方式:
z通过IP地址配置命令得到
z通过BOOTP分配得到IP地址
z通过DHCP分配得到IP地址
这三种方式是互斥的,通过新的配置方式获取的IP地址会覆盖通过原有方式获取的
IP地址。例如,首先通过IP地址配置命令得到了IP地址,接着使用BOOTP协议
申请IP地址(使用ip address bootp-alloc命令),那么通过IP地址配置命令得
到的IP地址会被删除,VLAN接口的IP地址将是通过BOOTP协议分配到的。
本章只介绍如何通过IP地址配置命令得到IP地址,其他两种方式请参见“第8章
DHCP客户端配置”和“第9章 BOOTP客户端配置”中的详细介绍。
1.2.1 IP地址配置任务简介
表1-2IP地址配置任务简介
配置任务说明详细配置配置VLAN接口的IP地址必选 1.2.2
配置主机名和对应的IP地址可选 1.2.3
1.2.2 配置VLAN接口的IP地址
在一般情况下,只需要为一个VLAN接口配置一个IP地址。在特定的条件下,交换
机的一个VLAN接口需要与多个子网相连,这时一个VLAN接口最多可以配置10
个IP地址,其中一个为主IP地址,其余为从IP地址。
表1-3配置VLAN接口的IP地址
操作命令说明进入系统视图 system-view -
进入VLAN接口视图 interface Vlan-interface vlan-id -
配置VLAN接口IP地址ip address ip-address mask [ sub ]必选
缺省情况下,没有配置VLAN接口的IP地址
注意:
z一个VLAN接口的主IP地址和从IP地址不能在同一网段,且一个VLAN接口只能有一个主IP地址。新配置的主IP地址将覆盖原有主IP地址。
z一个VLAN接口的不同从IP地址不能在同一网段。
z当VLAN接口被配置为通过BOOTP、DHCP方式获取IP地址后,则不能再给该接口配置从IP地址。
1.2.3 配置主机名和对应的IP地址
用户可以使用本命令将主机名与主机IP地址相对应,当用户使用telnet等应用时,
可以直接使用主机名,由系统解析为IP地址,而不必使用难于记忆的IP地址。
表1-4配置主机名和对应的IP地址
操作命令说明进入系统视图system-view -
配置主机名和对应的IP地址ip host hostname ip-address
必选
缺省情况下,没有配置主机名
和对应的IP地址
1.3 IP地址配置显示
在完成上述配置后,在任意视图下执行display命令可以显示配置IP地址后的运行
情况,通过查看显示信息验证配置的效果。
表1-5IP地址配置显示
操作命令说明
查看VLAN接口IP地址的相关信息display ip interface interface-type interface-number
查看主机名和对应的IP地址display ip host display命令可以在任意视图下执行
1.4 IP地址典型配置举例
1. 组网需求
配置以太网交换机的Vlan-interface1的IP地址为129.2.2.1,子网掩码为
255.255.255.0。
2. 组网图
Switch
PC
图1-3IP地址配置组网图
3. 配置步骤
# 进入系统视图。
# 进入VLAN接口1。
[Quidway] interface Vlan-interface 1
# 配置VLAN接口1的IP地址为129.2.2.1,子网掩码为255.255.255.0。
[Quidway-Vlan-interface1] ip address 129.2.2.1 255.255.255.0
1.5 IP地址配置排错
故障现象:从交换机ping不通局域网中某一主机。
故障排除:可以按照如下步骤进行。
z首先查看以太网交换机的配置是否正确,然后使用display arp命令查看以太网交换机维护的ARP表。
z其次检查交换机连接主机的端口属于哪个VLAN,该VLAN是否配置VLAN接口,VLAN接口的IP地址和主机是否位于同一网段。
z如果配置正确,可以在交换机上打开ARP调试开关,查看交换机是否正确地发送和接收ARP报文,如果只有发送,没有接收到ARP报文,则可能以太网
物理层有问题。
第2章 ARP 配置
2.1 ARP 简介
ARP (Address Resolution Protocol ,地址解析协议)用于将网络层的IP 地址解析为数据链路层的物理地址(MAC 地址)。
2.1.1 ARP 地址解析的必要性
网络设备进行网络寻址时只能识别数据链路层的MAC 地址,不能直接识别来自网络层的IP 地址。如果要将网络层中传送的数据报交给目的主机,必须知道该主机的MAC 地址。因此网络设备在发送报文之前必须将目的主机的IP 地址解析为它可以识别的MAC 地址。
2.1.2 ARP 报文结构
ARP 报文分为ARP 请求和ARP 应答报文,ARP 请求和应答报文的格式如图2-1所示。
z
当一个ARP 请求发出时,除了接收端硬件地址(正是请求方想要获取的地址)字段为空外,其他所有的字段都被使用。
z
ARP 应答报文使用了所有的字段。
接收端IP 地址
接收端硬件地址发送端IP 地址发送端硬件地址操作码(16位)协议地址长度
硬件地址长度
协议类型(16位)
硬件类型(16位)
图2-1 ARP 请求和应答报文格式
ARP 报文各字段的含义如表2-1所示。
表2-1ARP报文字段解释
报文字段字段含义
硬件类型识别硬件接口的类型,合法取值请参见表2-2
协议类型表示要映射的协议地址类型,它的值为0x0800即表示IP地址硬件地址长度数据报文中硬件地址以字节为单位的长度
协议地址长度数据报文中所有协议地址以字节为单位的长度
操作码指明数据报是ARP请求报文还是ARP应答报文取值为1——数据报是ARP请求报文
