Copyright 2016 北京紫光恒越网络科技有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 UNIS 为北京紫光恒越网络科技有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由

Size: px
Start display at page:

Download "Copyright 2016 北京紫光恒越网络科技有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 UNIS 为北京紫光恒越网络科技有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由"

Transcription

1 UNIS S8600 系列交换机 三层技术 -IP 业务配置指导 北京紫光恒越网络科技有限公司 资料版本 :6W 产品版本 :S8600-CMW710-R7178

2 Copyright 2016 北京紫光恒越网络科技有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 UNIS 为北京紫光恒越网络科技有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 紫光恒越保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导, 紫光恒越尽全力在本手册中提供准确的信息, 但是紫光恒越并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保 环境保护 本产品符合关于环境保护方面的设计要求, 产品的存放 使用和弃置应遵照相关国家法律 法规要求进行

3 前言 本配置指导主要介绍 IP 业务相关技术的原理及具体配置方法 通过这些技术您可以完成 IP 地址的配置, 进行 IP 参数的调整, 将 IP 地址解析为以太网 MAC 地址, 进行域名与 IP 地址之间的转换, 对指定 UDP 端口的 IP 广播报文进行中继转发, 实现 IPv4 网络和 IPv6 网络间的互通 前言部分包含如下内容 : 读者对象 本书约定 产品配套资料 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从多个选项中仅选取一个 [ x y... ] 表示从多个选项中选取一个或者不选 { x y... } * 表示从多个选项中至少选取一个 [ x y... ] * 表示从多个选项中选取一个 多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 图形界面格式约定 格式意义 < > 带尖括号 < > 表示按钮名, 如 单击 < 确定 > 按钮

4 格式意义 [ ] 带方括号 [ ] 表示窗口名 菜单名和数据表, 如 弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开 如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 4. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 该图标及其相关描述文字代表无线控制器 无线控制器业务板和有线无线一体化交换机的无线控制引擎设备 该图标及其相关描述文字代表无线接入点设备 T 该图标及其相关描述文字代表无线终结单元 T 该图标及其相关描述文字代表无线终结者 该图标及其相关描述文字代表无线 Mesh 设备 该图标代表发散的无线射频信号 该图标代表点到点的无线射频信号

5 该图标及其相关描述文字代表防火墙 UTM 多业务安全网关 负载均衡等安全设备 该图标及其相关描述文字代表防火墙插卡 负载均衡插卡 NetStream 插卡 SSL VPN 插卡 IPS 插卡 ACG 插卡等安全插卡 5. 端口编号示例约定本手册中出现的端口编号仅作示例, 并不代表设备上实际具有此编号的端口, 实际使用中请以设备上存在的端口编号为准 产品配套资料 紫光恒越 S8600 交换机的配套资料包括如下部分 : 大类资料名称内容介绍 硬件描述与安装 业务配置 运行维护 安全兼容性手册快速入门安装指导单板手册配置指导命令参考版本说明书 列出产品的兼容性声明, 并对兼容性和安全的细节进行说明 指导您对设备进行初始安装 配置, 通常针对最常用的情况, 减少您的检索时间 帮助您详细了解设备硬件规格和安装方法, 指导您对设备进行安装 帮助您详细了解单板的硬件规格 帮助您掌握设备软件功能的配置方法及配置步骤 详细介绍设备的命令, 相当于命令字典, 方便您查阅各个命令的功能 帮助您了解产品版本的相关信息 ( 包括 : 版本配套说明 兼容性说明 特性变更说明 技术支持信息 ) 及软件升级方法 技术支持 用户支持邮箱 :zgsm_service@thunis.com 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : zgsm_info@thunis.com 感谢您的反馈, 让我们做得更好!

6 目录 1 ARP ARP 简介 ARP 作用 ARP 报文结构 ARP 地址解析过程 ARP 表 配置 ARP 手工添加静态 ARP 表项 手工添加多端口 ARP 表项 配置设备学习动态 ARP 表项的最大个数 配置接口学习动态 ARP 表项的最大个数 配置动态 ARP 表项的老化时间 启用动态 ARP 表项的检查功能 配置接口为用户侧接口 开启 ARP 日志信息功能 ARP 显示和维护 ARP 典型配置举例 长静态 ARP 表项配置举例 短静态 ARP 表项配置举例 多端口 ARP 表项配置举例 免费 ARP 免费 ARP 简介 配置免费 ARP 启用源 IP 地址冲突提示功能 代理 ARP 代理 ARP 简介 配置代理 ARP 功能 代理 ARP 显示和维护 代理 ARP 典型配置举例 代理 ARP 配置举例 ARP Snooping ARP Snooping 简介 4-1 i

7 4.1.1 作用 工作机制 配置 ARP Snooping ARP Snooping 显示和维护 ARP 快速应答 ARP 快速应答简介 配置 ARP 快速应答 ARP 快速应答典型配置举例 5-1 ii

8 1 ARP 1.1 ARP 简介 ARP 作用 ARP(Address Resolution Protocol, 地址解析协议 ) 是将 IP 地址解析为以太网 MAC 地址 ( 或称物理地址 ) 的协议 在网络中, 当主机或其它网络设备有数据要发送给另一个主机或设备时, 它必须知道对方的网络层地址 ( 即 IP 地址 ) 但是仅仅有 IP 地址是不够的, 因为 IP 数据报必须封装成帧才能通过物理网络发送, 因此发送站还必须有接收站的物理地址, 所以需要一个从 IP 地址到物理地址的映射 ARP 就是实现这个功能的协议 ARP 报文结构 ARP 报文分为 ARP 请求和 ARP 应答报文, 报文格式如图 1-1 所示 图 1-1 ARP 报文结构 硬件类型 : 表示硬件地址的类型 它的值为 1 表示以太网地址 ; 协议类型 : 表示要映射的协议地址类型 它的值为 0x0800 即表示 IP 地址 ; 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度, 以字节为单位 对于以太网上 IP 地址的 ARP 请求或应答来说, 它们的值分别为 6 和 4; 操作类型 (OP):1 表示 ARP 请求,2 表示 ARP 应答 ; 发送端 MAC 地址 : 发送方设备的硬件地址 ; 发送端 IP 地址 : 发送方设备的 IP 地址 ; 目标 MAC 地址 : 接收方设备的硬件地址 ; 目标 IP 地址 : 接收方设备的 IP 地址 ARP 地址解析过程假设主机 A 和 B 在同一个网段, 主机 A 要向主机 B 发送信息 如图 1-2 所示, 具体的地址解析过程如下 : 1-1

9 (1) 主机 A 首先查看自己的 ARP 表, 确定其中是否包含有主机 B 对应的 ARP 表项 如果找到了对应的 MAC 地址, 则主机 A 直接利用 ARP 表中的 MAC 地址, 对 IP 数据报进行帧封装, 并将 IP 数据报发送给主机 B (2) 如果主机 A 在 ARP 表中找不到对应的 MAC 地址, 则将缓存该 IP 数据报, 然后以广播方式发送一个 ARP 请求报文 ARP 请求报文中的发送端 IP 地址和发送端 MAC 地址为主机 A 的 IP 地址和 MAC 地址, 目标 IP 地址和目标 MAC 地址为主机 B 的 IP 地址和全 0 的 MAC 地址 由于 ARP 请求报文以广播方式发送, 该网段上的所有主机都可以接收到该请求, 但只有被请求的主机 ( 即主机 B) 会对该请求进行处理 (3) 主机 B 比较自己的 IP 地址和 ARP 请求报文中的目标 IP 地址, 当两者相同时进行如下处理 : 将 ARP 请求报文中的发送端 ( 即主机 A) 的 IP 地址和 MAC 地址存入自己的 ARP 表中 之后以单播方式发送 ARP 响应报文给主机 A, 其中包含了自己的 MAC 地址 (4) 主机 A 收到 ARP 响应报文后, 将主机 B 的 MAC 地址加入到自己的 ARP 表中以用于后续报文的转发, 同时将 IP 数据报进行封装后发送出去 图 1-2 ARP 地址解析过程 当主机 A 和主机 B 不在同一网段时, 主机 A 就会先向网关发出 ARP 请求,ARP 请求报文中的目标 IP 地址为网关的 IP 地址 当主机 A 从收到的响应报文中获得网关的 MAC 地址后, 将报文封装并发给网关 如果网关没有主机 B 的 ARP 表项, 网关会广播 ARP 请求, 目标 IP 地址为主机 B 的 IP 地址, 当网关从收到的响应报文中获得主机 B 的 MAC 地址后, 就可以将报文发给主机 B; 如果网关已经有主机 B 的 ARP 表项, 网关直接把报文发给主机 B ARP 表设备通过 ARP 解析到目的 MAC 地址后, 将会在自己的 ARP 表中增加 IP 地址和 MAC 地址映射关系的表项, 以用于后续到同一目的地报文的转发 ARP 表项分为动态 ARP 表项 静态 ARP 表项和 OpenFlow ARP 表项 1. 动态 ARP 表项动态 ARP 表项由 ARP 协议通过 ARP 报文自动生成和维护, 可以被老化, 可以被新的 ARP 报文更新, 可以被静态 ARP 表项覆盖 当到达老化时间 接口状态 down 时, 系统会删除相应的动态 ARP 表项 2. 静态 ARP 表项静态 ARP 表项通过手工配置和维护, 不会被老化, 不会被动态 ARP 表项覆盖 1-2

10 配置静态 ARP 表项可以增加通信的安全性 静态 ARP 表项可以限制和指定 IP 地址的设备通信时只使用指定的 MAC 地址, 此时攻击报文无法修改此表项的 IP 地址和 MAC 地址的映射关系, 从而保护了本设备和指定设备间的正常通信 静态 ARP 表项分为短静态 ARP 表项 长静态 ARP 表项和多端口 ARP 表项 在配置长静态 ARP 表项时, 除了配置 IP 地址和 MAC 地址项外, 还必须配置该 ARP 表项所在 VLAN 和出接口 长静态 ARP 表项可以直接用于报文转发 在配置短静态 ARP 表项时, 只需要配置 IP 地址和 MAC 地址项 如果出接口是三层以太网接口, 短静态 ARP 表项可以直接用于报文转发 ; 如果出接口是 VLAN 虚接口, 短静态 ARP 表项不能直接用于报文转发, 需要对表项进行解析 : 当要发送 IP 数据报时, 设备先发送 ARP 请求报文, 如果收到的响应报文中的发送端 IP 地址和发送端 MAC 地址与所配置的 IP 地址和 MAC 地址相同, 则将接收 ARP 响应报文的接口加入该静态 ARP 表项中, 此时, 该短静态 ARP 表项由未解析状态变为解析状态, 之后就可以用于报文转发 配置多端口 ARP 表项时, 除了配置 IP 地址和 MAC 地址外, 还必须配置该 ARP 表项所在的 VLAN, 当多端口 ARP 表项中的 MAC 地址和 VLAN 信息与多端口单播 MAC/ 组播 MAC 地址表项中的 MAC 地址和 VLAN 相同时, 该多端口 ARP 表项可用来指导 IP 转发 多端口 ARP 表项通过手工配置和维护, 不会被老化, 不会被动态 ARP 表项覆盖 组播 MAC 的相关介绍, 请参见 IP 组播 的 组播路由与转发 一般情况下,ARP 动态执行并自动寻求 IP 地址到以太网 MAC 地址的解析, 无需管理员的介入 当希望设备和指定用户只能使用某个固定的 IP 地址和 MAC 地址通信时, 可以配置短静态 ARP 表项, 当进一步希望限定这个用户只在某 VLAN 内的某个特定接口上连接时就可以配置长静态 ARP 表项 3. OpenFlow ARP 表项 OpenFlow ARP 表项由 OpenFlow 添加, 不会被老化, 不能通过 ARP 报文更新, 可以被静态 ARP 表项覆盖 可以直接用于转发报文 关于 OpenFlow 的介绍, 请参见 OpenFlow 中的 OpenFlow 1.2 配置 ARP 手工添加静态 ARP 表项静态 ARP 表项在设备正常工作时间一直有效, 当设备的 ARP 表项所对应的 VLAN 或 VLAN 接口被删除时, 如果是长静态 ARP 表项则被删除, 如果是已经解析的短静态 ARP 表项则重新变为未解析状态 对于已经解析的短静态 ARP 表项, 也会由于外部事件, 比如解析到的出接口状态 down 等原因, 恢复到未解析状态 对于长静态 ARP 表项, 根据设备的当前状态可能处于有效或无效两种状态 处于无效状态的原因可能是该 ARP 表项中的 IP 地址与本地 IP 地址冲突, 或者设备上没有与该 ARP 表项中的 IP 地址在同一网段的接口地址 处于无效状态的长静态 ARP 表项不能指导报文转发 表 1-1 手工添加静态 ARP 表项 操作命令说明进入系统视图 system-view - 手工添加静态 ARP 表项 手工添加长静态 ARP 表项 arp static ip-address mac-address vlan-id interface-type interface-number 二者选其一缺省情况下, 没有配置任何 1-3

11 操作命令说明 [ vpn-instance vpn-instance-name ] 静态 ARP 表项 手工添加短静态 ARP 表项 arp static ip-address mac-address [ vpn-instance vpn-instance-name ] 参数 vlan-id 用于指定 ARP 表项所对应的 VLAN,vlan-id 必须是用户已经创建好的 VLAN 的 ID, 且 vlan-id 参数后面指定的以太网接口必须属于这个 VLAN VLAN 对应的 VLAN 接口必须已经创建 指定参数 vlan-id 和 ip-address 的情况下, 参数 vlan-id 对应的 VLAN 接口的 IP 地址必须和参数 ip-address 指定的 IP 地址属于同一网段 手工添加多端口 ARP 表项多端口 ARP 表项由多端口单播 / 组播 MAC 地址表项指定 VLAN 和出端口, 由多端口 ARP 表项指定 IP 地址 多端口 ARP 表项可以覆盖其它动态 短静态和长静态 ARP 表项 ; 短静态或长静态 ARP 表项也可以覆盖多端口 ARP 表项 多端口单播 MAC 的相关内容, 请参见 二层技术 - 以太网交换命令参考 /MAC 地址表 中的命令 mac-address multiport; 组播 MAC 的相关内容, 请参见 IP 组播命令参考 / 组播路由与转发 中的命令 mac-address multicast 当多端口 ARP 表项中 IP 地址与 VLAN 虚接口的 IP 地址属于同一网段, 且存在对应的多端口单播 MAC/ 组播 MAC 时, 该多端口 ARP 表项才能正常指导转发 表 1-2 手工添加多端口 ARP 表项 操作命令说明进入系统视图 system-view - 配置多端口单播 MAC 地址表项或配置组播 MAC 地址表项 配置多端口单播 MAC 地址表项 配置组播 MAC 地址表项 mac-address multiport mac-address interface interface-list vlan vlan-id mac-address multicast mac-address interface interface-list vlan vlan-id 二者必选其一 手工添加多端口 ARP 表项 arp multiport ip-address mac-address vlan-id [ vpn-instance vpn-instance-name ] 其中 mac-address, vlan-id 应该和多端口单播 MAC 或组播 MAC 中的 mac-address, vlan-id 相一致 1-4

12 1.2.3 配置设备学习动态 ARP 表项的最大个数设备可以通过 ARP 协议自动生成动态 ARP 表项 为了防止用户占用过多的 ARP 资源, 可以通过设置设备学习动态 ARP 表项的最大个数来进行限制 当设备学习动态 ARP 表项的个数达到所设置的值时, 该设备上将不再学习动态 ARP 表项 表 1-3 配置设备学习动态 ARP 表项的最大个数 操作命令说明进入系统视图 system-view - 配置设备允许学习动态 ARP 表项的最大个数 arp max-learning-number number 缺省情况下, 接口允许学习动态 ARP 表项的最大数目为当前设备剩余资源的最大值当配置设备允许学习动态 ARP 表项的最大个数为 0 时, 表示禁止本设备学习动态 ARP 表项 当本命令配置的动态 ARP 表项的最大个数小于设备当前已经学到的动态 ARP 表项个数, 那么已学到的动态 ARP 表项个数不会被删除 配置接口学习动态 ARP 表项的最大个数设备可以通过 ARP 协议自动生成动态 ARP 表项 为了防止部分接口下的用户占用过多的 ARP 资源, 可以通过设置接口学习动态 ARP 表项的最大个数来进行限制 当接口学习动态 ARP 表项的个数达到所设置的值时, 该接口将不再学习动态 ARP 表项 如果二层接口及其所属的 VLAN 接口都配置了允许学习动态 ARP 表项的最大个数, 则只有二层接口及 VLAN 接口上的动态 ARP 表项个数都没有超过各自配置的最大值时, 才会学习 ARP 表项 表 1-4 配置接口学习动态 ARP 表项的最大数目 操作命令说明进入系统视图 system-view - 进入接口视图 配置接口允许学习动态 ARP 表项的最大个数 interface interface-type interface-number arp max-learning-num number - 缺省情况下, 接口允许学习动态 ARP 表项的最大数目为当前设备剩余资源的最大值当配置接口允许学习动态 ARP 表项的最大个数为 0 时, 表示禁止接口学习动态 ARP 表项 1-5

13 1.2.5 配置动态 ARP 表项的老化时间为适应网络的变化,ARP 表需要不断更新 ARP 表中的动态 ARP 表项并非永远有效, 每一条记录都有一个生存周期, 到达生存周期仍得不到刷新的记录将从 ARP 表中删除, 这个生存周期被称作老化时间 如果在到达老化时间前纪录被刷新, 则重新计算老化时间 表 1-5 配置动态 ARP 表项的老化时间 操作 命令 说明 进入系统视图 system-view - 配置动态 ARP 表项的老化时间 arp timer aging aging-time 缺省情况下, 动态 ARP 表项的老化时间为 20 分钟 启用动态 ARP 表项的检查功能动态 ARP 表项检查功能可以控制设备上是否可以学习 ARP 报文中的发送端 MAC 地址为组播 MAC 的动态 ARP 表项 启用 ARP 表项的检查功能后, 设备上不能学习 ARP 报文中发送端 MAC 地址为组播 MAC 的动态 ARP 表项, 也不能手工添加 MAC 地址为组播 MAC 的静态 ARP 表项 关闭 ARP 表项的检查功能后, 设备可以学习以太网源 MAC 地址为单播 MAC 且 ARP 报文中发送端 MAC 地址为组播 MAC 的动态 ARP 表项, 也可以手工添加 MAC 地址为组播 MAC 的静态 ARP 表项 表 1-6 启用动态 ARP 表项的检查功能 操作 命令 说明 进入系统视图 system-view - 启用动态 ARP 表项的检查功能 arp check enable 缺省情况下, 动态 ARP 表项的检查功能处于开启状态 配置接口为用户侧接口当接口连接终端主机时, 可以配置接口为用户侧接口 对于这种接口上学到的 ARP 表项, 不再和设备上的路由信息相关联 当接口连接网络设备时, 需要配置接口为网络侧接口 对于这种接口上学到的 ARP 表项, 可以与设备上的路由信息关联, 可作为路由信息的下一跳 通过实际使用情况, 正确配置接口的工作模式, 可以适当的节省硬件资源 表 1-7 配置接口为用户侧接口 操作命令说明进入系统视图 system-view - 创建 VLAN 接口并进入 VLAN 接口视图 interface vlan-interface vlan-interface-id 如果该 VLAN 接口已经存在, 则直接进入该 VLAN 接口视图 配置接口为用户侧接口 arp mode uni 缺省情况下, 接口为网络侧接口 1-6

14 1.2.8 开启 ARP 日志信息功能 ARP 日志是为了满足网络管理员审计的需要, 对处理 ARP 报文的信息进行的记录, 包括设备未使能 ARP 代理功能时收到目的 IP 不是设备接口 IP 地址 ; 收到的 ARP 报文中源地址和接收接口 IP 地址冲突, 且此报文不是 ARP 请求报文等 设备生成的 ARP 日志信息会交给信息中心模块处理, 信息中心模块的配置将决定日志信息的发送 规则和发送方向 关于信息中心的详细描述请参见 网络管理和监控配置指导 中的 信息中心 表 1-8 开启 ARP 日志信息功能 操作命令说明 进入系统视图 system-view - 开启 ARP 日志信息功能 arp check log enable 缺省情况下,ARP 日志信息功能处于关闭状态 1.3 ARP 显示和维护 清除 ARP 表项, 将取消 IP 地址和 MAC 地址的映射关系, 可能导致无法正常通信 清除前请务必 仔细确认 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 ARP 的运行情况, 通过查看显示信息验证配置的效果 在用户视图下, 用户可以执行 reset 命令清除 ARP 表项 表 1-9 ARP 显示和维护 操作 显示 ARP 表项 ( 独立运行模式 ) 显示 ARP 表项 (IRF 模式 ) 显示指定 IP 地址的 ARP 表项 ( 独立运行模式 ) 显示指定 IP 地址的 ARP 表项 (IRF 模式 ) 命令 display arp [ [ all dynamic multiport static ] [ slot slot-number ] vlan vlan-id interface interface-type interface-number ] [ count verbose ] display arp [ [ all dynamic multiport static ] [ chassis chassis-number slot slot-number ] vlan vlan-id interface interface-type interface-number ] [ count verbose ] display arp ip-address [ slot slot-number ] [ verbose ] display arp ip-address [ chassis chassis-number slot slot-number ] [ verbose ] 显示指定 VPN 实例的 ARP 表项 display arp vpn-instance vpn-instance-name [ count ] 显示动态 ARP 表项的老化时间 display arp timer aging 清除 ARP 表项 ( 独立运行模式 ) reset arp { all dynamic interface interface-type interface-number 1-7

15 操作 清除 ARP 表项 (IRF 模式 ) 命令 multiport slot slot-number static } reset arp { all chassis chassis-number slot slot-number dynamic interface interface-type interface-number multiport static } 1.4 ARP 典型配置举例 长静态 ARP 表项配置举例 1. 组网需求 Switch 连接主机, 通过接口 GigabitEthernet1/0/1 连接 Router 接口 GigabitEthernet1/0/1 属于 VLAN 10 Router 的 IP 地址为 /24,MAC 地址为 00e0-fc 为了增加 Switch 和 Router 通信的安全性, 可以在 Switch 上为 Router 配置一条静态 ARP 表项, 从而防止攻击报文修改此表项的 IP 地址和 MAC 地址的映射关系 2. 组网图图 1-3 配置长静态 ARP 表项组网图 3. 配置步骤在 Switch 上进行下列配置 # 创建 VLAN 10 <Switch> system-view [Switch] vlan 10 [Switch-vlan10] quit # 将接口 GigabitEthernet1/0/1 加入到 VLAN 10 中 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port access vlan 10 [Switch-GigabitEthernet1/0/1] quit 1-8

16 # 创建接口 Vlan-interface10, 并配置 IP 地址 [Switch] interface vlan-interface 10 [Switch-vlan-interface10] ip address [Switch-vlan-interface10] quit # 配置一条静态 ARP 表项,IP 地址为 , 对应的 MAC 地址为 00e0-fc , 此条 ARP 表项对应的出接口为属于 VLAN 10 的接口 GigabitEthernet1/0/1 [Switch] arp static e0-fc gigabitethernet 1/0/1 # 查看静态 ARP 表项信息 [Switch] display arp static Type: S-Static D-Dynamic O-Openflow M-Multiport I-Invalid IP address MAC address VLAN Interface Aging Type e0-fc GE1/0/1 N/A S 短静态 ARP 表项配置举例 1. 组网需求 Switch 通过接口 GigabitEthernet1/0/1 连接主机, 通过接口 GigabitEthernet1/0/2 连接 Router Router 的 IP 地址为 /24,MAC 地址为 00e0-fc01-001f 网络管理员需要通过某种方法来防止恶意用户对 Switch 进行 ARP 攻击, 增加 Switch 和 Router 通信的安全性 如果 Router 的 IP 地址和 MAC 地址是固定的, 则可以通过在 Switch 上配置静态 ARP 表项的方法, 防止恶意用户进行 ARP 攻击 2. 组网图图 1-4 配置短静态 ARP 表项组网图 Router /24 00e0-fc01-001f GE1/0/ /24 Switch GE1/0/1 3. 配置步骤在 Switch 上进行下列配置 # 在接口 GigabitEthernet1/0/2 配置 IP 地址 <Switch> system-view [Switch] interface gigabitethernet 1/0/2 1-9

17 [Switch-GigabitEthernet1/0/2] ip address /24 [Switch-GigabitEthernet1/0/2] quit # 配置一条静态 ARP 表项,IP 地址是 , 对应的 MAC 地址是 00e0-fc01-001f [Switch] arp static e0-fc01-001f # 查看静态 ARP 表项信息 [Switch] display arp static Type: S-Static D-Dynamic O-Openflow M-Multiport I-Invalid IP address MAC address VLAN Interface Aging Type e0-fc01-001f N/A N/A N/A S 多端口 ARP 表项配置举例 1. 组网需求 Switch 连接服务器群, 通过属于 VLAN 10 的三个二层接口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 分别连接三台服务器 服务器群的共享 IP 地址为 /24, 共享 MAC 地址为 00e0-fc 配置多端口 ARP 表项, 使目的 IP 为 的 IP 数据报文能同时发送到三台服务器上 2. 组网图图 1-5 配置多端口 ARP 表项组网图 3. 配置步骤在 Switch 上进行下列配置 # 创建 VLAN 10 <Switch> system-view [Switch] vlan 10 [Switch-vlan10] quit # 将接口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 加入到 VLAN 10 中 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port access vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port access vlan

18 [Switch-GigabitEthernet1/0/2] quit [Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port access vlan 10 [Switch-GigabitEthernet1/0/3] quit # 创建接口 Vlan-interface10, 并配置 IP 地址 [Switch] interface vlan-interface 10 [Switch-vlan-interface10] ip address [Switch-vlan-interface10] quit # 配置多端口单播 MAC 表项,MAC 地址为 00e0-fc , 对应的出接口为 GigabitEthernet1/0/1 GigabitEthernet1/0/2 和 GigabitEthernet1/0/3, 接口属于 VLAN 10 [Switch] mac-address multiport 00e0-fc interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 10 # 配置一条多端口 ARP 表项,IP 地址为 , 对应的 MAC 地址为 00e0-fc [Switch] arp multiport e0-fc # 查看 ARP 表项信息 [Switch] display arp Type: S-Static D-Dynamic O-Openflow M-Multiport I-Invalid IP address MAC address VLAN Interface Aging Type e0-fc N/A N/A M 1-11

