1、16网络协议配置网络协议配置目 录第1章 配置IP寻址 11.1 IP概述 11.1.1 IP 11.1.2 IP路由协议 11.2 配置IP地址任务列表 21.3 配置IP地址 31.3.1 在网络接口配置IP地址 31.3.2 在网络接口配置多个IP地址 31.3.3 配置地址解析 41.3.4 配置一个路由进程 51.3.5 配置广播报文处理 61.3.6 检测和维护IP寻址 71.4 IP寻址示例 7第2章 配置IP服务 82.1 配置IP Service 82.1.1 管理IP连接 82.1.2 配置性能参数 112.1.3 检测和维护IP网络 112.2 配置访问列表 132.2.
2、1 过滤IP报文 132.2.2 建立标准的和扩展的IP访问列表 132.2.3 将访问列表应用到接口 142.2.4 扩展访问列表示例 14第1章 配置IP寻址1.1 IP概述1.1.1 IPInternet 协议 (IP) 是一个以报文形式在计算机网络中交换数据的协议。IP 具有寻址、分片、重组和协议复用功能。它是所有其它 IP 协议(统称为 IP 协议族)的基础。作为网络层协议,IP 包括用于路由的寻址和控制信息。 传输控制协议(TCP)建立在 IP 之上。TCP 是面向连接的协议,所以它规定了数据传输中数据和确认信息的格式。TCP 还规定了计算机用来确认数据正确到达的方法。TCP允许在
3、同一个系统中的多个应用程序同时进行通信,因为它可以把收到的数据分别送往各个应用程序。IP 寻址功能,例如地址解析协议(ARP),将在“配置 IP 寻址”中介绍。IP服务,例如ICMP, HSRP,IP统计和性能参数等,都将在“配置IP服务”中介绍。 1.1.2 IP路由协议在本公司的OLT中实现了多个IP路由动态协议,它们将在本文中各个协议的说明中分别予以介绍。IP路由协议一般分为两类:内部网关路由协议(IGP)和外部网关路由协议(EGP)。本公司OLT支持RIP、OSPF。您可以根据您的需要分别配置RIP、OSPF。在我们的OLT上,支持同时配置多个路由协议的进程,包括任意多个的OSPF进程
4、(如果内存能够分配),一个RIP进程。您可以使用redistribute将其它路由协议的路由重新发布到当前的路由进程的数据库中,以此来将多个协议进程的路由联系起来。为了配置IP动态路由协议,首先必须配置创建相应的进程,并且将相应的网络端口与一定的动态路由进程相联系起来,指定路由进程在那些端口上启动。为此,你可能需要在相应的配置命令文档中查看相关的配置步骤。1. 选择路由协议选择路由协议,这是一个复杂的过程。在选择路由协议的时候,你必须考虑如下的因素: 网络的大小以及复杂度; 是否需要支持可变长网络; 网络流量; 安全的要求; 可靠性的要求; 策略; 其它在这里,我们并不深入的介绍这个问题,只是
5、提醒用户注意,您所选择的路由协议必须要能够满足您网络的情况,适应您的需求。2. 内部网关路由协议内部网关路由协议是用来在一个自治系统中的网络目标。所有的IP内部网关路由协议在启动的同时必须将其与一定的网络相联系起来(比如配置network)。每个路由进程都监听网络上的来自其它OLT的更新报文,同时在网络上广播它自己的路由信息。本公司OLT支持的内部网关路由协议有: RIP OSPF3. 外部网关路由协议外部网关路由协议是用来在不同自治系统之间交换路由信息。一般要求配置相应的用来交换路由的邻居、公布为可到达的网络以及本地的自治系统号。本公司OLT支持的外部网关路由协议有BGP。1.2 配置IP地
6、址任务列表配置IP的一个基本和必需的要求就是要在OLT的网络接口上配置IP地址。这样才能激活这个接口,使它可以和其它系统用IP进行通信。同时还要确定IP网络掩码。 为了配置IP寻址功能,需要完成下列各项任务,其中第一项任务是必需的,其它都是可选的。 在本章的最后,“IP寻址示例”举例说明如何在网络中建立IP寻址。IP地址配置任务列表: 在网络接口配置IP地址 在网络接口配置多个IP地址 配置地址解析 配置一个路由进程 配置广播报文处理 检测和维护IP寻址1.3 配置IP地址1.3.1 在网络接口配置IP地址IP 地址确定了IP报文可以发送到的目的地址。某些 IP地址是有特殊的意义而被保留的,不
