网络协议配置.doc

1、第5章 网络协议配置迈普路由器支持Internet网络协议。Internet协议是以数据包为基础的协议，用于在计算机网络之间交互数据。迈普路由器支持Internet网络协议（IP）RFC中规定的所有需求，涉及：IP、ICMP、IGMP、TCP、UDP等服务。其中IP报文是整个Internet协议栈的基础。 而IP层负责解决IP报文的寻址、分段、重组、和协议信息的分解。作为网络层协议，IP进行路由寻址和控制数据包的传递。传输控制协议（TCP）和用户数据报协议（UDP）建立在IP协议的基础之上，分别提供基于连接的、可靠的数据传输服务和基于非连接的、不可靠的数据传输服务。迈普路由器支持配置DHCP（

2、Dynamic Host Configuration Protocol，动态主机配置协议）客户端和服务器。迈普路由器支持网络域名解析服务(DNS)。本章重要内容：l IP地址配置l 地址解析协议（ARP）l IP协议l ICMP协议l TCP协议l UDP协议l Socket接口l DHCP配置l 网络服务配置5.1 IP地址配置本节重要内容：l 简介l 基本配置命令描述l 应用实例l 监控和调试5.1.1 简介所谓IP地址就是为了可以唯一标记连接到Internet网上的所有运营IP协议的网络设备所分派的一个32比特的数字。为了便于IP的管理，IP地址被分作五类，每类IP地址有其各自特有的功能

3、：AC类IP地址用于地址分派、D类IP地址用于组播应用、E类IP地址用于实验目的。IP地址分类及其范围如表所示。51地址类型可用网络地址范围说明A1.0.0.0-126.0.0.0网络号127用于环回接口B128.0.0.0-191.255.0.0全1的主机号码用于该网络的定向广播C192.0.0.0-223.255.255.0全1的主机号码用于该网络的定向广播D224.0.0.0-239.255.255.255D类地址用于组播E240.0.0.0-247.255.355.255E类地址用于实验目的通常，不同类型的IP地址可以用于不同类型的网络系统。针对超大型网络系统，通常可以使用A类IP地址

4、；而对于中小规模的网络系统则可以使用B类或C类网络地址；D类地址用于组播应用；E类网络地址则保存作特殊用途。同时每个IP地址被分作两个部分，分别是：l 网络号（network number）：:指定设备所在的网络；l 主机号 (host number)：指定设备在所在网络的主机编号。随着Internet的发展，IP地址资源逐渐被消耗殆尽，而以地址类的方式分派地址存在许多浪费的情况。于是，出现了“子网”的概念。“子网”把IP地址中部分主机号用做子网号，这样一个大的网络就可以被划分为更小的子网，方便网络的管理。迈普路由器支持下列IP地址特性：（1） 支持有类型网络地址特性（2） 支持网络地址的子网

5、化特性（3） 支持无类路由CIDR特性（4） 可分派多个不同网段的IP地址到网络接口（5） 允许IP无编号（ip unnumber）地址在点对点串行接口上使用以节省地址使用（6） 支持EASY IP和NAT特性5.1.2 基本指令描述命令描述配置模式ip address ip-address mask*为接口配置主IP地址config-if-ip address ip-address mask secondary*为接口配置从IP地址config-if-no ip address删除接口上所有配置的IP地址config-if-ip unnumber配置接口使用IP无编号机制config-if-

6、ip address negotiated配置接口使用IP地址协商机制获取IP地址config-if-ip broadcast-address设立接口的广播地址config-if-xx& 注：命令描述前带“*”符号的表达该命令有配置实例具体说明。n ip address一个接口需要有一个主IP地址。为了给网络接口分派一个主IP地址和网络掩码，在接口配置方式下使用ip address完毕以上功能，no形式删除IP地址。其中掩码用来辨认IP地址中网络号。当使用掩码拟定一个网络中的子网时，这个掩码就认为是子网掩码。ip address ip-address maskno ip address ip-

