05操作手册网络与路由协议.docx

1、05操作手册网络与路由协议目 录第1章 IP地址和IP性能配置 1-11.1 IP地址介绍 1-11.2 IP地址的配置 1-41.2.1 配置接口IP地址 1-41.2.2 IP地址显示和调试 1-61.2.3 IP地址配置举例 1-61.2.4 IP地址配置排错 1-71.3 ARP的配置 1-71.3.1 动态ARP简介 1-71.3.2 静态ARP简介 1-81.3.3 静态ARP的配置 1-81.3.4 ARP显示和调试 1-81.4 DNS的配置 1-91.4.1 域名解析简介 1-91.4.2 静态域名解析的配置 1-91.5 DHCP中继配置 1-101.5.1 DHCP中继技

2、术简介 1-101.5.2 DHCP中继配置 1-111.5.3 DHCP中继显示和调试 1-121.5.4 DHCP典型配置举例 1-131.5.5 DHCP中继排错 1-141.6 IP性能配置 1-141.6.1 配置接口最大传输单元（MTU） 1-141.6.2 配置TCP属性 1-141.6.3 IP性能显示和调试 1-151.6.4 IP性能配置排错 1-16第2章 IP路由协议概述 2-12.1 IP路由和路由表介绍 2-12.1.1 路由和路由段 2-12.1.2 通过路由表进行选路 2-22.2 路由管理策略 2-32.2.1 路由协议及其发现路由的优先级 2-32.2.2

3、对负载分担与路由备份的支持 2-42.2.3 路由协议之间的共享 2-52.3 Eudemon防火墙的路由功能 2-5第3章 静态路由配置 3-13.1 静态路由简介 3-13.1.1 静态路由 3-13.1.2 缺省路由 3-13.2 静态路由配置 3-13.2.1 配置静态路由 3-23.2.2 配置缺省路由 3-23.3 路由表的显示和调试 3-23.4 静态路由配置举例 3-33.5 静态路由配置的故障诊断与排除 3-4第4章 RIP配置 4-14.1 RIP简介 4-14.1.1 RIP的工作机制 4-14.1.2 RIP的启动和运行过程 4-24.2 RIP的配置 4-24.2.1

4、 启动RIP并进入RIP视图 4-34.2.2 使能指定网段的RIP接口 4-34.2.3 配置报文的定点传送 4-44.2.4 指定接口的RIP版本 4-44.2.5 配置接口报文的零域检查 4-44.2.6 指定接口的工作状态 4-54.2.7 禁止主机路由 4-64.2.8 启动路由聚合功能 4-64.2.9 配置对RIP报文进行认证 4-64.2.10 配置水平分割 4-74.2.11 引入其它协议的路由 4-74.2.12 配置缺省路由权 4-84.2.13 配置RIP协议的优先级 4-84.2.14 配置附加路由权 4-94.2.15 配置路由过滤 4-94.3 RIP显示和调试

5、4-104.4 RIP典型配置案例 4-104.4.1 配置指定接口的工作状态 4-104.5 RIP故障诊断与排除 4-12第5章 OSPF配置 5-15.1 OSPF简介 5-15.1.1 OSPF概述 5-15.1.2 OSPF的路由计算过程 5-15.1.3 OSPF相关的基本概念 5-25.1.4 OSPF的协议报文 5-45.1.5 OSPF的LSA类型 5-45.1.6 VRP支持的OSPF特性 5-65.2 OSPF的配置 5-65.2.1 配置Router ID 5-85.2.2 启动OSPF 5-85.2.3 进入OSPF区域视图 5-95.2.4 在指定网段使能OSPF

6、5-95.2.5 配置OSPF虚连接 5-95.2.6 配置OSPF网络类型 5-105.2.7 配置邻接点 5-115.2.8 配置OPSF的路由引入 5-125.2.9 配置OSPF的路由过滤 5-145.2.10 配置OSPF的路由聚合 5-155.2.11 配置OSPF优先级 5-165.2.12 配置OSPF定时器 5-165.2.13 配置选举DR时的优先级 5-175.2.14 配置接口发送报文的开销 5-185.2.15 配置OSPF的SPF计算间隔 5-195.2.16 配置发送链路状态更新报文所需时间 5-195.2.17 配置接口发送DD报文时是否填MTU值 5-205.