7、能作为主机地址或者是网络地址使用。表格1列出了IP地址的范围,以及保留地址和可以使用的IP地址。 类别地址或范围状态A0.0.0.01.0.0.0 to 126.0.0.0127.0.0.0保留可用保留B128.0.0.0 to 191.254.0.0191.255.0.0可用保留C192.0.0.0192.0.1.0 to 223.255.254223.255.255.0保留可用保留D224.0.0.0 to 239.255.255.255多目广播地址E240.0.0.0 to 255.255.255.254255.255.255.255保留广播有关IP地址的正式描述在RFC 1166 “I
8、nternet 数字”中。 如果希望得到可用的网络地址,和Internet服务提供商联系。 一个接口只能拥有一个主 IP 地址。要配置网络接口的主 IP 地址和网络掩码,在接口配置态使用下列命令:命令目的ip address ip-address mask配置接口的主 IP地址。掩码(mask)表示IP地址中的网络部分。注意:我们只支持按网络字节序从最高位开始连续置位的网络掩码。 1.3.2 在网络接口配置多个IP地址每个接口可以拥有多个IP地址,包括一个主IP地址和任意个从属IP地址。在以下几种情况下,需要配置从属IP地址: 当一个特定网段中没有足够的IP地址时。例如,某个逻辑子网中最多只有
9、254个有效IP地址,但是需要在实际的物理网络中连接300台主机。在OLT或者是访问服务器上配置从属IP地址,可以使两个逻辑子网使用同一个物理子网。 许多较早期的网络是基于第二层网桥,而不是被划分成多个子网。正确使用从属IP地址可以把这样的网络改造成基于路由的多个子网。在网络中的OLT,通过配置的从属IP地址,可以了解同样连接在这个物理网络中的多个子网。 当一个网络的两个子网,被另一个网络在物理上分隔开。这时,可以把这个网络的地址作为从属IP地址,从而可以把一个逻辑网络中的两个在物理上被分隔开的网络在逻辑上连接在一起。 注意:如果一个网段上的任意一台OLT配置了一个从属地址,则相同网段上的所有
10、其它OLT也需要配置同样网段的从属IP地址。 在网络接口配置多个地址,在接口配置态使用下列命令: 命令目的ip address ip-address mask secondary在网络接口上配置多个IP 地址。注意: IP 路由协议在发送路由更新信息时,可能会以不同的方式对待从属IP地址。1.3.3 配置地址解析IP实现允许在接口上控制IP地址解析和其它一些功能。下面介绍如何配置地址解析: 1. 建立地址解析一个IP设备可以同时有两个地址:本地地址(在本地网段或者是LAN唯一标识这台设备)和网络地址(表示设备所属的网络)。本地地址也就是通常所说的链路层地址,因为它是包含在链路层报文头部的,而且
11、是由链路层设备读取、使用的。专业人员通常称之为MAC 地址,因为链路层中的介质访问控制(MAC)子层是用来处理地址的。 例如,如果要与以太网上的一台设备通信,必须首先知道它的48比特MAC或者是本地数据链路层地址。从IP地址得到本地数据链路层地址的过程称为地址解析(ARP)。从本地链路层地址得到IP地址的过程称为反向地址解析(reverse address resolution)。 本系统使用两种形式的地址解析:地址解析协议(ARP)和代理ARP(proxy ARP)。ARP和代理ARP分别定义在RFC 826和 1027中。 ARP 用于映射IP地址到介质或者说是MAC地址。已知IP地址,A
12、RP确定相应的MAC地址。一旦MAC地址被确定,IP地址/MAC地址的关系就被保存在ARP缓存中以便快速取得。然后IP报文就可以被封装在链路层报文中,被发送到网络上去。 定义一条静态ARP缓存ARP 和其它的地址解析协议提供了在IP地址和介质地址之间的动态映射。由于大多数主机都支持动态地址解析,所以一般不需要配置静态的ARP缓存项。如果必须定义的话,可以在全局配置态定义,在ARP缓存中建立一个永久的表项。系统将使用这一表项把32比特的IP地址翻译成为48比特的硬件地址。另外,还可以指定OLT代替其它主机应答ARP请求。如果不希望ARP表项永久存在的话,可以设置ARP表项的生存时间。 下面的两个