7、address mask语法描述ip-address为接口设立主IP地址mask为主IP地址设立的掩码【缺省情况】未定义。& 注：迈普路由器支持子网掩码，该掩码是左对齐的多个连续位1。n ip address secondary一个广播/多播网络接口，可以分派多个IP地址。可以指定一些没有限制的辅助地址。辅助IP地址可用在各种场合。ip address ip-address mask secondaryno ip address ip-address mask secondary语法描述ip-address为接口设立辅助IP地址mask为辅助IP地址设立的掩码【缺省情况】未定义。& 注：以下是

8、辅助IP地址最普通的应用：1、 对一个特定的网段也许没有足够的主机地址。例如你的子网允许每一个逻辑子网多达254个主机，但是，在实际中你的物理子网有300个主机地址。在路由器或访问服务器上使用辅助IP地址，允许你有使用一个物理子网的两个逻辑子网。2、 过去有许多网络使用二级网桥，不是子网。辅助地址的使用可以帮助转换到一个子网，即以路由器为基础的网络。在一个老网桥上的路由器，可以容易地在该段上建立多个子网。3、 单个网上的两个子网在特殊方式下可以被另一个网分开。你可以从子网中建立单个网络，这些子网可以通过使用辅助地址被另一个网络从物理上分开。在这些情况下，第一个网在第二个网的顶部被实际扩展或迭加

9、。注意，一个子网不能同时在多于一个活动接口上出现。4、 假如在网段上的任何路由器使用一个辅助地址，那么相同段上的所有其它路由器也必须在相同网或子网上使用辅助地址。5、 使用辅助地址前，接口必须已经配置了主地址。n no ip address删除接口上所有IP地址。no ip address【缺省情况】未定义。n ip unnumberIP无编号是Internet网络中节省IP地址的方法。你可以应用IP无编号在一个串行接口上，而不必分派一个单独的IP地址到接口。无论何时，无编号的接口产生一个包时（例如，对于一个路由更新），它会使用你指定的接口地址作为IP包的源地址。它也使用指定的接口地址，以决定

10、哪一个路由进程正在发送更新的内容到无编号的接口。ip unnumber有如下限制：（1） 不能使用ping EXEC命令测试和连接该接口，由于它没有IP地址。但简易网络管理协议（SNMP）可以用于远程监视接口状态。（2） 不能通过无编号串行接口对可运营映像进行网络引导。（3） 不能在一个无编号的接口上支持IP安全选项。在RFC 1195中对此有描述，IP地址在每一个接口上并不是必需的。为了在一个无编号串行接口上使IP进程起作用，在接口配置方式完毕以下任务：ip unnumber reference-interfaceno ip unnumber语法描述ip unnumber reference

11、-interface指定一个参考接口用于从其获取引用地址【缺省情况】未定义。% 注意：1、 所指定的接口必须是有效的：指定的接口必须是在路由器中已经拥有IP地址，并且不能指定自己作为引用接口，也不能是另一个无编号的接口。2、 只能在点对点接口上引用此命令3、 在不同的重要网络之间使用一个无编号的串行线需要特别当心。在每一个连接端，假如有不同的重要网络分派到你指定为无编号的接口上，那么任何通过串行线运营的路由协议将配置成不能公布子网信息。n ip address negotiated对于支持IP地址协商的点对点链路层协议来说，可以在没有配置接口IP地址的情况下设立接口IP地址协商属性。典型的如P

12、PP协议运营在串行线路上用于连接ISP访问Internet。ip address negotiatedno ip address negotiated【缺省情况】未定义。n ip broadcast-address接口一旦配置了地址及子网掩码，就自动拥有了相应的广播地址，广播地址即是将地址的主机号设立为全1，并同子网号逻辑与的结果。广播地址除了自动计算外，还可以使用命令手工设立。ip broadcast-address brodcast_addressno ip broadcast-addressdefault ip broadcast-address语法描述broadcast-address

13、 broadcast_address接口使用的广播地址【缺省情况】使用自动计算的广播地址% 注意：1、 不建议设立子网广播地址。很多路由协议的广播地址都有规定，并不会采用该地址。2、 在配置了多个地址的情况下，该命令只能设立主地址的广播地址。5.1.3 应用实例如下所示的例子为Gigaethernet0分派一个主IP地址和两个从IP地址：命令描述router(config)# interface gigaethernet0进入接口router(config-if-gigaethernet0)#ip address 128.255.255.1 255.255.0.0 配置主地址router(co