7、2.18 配置OSPF认证 5-205.2.19 配置接口的工作状态 5-215.2.20 配置OSPF的STUB区域 5-215.2.21 配置OSPF的NSSA区域 5-225.2.22 使能OSPF的Opaque能力 5-235.2.23 配置OSPF与网管系统的配合 5-245.2.24 重启OSPF 5-255.3 OSPF显示和调试 5-255.4 OSPF典型配置举例 5-265.4.1 配置OSPF多进程 5-275.4.2 配置OSPF优先级的“DR”选择 5-285.4.3 配置OSPF虚链路 5-305.4.4 配置OSPF邻居认证 5-325.5 OSPF故障诊断与排除

8、 5-34第6章 IP单播策略路由配置 6-16.1 IP单播策略路由简介 6-16.2 IP单播策略路由的配置 6-16.2.1 创建策略 6-16.2.2 配置Route-policy的if-match子句 6-26.2.3 配置Route-policy的apply子句 6-26.2.4 使能/禁止本地策略路由 6-36.2.5 使能/禁止接口策略路由 6-36.3 IP单播策略路由显示和调试 6-46.4 IP单播策略路由典型配置举例 6-46.4.1 配置基于源地址的策略路由 6-46.4.2 配置基于报文大小的策略路由 6-5第1章 IP地址和IP性能配置1.1 IP地址介绍所谓IP

9、地址，是指分配给连接在Internet上的主机的一个唯一的32比特地址。IP地址一般由两部分组成：第一部分为网络号码，第二部分为主机号码。IP地址的结构使我们可以在Internet上方便地进行寻址。IP地址由美国国防数据网的网络信息中心（NIC）进行分配。为了方便IP地址的管理以及组网，Internet的IP地址分成五类。如图1-1所示，IP地址由下列两个字段组成： 网络号码字段（net-id）；网络号码字段的前几位称为类别字段（又称为类别比特），用来区分IP地址的类型。 主机号码字段（host-id）。图1-1 五类IP地址D类地址是一种组播地址，主要是留给Internet体系结构委员会IA

10、B（Internet Architecture Board）使用。E类地址保留在今后使用。目前大量使用中的IP地址属于A、B、C三种中的一种。在使用IP地址时要知道一些IP地址是保留作为特殊用途的，一般不使用。下表列出用户可配置的IP地址范围。表1-1 IP地址分类及范围网络类型地址范围用户可用的IP网络范围说明A0.0.0.0127.255.255.2551.0.0.0126.0.0.0全0的主机号码表示该IP地址就是网络的地址，用于网络路由；全1的主机号码表示广播地址，即对该网络上所有的主机进行广播；IP地址0.0.0.0用于启动后不再使用的主机；网络号码为0的IP地址表示当前网络，可以让

11、机器引用自己的网络而不必知道其网络号；所有形如127.X.Y.Z的地址都保留作回路测试，发送到这个地址的分组不会输出到线路上，它们被内部处理并当作输入分组。B128.0.0.0191.255.255.255 128.0.0.0191.254.0.0全0的主机号码表示该IP地址就是网络的地址，用于网络路由；全1的主机号码表示广播地址，即对该网络上所有的主机进行广播。C192.0.0.0223.255.255.255 192.0.0.0223.255.254.0全0的主机号码表示该IP地址就是网络的地址，用于网络路由；全1的主机号码表示广播地址，即对该网络上所有的主机进行广播。D224.0.0.0

12、239.255.255.255 无D类地址是一种组播地址。E240.0.0.0247.255.255.255 无保留今后使用。其它地址255.255.255.255 255.255.255.255255.255.255.255用于局域网广播地址。IP地址有一些重要的特点：(2) IP地址是一种非等级的地址结构，和电话号码的结构不一样，也就是说，IP地址不能反映任何有关主机位置的地理信息。(3) 当一个主机同时连接到两个网络上时（作防火墙用的主机即为这种情况），该主机就必须同时具有两个相应的IP地址，其网络号码net-id是不同的，这种主机成为多地址主机（multihomed host）。(4)

