05操作手册网络与路由协议Word格式.docx

资源描述

05操作手册网络与路由协议Word格式.docx

《05操作手册网络与路由协议Word格式.docx》由会员分享，可在线阅读，更多相关《05操作手册网络与路由协议Word格式.docx（101页珍藏版）》请在冰豆网上搜索。

05操作手册网络与路由协议Word格式.docx

2.2.2对负载分担与路由备份的支持2-4

2.2.3路由协议之间的共享2-5

2.3Eudemon防火墙的路由功能2-5

第3章静态路由配置3-1

3.1静态路由简介3-1

3.1.1静态路由3-1

3.1.2缺省路由3-1

3.2静态路由配置3-1

3.2.1配置静态路由3-2

3.2.2配置缺省路由3-2

3.3路由表的显示和调试3-2

3.4静态路由配置举例3-3

3.5静态路由配置的故障诊断与排除3-4

第4章RIP配置4-1

4.1RIP简介4-1

4.1.1RIP的工作机制4-1

4.1.2RIP的启动和运行过程4-2

4.2RIP的配置4-2

4.2.1启动RIP并进入RIP视图4-3

4.2.2使能指定网段的RIP接口4-3

4.2.3配置报文的定点传送4-4

4.2.4指定接口的RIP版本4-4

4.2.5配置接口报文的零域检查4-4

4.2.6指定接口的工作状态4-5

4.2.7禁止主机路由4-6

4.2.8启动路由聚合功能4-6

4.2.9配置对RIP报文进行认证4-6

4.2.10配置水平分割4-7

4.2.11引入其它协议的路由4-7

4.2.12配置缺省路由权4-8

4.2.13配置RIP协议的优先级4-8

4.2.14配置附加路由权4-9

4.2.15配置路由过滤4-9

4.3RIP显示和调试4-10

4.4RIP典型配置案例4-10

4.4.1配置指定接口的工作状态4-10

4.5RIP故障诊断与排除4-12

第5章OSPF配置5-1

5.1OSPF简介5-1

5.1.1OSPF概述5-1

5.1.2OSPF的路由计算过程5-1

5.1.3OSPF相关的基本概念5-2

5.1.4OSPF的协议报文5-4

5.1.5OSPF的LSA类型5-4

5.1.6VRP支持的OSPF特性5-6

5.2OSPF的配置5-6

5.2.1配置RouterID5-8

5.2.2启动OSPF5-8

5.2.3进入OSPF区域视图5-9

5.2.4在指定网段使能OSPF5-9

5.2.5配置OSPF虚连接5-9

5.2.6配置OSPF网络类型5-10

5.2.7配置邻接点5-11

5.2.8配置OPSF的路由引入5-12

5.2.9配置OSPF的路由过滤5-14

5.2.10配置OSPF的路由聚合5-15

5.2.11配置OSPF优先级5-16

5.2.12配置OSPF定时器5-16

5.2.13配置选举DR时的优先级5-17

5.2.14配置接口发送报文的开销5-18

5.2.15配置OSPF的SPF计算间隔5-19

5.2.16配置发送链路状态更新报文所需时间5-19

5.2.17配置接口发送DD报文时是否填MTU值5-20

5.2.18配置OSPF认证5-20

5.2.19配置接口的工作状态5-21

5.2.20配置OSPF的STUB区域5-21

5.2.21配置OSPF的NSSA区域5-22

5.2.22使能OSPF的Opaque能力5-23

5.2.23配置OSPF与网管系统的配合5-24

5.2.24重启OSPF5-25

5.3OSPF显示和调试5-25

5.4OSPF典型配置举例5-26

5.4.1配置OSPF多进程5-27

5.4.2配置OSPF优先级的“DR”选择5-28

5.4.3配置OSPF虚链路5-30

5.4.4配置OSPF邻居认证5-32

5.5OSPF故障诊断与排除5-34

第6章IP单播策略路由配置6-1

6.1IP单播策略路由简介6-1