14、nfig-if-gigaethernet0)#ip address 129.255.255.1 255.255.0.0 secondary配置辅助地址router(config-if-gigaethernet0)#ip address 130.255.255.1 255.255.0.0 secondary配置辅助地址% 注意：为同一接口配置的多个从IP地址根据配置时间有先后关系。同时，为了方便路由器进行数据包的路由转发，规定接口的各个IP地址不在同一个网段上（即IP地址具有不同的网络号）。5.1.4 监控和调试5.1.4.1 监控命令命令描述show interface interface_n

15、ame显示接口地址和其他信息show ip interface interface_name brief interface_name显示接口IP协议摘要信息5.1.4.2 监控命令实例在配置完接口IP地址之后，用户可以通过show interface命令查看为接口所配置的IP地址的信息。Router#show interface gigaethernet0gigaethernet0: Flags: (0x408063) UP BROADCAST MULTICAST ARP RUNNING GWUP Type: ETHERNET_CSMACD Internet address: 129.255

16、.222.26/16IP地址 129.255.222.26掩码长度16位（255.255.0.0） Broadcast address: 129.255.255.255本网络定向广播地址129.255.255.255 Queue strategy: FIFO , Output queue: 0/1 (current/max packets) Metric: 0, MTU: 1500, BW: 1000000 Kbps, DLY: 10 usec, VRF: global Reliability 255/255, Txload 1/255, Rxload 1/255 Ethernet addre

17、ss is 0014.0014.0014 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec 302 packets received; 120 packets sent 212 multicast packets received 2 multicast packets sent 0 input errors; 0 output errors 0 collisions; 0 dropped Unknown protocol 37 0 transmit bl

18、ocked, 0 no buffer for receive, speed 100M, duplex full receive 252 broadcasts, 0 runts, 0 giants, 0 throttles 0 input error , 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output error ,0 collisions, 0 interface resets, 0 underrun 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier , 0 ex

19、cessive collision5.2 地址解析协议本节涉及以下内容：l 简介l 基本指令描述l 应用实例l 监控和调试5.2.1 简介在网络中，一个设备需要有数据链路（MAC）地址（在局域网上唯一地标记一个接口），和一个网络地址（标记设备所在的那个网络和主机号）才干在网络中正常通信。例如，为了在以太网上与一个设备通信，路由器必须一方面决定对端设备的48位MAC地址，只有知道了MAC地址才干发送报文。从一个IP地址查找数据链路地址的过程称作地址解析。从数据链路地址反向查找IP地址的过程称作逆向地址解析。迈普路由器支持以太网的地址解析协议（ARP）。ARP用于将IP地址与MAC地址相关联。将I

20、P地址作为输入，ARP决定相关联的MAC地址。一旦决定了MAC地址之后，IP地址/MAC地址关联就存放在ARP高速缓存中以便高速检索。然后，IP数据报被封装在链路层的帧中，并在网上发送。5.2.2 基本指令描述命令描述配置模式arp vrf vrf-name ip-address mac-address alias配置ARP静态缓存configip proxy-arp*接口配置ARP代理功能config-if-arp timeout disable | timeout设立接口ARP老化时间config-if-arp advertise interval timeout定期发送arp广播信息，用

21、于防范arp袭击configarp limited disable | limite解除2023个ARP条目限制config& 注：命令描述前带“*”符号的表达该命令有配置实例具体说明。n arp ip-address mac-addressARP在IP地址和MAC介质地址之间提供了一个动态映射。由于大多数主机支持动态地址解析。所以，一般不需要指定静态ARP缓存项。假如用户需要定义它们，可以进行手工配置进行定义即在ARP缓存装入一个永久项。迈普路由器软件使用该项将32位IP地址翻译成用户指定的48位硬件地址。arp vrf vrf-name ip-address mac-address ali