取值为2——数据报是ARP应答报文
取值为3——数据报是RARP请求报文
取值为4——数据报是RARP应答报文
发送端硬件地址发送端设备的硬件地址发送端IP地址发送端设备的IP地址
接收端硬件地址接收端设备的硬件地址
ARP请求报文中——这个字段为空
ARP应答报文中——这个字段为应答报文返回的接收端硬件地址
接收端IP地址接收端设备的IP地址
表2-2合法硬件接口类型列表
类型描述
1 以太网
2 实验以太网
3 X.25
4 Proteon ProNET(令牌环)
5 混沌网(chaos)
6 IEEE802.X
7 ARC网络
2.1.3 ARP表
以太网上的两台主机需要通信时,双方必须知道对方的MAC地址。每台主机都要
维护IP地址到MAC地址的转换表,称为ARP映射表,形式如图2-2所示。
图2-2ARP映射表
ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC 地址的映射关系。需要注意的是,这里仅仅对ARP映射表的基本实现进行介绍,不同公司的产品可能会在此基础上提供更多的信息。S3552&S3528系列以太网交换机可以使用display arp命令查看ARP映射表信息。
ARP映射表中表项各字段含义如表2-3所示。
表2-3ARP映射表中表项各字段含义
表项字段描述
IF索引记录拥有表项中物理地址和IP地址的设备的物理接口或端口
物理地址设备的物理地址,即MAC地址
IP地址设备的IP地址
类型该表项的类型,类型有四种可能的值取值为1——不是以下任何一种情况取值为2——该表项是无效表项
取值为3——该表项是动态表项
取值为4——该表项是静态表项
2.1.4 ARP地址解析的实现过程
在主机启动时,主机上的ARP映射表为空;当一条动态ARP映射表项在规定时间
没有使用时,主机将其从ARP映射表中删除掉,以便节省内存空间和ARP映射表
的查找时间。
假设主机A和主机B在同一个网段,主机A的IP地址为IP_A,B的IP地址为IP_B,
主机A要向主机B发送信息:
z主机A首先查看自己的ARP映射表,确定其中是否包含有IP_B对应的ARP 映射表项。如果找到了对应的MAC地址,则主机A直接利用ARP映射表中
的MAC地址,对IP数据包进行帧封装,并将数据发送给主机B;
z如果在ARP映射表中找不到对应的MAC地址,则主机A将该数据包放入发送等待队列,然后创建一个ARP请求报文,并以广播方式在以太网上发送。
ARP 请求数据包中包含有主机B的IP地址,以及主机A的IP地址和MAC地
址。由于ARP请求数据包以广播方式发送,该网段上的所有主机都可以接收
到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
z主机B首先把ARP请求数据包中的请求发起者(即主机A)的IP地址和MAC 地址存入自己的ARP映射表中。然后主机B创建ARP响应数据包,在数据包
中填入主机B的MAC地址,发送给主机A。这个响应不再以广播形式发送,
而是以单播形式直接发送给主机A。
z主机A收到响应数据包后,提取出主机B的IP地址及其对应的MAC地址,加入到自己的ARP映射表中,并把放在发送等待队列中的发往主机B的所有
数据包都发送出去。
一般情况下,设备在IP寻址的过程中会自动触发ARP计算,完成IP地址到以太网
MAC地址的解析。此过程是自动执行的,不需要网络管理员介入。
2.2 ARP基础配置
2.2.1 ARP基础配置任务简介
表2-4ARP基础配置任务简介
配置任务说明详细配置手工添加静态ARP表项可选 2.2.2
配置动态ARP表项的老化时间可选 2.2.3
配置ARP表项的检查功能可选 2.2.4
配置ARP转发模式可选 2.2.5
配置每秒上送CPU的ARP请求报文的个数可选 2.2.6
2.2.2 手工添加静态ARP表项
可以使用下面的命令将IP地址和MAC地址进行绑定,形成静态ARP表项。
表2-5手工添加静态ARP表项
操作命令说明进入系统视图system-view -
手工添加静态ARP表项arp static ip-address mac-address
[ vlan-id interface-type interface-number ]
必选
缺省情况下,没有配置
静态ARP表项
注意:
z静态ARP映射项在以太网交换机正常工作时一直有效,但如果更改或删除VLAN 接口,或执行删除VLAN、把端口从VLAN中删除等使ARP表项不再合法的操
作,则ARP表项都将被自动删除。
z参数vlan-id必须是已经存在的VLAN ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。
z如果配置静态ARP表项的端口属于聚合端口组,则该静态ARP表项将在聚合端口组的主端口上生效。
2.2.3 配置动态ARP表项的老化时间
为了方便用户灵活配置,系统提供以下命令允许用户指定动态ARP表项的老化时
间。当系统学习到一个动态ARP表项时,它的老化时间以当前配置的老化时间计算。
表2-6配置动态ARP表项的老化时间
操作命令说明
进入系统视图system-view -
配置动态ARP表项的老化时间arp timer aging aging-time 可选
缺省情况下,动态ARP表项的老化时间为20分钟
2.2.4 配置ARP表项的检查功能
可以使用下面的命令控制设备是否学习MAC地址为组播MAC的ARP表项。
表2-7配置ARP表项的检查功能
操作命令说明进入系统视图system-view -
开启ARP表项的检查功能,
即不学习MAC地址为组播MAC的ARP表项arp check enable
可选