13、表格列出了如何配置静态的IP地址/介质地址映射。 在全局配置态,使用下面的其中一条命令: 命令目的arp ip-address hardware-address在ARP缓存中全局地映射一个IP地址到介质地址。arp ip-address hardware-address alias指定OLT以自己的介质地址应答对指定IP地址的ARP请求。在接口配置态使用下述命令: 命令目的arp timeout seconds设置ARP缓存项在ARP缓存中的超时时间。要显示特定接口的ARP超时时间,使用show interfaces命令。 使用show arp命令来检查ARP缓存中的内容。使用clear ar
14、p-cache命令清除ARP缓存中所有的表项。 激活代理ARP系统使用代理ARP(RFC 1027定义)帮助没有相应路由的主机得到位于其它网络上的主机的介质地址。例如,当OLT收到一个ARP请求,如果OLT发现它所请求的主机和发出ARP请求的主机不连在OLT的同一个接口上,而且OLT所有到目的主机的路由都是通过其他接口,而不是收到ARP请求的接口,则它将发出一个代理ARP应答,回答自己的本地链路层地址。那台主机就会把报文发送给OLT,然后由OLT把它转发到目的主机。代理ARP功能缺省是被激活的。 要激活代理ARP,在接口配置态使用下列命令: 命令说明ip proxy-arp在接口上激活代理AR
15、P。2. 映射主机名称到IP地址任一IP地址都可以有一个主机名称与之对应。系统保存了一个可以被telnet,ping等命令使用的主机名到地址的映射缓存。要指定主机名到地址的映射,在全局配置态使用下列命令: 命令目的ip host name address静态地映射主机名到IP地址。1.3.4 配置一个路由进程配置到这里,用户可以根据各自网络的需要配置一个或者多个路由协议。路由协议提供有关互联网络的拓扑结构信息。配置IP路由协议,例如BGP,RIP,OSPF在后面的文档中介绍。 1.3.5 配置广播报文处理广播报文的目的地址是某个物理网络上的所有主机。网络主机通过特殊的地址识别广播报文。某些协议
16、频繁使用广播报文,其中包括一些重要的Internet协议。控制广播报文是IP网络管理员的一项基本工作。系统支持定向广播,也就是到特定网络的广播。系统不支持到一个网络中所有子网的广播。 某些早期的IP实现使用的不是现在的广播地址标准,它们使用全“0”而不是全“1”表示广播地址。因此,系统可以同时识别和接收这两种形式的报文。 1. 允许从定向广播到物理广播的翻译缺省情况下,IP定向广播报文都将被丢弃,而不被转发。丢弃IP定向广播报文使OLT不易受到“拒绝服务”类型的攻击。 用户可以在定向广播转成物理广播的接口上激活IP定向广播的转发功能。如果这一转发功能被激活,所有到这个接口所在网络的定向广播报文
17、都将被转发到这个接口,然后作为物理广播报文发送。 用户可以指定一个访问表来控制广播报文的转发。当指定了访问表以后,只有被访问表允许的IP报文才可以从定向广播转变到物理广播。 如果要激活IP定向广播的转发,在接口配置态使用下列命令: 命令说明ip directed-broadcast access-list-name在一个接口上允许从定向广播到物理广播的翻译。2. 转发UDP广播报文有时,网络主机使用UDP广播报文确定地址,配置和名称等信息。如果该主机所在的网络上没有相应的服务器,而一般情况下这些UDP报文又不会被转发,则主机无法得到这些信息。为解决这个问题,用户可以在相应的接口上配置把某些类型
18、的广播报文转发到一个帮助地址。一个接口可以配置多个帮助地址。用户可以指定一个UDP目的端口来控制哪些UDP报文将被转发。目前,系统缺省转发目的端口是NetBIOS名字服务(端口137)的UDP报文。如果要允许转发并指定目的地址,在接口配置态使用下列命令:命令说明ip helper-address address允许转发UDP广播报文并指定目的地址。如果要指定转发哪些协议,在全局配置态使用下列命令:命令说明ip forward-protocol udp port指定哪些接口的UDP协议被转发。1.3.6 检测和维护IP寻址要检测和维护网络,执行下列操作: 1. 清除缓存,列表和数据库用户可以清除