6.2IP单播策略路由的配置6-1

6.2.1创建策略6-1

6.2.2配置Route-policy的if-match子句6-2

6.2.3配置Route-policy的apply子句6-2

6.2.4使能/禁止本地策略路由6-3

6.2.5使能/禁止接口策略路由6-3

6.3IP单播策略路由显示和调试6-4

6.4IP单播策略路由典型配置举例6-4

6.4.1配置基于源地址的策略路由6-4

6.4.2配置基于报文大小的策略路由6-5

第1章IP地址和IP性能配置

1.1IP地址介绍

所谓IP地址，是指分配给连接在Internet上的主机的一个唯一的32比特地址。

IP地址一般由两部分组成：

第一部分为网络号码，第二部分为主机号码。

IP地址的结构使我们可以在Internet上方便地进行寻址。

IP地址由美国国防数据网的网络信息中心（NIC）进行分配。

为了方便IP地址的管理以及组网，Internet的IP地址分成五类。

如图1-1所示，IP地址由下列两个字段组成：

●网络号码字段（net-id）；

网络号码字段的前几位称为类别字段（又称为类别比特），用来区分IP地址的类型。

●主机号码字段（host-id）。

图1-1五类IP地址

D类地址是一种组播地址，主要是留给Internet体系结构委员会IAB（InternetArchitectureBoard）使用。

E类地址保留在今后使用。

目前大量使用中的IP地址属于A、B、C三种中的一种。

在使用IP地址时要知道一些IP地址是保留作为特殊用途的，一般不使用。

下表列出用户可配置的IP地址范围。

表1-1IP地址分类及范围

网络类型

地址范围

用户可用的IP网络范围

说明

0.0.0.0～127.255.255.255

1.0.0.0～126.0.0.0

全0的主机号码表示该IP地址就是网络的地址，用于网络路由；

全1的主机号码表示广播地址，即对该网络上所有的主机进行广播；

IP地址0.0.0.0用于启动后不再使用的主机；

网络号码为0的IP地址表示当前网络，可以让机器引用自己的网络而不必知道其网络号；

所有形如127.X.Y.Z的地址都保留作回路测试，发送到这个地址的分组不会输出到线路上，它们被内部处理并当作输入分组。

128.0.0.0～191.255.255.255

128.0.0.0～191.254.0.0

全1的主机号码表示广播地址，即对该网络上所有的主机进行广播。

192.0.0.0～223.255.255.255

192.0.0.0～223.255.254.0

224.0.0.0～239.255.255.255

无

D类地址是一种组播地址。

240.0.0.0～247.255.255.255

保留今后使用。

其它地址

255.255.255.255

255.255.255.255用于局域网广播地址。

IP地址有一些重要的特点：

（2）IP地址是一种非等级的地址结构，和电话号码的结构不一样，也就是说，IP地址不能反映任何有关主机位置的地理信息。

（3）当一个主机同时连接到两个网络上时（作防火墙用的主机即为这种情况），该主机就必须同时具有两个相应的IP地址，其网络号码net-id是不同的，这种主机成为多地址主机（multihomedhost）。

（4）按照Internet的观点，用转发器或网桥连接起来的若干个局域网仍为一个网络，因此这些局域网都具有同样的网络号码net-id。

（5）在IP地址中，所有分配到网络号码net-id的网络（不管是小的局域网还是很大的广域网）都是平等的。

从1985年起，为了使IP地址的使用更加灵活，只分配IP地址的网络号码net-id，而后面的主机号码host-id则是受本单位控制。

即某个单位申请到IP地址时，实际上只是拿到了一个网络号码net-id，具体的各个主机号码host-id则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号码即可。