13、 按照Internet的观点，用转发器或网桥连接起来的若干个局域网仍为一个网络，因此这些局域网都具有同样的网络号码net-id。(5) 在IP地址中，所有分配到网络号码net-id的网络（不管是小的局域网还是很大的广域网）都是平等的。从1985年起，为了使IP地址的使用更加灵活，只分配IP地址的网络号码net-id，而后面的主机号码host-id则是受本单位控制。即某个单位申请到IP地址时，实际上只是拿到了一个网络号码net-id，具体的各个主机号码host-id 则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号码即可。当一个单位的主机很多而且分布在很大的地理范围时，为了便于管理

14、，可将单位内部的主机号码再进一步划分为多个子网。需要注意的是，子网的划分纯属本单位内部的事，在本单位以外是看不见划分的操作。从外部看，这个单位只有一个网络号码。只有当外面的报文进入到本单位范围后，本单位的防火墙才根据子网号码再进行选路，找到目的主机。如图1-2所示，为一个B类IP地址划分子网情况，其中子网掩码由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码和子网号码字段，而“0”对应于主机号码字段。图1-1 IP地址子网划分多划分出一个子网号码字段是要付出代价的。举例来说，本来一个B类IP地址可以容纳65534个主机号码。但划分出6bit长的子网字段后，最多可有64个子网，每个子

15、网有10bit的主机号码，即每个子网最多可有1022（210-2，去掉全1和全0的主机号码）个主机号码。因此主机号码的总数是64* 1022 = 65408个，比不划分子网时要少126个。若一个单位不进行子网的划分，则其子网掩码即为默认值，此时子网掩码中“1”的长度就是网络号码的长度。因此，对于A，B和C类的IP地址，其对应子网掩码的默认值分别为255.0.0.0；255.255.0.0.和255.255.255.0。一台防火墙用来连接多个网络，具有多个网络的IP地址。上面讲的IP地址还不能直接用来进行通信。这是因为： IP地址只是主机在网络层中的地址，若要将网络层中传送的数据报交给目的主机，

16、必须知道该主机的物理地址。因此必须将IP地址解析为物理地址。 用户平时不愿意使用难于记忆的IP地址，而是愿意使用易于记忆的主机名，因此也需要将主机名解析为IP地址。下图表示了主机名、IP地址和物理地址之间的关系。图1-2 主机名、IP地址和物理地址之间的关系1.2 IP地址的配置1.2.1 配置接口IP地址防火墙的每个接口可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址。IP地址的配置支持如下情况： 父接口和子接口之间可以是同一网段 兄弟接口之间可以是同一网段 主从地址可以是同一网段1. 配置接口主IP地址一个接口只能有一个主IP地址，用下面的命令可修改接口的主IP地址和网络的掩码

17、。请在接口视图下进行下列配置。表1-1 配置接口主IP地址操作命令配置接口主IP地址ip address ip-address net-mask通过掩码来标识IP地址包含的网号，例如：防火墙以太网口的IP地址是129.9.30.42，掩码是255.255.0.0，将IP地址与掩码相“与”后，可知防火墙以太网接口所在网段的地址为129.9.0.0。当配置主IP地址时，如果接口上已经有主IP地址，则原主IP地址被删除，新配置的地址成为主IP地址。缺省情况下，无主IP地址。2. 配置接口从IP地址除了主IP地址外，一个接口上还可配置多个从IP地址。配置从IP地址的主要目的在于使同一接口能位于不同的子

18、网上，从而产生以同一接口为输出端口的网络路由，这样通过同一接口实现与多个子网相连。请在接口视图下进行下列配置。表1-1 配置接口从IP地址操作命令配置接口从IP地址ip address ip-address net-mask sub缺省情况下，无从IP地址。3. 删除接口IP地址请在接口视图下进行下列配置。表1-1 删除接口IP地址操作命令删除IP地址undo ip address ip-address net-mask sub 使用该命令时若不带任何参数，将删除该接口的所有IP地址。undo ip address命令不带任何参数表示删除该接口的所有IP地址。undo ip address i