缺省情况下,ARP表项的检查
功能处于开启状态
2.2.5 配置ARP转发模式
1. 软件广播方式
缺省情况下,交换机设置ARP转发模式为软件广播方式。即:当交换机收到ARP
请求报文后,会将此ARP报文上送本机CPU处理,CPU会对收到的ARP请求报
文进行复制,送给ARP协议层处理,同时转发到交换机同VLAN的其它端口。
通过软件广播方式,可以提高交换机对ARP请求报文的处理优先级,防止ARP请
求报文被广播风暴淹没。
2. 硬件广播方式
在软件广播方式下,CPU要进行ARP请求报文的复制、转发工作,这个过程会占
用一定的CPU资源。如果ARP请求报文过多,会增加CPU的负担,有可能影响
其他功能的正常运行。
为了解决上述问题,交换机支持设置ARP转发模式为硬件广播方式。即:对于收到
的ARP请求报文,直接通过设备的硬件转发芯片将ARP报文广播到CPU和同
VLAN的其它端口,减少了CPU对ARP报文进行复制和分发的负担,从而提高对
ARP请求报文的处理效率。
表2-8配置ARP转发模式
操作命令说明
进入系统视图system-view -
配置ARP转发模式arp forward-mode { transparent |
control }
可选
缺省情况下,交换机的ARP
转发模式为软件广播方式
(control)
2.2.6 配置每秒上送CPU的ARP请求报文的最大个数
缺省情况下,ARP转发模式为软件广播方式,当交换机受到大量ARP请求报文的
冲击时,会增加CPU的负担。为避免这种危害,可以使用下面的命令配置每秒上送
CPU的ARP请求报文的个数限制,当其超过限制后,交换机将对收到的ARP请求报文采取丢弃处理。
表2-9配置每秒上送CPU的ARP请求报文的最大个数
操作命令说明
进入系统视图system-view -
配置每秒能够上送CPU
的ARP请求报文的最大个数arp rate-limit packet-number
可选
缺省情况下,没有限制交换
机每秒上送CPU的ARP请
求报文的个数限制
2.3 端口ARP报文限速配置
2.3.1 端口ARP报文限速功能简介
如果攻击者恶意构造大量ARP请求报文发往交换机的某一端口,会导致CPU处理
负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3552&S3528系列以
太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类
攻击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数
量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状
态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
从而避免大量ARP报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在
其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
2.3.2 端口ARP报文限速配置
端口ARP报文限速功能的配置过程如下:
表2-10配置端口ARP报文限速功能
操作命令说明
进入系统视图system-view-
进入以太网端口视图interface interface-type interface-number
-
操作命令说明
开启端口ARP报文限速功能arp rate-limit enable
必选
缺省情况下,禁止端口的
ARP报文限速功能
配置端口ARP
报文限速功能配置允许通过端口
的ARP报文的最大
速率
arp rate-limit rate
可选
缺省情况下,开启限速功能
后,允许通过端口的ARP
报文的最大速率为15pps
退回系统视图quit -
开启端口状态自动恢复功能arp protective-down recover
enable
可选
缺省情况下,禁止端口状态
自动恢复功能
配置端口状态自动恢
复功能配置端口状态自动
恢复的时间间隔arp protective-down recover
interval interval
可选
缺省情况下,开启端口状态
自动恢复功能后,端口状态
自动恢复时间间隔为300
秒
2.3.3 端口ARP报文限速典型配置举例
1. 组网需求
z Switch A位于接入层,端口Ethernet0/1与主机PC A相连,端口Ethernet0/2与主机PC B相连。
z开启Switch A上Ethernet0/1,Ethernet0/2的ARP报文限速功能,防止来自PC A和PC B的ARP报文流量攻击。
z开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为100秒。
2. 组网图
PC B
图2-3配置ARP限速功能组网图
3. 配置步骤
Switch A 配置
# 进入系统视图
# 开启端口Ethernet0/1上的ARP报文限速功能,设置ARP报文通过的最大速率为
20pps。
[Quidway] interface Ethernet0/1
[Quidway-Ethernet0/1] arp rate-limit enable
[Quidway-Ethernet0/1] arp rate-limit 20
[Quidway-Ethernet0/1] quit
# 开启端口Ethernet0/2上ARP报文限速功能,设置ARP报文通过的最大速率为
50pps。
[Quidway] interface Ethernet0/2