当一个单位的主机很多而且分布在很大的地理范围时，为了便于管理，可将单位内部的主机号码再进一步划分为多个子网。

需要注意的是，子网的划分纯属本单位内部的事，在本单位以外是看不见划分的操作。

从外部看，这个单位只有一个网络号码。

只有当外面的报文进入到本单位范围后，本单位的防火墙才根据子网号码再进行选路，找到目的主机。

如图1-2所示，为一个B类IP地址划分子网情况，其中子网掩码由一串连续的“1”和一串连续的“0”组成。

“1”对应于网络号码和子网号码字段，而“0”对应于主机号码字段。

图1-1IP地址子网划分

多划分出一个子网号码字段是要付出代价的。

举例来说，本来一个B类IP地址可以容纳65534个主机号码。

但划分出6bit长的子网字段后，最多可有64个子网，每个子网有10bit的主机号码，即每个子网最多可有1022（210-2，去掉全1和全0的主机号码）个主机号码。

因此主机号码的总数是64*1022=65408个，比不划分子网时要少126个。

若一个单位不进行子网的划分，则其子网掩码即为默认值，此时子网掩码中“1”的长度就是网络号码的长度。

因此，对于A，B和C类的IP地址，其对应子网掩码的默认值分别为255.0.0.0；

255.255.0.0.和255.255.255.0。

一台防火墙用来连接多个网络，具有多个网络的IP地址。

上面讲的IP地址还不能直接用来进行通信。

这是因为：

●IP地址只是主机在网络层中的地址，若要将网络层中传送的数据报交给目的主机，必须知道该主机的物理地址。

因此必须将IP地址解析为物理地址。

●用户平时不愿意使用难于记忆的IP地址，而是愿意使用易于记忆的主机名，因此也需要将主机名解析为IP地址。

下图表示了主机名、IP地址和物理地址之间的关系。

图1-2主机名、IP地址和物理地址之间的关系

1.2IP地址的配置

1.2.1配置接口IP地址

防火墙的每个接口可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址。

IP地址的配置支持如下情况：

●父接口和子接口之间可以是同一网段

●兄弟接口之间可以是同一网段

●主从地址可以是同一网段

1.配置接口主IP地址

一个接口只能有一个主IP地址，用下面的命令可修改接口的主IP地址和网络的掩码。

请在接口视图下进行下列配置。

表1-1配置接口主IP地址

操作

命令

配置接口主IP地址

ipaddressip-addressnet-mask

通过掩码来标识IP地址包含的网号，例如：

防火墙以太网口的IP地址是129.9.30.42，掩码是255.255.0.0，将IP地址与掩码相“与”后，可知防火墙以太网接口所在网段的地址为129.9.0.0。

当配置主IP地址时，如果接口上已经有主IP地址，则原主IP地址被删除，新配置的地址成为主IP地址。

缺省情况下，无主IP地址。

2.配置接口从IP地址

除了主IP地址外，一个接口上还可配置多个从IP地址。

配置从IP地址的主要目的在于使同一接口能位于不同的子网上，从而产生以同一接口为输出端口的网络路由，这样通过同一接口实现与多个子网相连。

表1-1配置接口从IP地址

配置接口从IP地址

ipaddressip-addressnet-masksub

缺省情况下，无从IP地址。

3.删除接口IP地址

表1-1删除接口IP地址

删除IP地址

undoipaddress[ip-addressnet-mask[sub]]

使用该命令时若不带任何参数，将删除该接口的所有IP地址。

undoipaddress命令不带任何参数表示删除该接口的所有IP地址。

undoipaddressip-addressnet-mask表示删除主IP地址，undoipaddressip-addressnet-masksub表示删除从IP地址。

在删除主IP地址前必须先删除完所有的从IP地址。

4.配置接口IP地址可协商属性

若接口封装了PPP，本端接口还未配置IP地址而对端已有IP地址时，可为本端接口配置IP地址可协商属性（在本端防火墙上配置ipaddressppp-negotiate命令，在对端防火墙上配置remoteaddress命令），使本端接口接受PPP协商产生的由对端分配的IP地址。