19 2 免费 ARP 2.1 免费 ARP 简介 免费 ARP 报文是一种特殊的 ARP 报文, 该报文中携带的发送端 IP 地址和目标 IP 地址都是本机 IP 地址 设备通过对外发送免费 ARP 报文来实现以下功能 : 确定其它设备的 IP 地址是否与本机的 IP 地址冲突 当其它设备收到免费 ARP 报文后, 如果发现报文中的 IP 地址和自己的 IP 地址相同, 则给发送免费 ARP 报文的设备返回一个 ARP 应答, 告知该设备 IP 地址冲突 设备改变了硬件地址, 通过发送免费 ARP 报文通知其它设备更新 ARP 表项 1. 免费 ARP 报文学习功能的作用启用了免费 ARP 报文学习功能后, 设备会根据收到的免费 ARP 报文中携带的信息 ( 发送端 IP 地址 发送端 MAC 地址 ) 对自身维护的 ARP 表进行修改 设备先判断 ARP 表中是否存在与此免费 ARP 报文中的发送端 IP 地址对应的 ARP 表项 : 如果没有对应的 ARP 表项, 设备会根据该免费 ARP 报文中携带的信息新建 ARP 表项 ; 如果存在对应的 ARP 表项, 设备会根据该免费 ARP 报文中携带的信息更新对应的 ARP 表项 关闭免费 ARP 报文学习功能后, 设备不会根据收到的免费 ARP 报文来新建 ARP 表项, 但是会更新已存在的对应 ARP 表项 如果用户不希望通过免费 ARP 报文来新建 ARP 表项, 可以关闭免费 ARP 报文学习功能, 以节省 ARP 表项资源 2. 定时发送免费 ARP 功能的作用定时发送免费 ARP 功能可以及时通知下行设备更新 ARP 表项或者 MAC 地址表项, 主要应用场景如下 : 防止仿冒网关的 ARP 攻击如果攻击者仿冒网关发送免费 ARP 报文, 就可以欺骗同网段内的其它主机, 使得被欺骗的主机访问网关的流量被重定向到一个错误的 MAC 地址, 导致其它主机用户无法正常访问网络 为了降低这种仿冒网关的 ARP 攻击所带来的影响, 可以在网关的接口上启用定时发送免费 ARP 功能 启用该功能后, 网关接口上将按照配置的时间间隔周期性发送接口主 IP 地址和手工配置的从 IP 地址的免费 ARP 报文 这样, 每台主机都可以学习到正确的网关, 从而正常访问网络 防止主机 ARP 表项老化在实际环境中, 当网络负载较大或接收端主机的 CPU 占用率较高时, 可能存在 ARP 报文被丢弃或主机无法及时处理接收到的 ARP 报文等现象 这种情况下, 接收端主机的动态 ARP 表项会因超时而老化, 在其重新学习到发送设备的 ARP 表项之前, 二者之间的流量就会发生中断 为了解决上述问题, 可以在网关的接口上启用定时发送免费 ARP 功能 启用该功能后, 网关接口上将按照配置的时间间隔周期性发送接口主 IP 地址和手工配置的从 IP 地址的免费 ARP 报文 这样, 接收端主机可以及时更新 ARP 映射表, 从而防止了上述流量中断现象 防止 VRRP 虚拟 IP 地址冲突 2-1

20 当网络中存在 VRRP 备份组时, 需要由 VRRP 备份组的 Master 路由器周期性的向网络内的主机发送免费 ARP 报文, 使主机更新本地 ARP 地址表, 从而确保网络中不会存在 IP 地址与 Master 路由器 VRRP 虚拟 IP 地址相同的设备 免费 ARP 报文中的发送端 MAC 为 VRRP 虚拟路由器对应的虚拟 MAC 地址 关于 VRRP 的详细介绍, 请参见 可靠性配置指导 中的 VRRP 2.2 配置免费 ARP 配置免费 ARP 时, 需要注意 : 设备最多允许同时在 1024 个接口上启用定时发送免费 ARP 功能 配置定时发送免费 ARP 功能后, 只有当接口链路状态 up 并且配置 IP 地址后, 此功能才真正生效 如果修改了免费 ARP 报文的发送周期, 则在下一个发送周期才能生效 如果同时在很多接口下启用定时发送免费 ARP 功能, 或者每个接口有大量的从 IP 地址, 又或者是两种情况共存的同时又配置很小的发送时间间隔, 那么免费 ARP 报文的发送频率可能会远远低于用户设定的时间间隔 表 2-1 配置免费 ARP 操作命令说明进入系统视图 system-view - 开启免费 ARP 报文学习功能 开启设备收到非同一网段 ARP 请求时发送免费 ARP 报文功能 进入接口视图 启用定时发送免费 ARP 功能, 并设置发送免费 ARP 报文的周期 gratuitous-arp-learning enable gratuitous-arp-sending enable interface interface-type interface-number arp send-gratuitous-arp [ interval milliseconds ] 缺省情况下, 免费 ARP 报文的学习功能处于开启状态 缺省情况下, 设备收到非同一网段的 ARP 请求时不发送免费 ARP 报文 - 缺省情况下, 定时发送免费 ARP 功能处于关闭状态 2.3 启用源 IP 地址冲突提示功能 设备接收到其它设备发送的 ARP 报文后, 如果发现报文中的源 IP 地址和自己的 IP 地址相同, 该设备会根据当前源 IP 地址冲突提示功能的状态, 进行如下处理 : 如果源 IP 地址冲突提示功能处于关闭状态时, 设备发送一个免费 ARP 报文确认是否冲突, 如果收到对应的 ARP 应答后才提示存在 IP 地址冲突 如果源 IP 地址冲突提示功能处于开启状态时, 设备立刻提示存在 IP 地址冲突 表 2-2 启用源 IP 地址冲突提示功能操作命令说明进入系统视图 system-view - 启用源 IP 地址冲突提示功能 arp ip-conflict log prompt 缺省情况下, 源 IP 地址冲突提示功能处于关闭状态 2-2

21 2-3

22 3 代理 ARP 3.1 代理 ARP 简介 如果 ARP 请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机, 那么连接它们的具有代理 ARP 功能的设备就可以回答该请求, 这个过程称作代理 ARP(Proxy ARP) 代理 ARP 功能屏蔽了分离的物理网络这一事实, 使用户使用起来, 好像在同一个物理网络上 代理 ARP 分为普通代理 ARP 和本地代理 ARP, 二者的应用场景有所区别 : 普通代理 ARP 的应用场景为 : 想要互通的主机分别连接到设备的不同三层接口上, 且这些主机不在同一个广播域中 本地代理 ARP 的应用场景为 : 想要互通的主机连接到设备的同一个三层接口上, 且这些主机不在同一个广播域中 如无特殊说明, 本章后续描述中的代理 ARP 均指普通代理 ARP 3.2 配置代理 ARP 功能 代理 ARP 和本地代理 ARP 功能均可在 VLAN 接口视图 / 三层以太网接口视图 / 三层聚合接口视图下 进行配置 表 3-1 配置代理 ARP 功能 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置代理 ARP 功能 proxy-arp enable 缺省情况下, 代理 ARP 功能处于关闭状态 表 3-2 配置本地代理 ARP 功能操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置本地代理 ARP 功能 local-proxy-arp enable [ ip-range startip to endip ] 缺省情况下, 本地代理 ARP 功能处于关闭状态 3.3 代理 ARP 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后代理 ARP 的运行情况, 查看显示信息验证配置的效果 3-1

23 表 3-3 代理 ARP 显示和维护 操作 命令 显示代理 ARP 的状态 display proxy-arp [ interface interface-type interface-number ] 显示本地代理 ARP 的状态 display local-proxy-arp [ interface interface-type interface-number ] 3.4 代理 ARP 典型配置举例 代理 ARP 配置举例 1. 组网需求 Host A 和 Host D 配置为同一网段的主机 (Host A 的 IP 地址是 /16,Host D 的 IP 地址是 /16), 但却被设备 Switch 分在两个不同的子网 (Host A 属于 VLAN 1,Host D 属于 VLAN 2) Host A 和 Host D 没有配置缺省网关, 要求在设备 Switch 上启用代理 ARP 功能, 使处在两个子网的 Host A 和 Host D 能互通 2. 组网图图 3-1 配置代理 ARP 组网图 3. 配置步骤 # 创建 VLAN 2 <Switch> system-view [Switch] vlan 2 [Switch-vlan2] quit # 配置接口 Vlan-interface1 的 IP 地址 [Switch] interface vlan-interface 1 [Switch-Vlan-interface1] ip address

24 # 开启接口 Vlan-interface1 的代理 ARP 功能 [Switch-Vlan-interface1] proxy-arp enable [Switch-Vlan-interface1] quit # 配置接口 Vlan-interface2 的 IP 地址 [Switch] interface vlan-interface 2 [Switch-Vlan-interface2] ip address # 开启接口 Vlan-interface2 的代理 ARP 功能 [Switch-Vlan-interface2] proxy-arp enable 配置完成后,Host A 和 Host D 可以互相 ping 通 3-3

25 4 ARP Snooping 4.1 ARP Snooping 简介 作用 ARP Snooping 功能是一个用于二层交换网络环境的特性, 通过侦听 ARP 报文建立 ARP Snooping 表项, 从而提供给 ARP 快速应答和 MFF(MAC-Forced Forwarding,MAC 强制转发 ) 手动方式等使用 关于 MFF 的详细介绍, 请参见 安全配置指导 中的 MFF 工作机制设备上在一个 VLAN 中启用 ARP Snooping 后, 该 VLAN 内所有端口接收的 ARP 报文会被上送到 CPU CPU 对上送的 ARP 报文进行分析, 获取 ARP 报文的发送端 IP 地址 发送端 MAC 地址 VLAN 和入端口信息, 建立记录用户信息的 ARP Snooping 表项 ARP Snooping 表项的老化时间为 25 分钟, 有效时间为 15 分钟 如果一个 ARP Snooping 表项自最后一次更新后 15 分钟内没有收到 ARP 更新报文, 则此表项开始进入失效状态, 不再对外提供服务, 其他特性查找此表项将会失败 当收到发送端 IP 地址和发送端 MAC 与已存在的 ARP Snooping 表项 IP 地址和 MAC 均相同的 ARP 报文时, 此 ARP Snooping 表项进行更新, 重新开始生效, 并重新老化计时 当 ARP Snooping 表项达到老化时间后, 则将此 ARP Snooping 表项删除 如果 ARP Snooping 收到 ARP 报文时检查到相同 IP 的 ARP Snooping 表项已经存在, 但是 MAC 地址发生了变化, 则认为发生了攻击, 此时 ARP Snooping 表项处于冲突状态, 表项失效, 不再对外提供服务, 并在 25 分钟后删除此表项 4.2 配置 ARP Snooping 表 4-1 配置 ARP Snooping 操作 命令 说明 进入系统视图 system-view - 进入 VLAN 视图 vlan vlan-id - 启用 ARP Snooping 功能 arp snooping enable 缺省情况下,ARP Snooping 功能处于关闭状态 4.3 ARP Snooping 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 ARP Snooping 的运行情况, 通过查看显示信息验证配置的效果 在用户视图下, 用户可以执行 reset 命令清除 ARP Snooping 表中的表项 4-1

26 表 4-2 ARP Snooping 显示和维护 操作 显示 ARP Snooping 表项 ( 独立运行模式 ) 显示 ARP Snooping 表项 (IRF 模式 ) 命令 display arp snooping [ vlan vlan-id ] [ slot slot-number ] [ count ] display arp snooping ip ip-address [ slot slot-number ] display arp snooping [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] [ count ] display arp snooping ip ip-address [ chassis chassis-number slot slot-number ] 清除 ARP Snooping 表项 reset arp snooping [ ip ip-address vlan vlan-id ] 4-2

27 5 ARP 快速应答 5.1 ARP 快速应答简介 ARP 快速应答功能就是根据设备上生成的 DHCP Snooping 表项或者 ARP Snooping 表项包含的信息, 在指定的 VLAN 内, 对 ARP 请求进行应答, 从而减少 ARP 广播报文 关于 DHCP Snooping 的详细介绍, 请参见 三层技术 -IP 业务配置指导 中的 DHCP Snooping ARP 快速应答的工作机制如下 : (1) 设备接收到 ARP 请求报文时, 如果请求报文的目的 IP 地址是设备的 VLAN 接口的 IP 地址, 则由 ARP 特性进行处理 ; (2) 如果 ARP 请求报文的目的 IP 地址不是 VLAN 接口的 IP 地址, 则根据报文中的目的 IP 地址查找 DHCP Snooping 表项 : 如果查找成功, 当接口是无线网接口时, 不管查找到的表项的接口和收到请求报文的接口是否一致, 都直接进行应答 ; 当接口是以太网接口时, 当查找到的表项的接口和收到请求报文的接口一致, 不进行应答, 否则立即进行应答 如果查找失败且设备开启了 ARP Snooping, 则继续查找 ARP Snooping 表项, 如果查找成功, 当接口是无线网接口时, 不管查找到的表项的接口和收到请求报文的接口是否一致, 都直接进行应答 ; 当接口是以太网接口时, 当查找到的表项的接口和收到请求报文的接口一致, 不进行应答, 否则立即进行应答 如果两个表均查找失败, 则向指定 VLAN 内除收到请求报文的接口外的其他接口转发该请求报文或将报文交于其他特性处理 5.2 配置 ARP 快速应答 为了提高 ARP 快速应答的应答几率, 可以在应用 ARP 快速应答功能的场合同时启用 ARP Snooping 功能 表 5-1 配置 ARP 快速应答 操作 命令 说明 进入系统视图 system-view - 进入 VLAN 视图 vlan vlan-id - 启用 ARP 快速应答功能 arp fast-reply enable 缺省情况下,ARP 快速应答功能处于关闭状态 5.3 ARP 快速应答典型配置举例 1. 组网需求 Client 1~Client 32 通过 Switch 接入网络, 所有客户端接入 VLAN 为 VLAN 2 5-1

28 当 Client 1 需要访问 Client 32 时,Client 1 发送 ARP 请求报文,ARP 请求报文在 Switch 上被复制其他所有接口上发送 ( 除了与 Client 1 直连的接口 ), 在设备上具有多个接口的情况下, 这种复制的广播会占用接口资源 为减少对接口资源的占用, 可以在 VLAN 2 上启用 ARP 快速应答 启用 ARP 快速应答, 当 Client 32 通过 DHCP 服务器获得 IP 地址后,Client 1 需要访问 Client 32 时,ARP 请求报文可以在 Switch 上得到应答, 而 Switch 不会再对报文进行广播, 从而减少了对接口资源的占用 2. 组网图图 5-1 配置 ARP 快速应答组网图 Client 1 VLAN 2 Client 16 Switch DHCP server Client 17 VLAN 2 Client 配置步骤 (1) 配置 Switch 上 VLAN2 启用 ARP Snooping 功能 <Switch> system-view [Switch] vlan 2 [Switch-vlan2] arp snooping enable (2) 配置 Switch 上 VLAN 2 配置 ARP 快速应答 [Switch-vlan2] arp fast-reply enable [Switch-vlan2] quit 5-2

29 目录 1 IP 地址 IP 地址简介 IP 地址的分类和表示 特殊的 IP 地址 子网和掩码 配置接口的 IP 地址 IP 地址的显示和维护 地址配置举例 IP 地址配置举例 1-4 i

30 1 IP 地址 若非特别指明, 本文所指的 IP 地址均为 IPv4 地址 1.1 IP 地址简介 IP 地址的分类和表示分配地址就是给每个连接到 IPv4 网络上的设备分配的一个网络唯一的地址 IP 地址长度为 32 比特, 通常采用点分十进制方式表示, 即每个 IP 地址被表示为以小数点隔开的 4 个十进制整数, 每个整数对应一个字节, 如 IP 地址由两部分组成 : 网络号码字段 (Net-id): 用于区分不同的网络 网络号码字段的前几位称为类别字段 ( 又称为类别比特 ), 用来区分 IP 地址的类型 主机号码字段 (Host-id): 用于区分一个网络内的不同主机 为了方便管理及组网,IP 地址分成五类, 如图 1-1 所示, 其中蓝色部分为类别字段 图 1-1 五类 IP 地址 上述五类 IP 地址的地址范围如表 1-1 所示 目前大量使用的 IP 地址属于 A B C 三类 表 1-1 IP 地址分类及范围 地址类型地址范围说明 A ~ IP 地址 仅用于主机在系统启动时进行临时通信, 并且永远不是有效目的地址 网段的地址都保留作环回测试, 发送到这个地址的分组不会输出到链路上, 它们被当作输入分组在内部进行处理 B ~ C ~ D ~ 组播地址 E ~ 用于广播地址, 其它地址保留今后使用 1-1

31 1.1.2 特殊的 IP 地址下列 IP 地址具有特殊的用途, 不能作为主机的 IP 地址 Net-id 为全 0 的地址 : 表示本网络内的主机 例如, 表示本网络内 Host-id 为 16 的主机 Host-id 为全 0 的地址 : 网络地址, 用于标识一个网络 Host-id 为全 1 的地址 : 网络广播地址 例如, 目的地址为 的报文, 将转发给 网络内所有的主机 子网和掩码随着 Internet 的快速发展,IP 地址已近枯竭 为了充分利用已有的 IP 地址, 可以使用子网掩码将网络划分为更小的部分 ( 即子网 ) 通过从主机号码字段部分划出一些比特位作为子网号码字段, 能够将一个网络划分为多个子网 子网号码字段的长度由子网掩码确定 子网掩码是一个长度为 32 比特的数字, 由一串连续的 1 和一串连续的 0 组成 1 对应于网络号码字段和子网号码字段, 而 0 对应于主机号码字段 图 1-2 所示是一个 B 类地址划分子网的情况 图 1-2 IP 地址子网划分 多划分出一个子网号码字段会浪费一些 IP 地址 例如, 一个 B 类地址可以容纳 65534(2 16-2, 去掉主机号码字段全 1 的广播地址和主机号码字段全 0 的网段地址 ) 个主机号码 但划分出 9 比特长的子网字段后, 最多可有 512(2 9 ) 个子网, 每个子网有 7 比特的主机号码, 即每个子网最多可有 126(2 7-2, 去掉主机号码字段全 1 的广播地址和主机号码字段全 0 的网段地址 ) 个主机号码 因此主机号码的总数是 512*126=64512 个, 比不划分子网时要少 1022 个 若不进行子网划分, 则子网掩码为默认值, 此时子网掩码中 1 的长度就是网络号码的长度, 即 A B C 类 IP 地址对应的子网掩码默认值分别为 和 配置接口的 IP 地址 1. 功能简介接口有了 IP 地址后就可以与其它主机进行 IP 通信 接口获取 IP 地址有以下几种方式 : 通过手动指定 IP 地址 通过 BOOTP 分配得到 IP 地址 通过 DHCP 分配得到 IP 地址 1-2

32 这几种方式是互斥的, 通过新的配置方式获取的 IP 地址会覆盖通过原有方式获取的 IP 地址 例如, 首先通过手动指定了 IP 地址, 然后使用 DHCP 协议申请 IP 地址, 那么手动指定的 IP 地址会被删除, 接口的 IP 地址是通过 DHCP 协议分配的 本节只介绍通过手动指定 IP 地址的方式 通过 BOOTP 和 DHCP 分配得到 IP 地址方式的介绍请参见 三层技术 -IP 业务配置指导 中的 DHCP 设备的每个接口可以配置多个 IP 地址, 其中一个为主 IP 地址, 其余为从 IP 地址 一般情况下, 一个接口只需配置一个主 IP 地址, 但在有些特殊情况下需要配置从 IP 地址 比如, 一台设备通过一个接口连接了一个局域网, 但该局域网中的计算机分别属于 2 个不同的子网, 为了使设备与局域网中的所有计算机通信, 就需要在该接口上配置一个主 IP 地址和一个从 IP 地址 IRF 环境中, 当 IRF 分裂后, 无法使用管理以太网口登录从设备排除故障 为解决该问题, 设备提供了配置 IRF 成员设备的管理以太网口 IP 地址功能 当 IRF 分裂后, 某台从设备被选举为主设备时, 用户可以通过该设备的管理以太网接口 IP 地址登录设备进行配置管理 IRF 的详细描述请参见 虚拟化技术配置指导 中的 IRF 2. 配置限制和指导 一个接口只能有一个主 IP 地址 新配置的主 IP 地址将覆盖原有主 IP 地址 当接口被配置为通过 BOOTP DHCP 方式获取 IP 地址后, 则不能再给该接口配置从 IP 地址 同一接口的主 从 IP 地址可以在同一网段, 但不同接口之间的 IP 地址不可以在同一网段 IRF 分裂后, 由于原主设备上的路由信息还没有更新, 在分裂出来的原从设备上无法立即 ping 通原主设备网管口地址 为解决该问题, 可以等设备间路由同步完毕, 或者开启路由 NSR 功能解决此问题 路由 NSR 的详细描述请参见 三层技术 -IP 路由配置指导 中的 IP 路由基础 3. 配置步骤表 1-2 配置接口的 IP 地址操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口的 IP 地址 ( 独立运行模式 ) 配置接口的 IP 地址 (IRF 模式 ) ip address ip-address { mask mask-length } [ sub ] ip address ip-address { mask-length mask } [ irf-member member-id sub ] 缺省情况下, 没有为接口配置 IP 地址 缺省情况下, 没有为接口配置 IP 地址 只在配置管理以太网口 IP 地址时支持 irf-member 参数 1-3

33 配置 IRF 主设备管理口 IP 地址时, 如果使用 ip address irf-member 命令, 则不要再配置其他 IP 地址命令 ( 包括 ip address 命令 mad ip address 命令或 ip address dhcp-alloc 命令等 ), 以免影响功能正常运行 在开启 MAD 检测情况下, 请将主设备的管理用以太网口设置为 MAD 检测的保留接口, 避免在 IRF 分裂后被 MAD 功能设置为关闭状态 1.3 IP 地址的显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 IP 地址的运行情况, 通过查看显示信息验证配置的效果 表 1-3 IP 地址的显示和维护 操作 命令 显示三层接口与 IP 相关的配置和统计信息 display ip interface [ interface-type interface-number ] 显示三层接口与 IP 相关的简要信息 display ip interface [ interface-type [ interface-number ] ] brief 1.4 地址配置举例 IP 地址配置举例 1. 组网需求 Switch 的端口 ( 属于 VLAN 1) 连接一个局域网, 局域网中的计算机分别属于 2 个网段 : /24 和 /24 要求这两个网段的主机都可以通过 Switch 与外部网络通信, 且这两个网段中的主机能够互通 2. 组网图 1-4

34 图 1-3 IP 地址配置组网图 3. 配置步骤针对上述的需求, 如果在 Switch 的 VLAN 接口 1 上只配置一个 IP 地址, 则只有一部分主机能够通过 Switch 与外部网络通信 为了使局域网内的所有主机都能够通过 Switch 访问外部网络, 需要配置 VLAN 接口 1 的从 IP 地址 为了使两个网段中的主机能够互通, 两个网段中的主机都需要将 Switch 设置为网关 # 配置 VLAN 接口 1 的主 IP 地址和从 IP 地址 <Switch> system-view [Switch] interface vlan-interface 1 [Switch-Vlan-interface1] ip address [Switch-Vlan-interface1] ip address sub # 在 /24 网段中的主机上配置网关为 ; 在 /24 网段中的主机上配置网关为 验证配置 # 使用 ping 命令检测 Switch 与网络 /24 内主机的连通性 <Switch> ping Ping ( ): 56 data bytes, press CTRL_C to break 56 bytes from : icmp_seq=0 ttl=128 time=7.000 ms 56 bytes from : icmp_seq=1 ttl=128 time=2.000 ms 56 bytes from : icmp_seq=2 ttl=128 time=1.000 ms 56 bytes from : icmp_seq=3 ttl=128 time=1.000 ms 56 bytes from : icmp_seq=4 ttl=128 time=2.000 ms --- Ping statistics for packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.000/2.600/7.000/2.245 ms 显示信息表示 Switch 与网络 /24 内的主机可以互通 # 使用 ping 命令检测 Switch 与网络 /24 内主机的连通性 1-5

35 <Switch> ping Ping ( ): 56 data bytes, press CTRL_C to break 56 bytes from : icmp_seq=0 ttl=128 time=2.000 ms 56 bytes from : icmp_seq=1 ttl=128 time=7.000 ms 56 bytes from : icmp_seq=2 ttl=128 time=1.000 ms 56 bytes from : icmp_seq=3 ttl=128 time=2.000 ms 56 bytes from : icmp_seq=4 ttl=128 time=1.000 ms --- Ping statistics for packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.000/2.600/7.000/2.245 ms 显示信息表示 Switch 与网络 /24 内的主机可以互通 # 使用 ping 命令检测网络 /24 和网络 /24 内主机的连通性 在 Host A 上可以 ping 通 Host B 1-6

36 目录 1 DHCP 概述 DHCP 简介 DHCP 的 IP 地址分配 IP 地址分配策略 IP 地址获取过程 IP 地址的租约更新 DHCP 报文格式 DHCP 选项 DHCP 选项简介 DHCP 常用选项介绍 自定义的选项格式 协议规范 DHCP 服务器 DHCP 服务器简介 DHCP 服务器的应用环境 DHCP 地址池 DHCP 服务器分配 IP 地址的优先次序 DHCP 服务器配置任务简介 配置 DHCP 服务器的地址池 DHCP 服务器地址池配置任务简介 创建 DHCP 地址池 配置为客户端分配的 IP 地址 配置 DHCP 客户端使用的网关地址 配置 DHCP 客户端使用的域名后缀 配置 DHCP 客户端使用的 DNS 服务器地址 配置 DHCP 客户端使用的 WINS 服务器地址和 NetBIOS 节点类型 配置 DHCP 客户端使用的 BIMS 服务器信息 配置 DHCP 客户端使用的 TFTP 服务器地址及启动文件名或远程启动文件的 HTTP 形式 URL 配置 DHCP 客户端使用的下一个提供服务的服务器 IP 地址 配置 DHCP 客户端使用的 Option 184 参数 自定义 DHCP 选项 启用 DHCP 服务 2-13 i