22、asno arp vrf vrf-name ip-address语法描述ip-address待映射的IP地址mac-address映射到的MAC地址vrf-name指定ARP静态缓存所属于的VRFalias定义ARP别名缓存【缺省情况】未定义。& 注：ARP别名用于将网络中某个特定IP的主机ARP操作中的硬件地址用本地配置的MAC地址代替。路由器在配置ARP别名缓存之后将会代替或者覆盖被替换主机的ARP请求或者响应，达成特定IP的主机MAC被本地配置的MAC地址替代的目的。n ip proxy-arp假如路由器发现接受到的ARP请求是从接受到ARP的网络发往另一个网络上的主机，那么连接这两个网

23、络的路由器就可以回答该请求，那么发送ARP的主机就会把报文发送给路由器，路由器将收到的报文转发给此外一个网络的主机，这个过程称作代理ARP（Proxy ARP）。这样可以使发起ARP请求的发送端误认为路由器就是目的主机，而事实上目的主机是在路由器的“另一端”。路由器的功能相称于目的主机的代理，把分组从其它主机转发给它。（RFC1027）ip proxy-arpno ip proxy-arp【缺省情况】接口启用ARP代理。n clear arp-cache为了更新ARP缓存中的动态ARP，使用命令clear arp-cache命令将触发核心检查每个动态ARP，强行每个缓存发送ARP请求报文更新当

24、前缓存，假如在规定期间内（1分钟）ARP请求没有响应那么相应的ARP缓存将会被删除；反之将更新该ARP缓存的老化时间，默认情况下将恢复到20分钟。在特权模式下输入下列命令将触发ARP缓存更新。clear arp-cache【缺省情况】无定义。n arp timeout在接口模式下输入以下命令配置接口ARP的老化时间：arp timeout second | disable语法描述second范围,默认为1200秒disable严禁接口上动态ARP的老化，学习到的ARP将永远存在【缺省情况】ARP 1200秒老化。% 注意：动态ARP会每隔5分钟探测目的主机IP，假如探测到之后将会更新ARP的老

25、化时间。总共会探测4次，假如4次都不能探测到目的IP的MAC那么ARP将会失效。这样做是为了减少网络通信中不必要的ARP操作，提高网络通信的效率。n arp advertise在配置模式下输入下列命令将打开ARP通告。arp advertise interval timeoutno arp advertise命令描述timeout范围20到60000毫秒【缺省情况】关闭通告，打开通告之后默认通告时间间隔为1000毫秒。& 注：打开之后将会把静态ARP的绑定信息定期以免费ARP的形式发送到网络中去，这样可以有效防止ARP袭击。假如怀疑有ARP袭击发生可以通告show arp attack-det

26、ection进行检查。n clear arp attack-detection在特权模式下输入下列命令将清除ARP袭击信息。clear arp attack-detection【缺省情况】无。n arp limited在特权模式下输入下列命令将解除ARP 2023条数目限制。arp limited disablearp limited limiteno arp limited命令描述limit重新设立ARP条目限制，范围2023到100000【缺省情况】2023条5.2.3 应用实例代理ARP起作用的典型应用环境和配置：图51分别在ROUTER上运营和关闭ARP代理功能命令描述ROUTER(c

27、onfig-if-gigaethernet0)#ip proxy-arp启动接口ARP代理功能ROUTER(config-if-gigaethernet0)#no ip proxy-arp关闭接口ARP代理功能两台路由器之间运营动态路由或者配置静态路由使ROUTER可以学习到到网络136.1.3.0的路由。路由配置请参考相应章节。PC机ping 136.1.3.1，若ROUTER上无ARP PROXY则PING 不通。因素如下：PC机对同一网络的报文，通过先广播ARP请求获取目的主机的MAC地址，得到后发往目的主机。本例中，目的主机地址同PC机在同一网络（以PC机的掩码来看），但物理上不是在一

28、起。PC发ARP请求时，无人应答，则PING 不通。此时，若ROUTER打开ARP PROXY，则ROUTER会用它的MAC地址应答PC发出的请求，则会PING 通。迈普路由器中实现的代理重要用于此种情形，代理同一主网络，不同子网的报文。5.2.4 监控和调试5.2.4.1 监控命令命令描述show arp vrf vrf_name all显示当前系统中的ARP表项show arp attack-detection显示当前系统中的ARP袭击信息n show arpshow arp vrf vrf-name all语法描述vrf-name显示vrf-name中的ARP缓存all显示正在解析中的A