19、某个缓存、列表和数据库中的所有内容。当你认为某个缓存、列表或者数据库中的内容无效时,就需要清除它。下表中的操作与清除缓存、列表和数据库有关,在管理态使用下列命令: 命令目的clear arp-cache清除IP ARP缓存。2. 显示系统和网络统计数据系统可以显示特定的统计数据,如IP路由表,缓存和数据库。这些信息可以帮助确定系统资源使用情况,从而解决网络问题。系统还可以显示端点的可到达性以及发出报文在网络中的行进路线。 这些操作都列在下面的表中。这些命令的具体使用方法,请参见“IP寻径命令”一章。在管理态使用下列命令:命令目的show arp显示ARP表中的内容。show hosts显示主机
20、名-IP地址映射缓存表。show ip interface type number显示接口状态。show ip route protocol显示路由表的当前状态。ping host | address测试网络端点的可到达性。1.4 IP寻址示例在下面的例子中,在端口vlan 11配置IP地址。 interface vlan 11ip address 202.96.2.3 255.255.255.0 第2章 配置IP服务本章介绍如何配置IP可选服务。如果要了解本章提到的IP服务命令的详细使用方法,请参阅“IP服务命令”章节。 2.1 配置IP Service可以配置下列IP的可选服务: 管理IP
21、连接 配置性能参数 配置默认网关 检测和维护IP网络 这些操作并不是必需的,而是根据网络需要进行的。 2.1.1 管理IP连接IP提供了一系列的服务来控制和管理IP连接。大多数这样的服务是由ICMP提供的。ICMP报文一般是在OLT或者是访问服务器发现IP报头错误时发给主机或者是其它OLT的。ICMP主要由RFC 792定义。要管理IP连接的不同方面,执行下列相关操作: 1. 发送ICMP不可到达报文如果系统收到一个报文,但是发现无法把它送到目的地,例如没有相应的路由,它将发送一个ICMP主机不可到达报文给源主机。系统的这一功能是缺省打开的。如果这一功能被关闭的话,用户可以在接口配置态使用下列
22、命令打开这一功能: 命令目的ip unreachables发送ICMP不可到达报文的功能。2. 发送ICMP重定向报文有时,主机所选择的路由不是最佳的,因此收到报文的OLT发现,根据路由表要把这个报文从收到它的接口再次发送出去,转发到和发送主机在同一个网段上的另一台OLT。在这种情况下,OLT会通知源主机把到这一目的地址的报文直接发送到另一台OLT,而不必再经过本机。重定向报文要求源主机以报文中建议的更加直接的路由取代原来的路由。很多主机操作系统会在路由表中添加一条主机路由。但是,OLT更信任根据路由协议得到的信息,所以不会根据这条信息添加主机路由。这一功能是缺省打开的。但是,如果在这个接口上
23、配置了热备份OLT协议,则这项功能将被自动关闭。如果热备份OLT协议配置被取消,这一功能不会被自动打开。如果这一功能被关闭,可以在接口配置态使用下列命令打开发送ICMP重定向报文功能:命令目的ip redirects允许发送ICMP重定向报文。3. 发送ICMP掩码应答报文有时主机必须了解网络掩码,为了得到这一信息,主机可以发送ICMP掩码请求报文。OLT如果能确定这台主机的掩码,将回应ICMP掩码应答报文。缺省情况下,OLT不会发送ICMP掩码应答报文。如果要求发送ICMP掩码请求报文,在接口配置态使用下列命令:命令目的ip mask-reply发送ICMP掩码应答报文。4. 支持路径MTU
24、发现系统支持RFC 1191定义的IP路径MTU发现机制。IP路径MTU发现使主机可以动态发现和适应不同路径的最大发送单元(MTU)长度。有时,OLT发现收到的IP报文长度大于报文转发接口上设置的MTU,需要把IP报文分片,但是该IP报文的“不分片”位被置位,报文不允许被分片,所以报文只能被丢弃。这时,OLT会发送ICMP报文通知源主机转发失败的原因,以及转发接口上的MTU。源主机会减小发往这个目的地址的报文的长度,以适应这条路径的最小MTU。如果路径中的一条链路断开,将导致报文采用其它路径,它的最小MTU可能和原来的路径不同。这时,OLT会通知源主机新路径的MTU。在可能的情况下,应该尽量采
25、用路径中最小的MTU封装IP报文,这样,既避免分片,又发送尽可能少的报文,从而提高通信效率。相应的主机必须支持IP路径MTU发现,它才会根据OLT通知的MTU值调整发送的IP报文的长度,避免在转发过程中分片。5. 设置IP最大发送单元(MTU)所有的接口都有一个缺省的IP最大发送单元(MTU),也就是允许发送的最大IP报文长度。如果IP报文长度超过这个值的话,OLT就会对报文进行分片。改变接口的MTU值将会影响接口的IP MTU值。如果IP MTU与MTU相等的话,改变MTU,IP MTU将自动调整到和新的MTU值相同。但是,改变IP MTU不会影响MTU。IP MTU不能大于当前接口上配置的