37 2.5 配置接口工作在 DHCP 服务器模式 配置接口引用地址池 配置 IP 地址冲突检测功能 配置 Option 82 的处理方式 配置 DHCP 服务器兼容性 配置 DHCP 服务器始终以广播方式回复请求报文 配置 DHCP 服务器忽略 BOOTP 请求报文 配置 DHCP 服务器以 RFC 1048 规定的格式发送 BOOTP 应答报文 配置 DHCP 服务器发送 DHCP 报文的 DSCP 优先级 DHCP 服务器显示和维护 DHCP 服务器典型配置举例 静态绑定地址典型配置举例 动态分配地址典型配置举例 用户类典型配置举例 主从网段典型配置举例 自定义 DHCP 选项典型配置举例 DHCP 服务器常见配置错误举例 DHCP 中继 DHCP 中继简介 DHCP 中继的应用环境 DHCP 中继的基本原理 DHCP 中继支持 Option 82 功能 DHCP 中继配置任务简介 配置 DHCP 中继 启用 DHCP 服务 配置接口工作在 DHCP 中继模式 指定 DHCP 服务器的地址 配置 DHCP 中继的安全功能 配置通过 DHCP 中继释放客户端的 IP 地址 配置 DHCP 中继支持 Option 82 功能 配置 DHCP 中继发送 DHCP 报文的 DSCP 优先级 DHCP 中继显示和维护 DHCP 中继典型配置举例 DHCP 中继配置举例 DHCP 中继支持 Option 82 配置举例 DHCP 中继常见配置错误举例 3-10 ii

38 4 DHCP 客户端 DHCP 客户端简介 配置接口通过 DHCP 协议获取 IP 地址 配置接口使用的 DHCP 客户端 ID 使能地址冲突检查功能 配置 DHCP 客户端发送 DHCP 报文的 DSCP 优先级 DHCP 客户端显示和维护 DHCP 客户端典型配置举例 DHCP Snooping DHCP Snooping 简介 DHCP Snooping 作用 信任端口的典型应用环境 DHCP Snooping 支持 Option 82 功能 DHCP Snooping 配置任务简介 配置 DHCP Snooping 基本功能 配置 DHCP Snooping 支持 Option 82 功能 配置 DHCP Snooping 表项固化功能 配置防止 DHCP 饿死攻击 配置防止伪造 DHCP 请求方向报文攻击 配置 DHCP Snooping 支持基于端口的阻断 DHCP 报文功能 配置接口动态学习 DHCP Snooping 表项的最大数目 开启 DHCP Snooping 日志信息功能 DHCP Snooping 显示和维护 DHCP Snooping 典型配置举例 DHCP Snooping 配置举例 DHCP Snooping 支持 Option 82 配置举例 BOOTP 客户端 BOOTP 客户端简介 BOOTP 客户端的应用环境 IP 地址动态获取过程 协议规范 配置接口通过 BOOTP 协议获取 IP 地址 BOOTP 客户端显示和维护 BOOTP 客户端典型配置举例 6-2 iii

39 1 DHCP 概述 1.1 DHCP 简介 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) 用来为网络设备动态地分配 IP 地址等网络配置参数 DHCP 采用客户端 / 服务器通信模式, 由客户端向服务器提出请求分配网络配置参数的申请, 服务器返回为客户端分配的 IP 地址等配置信息, 以实现 IP 地址等信息的动态配置 在 DHCP 的典型应用中, 一般包含一台 DHCP 服务器和多台客户端 ( 如 PC 和便携机 ), 如图 1-1 所示 DHCP 客户端和 DHCP 服务器处于不同物理网段时, 客户端可以通过 DHCP 中继与服务器通信, 获取 IP 地址及其他配置信息 DHCP 中继的详细介绍, 请参见 3.1 DHCP 中继简介 图 1-1 DHCP 典型应用 1.2 DHCP 的 IP 地址分配 IP 地址分配策略针对客户端的不同需求,DHCP 提供三种 IP 地址分配策略 : 手工分配地址 : 由管理员为少数特定客户端 ( 如 WWW 服务器等 ) 静态绑定固定的 IP 地址 通过 DHCP 将配置的固定 IP 地址分配给客户端 自动分配地址 :DHCP 为客户端分配租期为无限长的 IP 地址 动态分配地址 :DHCP 为客户端分配具有一定有效期限的 IP 地址, 到达使用期限后, 客户端需要重新申请地址 绝大多数客户端得到的都是这种动态分配的地址 1-1

40 1.2.2 IP 地址获取过程 图 1-2 IP 地址动态获取过程 如图 1-2 所示,DHCP 客户端从 DHCP 服务器获取 IP 地址, 主要通过四个阶段进行 : (1) 发现阶段, 即 DHCP 客户端寻找 DHCP 服务器的阶段 客户端以广播方式发送 DHCP-DISCOVER 报文 (2) 提供阶段, 即 DHCP 服务器提供 IP 地址的阶段 DHCP 服务器接收到客户端的 DHCP-DISCOVER 报文后, 根据 IP 地址分配的优先次序选出一个 IP 地址, 与其他参数一起通过 DHCP-OFFER 报文发送给客户端 (3) 选择阶段, 即 DHCP 客户端选择 IP 地址的阶段 如果有多台 DHCP 服务器向该客户端发来 DHCP-OFFER 报文, 客户端只接受第一个收到的 DHCP-OFFER 报文, 然后以广播方式发送 DHCP-REQUEST 报文, 该报文中包含 DHCP 服务器在 DHCP-OFFER 报文中分配的 IP 地址 (4) 确认阶段, 即 DHCP 服务器确认 IP 地址的阶段 DHCP 服务器收到 DHCP 客户端发来的 DHCP-REQUEST 报文后, 只有 DHCP 客户端选择的服务器会进行如下操作 : 如果确认将地址分配给该客户端, 则返回 DHCP-ACK 报文 ; 否则返回 DHCP-NAK 报文, 表明地址不能分配给该客户端 客户端收到服务器返回的 DHCP-ACK 确认报文后, 会以广播的方式发送免费 ARP 报文, 探测是否有主机使用服务器分配的 IP 地址, 如果在规定的时间内没有收到回应, 并且客户端上不存在与该地址同网段的其他地址时, 客户端才使用此地址 否则, 客户端会发送 DHCP-DECLINE 报文给 DHCP 服务器, 并重新申请 IP 地址 如果网络中存在多个 DHCP 服务器, 除 DHCP 客户端选中的服务器外, 其它 DHCP 服务器中本次未分配出的 IP 地址仍可分配给其他客户端 IP 地址的租约更新 DHCP 服务器分配给客户端的 IP 地址具有一定的租借期限 ( 除自动分配的 IP 地址 ), 该租借期限称为租约 当租借期满后服务器会收回该 IP 地址 如果 DHCP 客户端希望继续使用该地址, 则 DHCP 客户端需要申请延长 IP 地址租约 1-2

41 在 DHCP 客户端的 IP 地址租约期限达到一半左右时间时,DHCP 客户端会向为它分配 IP 地址的 DHCP 服务器单播发送 DHCP-REQUEST 报文, 以进行 IP 租约的更新 如果客户端可以继续使用此 IP 地址, 则 DHCP 服务器回应 DHCP-ACK 报文, 通知 DHCP 客户端已经获得新 IP 租约 ; 如果此 IP 地址不可以再分配给该客户端, 则 DHCP 服务器回应 DHCP-NAK 报文, 通知 DHCP 客户端不能获得新的租约 如果在租约的一半左右时间进行的续约操作失败,DHCP 客户端会在租约期限达到 7/8 时, 广播发送 DHCP-REQUEST 报文进行续约 DHCP 服务器的处理方式同上, 不再赘述 1.3 DHCP 报文格式 DHCP 有 8 种类型的报文, 每种报文的格式都相同, 只是某些字段的取值不同 DHCP 的报文格式如图 1-3 所示, 括号中的数字表示该字段所占的字节 图 1-3 DHCP 报文格式 各字段的解释如下 : op: 报文的操作类型, 分为请求报文和响应报文,1 为请求报文 ;2 为响应报文 具体的报文类型在 options 字段中标识 htype hlen:dhcp 客户端的硬件地址类型及长度 hops:dhcp 报文经过的 DHCP 中继的数目 DHCP 请求报文每经过一个 DHCP 中继, 该字段就会增加 1 xid: 客户端发起一次请求时选择的随机数, 用来标识一次地址请求过程 secs:dhcp 客户端开始 DHCP 请求后所经过的时间 目前没有使用, 固定为 0 flags: 第一个比特为广播响应标识位, 用来标识 DHCP 服务器响应报文是采用单播还是广播方式发送,0 表示采用单播方式,1 表示采用广播方式 其余比特保留不用 ciaddr:dhcp 客户端的 IP 地址 如果客户端有合法和可用的 IP 地址, 则将其添加到此字段, 否则字段设置为 0 此字段不用于客户端申请某个特定的 IP 地址 yiaddr:dhcp 服务器分配给客户端的 IP 地址 siaddr:dhcp 客户端获取启动配置信息的服务器 IP 地址 1-3

42 giaddr:dhcp 客户端发出请求报文后经过的第一个 DHCP 中继的 IP 地址 chaddr:dhcp 客户端的硬件地址 sname:dhcp 客户端获取启动配置信息的服务器名称 file:dhcp 服务器为 DHCP 客户端指定的启动配置文件名称及路径信息 options: 可选变长选项字段, 包含报文的类型 有效租期 DNS 服务器的 IP 地址 WINS 服务器的 IP 地址等配置信息 1.4 DHCP 选项 DHCP 选项简介为了与 BOOTP(Bootstrap Protocol, 自举协议 ) 兼容,DHCP 保留了 BOOTP 的消息格式 DHCP 和 BOOTP 消息的不同主要体现在选项 (Options) 字段 DHCP 在 BOOTP 基础上增加的功能, 通过 Options 字段来实现 DHCP 利用 Options 字段传递控制信息和网络配置参数, 实现地址动态分配的同时, 为客户端提供更加丰富的网络配置信息 DHCP 选项的格式如图 1-4 所示 图 1-4 DHCP 选项格式 DHCP 常用选项介绍常见的 DHCP 选项有 : Option 3: 路由器选项, 用来指定为客户端分配的网关地址 Option 6:DNS 服务器选项, 用来指定为客户端分配的 DNS 服务器地址 Option 33: 静态路由选项 该选项中包含一组有分类静态路由 ( 即目的网络地址的掩码固定为自然掩码, 不能划分子网 ), 客户端收到该选项后, 将在路由表中添加这些静态路由 如果 Option 33 和 Option 121 同时存在, 则忽略 Option 33 Option 51:IP 地址租约选项 Option 53:DHCP 消息类型选项, 标识 DHCP 消息的类型 Option 55: 请求参数列表选项 客户端利用该选项指明需要从服务器获取哪些网络配置参数 该选项内容为客户端请求的参数对应的选项值 Option 60: 厂商标识选项 客户端利用该选项标识自己所属的厂商 ;DHCP 服务器可以根据该选项区分客户端所属的厂商, 并为其分配特定范围的 IP 地址 Option 66:TFTP 服务器名选项, 用来指定为客户端分配的 TFTP 服务器的域名 Option 67: 启动文件名选项, 用来指定为客户端分配的启动文件名 1-4

43 Option 121: 无分类路由选项 该选项中包含一组无分类静态路由 ( 即目的网络地址的掩码为任意值, 可以通过掩码来划分子网 ), 客户端收到该选项后, 将在路由表中添加这些静态路由 如果 Option 33 和 Option 121 同时存在, 则忽略 Option 33 Option 150:TFTP 服务器地址选项, 用来指定为客户端分配的 TFTP 服务器的地址 更多 DHCP 选项的介绍, 请参见 RFC 2132 和 RFC 自定义的选项格式有些选项的内容,RFC 2132 中没有统一规定, 例如 Option 43 Option 82 和 Option 184 下面将介绍设备上定义的几种选项格式 1. 厂商特定信息选项 (Option 43) Option 43 称为厂商特定信息选项 DHCP 服务器和 DHCP 客户端通过 Option 43 交换厂商特定的信息 设备作为 DHCP 客户端时, 可以通过 Option 43 获取 : ACS(Auto-Configuration Server, 自动配置服务器 ) 的参数, 包括 URL 地址 用户名和密码 PXE(Preboot execution Environment, 预启动执行环境 ) 引导服务器地址, 以便客户端从 PXE 引导服务器获取启动文件或其他控制信息 在无线网络中,AP(Access Point, 接入点 ) 作为 DHCP 客户端, 可以通过 Option 43 获取 AC(Access Controller, 接入控制器 ) 地址, 以便 AP 从 AC 获取启动文件或其他控制信息 (1) Option 43 格式图 1-5 Option 43 格式 为了提供可扩展性, 通过 Option 43 为客户端分配更多的信息,Option 43 采用子选项的形式, 通过不同的子选项为用户分配不同的网络配置参数 如图 1-5 所示 子选项中各字段的含义为 : Sub-option type: 子选项类型 目前, 子选项类型值可以为 0x01 表示 ACS 参数子选项,0x02 表示服务提供商标识子选项,0x80 表示 PXE 引导服务器地址子选项 Sub-option length: 子选项的长度, 不包括子选项类型和子选项长度字段 Sub-option value: 子选项的取值 不同类型的子选项, 取值格式有所不同, 详细介绍请参见下文 (2) Option 43 子选项取值字段的格式 ACS 参数子选项的取值字段格式如图 1-6 所示 ACS 的 URL 地址 用户名和密码长度可变, 每个参数之间用空格 ( 十六进制数为 0x20) 隔开 1-5

44 图 1-6 ACS 参数子选项取值字段的格式 服务提供商标识子选项的取值字段内容为服务提供商的标识 PXE 引导服务器地址子选项的取值字段格式如图 1-7 所示 其中,PXE 服务器类型目前取值只能为 0;Server number 为子选项中包含的 PXE 服务器地址的数目 ;Server IP addresses 为 PXE 服务器的 IP 地址 图 1-7 PXE 引导服务器地址子选项取值字段的格式 2. 中继代理信息选项 (Option 82) Option 82 称为中继代理信息选项, 该选项记录了 DHCP 客户端的位置信息 DHCP 中继或 DHCP Snooping 设备接收到 DHCP 客户端发送给 DHCP 服务器的请求报文后, 在该报文中添加 Option 82, 并转发给 DHCP 服务器 管理员可以从 Option 82 中获得 DHCP 客户端的位置信息, 以便定位 DHCP 客户端, 实现对客户端的安全和计费等控制 支持 Option 82 的服务器还可以根据该选项的信息制定 IP 地址和其他参数的分配策略, 提供更加灵活的地址分配方案 Option 82 最多可以包含 255 个子选项 若定义了 Option 82, 则至少要定义一个子选项 目前设备只支持两个子选项 :sub-option 1(Circuit ID, 电路 ID 子选项 ) 和 sub-option 2(Remote ID, 远程 ID 子选项 ) 由于 Option 82 的内容没有统一规定, 不同厂商通常根据需要进行填充 设备上,Circuit ID 的填充模式有以下几种 : 采用 string 模式填充 :sub-option 1 的内容是用户配置的字符串 采用 normal 模式填充 :sub-option 1 的内容是接收到 DHCP 客户端请求报文的接口所属的 VLAN ID 以及接口编号 采用 verbose 模式填充 :sub-option 1 的内容包括用户配置的接入节点标识, 接收到 DHCP 客户端请求报文的接口类型 接口编号和接口所属的 VLAN ID Remote ID 的填充模式有以下几种 : 采用 string 模式填充 :sub-option 2 的内容用户配置的字符串 采用 normal 模式填充 :sub-option 2 的内容是接收到 DHCP 客户端请求报文的接口 MAC 地址 (DHCP 中继 ) 或设备的桥 MAC 地址 (DHCP Snooping) 1-6

45 采用 sysname 模式填充 :sub-option 2 的内容是设备的系统名称 设备的系统名称可以通过系统视图下的 sysname 命令配置 3. Option 184 Option 184 是 RFC 中规定的保留选项, 用户可以自定义该选项中携带的信息 设备上,Option 184 携带了语音呼叫所需的信息 通过 Option 184, 可以实现在为具有语音功能的 DHCP 客户端提供语音呼叫相关信息 目前 Option 184 支持三个子选项, 承载的内容如下 : sub-option 1: 网络呼叫处理器的 IP 地址, 用来标识作为网络呼叫控制源及应用程序下载的服务器 只有定义了 sub-option 1( 网络呼叫处理器的 IP 地址子选项 ), 其他子选项才能生效 sub-option 2: 备用服务器的 IP 地址, 当 sub-option 1 中携带的网络呼叫处理器不可达或不合法时,DHCP 客户端使用该选项指定的备用服务器作为网络呼叫处理器 sub-option 3: 语音 VLAN 信息, 指定语音 VLAN 的 ID 及 DHCP 客户端是否会将所指定的 VLAN 作为语音 VLAN 1.5 协议规范 与 DHCP 相关的协议规范有 : RFC 2131:Dynamic Host Configuration Protocol RFC 2132:DHCP Options and BOOTP Vendor Extensions RFC 1542:Clarifications and Extensions for the Bootstrap Protocol RFC 3046:DHCP Relay Agent Information Option RFC 3442:The Classless Static Route Option for Dynamic Host Configuration Protocol (DHCP) version 4 1-7

46 2 DHCP 服务器 2.1 DHCP 服务器简介 DHCP 服务器的应用环境在以下场合通常利用 DHCP 服务器来完成 IP 地址分配 : 网络规模较大, 手工配置需要很大的工作量, 并难以对整个网络进行集中管理 网络中主机数目大于该网络支持的 IP 地址数量, 无法给每个主机分配一个固定的 IP 地址 例如,Internet 接入服务提供商限制同时接入网络的用户数目, 用户必须动态获得自己的 IP 地址 网络中只有少数主机需要固定的 IP 地址, 大多数主机没有固定的 IP 地址需求 设备作为 MCE(Multi-VPN-instance Customer Edge, 多 VPN 实例用户网络边界设备 ) 时, 在设备上配置 DHCP 服务器功能, 不仅可以为公网上的 DHCP 客户端分配 IP 地址, 还可以实现为私网内的 DHCP 客户端分配 IP 地址, 但是公网和私网之间 不同私网之间的 IP 地址空间不能重叠 MCE 的详细介绍, 请参见 MPLS 配置指导 中的 MPLS L3VPN DHCP 地址池每个 DHCP 地址池都拥有一组可供分配的地址和网络配置参数 DHCP 服务器从地址池中为客户端选择并分配 IP 地址及其他参数 1. 地址池的地址管理方式地址池的地址管理方式有以下几种 : 静态绑定 IP 地址, 即通过将客户端的 MAC 地址或客户端 ID 与 IP 地址绑定的方式, 实现为特定的客户端分配特定的 IP 地址 ; 动态选择 IP 地址, 即在地址池中指定可供分配的 IP 地址范围, 当收到客户端的 IP 地址申请时, 从该地址范围中动态选择 IP 地址, 分配给该客户端 在地址池中指定可供分配的 IP 地址范围, 有以下几种方法 : (1) 为地址池指定一个主网段, 并将该网段划分为多个地址范围 多个地址范围是指一个地址池动态分配的 IP 地址范围 ( 公共地址范围 ) 和多个为 DHCP 用户类分配的 IP 地址范围 DHCP 服务器通过定义 DHCP 用户类, 实现为满足特定条件的客户端分配特定地址范围的 IP 地址 DHCP 服务器根据客户端发送的请求报文, 判断 DHCP 客户端所属的用户类 每个用户类可以配置多个匹配条件, 只要客户端发送的 DHCP 请求报文满足任意一个匹配条件, 就认为该客户端属于该用户类 在地址池下, 可以为不同的用户类指定不同的地址范围 如果 DHCP 客户端属于某个用户类, 则从该用户类的地址范围内选择地址分配给该客户端 采用这种地址管理方式时, 地址选择过程为 : 按照地址池下用户类地址范围的配置顺序, 将 DHCP 客户端和用户类进行匹配 如果 DHCP 客户端属于某个用户类, 则从该用户类的地址范围中选择地址分配给客户端 2-1

47 如果该用户类中没有可供分配的地址, 则继续匹配下一个用户类 如果所有匹配上的用户类地址范围都没有可供分配的地址, 则从公共地址范围中选择地址分配给客户端 如果 DHCP 客户端不属于任何一个 DHCP 用户类, 则会从地址池动态分配的 IP 地址范围 ( 通过 address range 命令配置 ) 中选择地址分配给 DHCP 客户端 如果动态分配的 IP 地址范围内也没有空闲地址, 或者没有配置动态分配的 IP 地址范围, 则地址分配失败, 即 DHCP 服务器无法为 DHCP 客户端分配地址 每个地址范围内的地址都必须属于指定的主网段, 否则无法分配该范围内的地址 (2) 为地址池指定一个主网段, 并指定多个从网段 采用此种地址分配方式时, 地址选择的过程是 : 首先从地址池主网段中查找可供分配的 IP 地址 如果主网段中没有可供分配的 IP 地址, 则按照该地址池下从网段的配置顺序, 依次查找可供分配的 IP 地址 2. 地址池的选取原则 DHCP 服务器为客户端分配 IP 地址时, 地址池的选择原则如下 : (1) 如果存在将客户端 MAC 地址或客户端 ID 与 IP 地址静态绑定的地址池, 则选择该地址池, 并将静态绑定的 IP 地址和其他网络参数分配给客户端 (2) 如果接收到 DHCP 请求报文的接口引用了某个地址池, 则选择该地址池, 从该地址池中选取 IP 地址和其他网络参数分配给客户端 (3) 如果不存在静态绑定的地址池, 且接收到 DHCP 请求报文的接口没有引用地址池, 则按照以下方法选择地址池 : 如果客户端与服务器在同一网段, 则将 DHCP 请求报文接收接口的 IP 地址与所有地址池配置的主网段进行匹配, 并选择最长匹配的主网段所对应的地址池 如果没有匹配到主网段, 则将 DHCP 请求报文接收接口的 IP 地址与所有地址池配置的从网段进行匹配, 并选择最长匹配的网段所对应的地址池 如果客户端与服务器不在同一网段, 即客户端通过 DHCP 中继获取 IP 地址, 则将 DHCP 请求报文中 giaddr 字段指定的 IP 地址与所有地址池配置的主网段进行匹配, 并选择最长匹配的网段所对应的地址池 如果没有匹配到主网段, 则将 DHCP 请求报文中 giaddr 字段指定的 IP 地址与所有地址池配置的从网段进行匹配, 并选择最长匹配的网段所对应的地址池 例如,DHCP 服务器上配置了两个地址池, 动态分配的网段分别是 /24 和 /25, 如果接收 DHCP 请求报文的接口 IP 地址为 /25, 且没有引用地址池, 服务器将从 /25 地址池中选择 IP 地址分配给客户端, /25 地址池中如果没有可供分配的 IP 地址, 则服务器无法为客户端分配地址 ; 如果接收 DHCP 请求报文的接口 IP 地址为 /25, 服务器将从 /24 地址池中选择 IP 地址分配给客户端 2-2

48 配置地址池动态分配的网段和 IP 地址范围时, 请尽量保证其与 DHCP 服务器接口或 DHCP 中继接口地址的网段一致, 以免分配错误的 IP 地址 建议合理规划 DHCP 服务器上各地址池中主网段的配置, 尽量避免客户端匹配不到主网段 直接匹配从网段的情况发生 DHCP 服务器分配 IP 地址的优先次序 DHCP 服务器为客户端分配 IP 地址的优先次序如下 : (1) 与客户端 MAC 地址或客户端 ID 静态绑定的 IP 地址 (2) DHCP 服务器记录的曾经分配给客户端的 IP 地址 (3) 客户端发送的 DHCP-DISCOVER 报文中 Option 50 字段指定的 IP 地址 Option 50 为客户端请求的 IP 地址选项 (Requested IP Address), 客户端通过在 DHCP-DISCOVER 报文中添加该选项来指明客户端希望获取的 IP 地址 该选项的内容由客户端决定 (4) 按照 DHCP 地址池 中所述的动态分配地址选择原则, 顺序查找可供分配的 IP 地址, 选择最先找到的 IP 地址 (5) 如果未找到可用的 IP 地址, 则从当前匹配地址池中依次查询租约过期 曾经发生过冲突的 IP 地址, 如果找到则进行分配, 否则将不予处理 如果客户端所在的网段发生变化, 服务器不会为客户端分配曾经分配给它的 IP 地址, 而是从匹配新网段的地址池中重新选择 IP 地址 使用曾经发生过冲突的 IP 地址时, 只有冲突状态超过一小时的地址租约才能够被服务器分配给新的 DHCP 客户端 2.2 DHCP 服务器配置任务简介 表 2-1 DHCP 服务器配置任务简介操作 说明 详细配置 配置 DHCP 服务器的地址池 必选 2.3 启用 DHCP 服务 必选 2.4 配置接口工作在 DHCP 服务器模式 必选 2.5 配置接口引用地址池 可选 2.6 配置 IP 地址冲突检测功能 可选 2.7 配置 Option 82 的处理方式 可选 2.8 配置 DHCP 服务器协议兼容性 可选

49 操作说明详细配置 配置 DHCP 服务器发送 DHCP 报文的 DSCP 优先级可选 配置 DHCP 服务器的地址池 DHCP 服务器地址池配置任务简介表 2-2 DHCP 服务器地址池配置任务简介 操作说明详细配置创建 DHCP 地址池必选 配置为客户端分配的 IP 地址 配置 DHCP 客户端使用的网关地址 配置 DHCP 客户端使用的域名后缀 配置 DHCP 客户端使用的 DNS 服务器地址 配置 DHCP 客户端使用的 WINS 服务器地址和 NetBIOS 节点类型 至少选其一 配置 DHCP 客户端使用的 BIMS 服务器信息 配置 DHCP 客户端使用的 TFTP 服务器地址及启动文件名 配置 DHCP 客户端使用的下一个提供服务的服务器 IP 地址 配置 DHCP 客户端使用的 Option 184 参数 自定义 DHCP 选项 创建 DHCP 地址池表 2-3 创建 DHCP 地址池 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 dhcp server ip-pool pool-name 缺省情况下, 设备上不存在任何 DHCP 地址池 2-4