19、p-address net-mask表示删除主IP地址，undo ip address ip-address net-mask sub表示删除从IP地址。在删除主IP地址前必须先删除完所有的从IP地址。4. 配置接口IP地址可协商属性若接口封装了PPP，本端接口还未配置IP地址而对端已有IP地址时，可为本端接口配置IP地址可协商属性（在本端防火墙上配置ip address ppp-negotiate命令，在对端防火墙上配置remote address命令），使本端接口接受PPP协商产生的由对端分配的IP地址。该配置主要用于在通过ISP访问Internet时，得到由ISP分配的IP地址。请在接口

20、视图下进行下列配置。表1-1 配置接口IP地址可协商属性操作命令配置接口IP地址可协商属性ip address ppp-negotiate取消接口IP地址可协商属性undo ip address ppp-negotiate配置为对端接口分配IP地址remote address ip-address | pool pool-number 取消为对端接口分配IP地址undo remote address系统缺省为不允许接口IP地址的协商。 注意： 因PPP支持IP地址的协商，所以只有当接口封装了PPP时，才能配置接口IP地址的协商，当PPP协议down 时，协商产生的IP地址将被删除。 若接口原来

21、配有地址，在配置接口IP地址协商后，原IP地址将被删除。 配置接口IP地址协商后，不需再给该接口配IP地址，IP地址由协商获得。 配置接口IP地址协商后，再次配置该接口协商，原协商产生的IP地址将被删除，接口再次协商获得IP地址。 在协商地址被删除后，接口将处于无地址状态。 Loopback的地址可被其它接口借用，但本身不能借用其它接口的地址。1.2.2 IP地址显示和调试在完成上述配置后，在所有视图下执行display命令可以显示IP地址配置后的运行情况，通过查看显示信息验证配置的效果。表1-1 IP地址显示和调试操作命令显示各接口的配置状况display ip interface inte

22、rface-type interface-number | interface-name 1.2.3 IP地址配置举例1. 组网需求为防火墙以太网口Ethernet1/0/0配置IP地址，要求主IP地址为129.2.2.1，从地址为129.1.3.1。2. 组网图图1-1 为防火墙接口配置主从IP地址3. 配置步骤# 配置防火墙以太网口Ethernet1/0/0的主从IP地址。Eudemon interface ethernet 1/0/0Eudemon-Ethernet1/0/0 ip address 129.2.2.1 255.255.255.0Eudemon-Ethernet1/0/0

23、ip address 129.1.3.1 255.255.255.0 sub1.2.4 IP地址配置排错Eudemon防火墙提供网络互连功能，因而在给接口配置IP地址时，我们必须明白组网需求和子网的划分。一般应遵循如下原则： 防火墙以太网口主IP地址必须与该以太网口所连的局域网在同一网段。故障之一：从防火墙ping局域网中某一主机不通。故障排除： 首先检查防火墙以太网口和局域网中主机的IP地址配置，是否位于同一网段。 如果配置正确，可以在防火墙上打开arp调试开关，查看防火墙是否正确地发送和接收arp报文，如果只有发送，没有接收到arp报文，则有可能以太网物理层有问题。故障之二：接口封装PPP

24、或帧中继等协议时，链路层协议状态没有变为UP。故障排除：检查该接口IP地址与对端是否在同一网段上。1.3 ARP的配置1.3.1 动态ARP简介ARP即地址解析协议，主要用于从IP地址到以太网MAC地址的解析。一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。1.3.2 静态ARP简介在某些情况下，如将目的地址不在本网段的报文，绑定到某个特定网卡，使得到该IP地址的报文能通过该网关进行转发；或是当用户需要过滤掉一些非法IP地址（如将这些非法地址绑定到某个不存在的MAC地址），就需要用户手工配置静态ARP表中的映射项。1.3.3 静态ARP的配置静态ARP配