该配置主要用于在通过ISP访问Internet时，得到由ISP分配的IP地址。

表1-1配置接口IP地址可协商属性

配置接口IP地址可协商属性

ipaddressppp-negotiate

取消接口IP地址可协商属性

undoipaddressppp-negotiate

配置为对端接口分配IP地址

remoteaddress{ip-address|pool[pool-number]}

取消为对端接口分配IP地址

undoremoteaddress

系统缺省为不允许接口IP地址的协商。

注意：

●因PPP支持IP地址的协商，所以只有当接口封装了PPP时，才能配置接口IP地址的协商，当PPP协议down时，协商产生的IP地址将被删除。

●若接口原来配有地址，在配置接口IP地址协商后，原IP地址将被删除。

●配置接口IP地址协商后，不需再给该接口配IP地址，IP地址由协商获得。

●配置接口IP地址协商后，再次配置该接口协商，原协商产生的IP地址将被删除，接口再次协商获得IP地址。

●在协商地址被删除后，接口将处于无地址状态。

●Loopback的地址可被其它接口借用，但本身不能借用其它接口的地址。

1.2.2IP地址显示和调试

在完成上述配置后，在所有视图下执行display命令可以显示IP地址配置后的运行情况，通过查看显示信息验证配置的效果。

表1-1IP地址显示和调试

显示各接口的配置状况

displayipinterface[interface-typeinterface-number|interface-name]

1.2.3IP地址配置举例

1.组网需求

为防火墙以太网口Ethernet1/0/0配置IP地址，要求主IP地址为129.2.2.1，从地址为129.1.3.1。

2.组网图

图1-1为防火墙接口配置主从IP地址

3.配置步骤

#配置防火墙以太网口Ethernet1/0/0的主从IP地址。

[Eudemon]interfaceethernet1/0/0

[Eudemon-Ethernet1/0/0]ipaddress129.2.2.1255.255.255.0

[Eudemon-Ethernet1/0/0]ipaddress129.1.3.1255.255.255.0sub

1.2.4IP地址配置排错

Eudemon防火墙提供网络互连功能，因而在给接口配置IP地址时，我们必须明白组网需求和子网的划分。

一般应遵循如下原则：

●防火墙以太网口主IP地址必须与该以太网口所连的局域网在同一网段。

故障之一：

从防火墙ping局域网中某一主机不通。

故障排除：

●首先检查防火墙以太网口和局域网中主机的IP地址配置，是否位于同一网段。

●如果配置正确，可以在防火墙上打开arp调试开关，查看防火墙是否正确地发送和接收arp报文，如果只有发送，没有接收到arp报文，则有可能以太网物理层有问题。

故障之二：

接口封装PPP或帧中继等协议时，链路层协议状态没有变为UP。

检查该接口IP地址与对端是否在同一网段上。

1.3ARP的配置

1.3.1动态ARP简介

ARP即地址解析协议，主要用于从IP地址到以太网MAC地址的解析。

一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。

1.3.2静态ARP简介

在某些情况下，如将目的地址不在本网段的报文，绑定到某个特定网卡，使得到该IP地址的报文能通过该网关进行转发；

或是当用户需要过滤掉一些非法IP地址（如将这些非法地址绑定到某个不存在的MAC地址），就需要用户手工配置静态ARP表中的映射项。

1.3.3静态ARP的配置

静态ARP配置包括：

●手工添加/删除静态ARP映射项

请在系统视图下进行下列配置。

表1-1手工添加/删除静态ARP映射项

手工添加静态ARP映射项

arpstaticip-addressethernet-address[vpn-instance-name]

手工删除静态ARP映射项

undoarpip-address[vpn-instance-name]