50 2.3.3 配置为客户端分配的 IP 地址 对一个 DHCP 地址池可以同时配置静态地址管理方式和动态地址管理方式 动态地址管理方式分为 一个主网段多个地址范围和一个主网段多个从网段两种, 用户可以根据实际需要, 选择不同的动态地址管理方式 同一个地址池中不能同时配置两种动态地址管理方式 1. 配置一个主网段多个地址范围的动态地址管理方式在某些组网应用中, 需要将一个网段下的不同客户端, 按照一定的规则划分到不同的地址范围中 此时, 可以按照客户端划分规则创建对应的 DHCP 用户类, 并在地址池内为不同的用户类配置不同的地址范围, 从而实现为特定的客户端分配特定范围的地址 在这种情况下, 还可以配置一个公共地址范围, 为不匹配任何用户类的客户端分配给该范围的地址 如果不配置公共地址范围, 则不匹配任何用户类的客户端将无法获取到 IP 地址 如果不需要对客户端进行分类, 而仅需要限制网段内可分配的动态地址范围, 则可以只配置公共地址范围, 而不配置用户类的地址范围 表 2-4 配置一个主网段多个地址段的动态地址管理方式操作命令说明进入系统视图 system-view - 创建 DHCP 用户类, 并进入 DHCP 用户类视图 配置 DHCP 用户类的匹配规则 dhcp class class-name if-match rule rule-number option option-code [ hex hex-string [ offset offset length length mask mask ] ] 缺省情况下, 不存在任何 DHCP 用户类在地址池下, 需要为 DHCP 用户类指定地址范围时, 为必选 缺省情况下, 没有配置 DHCP 用户类的匹配规则在地址池下, 需要为 DHCP 用户类指定地址范围时, 为必选 退回系统视图 quit - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置 DHCP 地址池动态分配的主网段 ( 可选 ) 配置地址池动态分配的 IP 地址范围, 即公共地址范围 ( 可选 ) 配置 DHCP 地址池为指定 DHCP 用户类动态分配的 IP 地址范围 dhcp server ip-pool pool-name network network-address [ mask-length mask mask ] address range start-ip-address end-ip-address class class-name range start-ip-address end-ip-address 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置主网段 缺省情况下, 没有配置动态分配的 IP 地址范围 缺省情况下, 没有配置为指定 DHCP 用户类动态分配的 IP 地址范围 class 命令中指定的 DHCP 用户类, 必须通过 dhcp class 命令创建 否则, 无法为该用户类分配指定范围的地址 2-5

51 操作命令说明 ( 可选 ) 配置动态分配的 IP 地址的租约有效期限 ( 可选 ) 配置 DHCP 地址池中不参与自动分配的 IP 地址 expired { day day [ hour hour [ minute minute [ second second ] ] ] unlimited } forbidden-ip ip-address&<1-8> 缺省情况下,IP 地址租约有效期限为 1 天 缺省情况下,DHCP 地址池中的所有 IP 地址都参与自动分配 退回系统视图 quit - ( 可选 ) 配置全局不参与自动分配的 IP 地址 dhcp server forbidden-ip start-ip-address [ end-ip-address ] 缺省情况下, 除 DHCP 服务器接口的 IP 地址外,DHCP 地址池中的所有 IP 地址都参与自动分配多次执行 dhcp server forbidden-ip 命令, 可以配置多个不参与自动分配的 IP 地址段 在同一个 DHCP 地址池中, 如果多次执行 network 或 address range 命令, 新的配置会覆盖已有配置 ; 如果多次执行 class 命令, 则可以为多个用户类指定不同的地址范围 ; 多次执行 forbidden-ip 命令, 可以配置多个不参与自动分配的 IP 地址 在 DHCP 地址池视图下通过 forbidden-ip 命令配置不参与自动分配的 IP 地址后, 只有当前的地址池不能分配这些 IP 地址, 其他地址池仍然可以分配这些 IP 地址 ; 通过 dhcp server forbidden-ip 命令指定不参与自动分配的 IP 地址后, 所有地址池都不能分配这些 IP 地址 2. 配置一个主网段多个从网段的动态地址管理方式在配置了一个主网段和多个从网段的地址池中, 从网段的作用是对主网段地址空间的补充 当主网段中没有空闲地址分配给客户端时, 服务器会从该地址池中的从网段获取地址分配给客户端 表 2-5 配置一个主网段多个从网段的地址管理方式操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置 DHCP 地址池动态分配的主网段 ( 可选 ) 配置 DHCP 地址池动态分配的从网段 dhcp server ip-pool pool-name network network-address [ mask-length mask mask ] network network-address [ mask-length mask mask ] secondary 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置主网段每个 DHCP 地址池中只能配置一个主网段, 如果多次执行 network 命令配置主网段, 则新的配置会覆盖已有配置 缺省情况下, 没有配置从网段 ( 可选 ) 退回地址池视图 quit - ( 可选 ) 配置动态分配的 IP 地址的 expired { day day [ hour hour [ minute minute [ second 缺省情况下,IP 地址租约有效期限为 1 2-6

52 操作命令说明 租约有效期限 second ] ] ] unlimited } 天 ( 可选 ) 配置 DHCP 地址池中不参与自动分配的 IP 地址 forbidden-ip ip-address&<1-8> 缺省情况下,DHCP 地址池中的所有 IP 地址都参与自动分配 多次执行 forbidden-ip 命令, 可以配置多个不参与自动分配的 IP 地址段 退回系统视图 quit - ( 可选 ) 配置全局不参与自动分配的 IP 地址 dhcp server forbidden-ip start-ip-address [ end-ip-address ] 缺省情况下, 除 DHCP 服务器接口的 IP 地址外,DHCP 地址池中的所有 IP 地址都参与自动分配多次执行 dhcp server forbidden-ip 命令, 可以配置多个不参与自动分配的 IP 地址段 每个 DHCP 地址池中, 最多可以配置 32 个从网段 在 DHCP 地址池视图下通过 forbidden-ip 命令配置不参与自动分配的 IP 地址后, 只有当前的地址池不能分配这些 IP 地址, 其他地址池仍然可以分配这些 IP 地址 ; 通过 dhcp server forbidden-ip 命令指定不参与自动分配的 IP 地址后, 所有地址池都不能分配这些 IP 地址 3. 配置静态地址绑定某些客户端 ( 如 Web 服务器等 ) 需要固定的 IP 地址, 通过以下几种方式可以实现为特定的客户端分配特定的 IP 地址 : 将客户端的硬件地址与 IP 地址绑定 : 当具有此 MAC 地址的客户端申请 IP 地址时,DHCP 服务器将根据客户端的 MAC 地址查找到对应的 IP 地址, 并分配给客户端 将客户端 ID 与 IP 地址绑定 : 某些客户端在向 DHCP 服务器发送 DHCP-DISCOVER 报文申请 IP 地址时, 会构建客户端 ID 并添加到报文中一起发送 如果在 DHCP 服务器上将客户端 ID 与 IP 地址绑定, 则当该客户端申请 IP 地址时,DHCP 服务器将根据客户端 ID 查找到对应的 IP 地址并分配给客户端 静态绑定的 IP 地址不能是 DHCP 服务器的接口 IP 地址, 否则会导致 IP 地址冲突, 被绑定的客户端将无法正常获取到 IP 地址 如果作为 DHCP 客户端的设备, 接口的 MAC 地址相同, 则为了区分不同接口, 采用静态绑定方式进行地址分配时, 需要在服务器上配置静态绑定的客户端 ID, 而不能配置静态绑定的客户端 MAC 地址, 否则可能导致客户端无法成功获取 IP 地址 表 2-6 配置静态地址绑定操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 dhcp server ip-pool pool-name 缺省情况下, 设备上不存在任何 DHCP 地址池 2-7

53 操作命令说明 配置静态地址绑定 static-bind ip-address ip-address [ mask-length mask mask ] { client-identifier client-identifier hardware-address hardware-address [ ethernet token-ring ] } 缺省情况下, 没有配置静态地址绑定多次执行 static-bind ip-address 命令, 可以配置多个静态地址绑定同一地址只能绑定给一个客户端 不允许通过重复执行 static-bind ip-address 命令的方式修改 IP 地址与客户端的绑定关系 只有删除了某个地址的绑定关系, 才能将该地址与其他客户端绑定 ( 可选 ) 配置静态绑定 IP 地址的租约有效期限 expired { day day [ hour hour [ minute minute [ second second ] ] ] unlimited } 缺省情况下,IP 地址租约有效期限为 1 天 配置 DHCP 客户端使用的网关地址 DHCP 客户端访问本网段以外的服务器或主机时, 数据必须通过网关进行转发 DHCP 服务器可以为客户端指定网关的地址 在 DHCP 服务器上, 可以为每个地址池分别指定客户端对应的网关地址 目前, 每个 DHCP 地址池视图下 每个从网段视图下最多可以配置 8 个网关地址 表 2-7 配置 DHCP 客户端使用的网关地址 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置为 DHCP 客户端分配的网关地址 ( 可选 ) 进入从网段视图 ( 可选 ) 配置为 DHCP 客户端分配的网关地址 dhcp server ip-pool pool-name gateway-list ip-address&<1-8> network network-address [ mask-length mask mask ] secondary gateway-list ip-address&<1-8> 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置为 DHCP 客户端分配的网关地址 - 缺省情况下, 没有配置为 DHCP 客户端分配的网关地址 DHCP 地址池视图下执行 gateway-list 命令, 配置的是为地址池中所有 DHCP 客户端分配的网关地址 如果用户需要为地址池下某个从网段的 DHCP 客户端分配其它的网关地址, 可以在地址池的从网段视图下执行 gateway-list 命令 如果在地址池视图和从网段视图下都配置了网关地址, 则优先将从网段视图下配置的网关地址分配给从网段的 DHCP 客户端 2-8

54 2.3.5 配置 DHCP 客户端使用的域名后缀在 DHCP 服务器上, 可以为每个地址池指定客户端使用的域名后缀 在客户端进行域名解析时, 用户只需要输入域名的部分字段, 客户端会自动将输入的域名加上从 DHCP 服务器获得的域名后缀进行解析 有关域名后缀的详细介绍, 请参见 三层技术 -IP 业务配置指导 中的 域名解析 表 2-8 配置 DHCP 客户端使用的域名后缀 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置为 DHCP 客户端分配的域名后缀 dhcp server ip-pool pool-name domain-name domain-name 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置为 DHCP 客户端分配的域名后缀 配置 DHCP 客户端使用的 DNS 服务器地址为了使 DHCP 客户端能够通过域名访问 Internet 上的主机,DHCP 服务器应在为客户端指定 DNS (Domain Name System, 域名系统 ) 服务器地址 目前, 每个 DHCP 地址池视图下最多可以配置 8 个 DNS 服务器地址 表 2-9 配置 DHCP 客户端使用的 DNS 服务器地址 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置为 DHCP 客户端分配的 DNS 服务器地址 dhcp server ip-pool pool-name dns-list ip-address&<1-8> 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置为 DHCP 客户端分配的 DNS 服务器地址 配置 DHCP 客户端使用的 WINS 服务器地址和 NetBIOS 节点类型对于使用 Microsoft Windows 操作系统的客户端, 由 WINS(Windows Internet Naming Service, Windows Internet 名称服务 ) 服务器为通过 NetBIOS 协议通信的主机提供主机名到 IP 地址的解析 所以, 大部分 Windows 网络客户端需要进行 WINS 的设置 为了使 DHCP 客户端实现主机名到 IP 地址的解析,DHCP 服务器应该为客户端指定 WINS 服务器地址 目前, 每个 DHCP 地址池视图下最多可以配置 8 个 WINS 服务器地址 DHCP 客户端在网络上使用 NetBIOS 协议通信时, 需要在主机名和 IP 地址之间建立映射关系 根据获取映射关系方式的不同,NetBIOS 节点分为四种 : b 类节点 (b-node): b 代表广播 (broadcast), 即此类节点采用广播方式获取映射关系 源节点通过发送带有目的节点主机名的广播报文来获取目的节点的 IP 地址, 目的节点收到广播报文后, 就将自己的 IP 地址返回给源节点 2-9

55 p 类节点 (p-node): p 代表端到端 (peer-to-peer), 即此类节点采用发送单播报文与 WINS 服务器通信的方式获取映射关系 源节点给 WINS 服务器发送单播报文,WINS 服务器收到单播报文后, 返回源节点请求的目的节点名所对应的 IP 地址 m 类节点 (m-node): m 代表混合 (mixed), 是具有部分广播特性的 p 类节点 即此类节点首先发送广播报文来获取映射关系, 如果没有获取到, 则再发送单播报文与 WINS 服务器通信来获取映射关系 h 类节点 (h-node): h 代表混合 (hybrid), 是具备 端到端 通信机制的 b 类节点 即此类节点首先发送单播报文与 WINS 服务器通信来获取映射关系, 如果没有获取到, 再发送广播报文来获取映射关系 表 2-10 配置 DHCP 客户端使用的 WINS 服务器地址和 NetBIOS 节点类型操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置为 DHCP 客户端分配的 WINS 服务器地址 配置为 DHCP 客户端分配的 NetBIOS 节点类型 dhcp server ip-pool pool-name nbns-list ip-address&<1-8> netbios-type { b-node h-node m-node p-node } 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置为 DHCP 客户端分配的 WINS 服务器地址 对于 b 类节点, 为可选 ; 其他情况下, 为必选 缺省情况下, 没有配置为 DHCP 客户端分配的 NetBIOS 节点类型 配置 DHCP 客户端使用的 BIMS 服务器信息为了使 DHCP 客户端通过 BIMS(Branch Intelligent Management System, 分支网点智能管理系统 ) 服务器进行软件的备份和升级等操作,DHCP 服务器需要将 BIMS 服务器的 IP 地址 端口号以及加密的共享密钥等信息发给 DHCP 客户端 之后,DHCP 客户端就可以定期向 BIMS 服务器发送连接请求, 从 BIMS 服务器上获取配置文件, 进行软件的备份和升级等操作 表 2-11 配置 DHCP 客户端使用的 BIMS 服务器信息 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置为 DHCP 客户端分配的 BIMS 服务器的 IP 地址 端口及共享密钥信息 dhcp server ip-pool pool-name bims-server ip ip-address [ port port-number ] sharekey { cipher simple } key 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置为 DHCP 客户端分配的 BIMS 服务器信息 2-10

56 2.3.9 配置 DHCP 客户端使用的 TFTP 服务器地址及启动文件名或远程启动文件的 HTTP 形式 URL 服务器自动配置功能在空配置启动的设备上不需要进行任何配置, 但需要在 DHCP 服务器上配置一 些必需的参数, 包括 TFTP 服务器地址 TFTP 服务器名和启动文件名或远程启动文件的 HTTP 形 式 URL 等 表 2-12 配置 DHCP 客户端使用的 TFTP 服务器地址及启动文件名 操作命令说明 进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置 DHCP 客户端使用的 TFTP 服务器地址 配置 DHCP 客户端使用的 TFTP 服务器名 配置 DHCP 客户端使用的启动文件名 dhcp server ip-pool pool-name tftp-server ip-address ip-address tftp-server domain-name domain-name bootfile-name bootfile-name 缺省情况下, 设备上不存在任何 DHCP 地址池 二者至少选其一缺省情况下, 没有配置 DHCP 客户端使用的 TFTP 服务器地址和 TFTP 服务器名 缺省情况下, 没有配置 DHCP 客户端使用的启动文件名 表 2-13 配置 DHCP 客户端使用的远程启动文件的 HTTP 形式 URL 操作命令说明 进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置 DHCP 客户端使用的远程启动文件的 HTTP 形式 URL dhcp server ip-pool pool-name bootfile-name url 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置 DHCP 客户端使用的远程启动文件的 HTTP 形式 URL 配置 DHCP 客户端使用的下一个提供服务的服务器 IP 地址设备在启动后, 可能需要访问某些服务器获取设备运行需要的信息, 例如从 TFTP 服务器上获取配置文件 通过本配置可以指定 DHCP 服务器为 DHCP 客户端分配的下一个提供服务的服务器 IP 地址, 以便客户端启动后访问该服务器, 获取必要的信息 表 2-14 配置 DHCP 客户端使用的下一个提供服务的服务器 IP 地址 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置 DHCP 地址池为 DHCP 客户端分配的下一个提供服务的服务器 IP 地址 dhcp server ip-pool pool-name next-server ip-address 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置 DHCP 地址池为 DHCP 客户端分配的下一个提供服务的服务器 IP 地址 2-11

57 配置 DHCP 客户端使用的 Option 184 参数为了使具有语音功能的 DHCP 客户端能够在通过 DHCP 获取 IP 地址的同时, 获取到语音呼叫所需的相关信息, 需要在 DHCP 服务器上配置 Option 184 Option 184 内容的详细介绍, 请参见 Option 184 表 2-15 配置 DHCP 客户端使用的 Option 184 参数 操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 配置网络呼叫处理器的地址 dhcp server ip-pool pool-name voice-config ncp-ip ip-address 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有配置网络呼叫处理器的地址只有配置了网络呼叫处理器的地址, 其他配置才能生效 ( 可选 ) 配置备用服务器的地址 voice-config as-ip ip-address 缺省情况下, 没有配置备用服务器的地址 ( 可选 ) 配置语音 VLAN ( 可选 ) 配置自动故障转移呼叫路由 voice-config voice-vlan vlan-id { disable enable } voice-config fail-over ip-address dialer-string 缺省情况下, 没有配置语音 VLAN 缺省情况下, 没有配置自动故障转移呼叫路由 自定义 DHCP 选项 自定义 DHCP 选项时, 取值的获取比较复杂, 配置错误可能会对 DHCP 的工作工程造成影响, 请谨慎使用该功能 本配置为 DHCP 服务器提供了灵活的选项配置方式, 使得 DHCP 服务器可以为 DHCP 客户端提供更加丰富的选项内容 在以下情况下, 可以使用本命令自定义 DHCP 选项 : 随着 DHCP 的不断发展, 新的 DHCP 选项会陆续出现 通过自定义 DHCP 选项, 可以方便地添加新的 DHCP 选项 有些选项的内容,RFC 中没有统一规定 厂商可以根据需要定义选项的内容, 如 Option 43 通过自定义 DHCP 选项, 可以为 DHCP 客户端提供厂商指定的信息 设备上只提供了有限的选项配置命令 ( 如 gateway-list dns-list 命令 ), 对于没有专门命令来配置的 DHCP 选项, 可以通过 option 命令配置选项内容 例如, 可以通过 option 4 ip-address 命令指定为 DHCP 客户端分配的时间服务器地址为

58 扩展已有的 DHCP 选项 当前已提供的方式无法满足用户需求时 ( 比如通过 dns-list 命令最多只能配置 8 个 DNS 服务器地址, 如果用户需要配置的 DNS 服务器地址数目大于 8, 则该命令无法满足需求 ), 可以通过自定义 DHCP 选项的方式进行扩展 表 2-16 自定义 DHCP 选项操作命令说明进入系统视图 system-view - 创建 DHCP 地址池, 并进入 DHCP 地址池视图 自定义 DHCP 选项 dhcp server ip-pool pool-name option code { ascii ascii-string hex hex-string ip-address ip-address&<1-8> } 缺省情况下, 设备上不存在任何 DHCP 地址池 缺省情况下, 没有自定义 DHCP 选项 表 2-17 常用 Option 配置说明 选项编号 选项名称 对应的配置命令 推荐的 option 命令参数 3 Router Option gateway-list ip-address 6 Domain Name Server Option dns-list ip-address 15 Domain Name domain-name ascii 44 NetBIOS over TCP/IP Name Server Option nbns-list ip-address 46 NetBIOS over TCP/IP Node Type Option netbios-type hex 66 TFTP server name tftp-server ascii 67 Bootfile name bootfile-name ascii 43 Vendor Specific Information - hex 2.4 启用 DHCP 服务 只有启用 DHCP 服务后, 其它相关的 DHCP 服务器配置才能生效 表 2-18 启用 DHCP 服务 操作 命令 说明 进入系统视图 system-view - 启用 DHCP 服务 dhcp enable 缺省情况下,DHCP 服务处于关闭状态 2.5 配置接口工作在 DHCP 服务器模式 配置接口工作在 DHCP 服务器模式后, 当接口收到 DHCP 客户端发来的 DHCP 报文时, 将从 DHCP 服务器的地址池中分配地址等参数 2-13

59 表 2-19 配置接口工作在 DHCP 服务器模式操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口工作在 DHCP 服务器模式 dhcp select server 缺省情况下, 接口工作在 DHCP 服务器模式 2.6 配置接口引用地址池 创建地址池, 并在接口引用该地址池后, 接口接收到 DHCP 请求, 将优先为客户端分配静态绑定的 IP 地址 ; 如果不存在静态绑定的 IP 地址, 则从引用的地址池中选择 IP 地址分配给客户端 表 2-20 配置接口引用地址池 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口引用地址池 dhcp server apply ip-pool pool-name 缺省情况下, 接口没有引用任何地址池 如果接口引用的地址池不存在, 将导致无法动态分配地址 2.7 配置 IP 地址冲突检测功能 为防止 IP 地址重复分配导致地址冲突,DHCP 服务器为客户端分配地址前, 需要先对该地址进行探测 DHCP 服务器的地址探测是通过 ping 功能实现的, 通过检测是否能在指定时间内得到 ping 响应来判断是否存在地址冲突 DHCP 服务器发送目的地址为待分配地址的 ICMP 回显请求报文 如果在指定时间内收到回显响应报文, 则认为存在地址冲突 DHCP 服务器从地址池中选择新的 IP 地址, 并重复上述操作 如果在指定时间内没有收到回显响应报文, 则继续发送 ICMP 回显请求报文, 直到发送的回显显示报文数目达到最大值 如果仍然没有收到回显响应报文, 则将地址分配给客户端, 从而确保客户端获得的 IP 地址唯一 DHCP 服务器通过 ping 操作来检测是否发生地址冲突, 而 DHCP 客户端则通过发送免费 ARP 报文检测是否发生地址冲突 表 2-21 配置 IP 地址冲突检测功能操作命令说明进入系统视图 system-view - ( 可选 ) 配置 DHCP 服务器发送回显请求报文的最大数目 dhcp server ping packets number 缺省情况下,DHCP 服务器发送回显请求报文的最大数目为 1 0 表示 DHCP 服务器将 IP 地址分配给 DHCP 客户端之前, 不会通过 ping 操作探 2-14

60 操作命令说明 测该地址是否冲突 ( 可选 ) 配置 DHCP 服务器等待回显响应报文的超时时间 dhcp server ping timeout milliseconds 缺省情况下,DHCP 服务器等待回显响应报文的超时时间为 500 毫秒 0 表示 DHCP 服务器将 IP 地址分配给 DHCP 客户端之前, 不会通过 ping 操作探测该地址是否冲突 2.8 配置 Option 82 的处理方式 如果配置 DHCP 服务器处理 Option 82, 则当 DHCP 服务器收到带有 Option 82 的报文后, 会在响应报文中携带 Option 82, 并为客户端分配 IP 地址等信息 如果配置 DHCP 服务器忽略 Option 82, 则当 DHCP 服务器收到带有 Option 82 的报文后, 不会在响应报文中携带 Option 82, 只为客户端分配 IP 地址等信息 为使 Option 82 功能正常使用, 需要在 DHCP 服务器和 DHCP 中继上都进行相应配置 DHCP 中继支持 Option 82 功能的相关配置请参见 配置 DHCP 中继支持 Option 82 功能 表 2-22 配置 Option 82 的处理方式操作命令说明进入系统视图 system-view - 配置 DHCP 服务器处理 Option 82 dhcp server relay information enable 缺省情况下,DHCP 服务器处理 Option 配置 DHCP 服务器兼容性 当 DHCP 客户端的行为不符合 RFC 协议规定时, 为了与之兼容, 需要配置 DHCP 服务器兼容性功能 配置 DHCP 服务器始终以广播方式回复请求报文一般情况下, 只有 DHCP 请求报文的广播标志位为 1 的时候,DHCP 服务器才会以广播的方式发送应答报文 如果 DHCP 客户端发送的请求报文中广播标志位为 0, 且该客户端不支持接收单播的应答报文, 则可以配置 DHCP 服务器忽略请求报文的广播标志位, 始终以广播方式发送应答报文 当已经存在 IP 地址的客户端发出请求报文 ( 即报文中 ciaddr 字段不为 0) 时, 无论是否启用 DHCP 服务器的广播回应报文功能,DHCP 服务器都会以单播形式将回应报文发送给 DHCP 客户端 ( 即目的地址为 ciaddr) 当请求报文通过 DHCP 中继转发到 DHCP 服务器 ( 即报文中 giaddr 字段不为 0) 时, 无论是否启用 DHCP 服务器的广播回应报文功能,DHCP 服务器都会以单播形式将回应报文发送给 DHCP 中继 ( 即目的地址为 giaddr) 2-15

61 表 2-23 配置 DHCP 服务器始终以广播方式回复请求报文 操作命令说明 进入系统视图 system-view - 启用 DHCP 服务器的广播回应报文功能 dhcp server always-broadcast 缺省情况下,DHCP 服务器根据请求报文中的广播标志位来决定以广播还是单播的形式发送应答报文 配置 DHCP 服务器忽略 BOOTP 请求报文 BOOTP 客户端申请到的地址租约是无限期的 在某些组网环境中, 可能不希望出现无限期的地址租约 此时, 可以通过配置 DHCP 服务器忽略 BOOTP 请求报文, 避免分配无限期的地址租约 表 2-24 配置 DHCP 服务器忽略 BOOTP 请求报文 操作命令说明进入系统视图 system-view - 配置 DHCP 服务器忽略 BOOTP 请求报文 dhcp server bootp ignore 缺省情况下,DHCP 服务器不会忽略 BOOTP 请求报文 配置 DHCP 服务器以 RFC 1048 规定的格式发送 BOOTP 应答报文有些 BOOTP 客户端发送的请求报文中,vend 字段的格式不符合 RFC 1048 的要求 对于这种报文, DHCP 服务器的缺省处理方法是不解析 vend 字段内容, 将报文中 vend 字段的内容拷贝到回复报文中的 vend 字段回应给 BOOTP 客户端 启用 DHCP 服务器的回应 RFC 1048 格式报文功能后, 对于这种格式不符合 RFC 1048 要求的报文, DHCP 服务器会将需要回应的选项以符合 RFC 1048 要求的格式, 封装到回复报文的 vend 字段, 并回应给 BOOTP 客户端 表 2-25 配置 DHCP 服务器以 RFC 1048 规定的格式发送 BOOTP 应答报文 操作命令说明进入系统视图 system-view - 启用 DHCP 服务器回应 RFC 1048 格式报文功能 dhcp server bootp reply-rfc-1048 缺省情况下,DHCP 服务器回应 RFC 1048 格式报文功能处于关闭状态本配置只在客户端通过 BOOTP 报文申请静态绑定地址时有效 2.10 配置 DHCP 服务器发送 DHCP 报文的 DSCP 优先级 DSCP 优先级用来体现报文自身的优先等级, 决定报文传输的优先程度 通过本配置可以指定 DHCP 服务器发送的 DHCP 报文的 DSCP 优先级 2-16