[Quidway-Ethernet0/2] arp rate-limit enable
[Quidway-Ethernet0/2] arp rate-limit 50
[Quidway-Ethernet0/2] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[Quidway] arp protective-down recover enable
[Quidway] arp protective-down recover interval 100
2.4 ARP源抑制配置
2.4.1 ARP源抑制功能简介
交换机在进行三层转发时,会在路由表中查找报文目的IP地址所在的网段及其对应
的出接口;查找完成后,还将向目的网段发出对目的IP地址的ARP请求,以获取
目的MAC地址。
某些恶意用户会利用交换机的这种三层转发机制,向交换机发送大量目的IP地址不
可达的报文,造成以下危害:
z交换机频繁查找路由表项,增加CPU负担。
z交换机向目的网段发送大量ARP请求报文,占用网络资源。
1. ARP源抑制功能
当开启ARP源抑制功能后,如果网络中某主机向交换机某端口连续发送目的IP地
址不可达的报文,当5秒内此类报文的数量超过了设置的阈值,设备就会对从此端
口进入的源IP地址相同的报文作丢弃处理,直至5秒后再进行正确转发,从而避免
了恶意攻击所造成的危害。
2. ARP源抑制增强功能
ARP源抑制功能只能对来自同一攻击源的IP不可达报文攻击进行控制,如果交换
机收到不同主机发来的对同一个不可达目的IP的扫描,则可以通过ARP源抑制增
强功能来防止此类攻击,减少对垃圾报文的处理。
ARP源抑制增强功能的实现方式是:统计在固定时间内每个目的IP不可达报文所
引起的ARP解析失败的次数,当某目的IP对应的解析失败次数超过设定值时,直
接将此IP的路由设为黑洞路由,同时配置老化时间,在老化时间内去往该地址的报
文将被直接丢弃,当老化时间到时后,再正常处理目的为该地址的报文。
2.4.2 配置ARP源抑制功能
ARP源抑制功能的配置过程如下:
表2-11配置ARP源抑制功能
操作命令说明
进入系统视图system-view -
开启ARP源抑制功能arp source-suppression
enable
必选
缺省情况下,ARP源抑制功
能处于关闭状态
设置交换机在5秒时间间隔内
允许接收的源IP地址相同,但目的IP不可达报文的最大数目arp source-suppression
limit limit-value
可选
缺省情况下,交换机在5秒
时间间隔内允许接收的源IP
地址相同,且目的IP不可达
报文的最大数目为10个
2.4.3 配置ARP源抑制增强功能
ARP源抑制增强功能的配置过程如下:
表2-12配置ARP源抑制增强功能
操作命令说明进入系统视图system-view -
开启ARP源抑制增强功能ip scan-attack protect enable
必选
缺省情况下,关闭ARP源
抑制增强功能
配置允许目的IP解析失败的最大次数ip scan-attack protect limit number
可选
缺省情况下,允许目的IP
解析失败的最大次数为20
次
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
PIM组播协议密集模式(DM模式) 【实验名称】 PIM组播协议密集模式(DM模式) 【实验目的】 熟悉如何配置PIM密集模式 【背景描述】 你是一个某单位的网络管理员,单位有存放资料的组播服务器,,服务器为用户提供组播服务,请你满足现在的网络需求。采用PIM的密集模式来实现。 【实现功能】 实现PIM密集模式下组播流量的传输,如果没有组成员,自动修剪组播发送信息。 【实验拓扑】 S1 vlan1:192.168.1.253 vlan10:192.168.10.1 vlan12:192.168.12.1 vlan20:192.168.20.1 vlan100:192.168.100.1 S2 vlan1:192.168.2.253 vlan50:192.168.50.1 vlan12:192.168.12.2 vlan60:192.168.60.1 S2126 vlan1:192.168.1.254 S2150vlan1:192.168.2.254
【实验设备】 S3550-24(2台)、S2126G(1台)、S2150G(1台)、PC(4台) 【实验步骤】 第一步:基本配置 switch(config)#hostname S1 S1(config)#vlan 10 ! 创建一个vlan10 S1(config-vlan)#exi S1(config)#vlan 12 S1(config-vlan)#exi S1(config)#vlan 20 S1(config-vlan)#exi S1(config)#vlan 100 S1(config-vlan)#exi S1(config)#interface f0/24 S1(config-if)#switchport mode trunk !把f0/24接口作为trunk接口 S1(config-if)#switchport trunk allowed vlan remove 100 ! trunk链路不传输vlan 100的信息 S1(config)#interface vlan 1 S1(config-if)#ip address 192.168.1.253 255.255.255.0 S1(config-if)#no shutdown S1(config)#interface vlan 10 S1(config-if)#ip address 192.168.10.1 255.255.255.0 !