静态ARP映射项在防火墙正常工作时间一直有效，而动态ARP映射项的有效时间为20分钟。

缺省情况下，由动态ARP协议获取地址映射。

1.3.4ARP显示和调试

在完成上述配置后，在所有视图下执行display命令可以显示ARP配置后的运行情况，通过查看显示信息验证配置的效果。

执行reset命令可以清除该运行情况。

在用户视图下，执行debugging命令可以对ARP进行调试。

表1-1ARP显示和调试

显示ARP映射表

displayarp[static|dynamic|all]

清除ARP映射表中的ARP项

resetarp[all|dynamic|static|interface{interface-typeinterface-number|interface-name}]

打开ARP调试信息开关

debuggingarppacket

1.4DNS的配置

1.4.1域名解析简介

TCP/IP不仅提供了IP地址来确定设备，而且还专门设计了一种字符串形式的主机命名机制。

这就是所谓的域名系统。

此系统使用一种有层次的命名方式，为网间网上的设备指定一个有意义的名字，并且在网络上设有域名解析服务器，完成域名与IP地址的对应关系。

这样一来用户就可以使用便于记忆的、有意义的域名，而不必去记忆晦涩难懂的IP地址。

域名解析分为动态解析和静态解析，二者可以相辅相成，在解析域名时，可以首先采用静态解析的方法，如果静态解析不成功，再采用动态解析的方法。

可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。

●动态解析有专用的域名解析服务器，负责接受客户提出的域名解析请求，服务器首先在本机数据库内部解析，如果判断不属于本域范围之内，就将请求交给上一级的域名解析服务器，直到完成解析，解析的结果或者为IP地址，或者域名不存在，并将解析的结果反馈给客户机。

●静态解析即手动建立域名和IP地址之间的对应关系。

当客户机需要域名所对应的IP地址，即到静态域名解析表中去查找指定的域名，然后获得所对应的IP地址。

1.4.2静态域名解析的配置

1.静态域名解析简介

静态域名解析是通过静态域名解析表进行的，静态域名解析表类似于Windows9X操作系统之下的hosts文件，防火墙可以通过查询此表而获取常见域名的IP地址，同时用户可以使用便于记忆的主机名而不是抽象的IP地址来访问相应的设备。

2.配置主机名和对应IP地址

请在系统视图下进行下列操作。

表1-1配置主机名和对应IP地址

配置主机名和对应IP地址

iphosthostnameip-address

取消主机名和对应的IP地址

undoiphosthostname[ip-address]

3.域名解析表显示和调试

表1-1域名解析表显示和调试

显示静态域名解析表

displayiphost

1.5DHCP中继配置

1.5.1DHCP中继技术简介

随着网络规模的不断扩大、网络复杂度的不断提高，进行网络配置也变得越来越复杂，原有的针对静态主机配置的BOOTP协议已经越来越不适应人们的需求了。

在计算机经常移动（如便携机的使用或无线网络）和实际计算机数量超过可分配的IP地址等场合下，BOOTP协议显得尤为捉襟见肘。

为方便用户快速接入和退出网络、提高IP地址资源的利用率以及支持无盘网络工作站等机制，在BOOTP协议的基础上，人们制定了动态主机配置协议（DynamicHostConfigurationProtocol，DHCP）。

与BOOTP协议一样，DHCP协议也是以客户机/服务器（Client/Server）模式工作的。

利用该协议，DHCP客户机可以向DHCP服务器动态地请求配置信息，包括分配的IP地址、子网掩码、缺省网关等重要参数，而DHCP服务器也可以很方便地为其动态配置这些信息。

早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，不可以跨网段工作。

因此，为进行动态主机配置，需要在所有网段上都配置一个DHCP服务器——这显然是不经济的。

DHCP中继的引入解决了这一难题：

它在处于不同网段间的DHCP客户机和服务器之间承担中继服务，可以将DHCP协议报文跨网段中继到目的DHCP服务器（或客户机），于是许多网络上的DHCP客户机可以使用同一个DHCP服务器。

这样，既节省成本又便于集中管理。

图1-1DHCP中继示意图

上图是DHCP中继的示意图。

展开阅读全文