62 表 2-26 配置 DHCP 服务器发送 DHCP 报文的 DSCP 优先级 操作命令说明 进入系统视图 system-view - 配置 DHCP 服务器发送 DHCP 报文的 DSCP 优先级 dhcp dscp dscp-value 缺省情况下,DHCP 服务器发送 DHCP 报文的 DSCP 优先级为 DHCP 服务器显示和维护 DHCP 服务器重启或使用 reset dhcp server ip-in-use 命令清除租约后,DHCP 服务器上不存在任 何租约信息 此时客户端如果发出续约请求将会被拒绝, 客户端需要重新申请 IP 地址 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 DHCP 服务器的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令清除 DHCP 服务器的相关信息 表 2-27 DHCP 服务器显示和维护 操作 命令 显示 DHCP 的地址冲突信息 display dhcp server conflict [ ip ip-address ] 显示租约过期的地址绑定信息 display dhcp server expired [ ip ip-address pool pool-name ] 显示 DHCP 地址池的空闲地址信息 display dhcp server free-ip [ pool pool-name ] 显示 DHCP 地址绑定信息 display dhcp server ip-in-use [ ip ip-address pool pool-name ] 显示 DHCP 服务器的统计信息 display dhcp server statistics [ pool pool-name ] 显示 DHCP 地址池的信息 display dhcp server pool [ pool-name ] 清除 DHCP 的地址冲突信息 reset dhcp server conflict [ ip ip-address ] 清除租约过期的地址绑定信息 reset dhcp server expired [ ip ip-address pool pool-name ] 清除 DHCP 的正式绑定和临时绑定信息 清除 DHCP 服务器的统计信息 reset dhcp server ip-in-use [ ip ip-address pool pool-name ] reset dhcp server statistics 2.12 DHCP 服务器典型配置举例 常见的 DHCP 组网方式可以分为两类 : DHCP 服务器和客户端位于同一个网段, 直接进行 DHCP 报文的交互 ; DHCP 服务器和客户端位于不同的网段, 必须通过 DHCP 中继实现 IP 地址的分配 2-17

63 无论在哪种情况下,DHCP 服务器的配置都是相同的 静态绑定地址典型配置举例 1. 组网需求 Switch B 和 Switch C 分别作为 DHCP 客户端和 BOOTP 客户端, 从 DHCP 服务器 Switch A 获取静态绑定的 IP 地址 域名服务器 网关地址等信息 其中 : Switch B 上 VLAN 接口 2 的客户端 ID 为 : e e d e-6574; Switch C 上 VLAN 接口 2 的 MAC 地址为 :000f-e200-01c0 2. 组网图图 2-1 静态绑定地址组网图 3. 配置步骤 (1) 配置接口的 IP 地址 <SwitchA> system-view [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] ip address [SwitchA-Vlan-interface2] quit (2) 配置 DHCP 服务 # 启用 DHCP 服务 [SwitchA] dhcp enable # 配置 VLAN 接口 2 工作在 DHCP 服务器模式 [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] dhcp select server [SwitchA-Vlan-interface2] quit # 创建 DHCP 地址池 0 [SwitchA] dhcp server ip-pool 0 # 配置采用静态绑定方式为 Switch B 分配 IP 地址 [SwitchA-dhcp-pool-0] static-bind ip-address client-identifier e e d e

64 # 配置采用静态绑定方式为 Switch C 分配 IP 地址 [SwitchA-dhcp-pool-0] static-bind ip-address hardware-address 000f-e200-01c0 # 配置域名服务器 网关地址 [SwitchA-dhcp-pool-0] dns-list [SwitchA-dhcp-pool-0] gateway-list [SwitchA-dhcp-pool-0] quit [SwitchA] 4. 验证配置配置完成后,Switch B 和 Switch C 可以从 DHCP 服务器 Switch A 分别申请到 IP 地址 和 , 并获取相关网络配置参数 通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为客户端分配的 IP 地址 [SwitchA] display dhcp server ip-in-use IP address Client identifier/ Lease expiration Type Hardware address e Jan 21 14:27: Static(C) e d e f-e200-01c0 Jan 21 14:27: Static(C) 动态分配地址典型配置举例 1. 组网需求 作为 DHCP 服务器的 Switch A 为网段 /24 中的客户端动态分配 IP 地址, 该地址池网段分为两个子网网段 : /25 和 /25; Switch A 的两个 VLAN 接口,VLAN 接口 10 和 VLAN 接口 20 的地址分别为 /25 和 /25; /25 网段内的地址租用期限为 10 天 12 小时, 域名后缀为 aabbcc.com,dns 服务器地址为 /25,WINS 服务器地址为 /25, 网关的地址为 /25; /25 网段内的地址租用期限为 5 天, 域名后缀为 aabbcc.com,dns 服务器地址为 /25, 无 WINS 服务器地址, 网关的地址为 /

65 2. 组网图 图 2-2 DHCP 组网图 3. 配置步骤 (1) 配置端口属于 VLAN 及对应 VLAN 接口的 IP 地址 ( 略 ) (2) 配置 DHCP 服务 # 启用 DHCP 服务 <SwitchA> system-view [SwitchA] dhcp enable # 配置 VLAN 接口 10 和 VLAN 接口 20 工作在 DHCP 服务器模式 [SwitchA] interface vlan-interface 10 [SwitchA-Vlan-interface10] dhcp select server [SwitchA-Vlan-interface10] quit [SwitchA] interface vlan-interface 20 [SwitchA-Vlan-interface20] dhcp select server [SwitchA-Vlan-interface20] quit # 配置不参与自动分配的 IP 地址 (DNS 服务器 WINS 服务器和网关地址 ) [SwitchA] dhcp server forbidden-ip [SwitchA] dhcp server forbidden-ip [SwitchA] dhcp server forbidden-ip [SwitchA] dhcp server forbidden-ip # 配置 DHCP 地址池 1, 用来为 /25 网段内的客户端分配 IP 地址和网络配置参数 [SwitchA] dhcp server ip-pool 1 [SwitchA-dhcp-pool-1] network mask [SwitchA-dhcp-pool-1] expired day 10 hour 12 [SwitchA-dhcp-pool-1] domain-name aabbcc.com [SwitchA-dhcp-pool-1] dns-list [SwitchA-dhcp-pool-1] gateway-list [SwitchA-dhcp-pool-1] nbns-list [SwitchA-dhcp-pool-1] quit # 配置 DHCP 地址池 2, 用来为 /25 网段内的客户端分配 IP 地址和网络配置参数 [SwitchA] dhcp server ip-pool 2 [SwitchA-dhcp-pool-2] network mask

66 [SwitchA-dhcp-pool-2] expired day 5 [SwitchA-dhcp-pool-2] domain-name aabbcc.com [SwitchA-dhcp-pool-2] dns-list [SwitchA-dhcp-pool-2] gateway-list 验证配置配置完成后, /25 和 /25 网段的客户端可以从 DHCP 服务器 Switch A 申请到相应网段的 IP 地址和网络配置参数 通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为客户端分配的 IP 地址 用户类典型配置举例 1. 组网需求 Switch A 作为 DHCP 中继转发 DHCP 报文 在 Switch A 上配置 DHCP 中继支持 Option 82 功能, 使得 Switch A 能够为 DHCP 客户端发送的请求报文添加 Option 82 Switch B 作为 DHCP 服务器为客户端分配 IP 地址和其他网络配置参数 如果 Switch B 接收到的请求报文中带有 Option 82, 则为该客户端分配地址范围 到 内的 IP 地址 Switch B 为 /24 网段内的客户端分配的 DNS 服务器地址为 /24, 网关的地址为 /24 2. 组网图图 2-3 DHCP 用户类组网图 3. 配置步骤 (1) 配置 DHCP server 和 DHCP relay agent 各个接口的 IP 地址 ( 略 ) (2) 配置 DHCP 服务 # 启用 DHCP 服务, 且配置 DHCP 服务器处理 Option 82 信息 <SwitchB> system-view [SwitchB] dhcp enable [SwitchB] dhcp server relay information enable # 配置 VLAN 接口 10 工作在 DHCP 服务器模式 2-21

67 [SwitchB] interface vlan-interface 10 [SwitchB-Vlan-interface10] dhcp select server [SwitchB-Vlan-interface10] quit # 创建 DHCP 用户类 tt, 设置匹配规则编号为 1, 匹配请求报文中带有 Option 82 的客户端 [SwitchB] dhcp class tt [SwitchB-dhcp-class-tt] if-match rule 1 option 82 [SwitchB-dhcp-class-tt] quit # 创建 DHCP 地址池 aa, 配置地址范围和用户类 tt 的地址范围, 配置网关和 DNS 服务器的地址 [SwitchB] dhcp server ip-pool aa [SwitchB-dhcp-pool-aa] network mask [SwitchB-dhcp-pool-aa] address range [SwitchB-dhcp-pool-aa] class tt range [SwitchB-dhcp-pool-aa] gateway-list [SwitchB-dhcp-pool-aa] dns-list 验证配置 配置完成后, /24 网段的客户端通过用户类分配方式可以从 DHCP 服务器 Switch B 申请到相应地址范围的 IP 地址和网络配置参数 通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为它分配的 IP 地址 主从网段典型配置举例 1. 组网需求 作为 DHCP 服务器的 Switch A 为局域网中的客户端动态分配 IP 地址 DHCP 服务器地址池中有两个网段的地址 : /24 和 /24 当 /24 网段没有空闲地址后,DHCP 服务器继续从 /24 网段中选择 IP 地址分配给客户端 Switch A 为网段 /24 内的客户端分配的网关地址为 /24; 为网段 /24 内的客户端分配的网关地址为和 /24 2. 组网图 图 2-4 主从网段组网图 Switch A DHCP server Vlan-int / /24 sub... DHCP client DHCP client DHCP client Gateway 3. 配置步骤 # 启用 DHCP 服务 2-22

68 <SwitchA> system-view [SwitchA] dhcp enable # 配置 VLAN 接口 10 的主从 IP 地址, 并配置该接口工作在 DHCP 服务器模式 [SwitchA] interface vlan-interface 10 [SwitchA-Vlan-interface10] ip address [SwitchA-Vlan-interface10] ip address sub [SwitchA-Vlan-interface10] dhcp select server [SwitchA-Vlan-interface10] quit # 创建 DHCP 地址池 aa, 配置主网段地址范围和从网段地址范围, 配置网关地址 [SwitchA] dhcp server ip-pool aa [SwitchA-dhcp-pool-aa] network mask [SwitchA-dhcp-pool-aa] gateway-list [SwitchA-dhcp-pool-aa] network mask secondary [SwitchA-dhcp-pool-aa-secondary] gateway-list [SwitchA-dhcp-pool-aa-secondary] quit [SwitchA-dhcp-pool-aa] 4. 验证配置配置完成后, 当 DHCP 服务器地址池主网段中没有空闲地址分配给客户端时, 服务器会从该地址池中的从网段获取地址分配给客户端 IP 地址和网络配置参数 通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器已分配的主从网段 IP 地址 自定义 DHCP 选项典型配置举例 1. 组网需求 DHCP 客户端 Switch B 从 DHCP 服务器 Switch A 获取 IP 地址和 PXE 引导服务器地址信息 : IP 地址所在网段为 /24; PXE 引导服务器地址为 和 DHCP 服务器需要通过自定义 DHCP 选项的方式配置 Option 43 的内容, 从而实现为客户端分配 PXE 引导服务器地址 Option 43 和 PXE 服务器地址列表的格式分别如图 1-5 和图 1-7 DHCP 服务器上配置的 Option 43 选项内容为 80 0B , 其中 80 为子选项类型 (Sub-option type),0b 为子选项长度 (Sub-option length),00 00 为 PXE 服务器类型 (PXE server type),02 为服务器数目 (Server number), 为服务器的 IP 地址 和 组网图图 2-5 自定义 DHCP 选项典型配置举例 3. 配置步骤 (1) 配置各接口的 IP 地址 ( 略 ) 2-23

69 (2) 配置 DHCP 服务 # 启用 DHCP 服务 <SwitchA> system-view [SwitchA] dhcp enable # 配置 VLAN 接口 2 工作在 DHCP 服务器模式 [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] dhcp select server [SwitchA-Vlan-interface2] quit # 配置 DHCP 地址池 0 [SwitchA] dhcp server ip-pool 0 [SwitchA-dhcp-pool-0] network mask [SwitchA-dhcp-pool-0] option 43 hex 800B 验证配置配置完成后,Switch B 可以从 DHCP 服务器 Switch A 获取到 /24 网段的 IP 地址和 PXE 引导服务器地址 通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为客户端分配的 IP 地址 2.13 DHCP 服务器常见配置错误举例 1. 故障现象客户端从 DHCP 服务器动态获得的 IP 地址与其他主机 IP 地址冲突 2. 故障分析可能是网络上有主机私自配置了 IP 地址, 导致冲突 3. 故障处理 (1) 禁用客户端的网卡或断开其网线, 从另外一台主机执行 ping 操作, 检查网络中是否已经存在该 IP 地址的主机 (2) 如果能够收到 ping 操作的响应消息, 则说明该 IP 地址已由用户静态配置 在 DHCP 服务器上执行 dhcp server forbidden-ip 命令, 禁止该 IP 地址参与动态地址分配 (3) 重新启用客户端的网卡或连接好其网线, 在客户端释放并重新获取 IP 地址 以 Windows XP 为例, 在 Windows 环境下运行 cmd 进入 DOS 环境, 使用 ipconfig /release 命令释放 IP 地址, 之后使用 ipconfig /renew 重新获取 IP 地址 2-24

70 3 DHCP 中继 3.1 DHCP 中继简介 DHCP 中继的应用环境由于在 IP 地址动态获取过程中采用广播方式发送请求报文, 因此 DHCP 只适用于 DHCP 客户端和服务器处于同一个子网内的情况 为进行动态主机配置, 需要在所有网段上都设置一个 DHCP 服务器, 这显然是很不经济的 DHCP 中继功能的引入解决了这一难题 : 客户端可以通过 DHCP 中继与其他网段的 DHCP 服务器通信, 最终获取到 IP 地址 这样, 多个网络上的 DHCP 客户端可以使用同一个 DHCP 服务器, 既节省了成本, 又便于进行集中管理 设备作为 MCE(Multi-VPN-instance Customer Edge, 多 VPN 实例用户网络边界设备 ) 时, 在设备上配置 DHCP 中继功能, 不仅可以为公网上的 DHCP 服务器和 DHCP 客户端转发 DHCP 报文, 还可以实现为私网内的 DHCP 服务器和 DHCP 客户端转发 DHCP 报文 MCE 的详细介绍, 请参见 MPLS 配置指导 中的 MPLS L3VPN DHCP 中继的基本原理图 3-1 是 DHCP 中继的典型应用示意图 图 3-1 DHCP 中继的典型组网应用 通过 DHCP 中继完成动态配置的过程中,DHCP 客户端与 DHCP 服务器的处理方式与不通过 DHCP 中继时的处理方式基本相同 下面只说明 DHCP 中继的转发过程, 报文的具体交互过程请参见 IP 地址获取过程 3-1

71 图 3-2 DHCP 中继的工作过程 如图 3-2 所示,DHCP 中继的工作过程为 : (1) 具有 DHCP 中继功能的网络设备收到 DHCP 客户端以广播方式发送的 DHCP-DISCOVER 或 DHCP-REQUEST 报文后, 将报文中的 giaddr 字段填充为 DHCP 中继的 IP 地址, 并根据配置将报文单播转发给指定的 DHCP 服务器 (2) DHCP 服务器根据 giaddr 字段为客户端分配 IP 地址等参数, 并通过 DHCP 中继将配置信息转发给客户端, 完成对客户端的动态配置 DHCP 中继支持 Option 82 功能 Option 82 记录了 DHCP 客户端的位置信息 管理员可以利用该选项定位 DHCP 客户端, 实现根据 Option 82 为客户端分配特定范围的地址 对客户端进行安全和计费等控制 Option 82 的详细介绍请参见 中继代理信息选项 (Option 82) 如果 DHCP 中继支持 Option 82 功能, 则当 DHCP 中继接收到 DHCP 请求报文后, 将根据报文中是否包含 Option 82 以及用户配置的处理策略及填充模式等对报文进行相应的处理, 并将处理后的报文转发给 DHCP 服务器 具体的处理方式见表 3-1 如果 DHCP 中继收到的应答报文中带有 Option 82, 则会将 Option 82 删除后再转发给 DHCP 客户端 表 3-1 DHCP 中继支持 Option 82 的处理方式 收到 DHCP 请求报文 处理策略 DHCP 中继对报文的处理 收到的报文中带有 Option 82 Drop Keep Replace 丢弃报文 保持报文中的 Option 82 不变并进行转发 根据 DHCP 中继上配置的填充模式 内容 格式等填充 Option 82, 替换报文中原有的 Option 82 并进行转发 收到的报文中不带有 Option 82 - 根据 DHCP 中继上配置的填充模式 内容 格式等填充 Option 82, 添加到报文中并进行转发 3-2

72 3.2 DHCP 中继配置任务简介 表 3-2 DHCP 中继配置任务简介配置任务 说明 详细配置 启用 DHCP 服务 必选 配置接口工作在 DHCP 中继模式 必选 指定 DHCP 服务器的地址 必选 配置 DHCP 中继的安全功能 可选 配置通过 DHCP 中继释放客户端的 IP 地址 可选 配置 DHCP 中继支持 Option 82 功能 可选 配置 DHCP 中继发送 DHCP 报文的 DSCP 优先级 可选 配置 DHCP 中继 启用 DHCP 服务只有启用 DHCP 服务后, 其它相关的 DHCP 中继配置才能生效 表 3-3 启用 DHCP 服务 操作 命令 说明 进入系统视图 system-view - 启用 DHCP 服务 dhcp enable 缺省情况下,DHCP 服务处于禁止状态 配置接口工作在 DHCP 中继模式配置接口工作在中继模式后, 当接口收到 DHCP 客户端发来的 DHCP 报文时, 会将报文转发给 DHCP 服务器, 由服务器分配地址 DHCP 客户端通过 DHCP 中继获取 IP 地址时,DHCP 服务器上需要配置与 DHCP 中继连接 DHCP 客户端的接口 IP 地址所在网段 ( 网络号和掩码 ) 匹配的地址池, 否则会导致 DHCP 客户端无法获得正确的 IP 地址 表 3-4 配置接口工作在 DHCP 中继模式 操作命令说明进入系统视图 system-view - 进入接口视图 配置接口工作在 DHCP 中继模式 interface interface-type interface-number dhcp select relay - 缺省情况下, 启用 DHCP 服务后, 接口工作在 DHCP 服务器模式 3-3

73 3.3.3 指定 DHCP 服务器的地址为了提高可靠性, 可以在一个网络中设置多个 DHCP 服务器 DHCP 中继上配置多个 DHCP 服务器后,DHCP 中继会将客户端发来的 DHCP 报文转发给所有的服务器 指定的 DHCP 服务器的 IP 地址不能与 DHCP 中继的接口 IP 地址在同一网段 否则, 可能导致客户端无法获得 IP 地址 表 3-5 指定 DHCP 服务器的地址 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 指定 DHCP 服务器的地址 dhcp relay server-address ip-address 缺省情况下, 没有在 DHCP 中继上指定 DHCP 服务器的地址 通过多次执行 dhcp relay server-address 命令可以指定多个 DHCP 服务器, 一个接口下最多可以指定 8 个 DHCP 服务器 配置 DHCP 中继的安全功能 1. 配置 DHCP 中继用户地址表项记录功能为了防止非法主机静态配置一个 IP 地址并访问外部网络, 设备支持 DHCP 中继用户地址表项记录功能 启用该功能后, 当客户端通过 DHCP 中继从 DHCP 服务器获取到 IP 地址时,DHCP 中继可以自动记录客户端 IP 地址与硬件地址的绑定关系, 生成 DHCP 中继的用户地址表项 本功能与其他 IP 地址安全功能 ( 如 ARP 地址检查 授权 ARP 和 IP Source Guard) 配合, 可以实现只允许匹配用户地址表项中绑定关系的报文通过 DHCP 中继 从而, 保证非法主机不能通过 DHCP 中继与外部网络通信 表 3-6 配置 DHCP 中继用户地址表项记录功能 操作命令说明进入系统视图 system-view - 启用 DHCP 中继的用户地址表项记录功能 dhcp relay client-information record 缺省情况下,DHCP 中继用户地址表项记录功能处于关闭状态 2. 配置 DHCP 中继动态用户地址表项定时刷新功能 DHCP 客户端释放动态获取的 IP 地址时, 会向 DHCP 服务器单播发送 DHCP-RELEASE 报文, DHCP 中继不会处理该报文的内容 如果此时 DHCP 中继上记录了该 IP 地址与 MAC 地址的绑定 3-4

74 关系, 则会造成 DHCP 中继的用户地址表项无法实时刷新 为了解决这个问题,DHCP 中继支持动态用户地址表项的定时刷新功能 DHCP 中继动态用户地址表项定时刷新功能开启时,DHCP 中继每隔指定时间采用客户端获取到的 IP 地址和 DHCP 中继接口的 MAC 地址向 DHCP 服务器发送 DHCP-REQUEST 报文 : 如果 DHCP 中继接收到 DHCP 服务器响应的 DHCP-ACK 报文或在指定时间内没有接收到 DHCP 服务器的响应报文, 则表明这个 IP 地址已经可以进行分配,DHCP 中继会删除动态用户地址表中对应的表项 为了避免地址浪费,DHCP 中继收到 DHCP-ACK 报文后, 会发送 DHCP-RELEASE 报文释放申请到的 IP 地址 如果 DHCP 中继接收到 DHCP 服务器响应的 DHCP-NAK 报文, 则表示该 IP 地址的租约仍然存在,DHCP 中继不会删除该 IP 地址对应的表项 表 3-7 配置 DHCP 中继动态用户地址表项定时刷新功能操作命令说明进入系统视图 system-view - 开启 DHCP 中继动态用户地址表项定时刷新功能 配置 DHCP 中继动态用户地址表项的定时刷新周期 dhcp relay client-information refresh enable dhcp relay client-information refresh [ auto interval interval ] 缺省情况下,DHCP 中继动态用户地址表项定时刷新功能处于开启状态 缺省情况下, 定时刷新周期为 auto, 即根据表项的数目自动计算刷新时间间隔 3. 配置防止 DHCP 饿死攻击 DHCP 饿死攻击是指攻击者伪造 chaddr 字段各不相同的 DHCP 请求报文, 向 DHCP 服务器申请大量的 IP 地址, 导致 DHCP 服务器地址池中的地址耗尽, 无法为合法的 DHCP 客户端分配 IP 地址, 或导致 DHCP 服务器消耗过多的系统资源, 无法处理正常业务 如果封装 DHCP 请求报文的数据帧的源 MAC 地址各不相同, 则限制三层接口上可以学习到的 ARP 表项数, 或限制二层端口上可以学习到的 MAC 地址数, 并配置学习到的 MAC 地址数达到最大值时, 丢弃源 MAC 地址不在 MAC 地址表里的报文, 能够避免攻击者申请过多的 IP 地址, 在一定程度上缓解 DHCP 饿死攻击 如果封装 DHCP 请求报文的数据帧的源 MAC 地址都相同, 则通过上述方法无法防止 DHCP 饿死攻击 在这种情况下, 需要启用 DHCP 中继的 MAC 地址检查功能 启用该功能后,DHCP 中继检查接收到的 DHCP 请求报文中的 chaddr 字段和数据帧的源 MAC 地址字段是否一致 如果一致, 则认为该报文合法, 将其转发给 DHCP 服务器 ; 如果不一致, 则丢弃该报文 因为 DHCP 中继转发 DHCP 报文时会修改报文的源 MAC 地址, 所以只能在靠近 DHCP 客户端的第一跳 DHCP 中继设备上启用 MAC 地址检查功能 在非第一跳 DHCP 中继设备上启用 MAC 地址检查功能, 会使 DHCP 中继设备错误地丢弃报文, 导致客户端地址申请不成功 设备支持配置 DHCP 中继的 MAC 地址检查表项老化时间, 当老化时间到达以后, 该表项信息会被老化掉,DHCP 中继收到该 MAC 地址对应的 DHCP 请求报文后重新进行合法性检查 3-5

75 表 3-8 启用 DHCP 中继的 MAC 地址检查功能 操作命令说明 进入系统视图 system-view - 配置 DHCP 中继的 MAC 地址检查表项的老化时间 进入接口视图 启用 DHCP 中继的 MAC 地址检查功能 dhcp relay check mac-address aging-time time interface interface-type interface-number dhcp relay check mac-address 缺省情况下,DHCP 中继的 MAC 地址检查表项的老化时间为 30 秒 如果未通过 dhcp relay check mac-address 命令启用 DHCP 中继的 MAC 地址检查功能, 则本命令的配置不会生效 - 缺省情况下,DHCP 中继的 MAC 地址检查功能处于关闭状态 配置通过 DHCP 中继释放客户端的 IP 地址在某些情况下, 可能需要通过 DHCP 中继手工释放客户端申请到的 IP 地址 如果 DHCP 中继上存在客户端 IP 地址对应的动态用户地址表项, 则配置通过 DHCP 中继释放该客户端 IP 地址后,DHCP 中继会主动向 DHCP 服务器发送 DHCP-RELEASE 报文 DHCP 服务器收到该报文后, 将会释放指定 IP 地址的租约 DHCP 中继也会删除该动态用户地址表项 释放的客户端 IP 地址必须是动态用户地址表项中存在的 IP 地址, 否则 DHCP 中继无法释放该 IP 地址 表 3-9 配置通过 DHCP 中继释放客户端的 IP 地址 操作命令说明进入系统视图 system-view - 向 DHCP 服务器请求释放客户端申请到的 IP 地址 dhcp relay release ip client-ip [ vpn-instance vpn-instance-name ] 配置 DHCP 中继支持 Option 82 功能为使 Option 82 功能正常使用, 需要在 DHCP 服务器和 DHCP 中继上都进行相应配置 DHCP 服务器的相关配置请参见 2.8 配置 Option 82 的处理方式 表 3-10 配置 DHCP 中继支持 Option 82 功能 操作命令说明进入系统视图 system-view - 进入接口视图 启用 DHCP 中继支持 Option 82 功能 interface interface-type interface-number dhcp relay information enable - 缺省情况下, 禁止 DHCP 中继支持 Option 82 功能 3-6