25、置包括： 手工添加/删除静态ARP映射项请在系统视图下进行下列配置。表1-1 手工添加/删除静态ARP映射项操作命令手工添加静态ARP映射项arp static ip-address ethernet-address vpn-instance-name 手工删除静态ARP映射项undo arp ip-address vpn-instance-name 静态ARP映射项在防火墙正常工作时间一直有效，而动态ARP映射项的有效时间为20分钟。缺省情况下，由动态ARP协议获取地址映射。1.3.4 ARP显示和调试在完成上述配置后，在所有视图下执行display命令可以显示ARP配置后的运行情况，通过查

26、看显示信息验证配置的效果。执行reset命令可以清除该运行情况。在用户视图下，执行debugging命令可以对ARP进行调试。表1-1 ARP显示和调试操作命令显示ARP映射表display arp static | dynamic | all 清除ARP映射表中的ARP项reset arp all | dynamic | static | interface interface-type interface-number | interface-name 打开ARP调试信息开关debugging arp packet1.4 DNS的配置1.4.1 域名解析简介TCP/IP不仅提供了IP地址来

27、确定设备，而且还专门设计了一种字符串形式的主机命名机制。这就是所谓的域名系统。此系统使用一种有层次的命名方式，为网间网上的设备指定一个有意义的名字，并且在网络上设有域名解析服务器，完成域名与IP地址的对应关系。这样一来用户就可以使用便于记忆的、有意义的域名，而不必去记忆晦涩难懂的IP地址。域名解析分为动态解析和静态解析，二者可以相辅相成，在解析域名时，可以首先采用静态解析的方法，如果静态解析不成功，再采用动态解析的方法。可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。 动态解析有专用的域名解析服务器，负责接受客户提出的域名解析请求，服务器首先在本机数据库内部解析，如果判

28、断不属于本域范围之内，就将请求交给上一级的域名解析服务器，直到完成解析，解析的结果或者为IP地址，或者域名不存在，并将解析的结果反馈给客户机。 静态解析即手动建立域名和IP地址之间的对应关系。当客户机需要域名所对应的IP地址，即到静态域名解析表中去查找指定的域名，然后获得所对应的IP地址。1.4.2 静态域名解析的配置1. 静态域名解析简介静态域名解析是通过静态域名解析表进行的，静态域名解析表类似于Windows 9X操作系统之下的hosts文件，防火墙可以通过查询此表而获取常见域名的IP地址，同时用户可以使用便于记忆的主机名而不是抽象的IP地址来访问相应的设备。2. 配置主机名和对应IP地址

29、请在系统视图下进行下列操作。表1-1 配置主机名和对应IP地址操作命令配置主机名和对应IP地址ip host hostname ip-address取消主机名和对应的IP地址undo ip host hostname ip-address 3. 域名解析表显示和调试表1-1 域名解析表显示和调试操作命令显示静态域名解析表display ip host1.5 DHCP中继配置1.5.1 DHCP中继技术简介随着网络规模的不断扩大、网络复杂度的不断提高，进行网络配置也变得越来越复杂，原有的针对静态主机配置的BOOTP协议已经越来越不适应人们的需求了。在计算机经常移动（如便携机的使用或无线网络）和实

30、际计算机数量超过可分配的IP地址等场合下，BOOTP协议显得尤为捉襟见肘。为方便用户快速接入和退出网络、提高IP地址资源的利用率以及支持无盘网络工作站等机制，在BOOTP协议的基础上，人们制定了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）。与BOOTP协议一样，DHCP协议也是以客户机/服务器（Client/Server）模式工作的。利用该协议，DHCP客户机可以向DHCP服务器动态地请求配置信息，包括分配的IP地址、子网掩码、缺省网关等重要参数，而DHCP服务器也可以很方便地为其动态配置这些信息。早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，不可以跨网段工作。因此，为进行动态主机配置，需要在所有网段上都配置一个DHCP服务器这显然是不经济的。DHCP中继的引入解决了这一难题：它在处于不同网段间的DHCP客户机和服务器之间承担中继服务，可以将DHCP协议报文跨网段中继到目的DHCP服务器（或客户机），于是许多网络上的DHCP客户机可以使用同一个DHCP服务器。这样，既节省成本又便于集中管理。图1-1 DHCP中继示意图上图是DHCP中继的示意图。