29、RP缓存【缺省情况】无。router#show arpLINK LEVEL ARP TABLEdestination gateway flags Refcnt Use Interface-129.255.117.5 0050.ba27.e285 405 2 32455 gigaethernet0129.255.150.1 0050.ba27.d0f5 405 2 1011270 gigaethernet0-& 注： 1、 destination为目的IP地址；2、 gateway为目的IP地址的MAC地址；3、 flags为标志位（405表达动态ARP，c05表达静态ARP）；4、 Refcn

30、t表达此条ARP被使用的次数；5、 Use表达发向该IP地址的帧个数；6、 Interface表达该IP地址那个接口相连。n show arp attack-detection在特权模式下输入下列命令将显示ARP袭击信息。show arp attack-detection【缺省情况】无。打印调试信息如下：IP Fabricator MAC Attack Time - - -1.1.1.1 0001.0001.0001 00:10ARP lost advertisement: 0ARP advertisement is offARP通告是否打开ARP advertisement interval

31、: 1000 millisecondARP通告间隔以上显示说明在00:10的时候发现了ARP袭击，被袭击IP为1.1.1.1，伪造的MAC为0001.0001.0001。% 注意：这个功能一方面需要配置静态ARP，将待保护的IP和对的MAC地址绑定起来。每个IP同时只能记录3次。5.2.4.2 调试命令命令描述(no) debug arp打开（关闭）ARP调试开关。clear arp-cache更新ARP缓存打印调试信息如下：03:22:40: IP ARP: received request on gigaethernet0 从gigaethernet0口接受到ARP request报文03

32、:22:40: src 13.0.0.1 0050.ba2a.32ac dst 13.0.0.3 0000.0000.0000 发送端为13.0.0.1，请求地址为13.0.0.303:22:40: IP ARP: send reply on gigaethernet0 从gigaethernet0发送ARP reply报文03:22:40: src 13.0.0.3 0001.7a02.9418 dst 13.0.0.1 0050.ba2a.32ac 发送端为13.0.0.3，目的地址为13.0.0.15.3 IP协议本节涉及以下内容：l IP协议基本配置命令l 监控和调试5.3.1 IP协

33、议基本配置命令命令描述配置模式defaultip routing使能IP路由转发configip directed-broadcast使能IP转发定向广播config-if-xxxdefaultip redirect使能IP重定向功能configip redirects使能接口IP重定向功能config-if-xxxip unreachables使能IP发送不可达差错config-if-xxxdefaultip option queue-length配置IP输入队列长度configdefaultip option default-ttl配置发送IP报文默认ttlconfigdefaultip

34、option fragment-ttl配置分派报文重组ttlconfigdefaultip option recv-checksum配置接口到IP报文是否需要进行校验和检查configdefaultip option send-checksum配置发送IP是否进行计算校验和configdefaultip option fragqueue-length设立分片重组队列的长度config& 注：命令描述前带“*”符号的表达该命令有配置实例具体说明。n ip routing迈普路由器缺省为允许IP路由转发。但在一些特定情况下，用户可以严禁路由功能，这可以通过下列操作来完毕：全局配置模式下使用命令：i

35、p routingno ip routingdefault ip routing【缺省情况】允许IP路由转发。用户通过no ip routing命令可以严禁IP路由转发；用户通过ip routing命令可以来允许IP路由转发。& 注：H01设备上，用户假如想关闭整个设备的IP转发能力，需要使用no ip mef，no ip pfa，no ip routing三个命令。n ip redirect迈普路由器缺省为可发送IP重定向。但在一些特定情况下，用户可以严禁发送IP重定向功能，这可以通过下列操作来完毕：在全局配置模式下执行命令：ip redirectno ip redirectdefault

36、ip redirect【缺省情况】允许发送IP重定向。用户通过no ip redirect命令可以严禁所有接口的IP发送IP重定向；用户通过ip redirect命令可以允许所有接口的IP发送IP重定向。n ip redirects在接口模式下执行命令：ip redirectsno ip redirects【缺省情况】允许接口发送IP重定向。用户通过no ip redirects命令可以严禁该接口的IP发送IP重定向；用户通过ip redirects命令可以来允许该接口的IP发送IP重定向。n ip unreachables当路由器转发报文时，出现目的地不可达，或者出现需要源端分片的时候，会发