76 操作命令说明 ( 可选 ) 配置 DHCP 中继对包含 Option 82 的请求报文的处理策略 ( 可选 ) 配置 Circuit ID 子选项的填充内容和填充格式 ( 可选 ) 配置 Remote ID 子选项的填充内容和填充格式 dhcp relay information strategy { drop keep replace } dhcp relay information circuit-id { string circuit-id { normal verbose [ node-identifier { mac sysname user-defined node-identifier } ] } [ format { ascii hex } ] } dhcp relay information remote-id { normal [ format { ascii hex } ] string remote-id sysname } 缺省情况下, 处理策略为 replace 缺省情况下,Circuit ID 子选项的填充模式为 Normal, 填充格式为 hex 如果以设备的系统名称 (sysname) 作为节点标识填充 DHCP 报文的 Option 82, 则系统名称中不能包含空格 ; 否则,DHCP 中继添加或替换 Option 82 失败 缺省情况下,Remote ID 子选项的填充模式为 Normal; 填充格式为 hex 配置 DHCP 中继发送 DHCP 报文的 DSCP 优先级 DSCP 优先级用来体现报文自身的优先等级, 决定报文传输的优先程度 通过本配置可以指定 DHCP 中继发送的 DHCP 报文的 DSCP 优先级 表 3-11 配置 DHCP 中继发送 DHCP 报文的 DSCP 优先级 操作命令说明进入系统视图 system-view - 配置 DHCP 中继发送 DHCP 报文的 DSCP 优先级 dhcp dscp dscp-value 缺省情况下,DHCP 中继发送的 DHCP 报文的 DSCP 优先级为 DHCP 中继显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 DHCP 中继的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令清除 DHCP 中继的统计信息 表 3-12 DHCP 中继显示和维护 操作显示接口上指定的 DHCP 服务器地址信息显示 DHCP 中继上的 Option 82 配置信息显示 DHCP 中继的用户地址表项信息显示 DHCP 中继的相关报文统计信息 命令 display dhcp relay server-address [ interface interface-type interface-number ] display dhcp relay information [ interface interface-type interface-number ] display dhcp relay client-information [ interface interface-type interface-number ip ip-address [ vpn-instance vpn-instance-name ] ] display dhcp relay statistics [ interface interface-type interface-number ] 3-7

77 操作显示 DHCP 中继的 MAC 地址检查表项清除 DHCP 中继的用户地址表项信息清除 DHCP 中继的相关报文统计信息 命令 display dhcp relay check mac-address reset dhcp relay client-information [ interface interface-type interface-number ip ip-address [ vpn-instance vpn-instance-name ] ] reset dhcp relay statistics [ interface interface-type interface-number ] 3.5 DHCP 中继典型配置举例 DHCP 中继配置举例 1. 组网需求 DHCP 客户端所在网段为 /24,DHCP 服务器的 IP 地址为 /24; 由于 DHCP 客户端和 DHCP 服务器不在同一网段, 因此, 需要在客户端所在网段设置 DHCP 中继设备, 以便客户端可以从 DHCP 服务器申请到 /24 网段的 IP 地址及相关配置信息 ; Switch A 作为 DHCP 中继通过端口 ( 属于 VLAN10) 连接到 DHCP 客户端所在的网络, 交换机 VLAN 接口 10 的 IP 地址为 /24,VLAN 接口 20 的 IP 地址为 /24 2. 组网图图 3-3 DHCP 中继组网示意图 DHCP client DHCP client Vlan-int /24 Vlan-int /24 Switch A DHCP relay agent Vlan-int /24 Switch B DHCP server DHCP client DHCP client 3. 配置步骤 # 配置各接口的 IP 地址 ( 略 ) # 启用 DHCP 服务 <SwitchA> system-view [SwitchA] dhcp enable # 配置 VLAN 接口 10 工作在 DHCP 中继模式 [SwitchA] interface vlan-interface 10 [SwitchA-Vlan-interface10] dhcp select relay 3-8

78 # 配置 DHCP 服务器的地址 [SwitchA-Vlan-interface10] dhcp relay server-address 配置完成后,DHCP 客户端可以通过 DHCP 中继从 DHCP 服务器获取 IP 地址及相关配置信息 通过 display dhcp relay statistics 命令可以显示 DHCP 中继转发的 DHCP 报文统计信息 ; 如果在 DHCP 中继上通过 dhcp relay client-information record 命令启用了 DHCP 中继的用户地址表项记录功能, 则可以通过 display dhcp relay client-information 命令可以显示通过 DHCP 中继获取 IP 地址的客户端信息 由于 DHCP 中继连接客户端的接口 IP 地址与 DHCP 服务器的 IP 地址不在同一网段, 因此需要在 DHCP 服务器上通过静态路由或动态路由协议保证两者之间路由可达 为了使 DHCP 客户端能从 DHCP 服务器获得 IP 地址, 还需要在 DHCP 服务器上进行一些配置 DHCP 服务器的配置方法, 请参见 2.12 DHCP 服务器典型配置举例 DHCP 中继支持 Option 82 配置举例 1. 组网需求 在 DHCP 中继 Switch A 上启用 Option 82 功能 ; 对包含 Option 82 的请求报文的处理策略为 replace; Ciruict ID 填充内容为 company001,remote ID 填充内容为 device001; Switch A 将添加 Option 82 的 DHCP 请求报文转发给 DHCP 服务器 Switch B, 使得 DHCP 客户端可以获取到 IP 地址 2. 组网图如图 3-3 所示 3. 配置步骤 # 配置各接口的 IP 地址 ( 略 ) # 启用 DHCP 服务 <SwitchA> system-view [SwitchA] dhcp enable # 配置 VLAN 接口 10 工作在 DHCP 中继模式 [SwitchA] interface vlan-interface 10 [SwitchA-Vlan-interface10] dhcp select relay # 指定 DHCP 服务器的地址 [SwitchA-Vlan-interface10] dhcp relay server-address # 配置 Option 82 的处理策略和填充内容 [SwitchA-Vlan-interface10] dhcp relay information enable [SwitchA-Vlan-interface10] dhcp relay information strategy replace [SwitchA-Vlan-interface10] dhcp relay information circuit-id string company001 [SwitchA-Vlan-interface10] dhcp relay information remote-id string device

79 为使 Option 82 功能正常使用,DHCP 服务器也需要进行相应配置 3.6 DHCP 中继常见配置错误举例 1. 故障现象客户端不能通过 DHCP 中继获得配置信息 2. 故障分析 DHCP 中继或 DHCP 服务器的配置可能有问题 可以打开调试开关显示调试信息, 并通过执行 display 命令显示接口状态信息的方法来分析定位 3. 故障处理 检查 DHCP 服务器和 DHCP 中继是否启用了 DHCP 服务 检查 DHCP 服务器是否配置有 DHCP 客户端所在网段的地址池 检查具有 DHCP 中继功能的网络设备和 DHCP 服务器是否配置有相互可达的路由 检查具有 DHCP 中继功能的网络设备是否在连接 DHCP 客户端所在网段的接口上指定了正确的 DHCP 服务器地址 3-10

80 4 DHCP 客户端 4.1 DHCP 客户端简介 为了方便用户配置和集中管理, 可以指定设备的接口作为 DHCP 客户端, 使用 DHCP 协议从 DHCP 服务器动态获得 IP 地址等参数 DHCP 客户端中对于接口的相关配置, 目前只能在三层以太网接口 VLAN 接口和三层聚合接口上进行 4.2 配置接口通过 DHCP 协议获取 IP 地址 配置接口通过 DHCP 协议获取 IP 地址, 需要注意 : 某些产品上, 接口作为 DHCP 客户端多次申请 IP 地址失败后, 将停止申请, 并为接口配置缺省 IP 地址 接口可以采用多种方式获得 IP 地址, 新的配置方式会覆盖原有的配置方式 当接口被配置为通过 DHCP 动态获取 IP 地址后, 不能再给该接口配置从 IP 地址 如果 DHCP 服务器为接口分配的 IP 地址与设备上其他接口的 IP 地址在同一网段, 则该接口不会使用该 IP 地址, 且会再向 DHCP 服务器重新申请 IP 地址 表 4-1 配置接口通过 DHCP 协议获取 IP 地址操作命令说明进入系统视图 system-view - 进入接口视图 配置接口通过 DHCP 协议获取 IP 地址 interface interface-type interface-number ip address dhcp-alloc - 缺省情况下, 接口不通过 DHCP 协议获取 IP 地址 4.3 配置接口使用的 DHCP 客户端 ID DHCP 客户端 ID 用来填充 DHCP 报文 Option 61, 作为识别 DHCP 客户端的唯一标识 DHCP 服务器可以根据客户端 ID 为特定的客户端分配特定的 IP 地址 DHCP 客户端 ID 包括类型和取值两部分, 用户可以通过以下三种方法指定 DHCP 客户端 ID: 当客户端 ID 的取值为 ASCII 字符串时, 对应的类型值为 00; 当客户端 ID 的取值为十六进制字符串时, 对应的类型值为该十六进制字符串的前两个字符 ; 当客户端 ID 使用指定接口的 MAC 地址时, 对应的类型值为 01 以上三种方式都需要由用户保证不同客户端的客户端 ID 不会相同 表 4-2 配置接口使用的 DHCP 客户端 ID 操作命令说明进入系统视图 system-view - 4-1

81 操作命令说明 进入接口视图 配置接口使用的 DHCP 客户端 ID interface interface-type interface-number dhcp client identifier { ascii string hex string mac interface-type interface-number } - 缺省情况下, 根据本接口 MAC 地址生成 DHCP 客户端 ID, 如果本接口没有 MAC 地址, 则获取设备第一个以太接口的 MAC 地址生成 DHCP 客户端 ID 4.4 使能地址冲突检查功能 通常情况下,DHCP 客户端上开启地址冲突检查功能, 通过发送和接收 ARP 报文, 对 DHCP 服务器分配的 IP 地址进行地址冲突检测 如果攻击者仿冒地址拥有者进行 ARP 应答, 就可以欺骗 DHCP 客户端, 导致 DHCP 客户端无法正常使用分配到的 IP 地址 在网络中存在上述攻击者时, 建议在客户端上关闭地址冲突检查功能 表 4-3 使能地址冲突检查功能操作命令说明进入系统视图 system-view - 使能地址冲突检查功能 dhcp client dad enable 缺省情况下, 地址冲突检查功能处于开启状态 4.5 配置 DHCP 客户端发送 DHCP 报文的 DSCP 优先级 DSCP 优先级用来体现报文自身的优先等级, 决定报文传输的优先程度 通过本配置可以指定 DHCP 客户端发送的 DHCP 报文的 DSCP 优先级 表 4-4 配置 DHCP 客户端发送 DHCP 报文的 DSCP 优先级操作命令说明进入系统视图 system-view - 配置 DHCP 客户端发送 DHCP 报文的 DSCP 优先级 dhcp client dscp dscp-value 缺省情况下,DHCP 客户端发送的 DHCP 报文的 DSCP 优先级为 DHCP 客户端显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 DHCP 客户端的信息, 通过查看显示信息验证配置的效果 4-2

82 表 4-5 DHCP 客户端显示和维护 操作 显示 DHCP 客户端的相关信息 命令 display dhcp client [ verbose ] [ interface interface-type interface-number ] 4.7 DHCP 客户端典型配置举例 1. 组网需求 Switch B 的端口 ( 属于 VLAN2) 接入局域网,VLAN 接口 2 通过 DHCP 协议从 DHCP 服务器获取 IP 地址 DNS 服务器地址和静态路由信息 : DHCP 客户端的 IP 地址所在网段为 /24; DNS 服务器地址为 ; 静态路由信息为到达 /24 网段的下一跳地址是 DHCP 服务器需要通过自定义选项的方式配置 Option 121 的内容, 以便为客户端分配静态路由信息 Option 121 的格式如图 4-1 所示 其中, 目的描述符由子网掩码长度和目的网络地址两部分组成 在本例中, 目的描述符字段取值为 ( 十六进制数值, 表示子网掩码长度为 24, 目的网络地址为 ); 下一跳地址字段取值为 0A ( 十六进制数值, 表示下一跳地址为 ) 图 4-1 Option 121 选项格式 2. 组网图图 4-2 DHCP 客户端配置举例组网图 3. 配置步骤 (1) 配置 DHCP 服务器 Switch A # 配置接口的 IP 地址 4-3

83 <SwitchA> system-view [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] ip address [SwitchA-Vlan-interface2] quit # 启用 DHCP 服务 [SwitchA] dhcp enable # 配置不参与自动分配的 IP 地址 [SwitchA] dhcp server forbidden-ip # 配置 DHCP 地址池 0, 采用动态绑定方式分配 IP 地址 可分配的网段为 /24, 租约有效期限为 10 天,DNS 服务器地址为 , 到达 /24 网段的下一跳地址是 [SwitchA] dhcp server ip-pool 0 [SwitchA-dhcp-pool-0] network mask [SwitchA-dhcp-pool-0] expired day 10 [SwitchA-dhcp-pool-0] dns-list [SwitchA-dhcp-pool-0] option 121 hex A (2) 配置 DHCP 客户端 Switch B # 配置 VLAN 接口 2 通过 DHCP 动态获取地址 <SwitchB> system-view [SwitchB] interface vlan-interface 2 [SwitchB-Vlan-interface2] ip address dhcp-alloc [SwitchB-Vlan-interface2] quit 4. 验证配置 # 通过 display dhcp client 命令可以查看 Switch B 申请到的 IP 地址和网络配置参数 [SwitchB] display dhcp client verbose Vlan-interface2 DHCP client information: Current state: BOUND Allocated IP: Allocated lease: seconds, T1: seconds, T2: seconds Lease from May 21 19:00: to May 31 19:00: DHCP server: Transaction ID: 0xcde72232 Classless static routes: Destination: , Mask: , NextHop: DNS servers: Client ID type: acsii(type value=00) Client ID value: 000c.29d Vlan2 Client ID (with type) hex: e e d f30-2f32 T1 will timeout in 3 days 19 hours 48 minutes 43 seconds # 通过 display ip routing-table 命令可以查看 Switch B 的路由表中添加了到达 /24 网络的静态路由 [SwitchB] display ip routing-table Destinations : 11 Routes :

84 Destination/Mask Proto Pre Cost NextHop Interface /24 Direct Vlan /32 Direct InLoop /24 Static Vlan /32 Direct Vlan /8 Direct InLoop /32 Direct InLoop /32 Direct InLoop /32 Direct InLoop /4 Direct NULL /24 Direct NULL /32 Direct InLoop0 4-5

85 5 DHCP Snooping 设备只有位于 DHCP 客户端与 DHCP 服务器之间, 或 DHCP 客户端与 DHCP 中继之间时,DHCP Snooping 功能配置后才能正常工作 ; 设备位于 DHCP 服务器与 DHCP 中继之间时,DHCP Snooping 功能配置后不能正常工作 5.1 DHCP Snooping 简介 DHCP Snooping 作用 DHCP Snooping 是 DHCP 的一种安全特性, 具有如下功能 : 1. 保证客户端从合法的服务器获取 IP 地址网络中如果存在私自架设的非法 DHCP 服务器, 则可能导致 DHCP 客户端获取到错误的 IP 地址和网络配置参数, 从而无法正常通信 为了使 DHCP 客户端能通过合法的 DHCP 服务器获取 IP 地址, DHCP Snooping 安全机制允许将端口设置为信任端口和不信任端口 : 信任端口正常转发接收到的 DHCP 报文 不信任端口接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后, 丢弃该报文 在 DHCP Snooping 设备上指向 DHCP 服务器方向的端口需要设置为信任端口, 其他端口设置为不信任端口, 从而保证 DHCP 客户端只能从合法的 DHCP 服务器获取 IP 地址, 私自架设的伪 DHCP 服务器无法为 DHCP 客户端分配 IP 地址 2. 记录 DHCP 客户端 IP 地址与 MAC 地址的对应关系 DHCP Snooping 通过监听 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文, 记录 DHCP Snooping 表项, 其中包括客户端的 MAC 地址 DHCP 服务器为 DHCP 客户端分配的 IP 地址 与 DHCP 客户端连接的端口及 VLAN 等信息 利用这些信息可以实现 : ARP 快速应答 : 根据 DHCP Snooping 表项来判断是否进行 ARP 快速应答, 从而减少 ARP 广播报文 ARP 快速应答的详细介绍请参见 三层技术 -IP 业务配置指导 中的 ARP 快速应答 ARP Detection: 根据 DHCP Snooping 表项来判断发送 ARP 报文的用户是否合法, 从而防止非法用户的 ARP 攻击 ARP Detection 的详细介绍请参见 安全配置指导 中的 ARP 攻击防御 IP Source Guard: 通过动态获取 DHCP Snooping 表项对端口转发的报文进行过滤, 防止非法报文通过该端口 IP Source Guard 的详细介绍请参见 安全配置指导 中的 IP Source Guard 5-1

86 5.1.2 信任端口的典型应用环境 1. 连接 DHCP 服务器 图 5-1 信任端口和非信任端口 如图 5-1 所示, 在 DHCP Snooping 设备上指向 DHCP 服务器方向的端口需要设置为信任端口, 以便 DHCP Snooping 设备正常转发 DHCP 服务器的应答报文, 保证 DHCP 客户端能够从合法的 DHCP 服务器获取 IP 地址 2. DHCP Snooping 级联网络在多个 DHCP Snooping 设备级联的网络中, 为了节省系统资源, 不需要每台 DHCP Snooping 设备都记录所有 DHCP 客户端的 IP 地址和 MAC 地址的绑定信息, 只需在与客户端直接相连不信任端口上记录绑定信息 间接与 DHCP 客户端相连的不信任端口不需要记录 IP 地址和 MAC 地址绑定信息 图 5-2 DHCP Snooping 级联组网图 5-2

87 图 5-2 中设备各端口的角色如表 5-1 所示 表 5-1 端口的角色 设备 记录绑定信息的不信任端口 不记录绑定信息的不信任端口 信任端口 Switch A GE1/0/1 GE1/0/3 GE1/0/2 Switch B GE1/0/3 和 GE1/0/4 GE1/0/1 GE1/0/2 Switch C GE1/0/1 GE1/0/3 和 GE1/0/4 GE1/0/ DHCP Snooping 支持 Option 82 功能 Option 82 记录了 DHCP 客户端的位置信息 管理员可以利用该选项定位 DHCP 客户端, 实现对客户端的安全和计费等控制 Option 82 的详细介绍请参见 中继代理信息选项 (Option 82) 如果 DHCP Snooping 支持 Option 82 功能, 则当设备接收到 DHCP 请求报文后, 将根据报文中是否包含 Option 82 以及用户配置的处理策略及填充模式等对报文进行相应的处理, 并将处理后的报文转发给 DHCP 服务器 具体的处理方式见表 5-2 DHCP Snooping 对 Option 82 的处理策略 填充模式与 DHCP 中继相同 当设备接收到 DHCP 服务器的响应报文时, 如果报文中含有 Option 82, 则删除 Option 82, 并转发给 DHCP 客户端 ; 如果报文中不含有 Option 82, 则直接转发 表 5-2 DHCP Snooping 支持 Option 82 的处理方式 收到 DHCP 请求报文处理策略 DHCP Snooping 对报文的处理 收到的报文中带有 Option 82 Drop Keep Replace 丢弃报文 保持报文中的 Option 82 不变并进行转发 根据 DHCP Snooping 上配置的填充模式 内容 格式等填充 Option 82, 替换报文中原有的 Option 82 并进行转发 收到的报文中不带有 Option 82 - 根据 DHCP Snooping 上配置的填充模式 内容 格式等填充 Option 82, 添加到报文中并进行转发 5.2 DHCP Snooping 配置任务简介 如果二层以太网接口加入聚合组, 则在该接口上进行的 DHCP Snooping 相关配置不会生效 ; 该接 口退出聚合组后, 之前的配置才会生效 表 5-3 DHCP Snooping 配置任务简介 配置任务 说明 详细配置 配置 DHCP Snooping 基本功能 必选 5.3 配置 DHCP Snooping 支持 Option 82 功能 可选 5.4 配置 DHCP Snooping 表项备份功能 可选

88 配置任务 说明 详细配置 配置防止 DHCP 饿死攻击 可选 5.6 配置防止伪造 DHCP 请求方向报文攻击 可选 5.7 配置 DHCP Snooping 的 DHCP 请求方向报文阻断功能 可选 5.8 配置接口动态学习 DHCP Snooping 表项的最大数目 可选 5.9 开启 DHCP Snooping 日志功能 可选 配置 DHCP Snooping 基本功能 配置 DHCP Snooping 基本功能时, 需要注意 : 为了使 DHCP 客户端能从合法的 DHCP 服务器获取 IP 地址, 必须将与合法 DHCP 服务器相连的端口设置为信任端口, 设置的信任端口和与 DHCP 客户端相连的端口必须在同一个 VLAN 内 目前, 可以设置为 DHCP Snooping 信任端口的接口类型包括 : 二层以太网接口 二层聚合接口 关于聚合接口的详细介绍, 请参见 二层技术 - 以太网交换配置指导 中的 以太网链路聚合 如果二层以太网接口加入聚合组, 则在该接口上进行的 DHCP Snooping 相关配置不会生效 ; 该接口退出聚合组后, 之前的配置才会生效 DHCP Snooping 功能可以与 QinQ 功能同时使用, 通过 DHCP Snooping 表项记录客户端发送 DHCP 报文的 VLAN Tag 信息 QinQ 功能的详细介绍, 请参见 二层技术 - 以太网交换 中的 QinQ 表 5-4 配置 DHCP Snooping 基本功能操作命令说明进入系统视图 system-view - 启用 DHCP Snooping 功能 进入接口视图 配置端口为信任端口 dhcp snooping enable interface interface-type interface-number dhcp snooping trust 缺省情况下,DHCP Snooping 功能处于关闭状态 此接口为连接 DHCP 服务器的接口 缺省情况下, 在启用 DHCP Snooping 功能后, 设备的所有端口均为不信任端口 退回系统视图 quit - 进入接口视图 ( 可选 ) 启用端口的 DHCP Snooping 表项记录功能 interface interface-type interface-number dhcp snooping binding record 此接口为连接 DHCP 客户端的接口 缺省情况下, 在启用 DHCP Snooping 功能后, 端口的 DHCP Snooping 表项记录功能处于关闭状态 5-4

89 5.4 配置 DHCP Snooping 支持 Option 82 功能 配置 DHCP Snooping 支持 Option 82 功能时, 需要注意 : 如果二层以太网接口加入聚合组, 则在该接口上进行的 DHCP Snooping 支持 Option 82 功能的配置不会生效 ; 该接口退出聚合组后, 之前的配置才会生效 为使 Option 82 功能正常使用, 需要在 DHCP 服务器和 DHCP Snooping 设备上都进行相应配置 DHCP 服务器的相关配置请参见 2.8 配置 Option 82 的处理方式 如果以设备名称 (sysname) 作为节点标识填充 DHCP 报文的 Option 82, 则设备名称中不能包含空格 ; 否则,DHCP Snooping 将不处理该报文 用户可以通过 sysname 命令配置设备名称, 该命令的详细介绍请参见 基本配置命令参考 中的 设备管理 DHCP Snooping 功能和 QinQ 功能同时使用, 或 DHCP Snooping 设备接收到的 DHCP 报文带有两层 VLAN Tag 时, 如果采用 verbose 模式填充 Option 82, 则 sub-option 1 中 VLAN ID 字段的格式为 第一层 VLAN Tag. 第二层 VLAN Tag 例如, 第一层 VLAN Tag 为 10( 十六进制值为 a), 第二层 VLAN Tag 为 20( 十六进制值为 14), 则 VLAN ID 字段的内容为 000a.0014 表 5-5 配置 DHCP Snooping 支持 Option 82 功能操作命令说明进入系统视图 system-view - 进入接口视图 启用 DHCP Snooping 支持 Option 82 功能 ( 可选 ) 配置 DHCP Snooping 对包含 Option 82 的请求报文的处理策略 ( 可选 ) 配置 Circuit ID 子选项的填充内容和填充格式 ( 可选 ) 配置 Remote ID 子选项的填充内容和填充格式 interface interface-type interface-number dhcp snooping information enable dhcp snooping information strategy { drop keep replace } dhcp snooping information circuit-id { [ vlan vlan-id ] string circuit-id { normal verbose [ node-identifier { mac sysname user-defined node-identifier } ] } [ format { ascii hex } ] } dhcp snooping information remote-id { normal [ format { ascii hex } ] [ vlan vlan-id ] string remote-id sysname } - 缺省情况下,DHCP Snooping 支持 Option 82 功能处于关闭状态 缺省情况下, 对带有 Option 82 的请求报文的处理策略为 replace DHCP Snooping 对包含 Option 82 请求报文的处理策略为 replace 时, 需要配置 Option 82 的填充格式 ; 处理策略为 keep 或 drop 时, 不需要配置 Option 82 的填充格式 缺省情况下,Circuit ID 子选项的填充模式为 Normal, 填充格式为 hex 如果以设备的系统名称 (sysname) 作为节点标识填充 DHCP 报文的 Option 82, 则系统名称中不能包含空格 ; 否则,DHCP Snooping 添加或替换 Option 82 失败 缺省情况下,Remote ID 子选项的填充模式为 Normal, 填充格式为 hex 5-5

90 5.5 配置 DHCP Snooping 表项固化功能 DHCP Snooping 设备重启后, 设备上记录的 DHCP Snooping 表项将丢失 如果 DHCP Snooping 与安全模块 ( 如 IP Source Guard) 配合使用, 则表项丢失会导致安全模块无法通过 DHCP Snooping 获取到相应的表项, 进而导致 DHCP 客户端不能顺利通过安全检查 正常访问网络 DHCP Snooping 表项备份功能将 DHCP Snooping 表项保存到指定的文件中,DHCP Snooping 设备重启后, 自动根据该文件恢复 DHCP Snooping 表项, 从而保证 DHCP Snooping 表项不会丢失 表 5-6 配置 DHCP Snooping 表项固化功能操作命令说明进入系统视图 system-view - 指定存储 DHCP Snooping 表项的文件名称 ( 可选 ) 将当前的 DHCP Snooping 表项保存到用户指定的文件中 ( 可选 ) 配置刷新 DHCP Snooping 表项存储文件的延迟时间 dhcp snooping binding database filename { filename url url [ username username [ password { cipher simple } key ] ] } dhcp snooping binding database update now dhcp snooping binding database update interval seconds 缺省情况下, 未指定存储文件名称执行本命令后, 会立即触发一次表项备份 之后, 如果未配置 dhcp snooping binding database update interval 命令, 若表项发生变化, 默认在 300 秒之后刷新存储文件 ; 若表项未发生变化, 则不再刷新存储文件 如果配置了 dhcp snooping binding database update interval 命令, 若表项发生变化, 则到达刷新时间间隔后刷新存储文件 ; 若表项未发生变化, 则不再刷新存储文件 本命令只用来触发一次 DHCP Snooping 表项的备份 缺省情况下, 若 DHCP Snooping 表项不变化, 则不刷新存储文件 ; 若 DHCP Snooping 表项发生变化, 默认在 300 秒之后刷新存储文件 执行 undo dhcp snooping enable 命令关闭 DHCP Snooping 功能后, 设备会删除所有 DHCP Snooping 表项, 文件中存储的 DHCP Snooping 表项也将被删除 5.6 配置防止 DHCP 饿死攻击 DHCP 饿死攻击是指攻击者伪造 chaddr 字段各不相同的 DHCP 请求报文, 向 DHCP 服务器申请大量的 IP 地址, 导致 DHCP 服务器地址池中的地址耗尽, 无法为合法的 DHCP 客户端分配 IP 地址, 或导致 DHCP 服务器消耗过多的系统资源, 无法处理正常业务 DHCP 报文字段的相关内容请参见 1.3 DHCP 报文格式 如果封装 DHCP 请求报文的数据帧的源 MAC 地址各不相同, 则通过 mac-address max-mac-count 命令限制端口可以学习到的 MAC 地址数, 并配置学习到的 MAC 地址数达到最大 5-6