创建一个SVI地址 S1(config-if)#no shutdown S1(config)#interface vlan 12 S1(config-if)#ip address 192.168.12.1 255.255.255.0 S1(config-if)#no shutdown S1(config)#interface vlan 20 S1(config-if)#ip address 192.168.20.1 255.255.255.0 S1(config-if)#no shutdown S1(config)#interface vlan 100 S1(config-if)#ip address 192.168.100.1 255.255.255.0 S1(config-if)#no shutdown S1(config)#interface fastethernet f0/1 !把接口加入到vlan 10 S1(config-if)#switchport access vlan 10 S1(config)#interface fastethernet f0/2 S1(config-if)#switchport access vlan 20 S1(config)#interface fastethernet f0/12 S1(config-if)#switchport access vlan 12 switch(config)#hostname S2 S2(config)#vlan 12 S2(config-vlan)#exi
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路
华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本,可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #
dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问,学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码
感谢你的阅读 感谢你的阅读华为路由器配置详细教程 华为路由器的品质是众所周知的,但其设备的配置方法可能就不是很多人知道了吧,欢迎大家来到学习啦,本文为大家讲解华为路由器配置详细教程,欢迎大家阅读学习,希望能帮到你。 华为路由器配置详细教程一 目前华为路由器的市场份额还是非常高的,同时其配置和其他的路由器也有一些差别,首先让大家了解下VRP软件升级操作,然后全面介绍在默认链路层封装上的区别(主要用于DDN 的配置)。华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。 另外它的软件升级,远程配置,备份中心,P Element not supported - Type:8 Name:#comment PPP回拨,华为路由器热备份等,对用户来说均是极有用的功能特性。在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接。 2.在win95/98下建立使用直连线的超级终端,参数:波特率9600,数据位8,停止位1,无效验,无流控,VT100终端类型
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
华为路由器一般的配置方法
华为路由器一般的配置方法 如何设置华为3COM路由器主机名 这里我们以将主机名设置为syxx为例,输入“sysname syxx”,然后按回车键执行命令,这时主机提示符前的主机名变为syxx,说明设置主机名成功。 如何配置一个以太网接口 路由器就好比一台PC机,不同的接口就好比计算机的网卡。每个计算机都要设置IP地址才能在网络中进行通信,路由器也是如此,我们要为接口分配IP地址和子网掩码才能正常工作。最常见的接口是以太网接口,本段将为大家介绍如何配置一个以太网接口。 第一步:登录路由器
用正确的用户名和密码登录路由器,要求是管理员权限或操作员权限。 第二步:进入以太网接口E0 int e 0 第三步:设置IP地址和子网掩码 ip address 192.168.1.1 255.255.255.0 这样就完成了对E0端口的IP地址分配。当然华为3COM路由器默认情况下当给接口设置了IP地址就会自动打开。所以不用象CISCO设备那样还需要执行no shutdown命令打开接口。 小提示: 有的时候需要短时间的将某端口禁用,如果将其IP地址取消等以后再使用时还需要重新配置,这时候也可以在华为3COM路由器上时候禁用端口命令。即输入shutdown后回车这样该端
口就被禁用了,如果想恢复则输入undo shutdown 将端口重新激活。 如何修改华为3COM路由器的显示语言 我们登录到路由器上直接输入language,然后回车,在接下来的对话中会询问用户是否切换语言模式,我们选择Y后IOS会自动切换到中文模式,所有命令的注释都是中文的。同样当我们想回到英文模式显示时只需要再次输入language后回车,然后选择Y就会从中文显示模式返回到英文显示模式。 如何修改华为3COM路由器的登陆密码 登录路由器后输入local-user softer password cipher 111111 service-type exec-administrator回车就创建了一个名为