26、MTU。连接在同一物理介质上的所有设备必须具有相同的协议MTU,才能正常通信。要设置特定接口上的IP MTU,在接口配置态使用下列命令:命令目的ip mtu bytes设置接口的IP MTU。6. 允许IP源路由OLT检查每个报文的IP报头选项,它支持RFC 791定义的IP报头选项:严格源路由、松弛源路由、记录路由和时戳。如果发现选项错误,将发送ICMP参数问题报文给源主机并丢弃报文。如果在源路由过程中发现错误,将发送ICMP不可到达(源路由失败)报文给源主机。IP允许源主机指定报文通过IP网络的路由,这称为源路由,可以在IP报头选项的源路由选项中指定。OLT必须根据该选项转发IP报文,或者
27、出于安全考虑丢弃这类报文,并发送ICMP不可到达(源路由失败)报文给源主机。OLT缺省支持源路由。如果IP源路由功能被关闭的话,可以在全局配置态使用下列命令允许IP源路由:命令说明ip source-route允许IP源路由。7. 允许IP快速交换IP快速交换使用路由缓存转发IP报文。当转发低一个到某目的地址的报文时,系统查找路由表,根据路由转发报文。然后,这条路由将被保存在系统软件路由缓存中,以后到达该主机的报文,将直接根据软件路由缓存中的路由转发,每转发一次对应路由表项的命中次数增加1,当命中次数到达用户设定值时,该路由缓存将被保存到系统硬件路由缓存中,以后再有到达该主机的报文将直接通过硬
28、件转发。如果缓存一段时间不被使用,将被超时删去。当系统软件或硬件缓存条目已满时,新的目的主机将不被缓存。要允许或者禁止快速交换,在接口配置态使用下列命令:命令 目的 ip route-cache 允许快速交换(使用路由缓存转发IP报文)。 no ip route-cache 禁止快速交换。 在全局配置态使用下列命令配置软件缓存条目保存到硬件路由缓存时需要的命中次数:命令 目的 ip route-cache hit-numbers hitnumber 软件缓存中的路由条目命中次数达到hitnumber时,将被保存到硬件路由条目中。 8. 允许同一接口上的IP快速交换 用户可以在允许同一VLAN接
29、口上的IP路由缓存,即接受接口和发送接口相同。通常情况下,建议不要开启这一功能,因为这和router的重定向功能冲突。要允许同一接口的IP路由缓存,在接口配置态使用下列command:命令说明ip route-cache same-interface 允许发送接口与接受接口相同的IP报文进行路由缓存。 2.1.2 配置性能参数要调节IP性能,执行下列操作。1. 设置TCP连接等待时间当OLT进行TCP连接时,如果在TCP连接等待时间之后连接还没有建立,OLT将认为连接失败,并把这一结果返回给上层应用程序。用户可以设置TCP连接等待时间,系统的缺省值是75秒。这项配置与OLT转接的TCP连接无关
30、,只与OLT本机建立的TCP连接有关。要设置TCP连接等待时间,在全局配置态使用下列命令: 命令目的ip tcp synwait-time seconds设置TCP连接等待时间。2. 设置TCP窗口尺寸缺省的TCP窗口尺寸是2000字节。如果要改变缺省的窗口尺寸,在全局配置态使用下列命令:命令目的ip tcp window-size bytes设置TCP窗口尺寸。2.1.3 检测和维护IP网络要检测和维护网络,执行下列操作:1. 清除缓存,列表和数据库用户可以清除某个缓存、列表或者是数据库中的所有内容。如果认为某个缓存、列表或是数据库中的数据不正确,则需要清除它。使用下列命令进行清除:命令目的clear tcp statistics清除TCP统计数据。2. 清除TCP连接如果要关闭某个TCP连接,使用下列命令:命令目的clear tcp local host-name port remote host-name port | tcb address清除指定的TCP连接。(TCB为TCP控制块:TCP Control Block)3. 显示系统和网络统计数据系统可以
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1