91 值时, 丢弃源 MAC 地址不在 MAC 地址表里的报文, 能够避免攻击者申请过多的 IP 地址, 在一定程度上缓解 DHCP 饿死攻击 此时, 不存在 DHCP 饿死攻击的端口下的 DHCP 客户端可以正常获取 IP 地址, 但存在 DHCP 饿死攻击的端口下的 DHCP 客户端仍可能无法获取 IP 地址 如果封装 DHCP 请求报文的数据帧的 MAC 地址都相同, 则通过 mac-address max-mac-count 命令无法防止 DHCP 饿死攻击 在这种情况下, 需要启用 DHCP Snooping 的 MAC 地址检查功能 启用该功能后,DHCP Snooping 设备检查接收到的 DHCP 请求报文中的 chaddr 字段和数据帧的源 MAC 地址字段是否一致 如果一致, 则认为该报文合法, 将其转发给 DHCP 服务器 ; 如果不一致, 则丢弃该报文 mac-address max-mac-count 命令的详细介绍, 请参见 二层技术 - 以太网交换 中的 MAC 地址表 表 5-7 启用 DHCP Snooping 的 MAC 地址检查功能操作命令说明进入系统视图 system-view - 进入接口视图 启用 DHCP Snooping 的 MAC 地址检查功能 interface interface-type interface-number dhcp snooping check mac-address - 缺省情况下,DHCP Snooping 的 MAC 地址检查功能处于关闭状态 5.7 配置防止伪造 DHCP 请求方向报文攻击 本功能用来检查 DHCP 续约报文 DHCP-DECLINE 和 DHCP-RELEASE 三种 DHCP 请求方向的报文, 以防止非法客户端伪造这三种报文对 DHCP 服务器进行攻击 伪造 DHCP 续约报文攻击是指攻击者冒充合法的 DHCP 客户端, 向 DHCP 服务器发送伪造的 DHCP 续约报文, 导致 DHCP 服务器和 DHCP 客户端无法按照自己的意愿及时释放 IP 地址租约 如果攻击者冒充不同的 DHCP 客户端发送大量伪造的 DHCP 续约报文, 则会导致大量 IP 地址被长时间占用,DHCP 服务器没有足够的地址分配给新的 DHCP 客户端 伪造 DHCP-DECLINE/DHCP-RELEASE 报文攻击是指攻击者冒充合法的 DHCP 客户端, 向 DHCP 服务器发送伪造的 DHCP-DECLINE/DHCP-RELEASE 报文, 导致 DHCP 服务器错误终止 IP 地址租约 在 DHCP Snooping 设备上启用 DHCP 请求方向报文检查功能, 可以有效地防止伪造 DHCP 请求方向报文攻击 如果启用了该功能, 则 DHCP Snooping 设备接收到上述报文后, 检查本地是否存在与请求方向报文匹配的 DHCP Snooping 表项 若存在, 则接收报文信息与 DHCP Snooping 表项信息一致时, 认为该报文为合法的 DHCP 请求方向报文, 将其转发给 DHCP 服务器 ; 不一致时, 认为该报文为伪造的 DHCP 请求方向报文, 将其丢弃 若不存在, 则认为该报文合法, 将其转发给 DHCP 服务器 表 5-8 启用 DHCP Snooping 的 DHCP 请求方向报文检查功能操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 5-7

92 操作命令说明 启用 DHCP Snooping 的 DHCP 请求方向报文检查功能 dhcp snooping check request-message 缺省情况下,DHCP Snooping 的 DHCP 请求方向报文检查功能处于关闭状态只能在二层以太网接口 二层聚合接口启用 DHCP Snooping 的 DHCP 请求方向报文检查功能 5.8 配置 DHCP Snooping 支持基于端口的阻断 DHCP 报文功能 在 DHCP Snooping 设备上无法通过配置下发 ACL 规则丢弃进入端口的 DHCP 报文 ( 由于 DHCP Snooping 功能也会下发 ACL 规则, 并且优先级比较高, 导致 DHCP 报文无法被丢弃 ), 因此需要在该端口上配置阻断 DHCP 报文功能, 才能达到丢弃 DHCP 报文的目的 操作命令说明进入系统视图 system-view - 进入接口视图 配置端口为 DHCP 报文阻断端口 interface interface-type interface-number dhcp snooping deny - 缺省情况下, 端口为非 DHCP 报文阻断端口 5.9 配置接口动态学习 DHCP Snooping 表项的最大数目 通过本配置可以限制接口动态学习 DHCP Snooping 表项的最大数目, 以防止接口学习到大量 DHCP Snooping 表项, 占用过多的系统资源 表 5-9 配置接口动态学习 DHCP Snooping 表项的最大数目操作命令说明进入系统视图 system-view - 进入接口视图 配置接口动态学习 DHCP Snooping 表项的最大数目 interface interface-type interface-number dhcp snooping max-learning-num number - 缺省情况下, 不限制接口动态学习 DHCP Snooping 表项的数目 5.10 开启 DHCP Snooping 日志信息功能 DHCP Snooping 日志是为了满足管理员的审计需求 DHCP Snooping 设备生成 DHCP Snooping 日志信息会交给信息中心模块处理, 信息中心模块的配置将决定日志信息的发送规则和发送方向 关于信息中心的详细描述请参见 网络管理和监控配置指导 中的 信息中心 当 DHCP Snooping 设备输出大量日志信息时, 可能会降低设备性能 为了避免该情况的发生, 用户可以关闭 DHCP Snooping 日志信息功能, 使得 DHCP Snooping 设备不再输出日志信息 5-8

93 表 5-10 开启 DHCP Snooping 日志信息功能 操作命令说明 进入系统视图 system-view - 开启 DHCP Snooping 日志信息功能 dhcp snooping log enable 缺省情况下,DHCP Snooping 日志信息功能处于关闭状态 5.11 DHCP Snooping 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示 DHCP Snooping 的配置情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除 DHCP Snooping 的统计信息 表 5-11 DHCP Snooping 显示和维护 操作 显示 DHCP Snooping 表项信息 显示 DHCP Snooping 上 Option 82 的配置信息 显示 DHCP Snooping 设备上的 DHCP 报文统计信息 ( 独立运行模式 ) 显示 DHCP Snooping 设备上的 DHCP 报文统计信息 (IRF 模式 ) 显示信任端口信息 显示 DHCP Snooping 表项备份信息 清除 DHCP Snooping 表项 清除 DHCP Snooping 设备上的 DHCP 报文统计信息 ( 独立运行模式 ) 清除 DHCP Snooping 设备上的 DHCP 报文统计信息 (IRF 模式 ) 命令 display dhcp snooping binding [ ip ip-address [ vlan vlan-id ] ] display dhcp snooping information { all interface interface-type interface-number } display dhcp snooping packet statistics [ slot slot-number ] display dhcp snooping packet statistics [ chassis chassis-number slot slot-number ] display dhcp snooping trust display dhcp snooping binding database reset dhcp snooping binding { all ip ip-address [ vlan vlan-id ] } reset dhcp snooping packet statistics [ slot slot-number ] reset dhcp snooping packet statistics [ chassis chassis-number slot slot-number ] 5.12 DHCP Snooping 典型配置举例 DHCP Snooping 配置举例 1. 组网需求 Switch B 通过以太网端口 GigabitEthernet1/0/1 连接到合法 DHCP 服务器, 通过以太网端口 GigabitEthernet1/0/3 连接到非法 DHCP 服务器, 通过 GigabitEthernet1/0/2 连接到 DHCP 客户端 要求 : 5-9

94 与合法 DHCP 服务器相连的端口可以转发 DHCP 服务器的响应报文, 而其他端口不转发 DHCP 服务器的响应报文 记录 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文中 DHCP 客户端 IP 地址及 MAC 地址的绑定信息 2. 组网图图 5-3 DHCP Snooping 组网示意图 3. 配置步骤 # 启用 DHCP Snooping 功能 <SwitchB> system-view [SwitchB] dhcp snooping enable # 设置 GigabitEthernet1/0/1 端口为信任端口 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] dhcp snooping trust [SwitchB-GigabitEthernet1/0/1] quit # 在 GigabitEthernet1/0/2 上启用 DHCP Snooping 表项功能 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record [SwitchB-GigabitEthernet1/0/2] quit 4. 验证配置配置完成后,DHCP 客户端只能从合法 DHCP 服务器获取 IP 地址和其它配置信息, 非法 DHCP 服务器无法为 DHCP 客户端分配 IP 地址和其他配置信息 且使用 display dhcp snooping binding 可查询到获取到的 DHCP Snooping 表项 DHCP Snooping 支持 Option 82 配置举例 1. 组网需求 Switch B 上启用 DHCP Snooping 功能, 并支持 Option 82 功能 ; 对包含 Option 82 的请求报文的处理策略为 replace; 在 GigabitEthernet1/0/2 上配置 Circuit ID 填充内容为 company001,remote ID 填充内容为 device001; 5-10

95 在 GigabitEthernet1/0/3 上配置 Circuit ID 以 verbose 模式填充, 接入节点标识为 sysname, 填充格式为 ASCII 格式,Remote ID 填充内容为 device001; 2. 组网图图 5-4 DHCP Snooping 支持 Option 82 配置示意图 3. 配置步骤 # 启用 DHCP Snooping 功能 <SwitchB> system-view [SwitchB] dhcp snooping enable # 设置 GigabitEthernet1/0/1 端口为信任端口 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] dhcp snooping trust [SwitchB-GigabitEthernet1/0/1] quit # 在 GigabitEthernet1/0/2 上配置 DHCP Snooping 支持 Option 82 功能 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] dhcp snooping information enable [SwitchB-GigabitEthernet1/0/2] dhcp snooping information strategy replace [SwitchB-GigabitEthernet1/0/2] dhcp snooping information circuit-id string company001 [SwitchB-GigabitEthernet1/0/2] dhcp snooping information remote-id string device001 [SwitchB-GigabitEthernet1/0/2] quit # 在端口 GigabitEthernet1/0/3 上配置 DHCP Snooping 支持 Option 82 功能 [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] dhcp snooping information enable [SwitchB-GigabitEthernet1/0/3] dhcp snooping information strategy replace [SwitchB-GigabitEthernet1/0/3] dhcp snooping information circuit-id verbose node-identifier sysname format ascii [SwitchB-GigabitEthernet1/0/3] dhcp snooping information remote-id string device 验证配置 配置完成后, 使用 display dhcp snooping information 命令可查看到 DHCP Snooping 在端口 GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 上 Option 82 的配置信息 5-11

96 6 BOOTP 客户端 BOOTP 客户端中对于接口的相关配置, 目前只能在三层以太网接口 三层聚合接口和 VLAN 接口上进行 多个具有相同 MAC 地址的 VLAN 接口通过中继以 BOOTP 方式申请 IP 地址时, 不能用 Windows 2000 Server 和 Windows 2003 Server 作为 BOOTP 服务器 6.1 BOOTP 客户端简介 BOOTP 客户端的应用环境 BOOTP 是 Bootstrap Protocol( 自举协议 ) 的简称 指定设备的接口作为 BOOTP 客户端后, 该接口可以通过 BOOTP 协议从 BOOTP 服务器获取 IP 地址等信息, 从而方便用户配置 使用 BOOTP 协议时, 管理员需要在 BOOTP 服务器上为每个 BOOTP 客户端配置 BOOTP 参数文件, 该文件包括 BOOTP 客户端的 MAC 地址及其对应的 IP 地址等信息 当 BOOTP 客户端向 BOOTP 服务器发起请求时, 服务器会查找 BOOTP 参数文件, 并返回相应的配置信息 由于 BOOTP 协议需要在 BOOTP 服务器上为每个客户端事先配置参数文件,BOOTP 一般运行在相对稳定的环境中 当网络变化频繁时, 推荐采用 DHCP 协议 由于 DHCP 服务器可以与 BOOTP 客户端进行交互, 因此用户可以不配置 BOOTP 服务器, 而使用 DHCP 服务器为 BOOTP 客户端分配 IP 地址 IP 地址动态获取过程 BOOTP 客户端从 BOOTP 服务器动态获取 IP 地址的具体过程如下 : (1) BOOTP 客户端以广播方式发送 BOOTP 请求报文, 其中包含了 BOOTP 客户端的 MAC 地址 ; (2) BOOTP 服务器接收到请求报文后, 根据报文中的 BOOTP 客户端 MAC 地址, 从配置文件数据库中查找对应的 IP 地址等信息, 并向客户端返回包含这些信息的 BOOTP 响应报文 ; (3) BOOTP 客户端从接收到的响应报文中即可获得 IP 地址等信息 在下面的 IP 地址动态获取过程中,BOOTP 服务器的功能可以用 DHCP 服务器替代 协议规范与 BOOTP 相关的协议规范有 : RFC 951:Bootstrap Protocol (BOOTP) RFC 2132:DHCP Options and BOOTP Vendor Extensions RFC 1542:Clarifications and Extensions for the Bootstrap Protocol 6-1

97 6.2 配置接口通过 BOOTP 协议获取 IP 地址 表 6-1 配置接口通过 BOOTP 协议获取 IP 地址操作命令说明进入系统视图 system-view - 进入接口视图 配置接口通过 BOOTP 协议获取 IP 地址 interface interface-type interface-number ip address bootp-alloc - 缺省情况下, 接口不通过 BOOTP 协议获取 IP 地址 6.3 BOOTP 客户端显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 BOOTP 客户端的运行情况, 通过查看显示信息验证配置的效果 表 6-2 BOOTP 客户端显示和维护 操作 显示 BOOTP 客户端的相关信息 命令 display bootp client [ interface interface-type interface-number ] 6.4 BOOTP 客户端典型配置举例 1. 组网需求 Switch B 的端口 ( 属于 VLAN10) 接入局域网,VLAN 接口 10 通过 BOOTP 协议从 DHCP 服务器获取 IP 地址 2. 组网图如图 2-2 所示 3. 配置步骤下面只列出图 2-2 中, 作为客户端的 Switch B 的配置 # 配置 VLAN 接口 10 通过 BOOTP 动态获取地址 <SwitchB> system-view [SwitchB] interface vlan-interface 10 [SwitchB-Vlan-interface10] ip address bootp-alloc 通过 display bootp client 命令可以查看 BOOTP 客户端申请到的 IP 地址 为了使 BOOTP 客户端能从 DHCP 服务器获得 IP 地址, 还需要在 DHCP 服务器上进行一些配置, 具体内容请参见 2.12 DHCP 服务器典型配置举例 6-2

98 目录 1 域名解析 域名解析简介 静态域名解析 动态域名解析 DNS 代理 DNS Spoofing 域名解析配置任务简介 配置 IPv4 DNS client 配置静态域名解析 配置动态域名解析 配置 IPv6 DNS client 配置静态域名解析 配置动态域名解析 配置 DNS proxy 配置 DNS spoofing 配置 DNS 报文的源接口 配置 DNS 信任接口 配置 DNS 报文的 DSCP 优先级 域名解析显示和维护 IPv4 域名解析典型配置举例 静态域名解析配置举例 动态域名解析配置举例 DNS proxy 典型配置举例 IPv6 域名解析典型配置举例 静态域名解析配置举例 动态域名解析配置举例 DNS proxy 典型配置举例 常见配置错误举例 IPv4 域名解析常见配置错误举例 IPv6 域名解析常见配置错误举例 DDNS DDNS 简介 2-1 i

99 2.1.1 概述 DDNS 典型组网应用 设备作为 DDNS 客户端配置任务简介 配置 DDNS 策略 在接口上应用 DDNS 策略 配置 DDNS 报文的 DSCP 优先级 DDNS 显示和维护 DDNS 典型配置举例 与 互通的配置举例 与花生壳 DDNS 服务器互通的配置举例 2-7 ii

100 1 域名解析 1.1 域名解析简介 DNS(Domain Name System, 域名系统 ) 是一种用于 TCP/IP 应用程序的分布式数据库, 提供域名与 IP 地址之间的转换 通过域名系统, 用户进行某些应用时, 可以直接使用便于记忆的 有意义的域名, 而由网络中的域名解析服务器将域名解析为正确的 IP 地址 域名解析分为静态域名解析和动态域名解析, 二者可以配合使用 在解析域名时, 首先采用静态域名解析 ( 查找静态域名解析表 ), 如果静态域名解析不成功, 再采用动态域名解析 由于动态域名解析需要域名服务器 (DNS server) 的配合, 会花费一定的时间, 因而可以将一些常用的域名放入静态域名解析表中, 这样可以大大提高域名解析效率 静态域名解析静态域名解析就是手工建立域名和 IP 地址之间的对应关系 当用户使用域名进行某些应用 ( 如 telnet 应用 ) 时, 系统查找静态域名解析表, 从中获取指定域名对应的 IP 地址 动态域名解析 1. 解析过程动态域名解析通过向域名服务器查询域名和 IP 地址之间的对应关系来实现将域名解析为 IP 地址 动态域名解析过程如下 : (1) 当用户使用域名进行某些应用时, 用户程序首先向 DNS 客户端中的解析器发出请求 (2) DNS 客户端收到请求后, 首先查询本地的域名缓存 如果存在已解析成功的映射项, 就将域名对应的 IP 地址返回给用户程序 ; 如果没有发现所要查找的映射项, 就向域名服务器发送查询请求 (3) 域名服务器首先从自己的数据库中查找域名对应的 IP 地址 如果判断该域名不属于本域范围, 就将请求交给其他域名服务器处理, 直到完成解析, 并将解析的结果返回给 DNS 客户端 (4) DNS 客户端收到域名服务器的响应报文后, 将解析结果返回用户程序 1-1

101 图 1-1 动态域名解析 用户程序 DNS 客户端及域名服务器的关系如图 1-1 所示, 其中解析器和缓存构成 DNS 客户端 用户程序 DNS 客户端在同一台设备上, 而 DNS 客户端和域名服务器一般分布在两台设备上 动态域名解析支持缓存功能 每次动态解析成功的域名与 IP 地址的映射均存放在 DNS 客户端的动态域名缓存区中, 当下一次查询相同域名的时候, 就可以直接从缓存区中读取, 不用再向域名服务器进行请求 缓存区中的映射在一段时间后会老化而被删除, 以保证及时从域名服务器得到最新的内容 老化时间由域名服务器设置,DNS 客户端从域名服务器的应答报文中获得老化时间 2. 域名后缀列表功能动态域名解析支持域名后缀列表功能 用户可以预先设置一些域名后缀, 在域名解析的时候, 用户只需要输入域名的部分字段, 系统会自动将输入的域名加上不同的后缀进行解析 例如, 用户想查询域名 aabbcc.com, 那么可以先在后缀列表中配置 com, 然后输入 aabbcc 进行查询, 系统会自动将输入的域名与后缀连接成 aabbcc.com 进行查询 使用域名后缀的时候, 根据用户输入域名方式的不同, 查询方式分成以下几种情况 : 如果用户输入的域名中没有., 比如 aabbcc, 系统认为这是一个主机名, 会首先加上域名后缀进行查询, 如果所有加后缀的域名查询都失败, 将使用最初输入的域名 ( 如 aabbcc) 进行查询 如果用户输入的域名中间有., 比如 系统直接用它进行查询, 如果查询失败, 再依次加上各个域名后缀进行查询 如果用户输入的域名最后有., 比如 aabbcc.com., 表示不需要进行域名后缀添加, 系统直接用输入的域名进行查询, 不论成功与否都直接返回结果 就是说, 如果用户输入的字符中最后一个字符为., 就只根据用户输入的字符进行查找, 而不会去匹配用户预先设置的域名后缀, 因此最后这个., 也被称为查找终止符 带有查询终止符的域名, 称为 FQDN(Fully Qualified Domain Name, 完全合格域名 ) 目前, 设备支持静态域名解析和动态域名解析的 DNS 客户端功能 如果域名服务器上配置了域名的别名, 设备也可以通过别名来解析主机的 IP 地址 1-2

102 1.1.3 DNS 代理 1. DNS 代理简介 DNS 代理 (DNS proxy) 用来在 DNS client 和 DNS server 之间转发 DNS 请求和应答报文 局域网内的 DNS client 把 DNS proxy 当作 DNS server, 将 DNS 请求报文发送给 DNS proxy DNS proxy 将该请求报文转发到真正的 DNS server, 并将 DNS server 的应答报文返回给 DNS client, 从而实现域名解析 使用 DNS proxy 功能后, 当 DNS server 的地址发生变化时, 只需改变 DNS proxy 上的配置, 无需改变局域网内每个 DNS client 的配置, 从而简化了网络管理 DNS proxy 的典型应用环境如图 1-2 所示 图 1-2 DNS 代理典型组网应用 2. DNS 代理的工作机制 DNS 代理的工作过程如下 : (1) DNS client 把 DNS proxy 当作 DNS server, 将 DNS 请求报文发送给 DNS proxy, 即请求报文的目的地址为 DNS proxy 的 IP 地址 (2) DNS proxy 收到请求报文后, 首先查找本地的静态域名解析表和动态域名解析缓存表, 如果存在请求的信息, 则 DNS proxy 直接通过 DNS 应答报文将域名解析结果返回给 DNS client (3) 如果不存在请求的信息, 则 DNS proxy 将报文转发给 DNS server, 通过 DNS server 进行域名解析 (4) DNS proxy 收到 DNS server 的应答报文后, 记录域名解析的结果, 并将报文转发给 DNS client DNS client 利用域名解析的结果进行相应的处理 只有 DNS proxy 上存在域名服务器地址, 并存在到达域名服务器的路由,DNS proxy 才会向 DNS server 发送域名解析请求 1-3

103 1.1.4 DNS Spoofing 图 1-3 DNS spoofing 典型应用场景 Host DNS client Device 拨号接口 PSTN/ISDN DNS server DNS proxy DNS spoofing Host DNS client HTTP server DNS spoofing(dns 欺骗 ) 主要应用于图 1-3 所示的拨号网络 在该网络中 : Device 通过拨号接口连接到 PSTN 等拨号网络 只有存在通过拨号接口转发的报文时, 才会触发拨号接口建立连接 Device 作为 DNS proxy 在 Host 上将 Device 指定为 DNS 服务器 ; 拨号接口建立连接后, Device 通过 DHCP 等方式动态获取 DNS 服务器地址 Device 上没有使能 DNS spoofing 功能时,Device 接收到 Host 发送的域名解析请求报文后, 如果不存在对应的域名解析表项, 则需要向 DNS server 发送域名解析请求 但是, 由于此时拨号接口尚未建立连接,Device 上不存在 DNS server 地址,Device 不会向 DNS server 发送域名解析请求, 也不会应答 DNS client 的请求 从而导致域名解析失败, 且没有流量触发拨号接口建立连接 DNS spoofing 功能可以解决上述问题 使能 DNS spoofing 功能后, 即便 Device 上不存在 DNS server 地址或到达 DNS server 的路由,Device 也会利用指定的 IP 地址作为域名解析结果, 应答 DNS client 的域名解析请求 DNS client 后续发送的报文可以用来触发拨号接口建立连接 图 1-3 所示网络中,Host 访问 HTTP server 的报文处理流程为 : (1) Host 通过域名访问 HTTP server 时, 首先向 Device 发送域名解析请求, 将 HTTP server 的域名解析为 IP 地址 (2) Device 接收到域名解析请求后, 如果拨号接口尚未建立连接,Device 上不存在 DNS server 地址, 或者设备上配置的 DNS server 地址均不可达, 则 Device 利用 DNS spoofing 中指定的 IP 地址作为域名解析结果, 应答 DNS client 的域名解析请求 该域名解析应答的老化时间为 0 并且, 应答的 IP 地址满足如下条件 :Device 上存在到达该 IP 地址的路由, 且路由的出接口为拨号接口 (3) Host 接收到 Device 的应答报文后, 向应答的 IP 地址发送 HTTP 请求 (4) Device 通过拨号接口转发 HTTP 请求时, 触发拨号接口建立连接, 并通过 DHCP 等方式动态获取 DNS server 的地址 (5) 域名解析应答老化后,Host 再次发送域名解析请求 (6) 之后,Device 的处理过程与 DNS proxy 工作过程相同, 请参见 DNS 代理的工作机制 1-4

104 (7) Host 获取到正确的 HTTP server 地址后, 可以正常访问 HTTP server 由于 DNS spoofing 功能指定的 IP 地址并不是待解析域名对应的 IP 地址, 为了防止 DNS client 上 保存错误的域名解析表项, 该 IP 地址对应域名解析应答的老化时间为 域名解析配置任务简介 表 1-1 域名解析配置任务简介配置任务 说明 详细配置 配置 IPv4 DNS client 1.3 二者必选其一 配置 IPv6 DNS client 1.4 配置 DNS proxy 可选 1.5 配置 DNS spoofing 可选 1.6 配置 DNS 报文的源端口 可选 1.7 配置 DNS 信任接口 可选 1.8 配置 DNS/IPv6 DNS 报文的 DSCP 优先级 可选 配置 IPv4 DNS client 配置静态域名解析配置静态域名解析就是通过配置使主机名与 IPv4 地址相互对应 当使用 Telnet 等应用时, 可以直接使用主机名, 由系统解析为 IPv4 地址 在配置静态域名解析时, 需要注意 : 在公网或单个 VPN 内, 一个主机名只能对应一个 IPv4 地址 重复配置时, 新的配置会覆盖原有配置 公网或单个 VPN 内最多可以配置 1024 个主机名和 IPv4 地址的对应关系 可以同时在公网和最多 1024 个 VPN 内配置主机名和 IPv4 地址的对应关系 表 1-2 配置静态域名解析 操作命令说明进入系统视图 system-view - 配置主机名和对应的 IPv4 地址 ip host host-name ip-address [ vpn-instance vpn-instance-name ] 缺省情况下, 静态域名解析表中不存在主机名及 IPv4 地址的对应关系 1-5