RA配置 System-view Sysname RA Interface ethernet 0/0 Ip address 192.168.1.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.1 255.255.255.0 quit ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 ip route-static 192.168.4.0 255.255.255.0 192.168.2.2 RB配置 System-view Sysname RB Interface ethernet 0/0 Ip address 192.168.3.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.2 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 RC配置 System-view Sysname RC Interface ethernet 0/0 Ip address 192.168.3.2 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.4.1 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 ip route-static 192.168.2.0 255.255.255.0 192.168.3.1
常用组播路由协议配置方法 1IGMP协议配置 1.1 IGMP基本设置 1.1.1配置路由器加入到一个组播组: # 将VLAN 接口VLAN-interface10 包含的以太网端口Ethernet 0/1 加入组播组 #225.0.0.1。 [Quidway-Vlan-interface10] igmp host-join 225.0.0.1 port Ethernet 0/1 1.1.2控制某个接口下主机能够加入的组播组 igmp group-policy acl-number [ 1 | 2 | port { interface_type interface_ num |interface_name } [ to { interface_type interface_num|interface_name } ] ] 【例如】 # 配置访问控制列表acl 2000 [Quidway] acl number 2000 [Quidway-acl-basic-2000] rule permit source 225.0.0.0 # 指定VLAN-interface10上满足acl2000中规定的范组,指定组的IGMP版本为2。 [Quidway-Vlan-interface10] igmp group-policy 2000 2 1.1.3IGMP版本切换 igmp version { 1 | 2 } # 在VLAN 接口VLAN-interface10 上运行IGMP 版本1。 [Quidway-Vlan-interface10] igmp version 1 1.1.4IGMP查询间隔时间:默认60s igmp timer query seconds # 将VLAN-interface2 接口上的主机成员查询报文发送间隔设置为150 秒。 [Quidway-Vlan-interface2] igmp timer query 150 1.1.5IGMP查询超时时间:默认为2倍的查询间隔时间 igmp timer other-querier-present # 配置Querier 的存活时间为300 秒 [Quidway-Vlan-interface10] igmp timer other-querier-present 300 1.1.6IGMP查询最大响应时间:默认为10s igmp max-response-time seconds # 配置主机成员查询报文中包含的最大响应时间为8 秒。 [Quidway-Vlan-interface10] igmp max-response-time 8 1.2 IGMP Proxy 1.2.1组网需求
华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #
pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为
华为浮动静态路由路径备份配置实例 作者:救世主220 实验日期:2015.7.3 实验拓扑如下: AR1配置: [AR1]dis current-configuration [V200R003C00] # sysname AR1 # interface GigabitEthernet0/0/0 ip address 100.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.21.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 ospf network-type broadcast # ospf 1 router-id 1.1.1.1 import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.0.21.1 0.0.0.0 # ip route-static 3.3.3.0 255.255.255.0 100.1.1.2 preference 10 ip route-static 10.0.23.0 255.255.255.0 100.1.1.2 preference 10