37、送不可达报文。用户可以通过命令严禁或者允许这种能力。在接口模式下执行命令：ip unreachablesno ip unreachable【缺省情况】允许接口发送不可达差错报文。用户通过ip unreachables允许发送不可达差错报文。用户通过no ip unreachables严禁发送不可达差错报文。n ip directed-broadcast路由器接会接受定向广播。收到后是否进行转发，由命令控制。在接口模式下执行命令：ip directed-broadcastno ip directed-broadcast【缺省情况】严禁转发重定向报文。n ip option queue-lengt

38、h设立IP协议的输入队列深度ip option queue-length queue-lengthno ip option queue-length queue-lengthdefault ip option queue-length语法描述queue-lengthIP输入队列长度，范围【缺省情况】缺省为200。no命令和default命令恢复默认值。n ip option default-ttl设立发送IP数据报的缺省Time-To-Live (TTL)ip option default-ttl time-to-liveno ip option default-ttl time-to-liv

39、edefault ip option default-ttl语法描述time-to-liveIP报文生存时间，范围【缺省情况】缺省为64。no命令和default命令恢复默认值。生存时间并不是真正的时间，而是简化实现为报文通过路由器跳数。每通过一个路由器ttl减1,当ttl为零时，路由器丢弃这个IP报文。n ip option fragment-ttl设立发送分片IP数据报的缺省Time-To-Live (TTL)ip option fragment-ttl time-to-liveno ip option fragment-ttl time-to-livedefault ip option

40、fragment-ttl语法描述time-to-liveIP分片报文在重组之前生存时间，范围【缺省情况】缺省为60。no命令和default命令恢复默认值。n ip option fragqueue-length设立分片重组队列的长度ip option fragqueue-length queue-lengthno ip option fragqueue-length queue-lengthdefault ip option fragqueue-length语法描述queue-length分片队列的长度，范围【缺省情况】缺省为64。no命令和default命令恢复默认值。n ip optio

41、n recv-checksum设立IP接受报文校验和（recv-checksum）检查ip option recv-checksumno ip option recv-checksumdefault ip option recv-checksum【缺省情况】缺省为要检查报文校验和。no命令关闭选项，default命令恢复选项默认值。n ip option send-checksum设立IP发送报文校验和（send-checksum）生成ip option send-checksumno ip option send-checksumdefault ip option send-checksum

42、【缺省情况】缺省为发送报文需要进行校验和。no命令关闭选项，default命令恢复选项默认值。5.3.2 监控和调试5.3.2.1 监控命令命令描述show ip statistics显示IP报文记录信息show ip rawstate显示IP RAW报文记录信息show ip frag-queue显示分片队列信息router#show ip statisticsStatistics for the IP protocoltotal 1356-收发总的数据包个数badsum 0-校验错误的数据包个数tooshort 0-数据包太短的个数toosmall 0-数据包太小的个数badhlen 0-

43、头长度域错误的次数badlen 0-信息长度错误的次数infragments 0-接受的分片数据包数fragdropped 0-分片丢弃的数据包个数fragtimeout 0-分片超时的数据包个数forward 0-转发的数据包个数cantforward 1312-不能转发的数据包个数redirectsent 0-重定向发送的次数unknownprotocol 16-未知协议的数据包个数toupper2098-交往上层协议的数据包个数nobuffers 0-没有Buffer的次数reassembled 0-报文重组的个数outfragments 0-发送的分片数据报数noroute 0-没有路由的次数badaddress 0-地址错误的报文个数fastforwardtotal 0-快速转发的报文个数fastforward 0-快速转发成功的报文个数cannotfastforward 0-快速转发失败的报文个数mngindrop0-从管理接口接受并送往上层的非法报文个数mngoutdrop0-规定从管理接口发送的非法报文个数5.3.2.2 调试命令命令描述(no) debug ip packet打开（关闭）IP