注意:AR1上g0/0/0 断开前后AR1路由表变化 AR2配置: [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.0 #
华为三层交换机配置方法(1) (2008-07-21 11:27:34) 转载 标签: 分类:工作汇报 杂谈 本文以河南平临高速所使用的华为华三通信的H3C S3600-28P-SI为例,配置前首先要确定型号后缀是SI还是EI,EI的支持所有协议,SI的不支持OSPS动态协议,因此SI配置路由时可以使用静态协议和RIP协议,具体配置如下:
description Uplink-to-Putian vlan 9 description link-to-pingxicentre //第二步:给VLAN 划网关 interface Vlan-interface2 description link to wenquan ip address 10.41.77.41 255.255.255.192 interface Vlan-interface3 description link to ruzhou ip address 10.41.77.105 255.255.255.192 interface Vlan-interface4 description link to xiaotun ip address 10.41.77.169 255.255.255.192 interface Vlan-interface5 description link to baofeng ip address 10.41.77.233 255.255.255.192 interface Vlan-interface6 description link to pingxi ip address 10.41.78.41 255.255.255.192 interface Vlan-interface7 description link to pingnan ip address 10.41.78.105 255.255.255.192 interface Vlan-interface8 description uplink to putian ip address 10.41.244.102 255.255.255.252 interface Vlan-interface9 description link to pingxicentre ip address 10.41.80.233 255.255.255.192
! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
目录 1、硬件系统 (3) 1.1、NE40E、NE80E、NE5000E的满配功率是多少? (3) 1.2、如何正确热插拔NE5000E/80E/40E产品主控板? (3) 1.3、拔出正常运行NE80E主控板与其它单板的差别? (3) 1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详 细说明这两款产品单板的组合。 (3) 1.6、是否可以使用并联电流给NE设备供电? (4) 1.8、如何查看设备中的Netstream板? (4) 1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即 可正常完成注册? (5) 2、系统管理 (5) 2.1、telnet用户的最大数是多少? (5) 2.2、NE40E、NE80E 是否支持ETH-Trunk? (5) 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk? (5) 2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成 员端口? (6) 3、系统管理:telnet、SNMP、日志采集、SSH等 (6) 3.1、如何修改设备的时区? (6) 3.2、如何转换命令行的语言模式? (6) 3.3、如何把telnet用户强制下线? (6) 3.4、如何取消分屏显示? (6) 3.5、如何能够使NE40E level0能够查看logbuffer? (7) 3.6、怎样配置NE40E的登录用户先radius认证再本地认证? (7) 3.7、华为有哪些产品支持TACACS? (7) 3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证? (8) 3.9、怎样修改NE40E的日志文件记录路径 (8) 3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表? (8) 4、网络协议 (9) 4.4、什么是NE80E的ping保护机制呢? (9) 5、路由协议 (10) 5.1、如何进行OSPF外部路由的聚合? (10) 5.2、反射器反射路由时对路由属性的处理原则是什么? (10) 5.3、如何修改邦定VPN实例OSPF进程的Router id (10) 5.5、为什么在OSPF路由中不建议引入直连路由? (10) 5.6、如何部署OSPF的内部路由聚合? (10) 5.8、在IGP是ISIS的网络中如何查找设备? (11) 5.9、如何设置NE80E只启用MBGP而不启用普通BGP? (11) 5.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、 RelyNextHop,他们的区别是什么? (11) 5.12、BGP协议的故障诊断命令有哪些? (12) 6、VPN应用 (13) 6.1、华为路由器是否支持VPN下安全套接层? (13)