105 1.3.2 配置动态域名解析 1. 功能简介如果用户要使用动态域名解析功能, 则需要配置域名服务器的地址, 这样才能将请求报文发送到正确的服务器进行解析 用户还可以配置域名后缀, 以便实现只输入域名的部分字段, 而由系统自动加上预先设置的后缀进行解析 2. 配置限制和指导 公网或单个 VPN 内最多可以配置 6 个域名服务器的 IPv4 地址 可以为公网和最多 1024 个 VPN 配置域名服务器的 IPv4 地址 公网或单个 VPN 内最多可以配置 6 个域名服务器的 IPv6 地址 可以为公网和最多 1024 个 VPN 配置域名服务器的 IPv6 地址 查询主机名对应的 IPv4 地址时, 优先向域名服务器的 IPv4 地址发送查询请求 如果查询失败, 则再向域名服务器的 IPv6 地址发送查询请求 域名服务器的优先级顺序为 : 先配置的域名服务器优先级高于后配置的域名服务器 ; 设备上手工配置的域名服务器优先级高于通过 DHCP 等方式动态获取的域名服务器 设备首先向优先级最高的域名服务器发送查询请求, 失败后再根据优先级从高到低的次序向其他域名服务器发送查询请求 公网或单个 VPN 内最多可以配置 16 个域名后缀 可以为公网和最多 1024 个 VPN 配置域名后缀 添加域名后缀的优先级顺序为 : 先配置的域名后缀优先级高于后配置的域名后缀 ; 设备上手工配置的域名后缀优先级高于通过 DHCP 等方式动态获取的域名后缀 设备首先添加优先级最高的域名后缀, 查询失败后再根据优先级从高到低的次序添加其他域名后缀 3. 配置步骤表 1-3 配置动态域名解析 操作命令说明进入系统视图 system-view - 配置域名服务器地址 配置域名服务器的 IPv4 地址 配置域名服务器的 IPv6 地址 dns server ip-address [ vpn-instance vpn-instance-name ] ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ] 二者至少选其一缺省情况下, 没有配置域名服务器的地址 ( 可选 ) 配置域名后缀 dns domain domain-name [ vpn-instance vpn-instance-name ] 缺省情况下, 没有配置域名后缀, 即只根据用户输入的域名信息进行解析 1-6

106 1.4 配置 IPv6 DNS client 配置静态域名解析配置静态域名解析就是通过配置使主机名与 IPv6 地址相互对应 当使用 Telnet 等应用时, 可以直接使用主机名, 由系统解析为 IPv6 地址 在配置静态域名解析时, 需要注意 : 在公网或同一个 VPN 内, 一个主机名只能对应一个 IPv6 地址 重复配置时, 新的配置会覆盖原有配置 公网或单个 VPN 内最多可配置 1024 个主机名与 IPv6 地址的对应关系 可以为公网和最多 1024 个 VPN 配置主机名和 IPv6 地址的对应关系 表 1-4 配置静态域名解析 操作命令说明进入系统视图 system-view - 配置主机名和对应的 IPv6 地址 ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ] 缺省情况下, 静态域名解析表中不存在主机名及 IPv6 地址的对应关系 配置动态域名解析 1. 功能简介 如果用户要使用动态域名解析功能, 则需要配置域名服务器的地址, 这样才能将查询请求报文发送到正确的服务器进行解析 用户还可以配置域名后缀, 以便实现只输入域名的部分字段, 而由系统自动加上预先设置的后缀进行解析 2. 配置限制和指导 公网或单个 VPN 内最多可以配置 6 个域名服务器 IPv4 地址 可以为公网和最多 1024 个 VPN 配置域名服务器 IPv4 地址 公网或单个 VPN 内最多可以配置 6 个域名服务器 IPv6 地址 可以为公网和最多 1024 个 VPN 配置域名服务器 IPv6 地址 查询主机名对应的 IPv6 地址时, 优先向域名服务器的 IPv6 地址发送查询请求 如果查询失败, 则再向域名服务器的 IPv4 地址发送查询请求 域名服务器的优先级顺序为 : 先配置的域名服务器优先级高于后配置的域名服务器 ; 设备上手工配置的域名服务器优先级高于通过 DHCP 等方式动态获取的域名服务器 设备首先向优先级最高的域名服务器发送查询请求, 失败后再依次向其他域名服务器发送查询请求 公网或单个 VPN 内最多可以配置 16 个域名后缀 最多可以为公网和 1024 个 VPN 配置域名后缀 添加域名后缀的优先级顺序为 : 先配置的域名后缀优先级高于后配置的域名后缀 ; 设备上手工配置的域名后缀优先级高于通过 DHCP 等方式动态获取的域名后缀 设备首先添加优先级最高的域名后缀, 查询失败后再依次添加其他域名后缀 1-7

107 3. 配置步骤表 1-5 配置动态域名解析操作 命令 说明 进入系统视图 system-view - 配置域名服务器地址 配置域名服务器的 IPv4 地址 配置域名服务器的 IPv6 地址 dns server ip-address [ vpn-instance vpn-instance-name ] ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ] 二者至少选其一缺省情况下, 没有配置域名服务器的地址 ( 可选 ) 配置域名后缀 dns domain domain-name [ vpn-instance vpn-instance-name ] 缺省情况下, 没有配置域名后缀, 即只根据用户输入的域名信息进行解析 1.5 配置 DNS proxy 可以指定多个 DNS server DNS proxy 接收到客户端的查询请求后, 首先向优先级最高的 DNS server 转发查询请求, 失败后再依次向其他 DNS server 转发查询请求 无论 DNS proxy 接收到的查询请求是来自 IPv4 客户端还是来自 IPv6 客户端,DNS proxy 都会按照优先级顺序向域名服务器的 IPv4 地址和 IPv6 地址转发查询请求 如果查询请求是 IPv4 报文, 则优先向域名服务器的 IPv4 地址转发查询请求 如果查询请求是 IPv6 报文, 则优先向域名服务器的 IPv6 地址转发查询请求 表 1-6 配置 DNS proxy 操作命令说明进入系统视图 system-view - 开启 DNS proxy 功能 dns proxy enable 缺省情况下,DNS proxy 功能处于关闭状态 配置域名服务器地址 配置域名服务器的 IPv4 地址 配置域名服务器的 IPv6 地址 dns server ip-address [ vpn-instance vpn-instance-name ] ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ] 二者至少选其一缺省情况下, 没有配置域名服务器的地址 1.6 配置 DNS spoofing 1. 配置准备只有在以下条件均满足的情况下,DNS spoofing 功能才会生效 : 设备上启用了 DNS proxy 功能 设备上没有指定域名服务器地址或不存在到达域名服务器的路由因此, 配置 DNS spoofing 前, 需要先启用 DNS proxy 功能 1-8

108 配置 DNS spoofing 功能时, 需要注意 : 公网或单个 VPN 内只能配置 1 个 DNS spoofing 应答的 IPv4 地址和 1 个 DNS spoofing 应答的 IPv6 地址 重复配置时, 新的配置会覆盖原有配置 可以为公网和最多 1024 个 VPN 配置 DNS spoofing 功能 2. 配置步骤表 1-7 配置 DNS spoofing 操作命令说明进入系统视图 system-view - 启用 DNS proxy 功能 dns proxy enable 缺省情况下,DNS proxy 功能处于关闭状态 指定 DNS spoofing 应答地址 指定 DNS spoofing 应答的 IPv4 地址 指定 DNS spoofing 应答的 IPv6 地址 dns spoofing ip-address [ vpn-instance vpn-instance-name ] ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ] 二者至少选其一缺省情况下, 没有指定 DNS spoofing 应答地址 1.7 配置 DNS 报文的源接口 无论配置的源接口是否属于指定的 VPN, 该配置都会生效 不建议为 VPN 配置不属于该 VPN 的接口作为源接口 否则, 设备会使用不属于该 VPN 的地址作为 DNS 报文源地址, 导致无法收到 DNS 应答 缺省情况下, 设备根据域名服务器的地址, 通过路由表查找请求报文的出接口, 并将该出接口的主 IP 地址作为发送到该服务器的 DNS 请求报文的源地址 根据域名服务器的地址不同, 发送报文的源地址可能会发生变化 在某些特殊的组网环境中, 域名服务器只应答来自特定源地址的 DNS 请求报文 这种情况下, 必须指定 DNS 报文的源接口 如果为设备配置了 DNS 报文的源接口, 则设备在发送 DNS 报文时, 将固定使用该接口的主 IP 地址作为报文的源地址 发送 IPv4 DNS 报文时, 将使用源接口的主 IPv4 地址作为 DNS 报文的源地址 发送 IPv6 DNS 报文时, 将根据 RFC 3484 中定义的规则从源接口上选择 IPv6 地址作为 DNS 报文的源地址 如果源接口上没有配置对应的地址, 则将导致报文发送失败 公网或单个 VPN 内只能配置 1 个源接口 重复配置时, 新的配置会覆盖原有配置 可以为公网和最多 1024 个 VPN 配置源接口 表 1-8 配置 DNS 报文的源接口操作命令说明进入系统视图 system-view - 1-9

109 操作命令说明 指定 DNS 报文的源接口 dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ] 缺省情况下, 未指定 DNS 报文的源接口 1.8 配置 DNS 信任接口 缺省情况下, 任意接口通过 DHCP 等协议动态获得的域名后缀和域名服务器信息都将作为有效信息, 用于域名解析 如果网络攻击者通过 DHCP 服务器为设备分配错误的域名后缀和域名服务器地址, 则会导致设备域名解析失败, 或解析到错误的结果 通过本配置指定信任接口后, 域名解析时只采用信任接口动态获得的域名后缀和域名服务器信息, 非信任接口获得的信息不能用于域名解析, 从而在一定程度上避免这类攻击 表 1-9 配置 DNS 信任接口操作命令说明进入系统视图 system-view - 指定 DNS 信任接口 dns trust-interface interface-type interface-number 缺省情况下, 没有指定任何接口为信任接口 设备最多可以配置 128 个 DNS 信任接口 1.9 配置 DNS 报文的 DSCP 优先级 DSCP 优先级用来体现报文自身的优先等级, 决定报文传输的优先程度 通过本配置可以指定设备发送的 DNS 报文的 DSCP 优先级 本命令的配置同时用于 DNS 客户端和 DNS proxy 表 1-10 配置 DNS 报文的 DSCP 优先级操作命令说明进入系统视图 system-view - 配置 DNS 报文的 DSCP 优先级 配置 IPv6 DNS 报文的 DSCP 优先级 dns dscp dscp-value ipv6 dns dscp dscp-value 缺省情况下,DNS 报文的 DSCP 优先级为 0,IPv6 DNS 报文的 DSCP 优先级为

110 1.10 域名解析显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示域名解析配置后的运行情况, 通过查看显示信息验证配置的效果 在用户视图下, 执行 reset 命令可以清除动态域名缓存信息 表 1-11 域名解析显示和维护 操作 命令 显示域名解析表信息显示域名服务器的 IPv4 地址信息显示域名服务器的 IPv6 地址信息显示域名后缀信息清除动态域名解析缓存信息 display dns host [ ip ipv6 ] [ vpn-instance vpn-instance-name ] display dns server [ dynamic ] [ vpn-instance vpn-instance-name ] display ipv6 dns server [ dynamic ] [ vpn-instance vpn-instance-name ] display dns domain [ dynamic ] [ vpn-instance vpn-instance-name ] reset dns host [ ip ipv6 ] [ vpn-instance vpn-instance-name ] 1.11 IPv4 域名解析典型配置举例 静态域名解析配置举例 1. 组网需求为了避免记忆复杂的 IP 地址,Device 希望通过便于记忆的主机名访问某一主机 在 Device 上手工配置 IP 地址对应的主机名, 利用静态域名解析功能, 就可以实现通过主机名访问该主机 在本例中,Device 访问的主机 IP 地址为 , 主机名为 host.com 2. 组网图图 1-4 静态域名解析配置组网图 3. 配置步骤 # 配置主机名 host.com 对应的 IP 地址为 <Sysname> system-view [Sysname] ip host host.com # 执行 ping host.com 命令,Device 通过静态域名解析可以解析到 host.com 对应的 IP 地址为 [Sysname] ping host.com 1-11

111 Ping host.com ( ): 56 data bytes, press CTRL_C to break 56 bytes from : icmp_seq=0 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=1 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=2 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=3 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=4 ttl=255 time=2.000 ms --- Ping statistics for host.com packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms 动态域名解析配置举例 1. 组网需求为了避免记忆复杂的 IP 地址,Device 希望通过便于记忆的域名访问某一主机 如果网络中存在域名服务器, 则可以利用动态域名解析功能, 实现通过域名访问主机 在本例中 : 域名服务器的 IP 地址是 /16, 域名服务器上存在 com 域, 且 com 域中包含域名 host 和 IP 地址 /16 的对应关系 Device 作为 DNS 客户端, 使用动态域名解析功能, 将域名解析为 IP 地址 Device 上配置域名后缀 com, 以便简化访问主机时输入的域名, 例如通过输入 host 即可访问域名为 host.com IP 地址为 /16 的主机 Host 2. 组网图图 1-5 动态域名解析组网图 3. 配置步骤 在开始下面的配置之前, 假设设备与主机之间的路由可达, 设备和主机都已经配置完毕, 接口 IP 地址如图 1-5 所示 不同域名服务器的配置方法不同, 下面仅以 Windows Server 2000 为例, 说明域名服务器的配置方法 (1) 配置域名服务器 1-12

112 # 进入域名服务器配置界面 在开始菜单中, 选择 [ 程序 / 管理工具 /DNS] # 创建区域 com 如图 1-6 所示, 右键点击 [ 正向查找区域 ], 选择 [ 新建区域 ], 按照提示创建新的区域 com 图 1-6 创建区域 # 添加域名和 IP 地址的映射 如图 1-7 所示, 右键点击区域 [com] 1-13

113 图 1-7 新建主机 选择 [ 新建主机 ], 弹出如图 1-8 的对话框 按照图 1-8 输入域名 host 和 IP 地址 单击 < 添加主机 > 可完成操作 图 1-8 添加域名和 IP 地址的映射 1-14

114 (2) 配置 DNS 客户端 Device <Sysname> system-view # 配置域名服务器的 IP 地址为 [Sysname] dns server # 配置域名后缀 com [Sysname] dns domain com 4. 验证配置 # 在设备上执行 ping host 命令, 可以 ping 通主机, 且对应的目的地址为 [Sysname] ping host Ping host.com ( ): 56 data bytes, press CTRL_C to break 56 bytes from : icmp_seq=0 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=1 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=2 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=3 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=4 ttl=255 time=2.000 ms --- Ping statistics for host packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms DNS proxy 典型配置举例 1. 组网需求某局域网内拥有多台设备, 每台设备上都指定了域名服务器的 IP 地址, 以便直接通过域名访问外部网络 当域名服务器的 IP 地址发生变化时, 网络管理员需要更改局域网内所有设备上配置的域名服务器 IP 地址, 工作量将会非常巨大 通过 DNS proxy 功能, 可以大大减少网络管理员的工作量 当域名服务器 IP 地址改变时, 只需更改 DNS proxy 上的配置, 即可实现局域网内设备通过新的域名服务器解析域名 在本例中, 具体配置步骤为 : (1) 局域网中的某台设备 Device A 配置为 DNS proxy,dns proxy 上指定域名服务器 IP 地址为真正的域名服务器的地址 (2) 局域网中的其他设备 ( 如 Device B) 上, 域名服务器的 IP 地址配置为 DNS proxy 的地址, 域名解析报文将通过 DNS proxy 转发给真正的域名服务器 1-15

115 2. 组网图 图 1-9 DNS proxy 组网图 Device B DNS client /24 Device A DNS proxy / /24 IP network /24 DNS server /24 host.com Host 3. 配置步骤 在开始下面的配置之前, 假设设备与域名服务器 主机之间的路由可达, 并已按照图 1-9 配置各接口的 IP 地址 (1) 配置域名服务器不同的域名服务器的配置方法不同 Windows Server 2000 作为域名服务器时, 配置方法请参见 动态域名解析配置举例 (2) 配置 DNS 代理 Device A # 配置域名服务器的 IP 地址为 <DeviceA> system-view [DeviceA] dns server # 开启 DNS proxy 功能 [DeviceA] dns proxy enable (3) 配置 DNS 客户端 Device B <DeviceB> system-view # 配置域名服务器的 IP 地址为 [DeviceB] dns server 验证配置 # 在 Device B 上执行 ping host.com 命令, 可以 ping 通主机, 且对应的目的地址为 [DeviceB] ping host.com Ping host.com ( ): 56 data bytes, press CTRL_C to break 56 bytes from : icmp_seq=0 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=1 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=2 ttl=255 time=1.000 ms 1-16

116 56 bytes from : icmp_seq=3 ttl=255 time=1.000 ms 56 bytes from : icmp_seq=4 ttl=255 time=2.000 ms --- Ping statistics for host.com packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms 1.12 IPv6 域名解析典型配置举例 静态域名解析配置举例 1. 组网需求为了避免记忆复杂的 IPv6 地址,Device 希望通过便于记忆的主机名访问某一主机 在 Device 上手工配置 IPv6 地址对应的主机名, 利用静态域名解析功能, 就可以实现通过主机名访问该主机 在本例中,Device 访问的主机 IPv6 地址为 1::2, 主机名为 host.com 2. 组网图图 1-10 静态域名解析配置组网图 3. 配置步骤 # 配置主机名 host.com 对应的 IPv6 地址为 1::2 <Sysname> system-view [Sysname] ipv6 host host.com 1::2 # 执行 ping ipv6 host.com 命令,Device 通过静态域名解析可以解析到 host.com 对应的 IPv6 地址为 1::2 [Sysname] ping ipv6 host.com Ping6(56 data bytes) 1::1 --> 1::2, press CTRL_C to break 56 bytes from 1::2, icmp_seq=0 hlim=128 time=1.000 ms 56 bytes from 1::2, icmp_seq=1 hlim=128 time=0.000 ms 56 bytes from 1::2, icmp_seq=2 hlim=128 time=1.000 ms 56 bytes from 1::2, icmp_seq=3 hlim=128 time=1.000 ms 56 bytes from 1::2, icmp_seq=4 hlim=128 time=0.000 ms --- Ping6 statistics for host.com packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms 1-17

117 动态域名解析配置举例 1. 组网需求为了避免记忆复杂的 IPv6 地址,Device 希望通过便于记忆的域名访问某一主机 如果网络中存在域名服务器, 则可以利用动态域名解析功能, 实现通过域名访问主机 在本例中 : 域名服务器的 IPv6 地址是 2::2/64, 域名服务器上存在 com 域, 且 com 域中包含域名 host 和 IPv6 地址 1::1/64 的对应关系 Device 作为 DNS 客户端, 使用动态域名解析功能, 将域名解析为 IPv6 地址 Device 上配置域名后缀 com, 以便简化访问主机时输入的域名, 例如通过输入 host 即可访问域名为 host.com IPv6 地址为 1::1/64 的主机 Host 2. 组网图图 1-11 动态域名解析组网图 3. 配置步骤 在开始下面的配置之前, 假设设备与主机之间的路由可达, 设备和主机都已经配置完毕, 接口 IPv6 地址如图 1-11 所示 不同域名服务器的配置方法不同, 下面仅以 Windows Server 2003 为例, 说明域名服务器的配置方法 配置之前, 需确保 DNS 服务器支持 IPv6 DNS 功能, 以便处理 IPv6 域名解析报文 ; 且 DNS 服务器的接口可以转发 IPv6 报文 (1) 配置域名服务器 # 进入域名服务器配置界面 在开始菜单中, 选择 [ 程序 / 管理工具 /DNS] # 创建区域 com 如图 1-12 所示, 右键点击 [ 正向查找区域 ], 选择 [ 新建区域 ], 按照提示创建新的区域 com 1-18

118 图 1-12 创建区域 # 添加域名和 IPv6 地址的映射 如图 1-13 所示, 右键点击区域 [com] 1-19

119 图 1-13 创建记录 选择 [ 其他新记录 ], 弹出如图 1-14 的对话框, 选择资源记录类型为 IPv6 主机 (AAAA) 1-20

120 图 1-14 选择资源记录类型 按照图 1-15 输入域名 host 和 IPv6 地址 1::1 点击 < 确定 > 按钮, 添加域名和 IPv6 地址的映射 图 1-15 添加域名和 IPv6 地址的映射 1-21

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas 目录 1 IPv6 快速转发 1-1 1.1 IPv6 快速转发配置命令 1-1 1.1.1 display ipv6 fast-forwarding aging-time 1-1 1.1.2 display ipv6 fast-forwarding cache 1-1 1.1.3 ipv6 fast-forwarding aging-time 1-3 1.1.4 ipv6 fast-forwarding

More information

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas 目录 1 IPv6 快速转发 1-1 1.1 IPv6 快速转发配置命令 1-1 1.1.1 display ipv6 fast-forwarding aging-time 1-1 1.1.2 display ipv6 fast-forwarding cache 1-1 1.1.3 ipv6 fast-forwarding aging-time 1-3 1.1.4 ipv6 fast-forwarding

More information

目 录(目录名)

目  录(目录名) 目录 1 域名解析配置命令... 1-1 1.1 域名解析配置命令...1-1 1.1.1 display dns domain... 1-1 1.1.2 display dns dynamic-host... 1-2 1.1.3 display dns proxy table... 1-2 1.1.4 display dns server... 1-3 1.1.5 display ip host...

More information

目 录(目录名)

目  录(目录名) 目录 目录...1-1 1.1 域名解析配置命令... 1-1 1.1.1 display dns domain... 1-1 1.1.2 display dns dynamic-host... 1-1 1.1.3 display dns server... 1-2 1.1.4 display ip host... 1-3 1.1.5 dns domain... 1-4 1.1.6 dns resolve...

More information

ARP配置

ARP配置 目录 1 ARP 配置... 1-1 1.1 ARP 简介... 1-1 1.1.1 ARP 作用... 1-1 1.1.2 ARP 报文结构...1-1 1.1.3 ARP 地址解析过程... 1-2 1.1.4 ARP 表... 1-2 1.2 配置 ARP... 1-3 1.2.1 手工添加静态 ARP 表项... 1-3 1.2.2 配置接口学习动态 ARP 表项的最大数目... 1-4 1.2.3

More information

Chapter #

Chapter # 第三章 TCP/IP 协议栈 本章目标 通过本章的学习, 您应该掌握以下内容 : 掌握 TCP/IP 分层模型 掌握 IP 协议原理 理解 OSI 和 TCP/IP 模型的区别和联系 TCP/IP 介绍 主机 主机 Internet TCP/IP 早期的协议族 全球范围 TCP/IP 协议栈 7 6 5 4 3 应用层表示层会话层传输层网络层 应用层 主机到主机层 Internet 层 2 1 数据链路层

More information

目录 1 IP 地址配置命令 IP 地址配置命令 display ip interface display ip interface brief ip address i

目录 1 IP 地址配置命令 IP 地址配置命令 display ip interface display ip interface brief ip address i 目录 1 IP 地址配置命令... 1-1 1.1 IP 地址配置命令... 1-1 1.1.1 display ip interface... 1-1 1.1.2 display ip interface brief... 1-3 1.1.3 ip address... 1-4 i 1 IP 地址配置命令 1.1 IP 地址配置命令 1.1.1 display ip interface 命令 display

More information

19-DHCP操作

19-DHCP操作 目录 1 DHCP 概述... 1-1 1.1 DHCP 简介... 1-1 1.2 DHCP 的 IP 地址分配...1-1 1.2.1 IP 地址分配策略...1-1 1.2.2 IP 地址动态获取过程... 1-1 1.2.3 IP 地址的租约更新... 1-2 1.3 DHCP 报文格式... 1-2 1.4 协议规范... 1-3 2 DHCP Snooping 配置... 2-1 2.1

More information

目录 1 IPv6 PIM Snooping 配置命令 IPv6 PIM Snooping 配置命令 display pim-snooping ipv6 neighbor display pim-snooping ipv6 routing-ta

目录 1 IPv6 PIM Snooping 配置命令 IPv6 PIM Snooping 配置命令 display pim-snooping ipv6 neighbor display pim-snooping ipv6 routing-ta 目录 1 IPv6 PIM Snooping 配置命令 1-1 1.1 IPv6 PIM Snooping 配置命令 1-1 1.1.1 display pim-snooping ipv6 neighbor 1-1 1.1.2 display pim-snooping ipv6 routing-table 1-2 1.1.3 display pim-snooping ipv6 statistics

More information

目 录(目录名)

目  录(目录名) 目录 目录...1-1 1.1 IP 地址简介... 1-1 1.1.1 IP 地址的分类和表示... 1-1 1.1.2 子网和掩码... 1-2 1.2 IP 地址配置任务简介... 1-3 1.3 配置 VLAN 接口的 IP 地址... 1-3 1.4 IP 地址配置显示... 1-4 1.5 IP 地址配置举例... 1-4 1.6 IP 地址配置排错... 1-5 第 2 章 IP 性能配置...2-1

More information

目录 1 IP 地址 IP 地址配置命令 display ip interface display ip interface brief ip address 1-5 i

目录 1 IP 地址 IP 地址配置命令 display ip interface display ip interface brief ip address 1-5 i 目录 1 IP 地址 1-1 1.1 IP 地址配置命令 1-1 1.1.1 display ip interface 1-1 1.1.2 display ip interface brief 1-3 1.1.3 ip address 1-5 i 1 IP 地址 1.1 IP 地址配置命令 1.1.1 display ip interface display ip interface 命令用来显示三层接口与

More information

目录 1 DHCPv6 简介 DHCPv6 概述 DHCPv6 地址 / 前缀分配过程 交互两个消息的快速分配过程 交互四个消息的分配过程 地址 / 前缀租约更新过程

目录 1 DHCPv6 简介 DHCPv6 概述 DHCPv6 地址 / 前缀分配过程 交互两个消息的快速分配过程 交互四个消息的分配过程 地址 / 前缀租约更新过程 目录 1 DHCPv6 简介... 1-1 1.1 DHCPv6 概述... 1-1 1.2 DHCPv6 地址 / 前缀分配过程... 1-1 1.2.1 交互两个消息的快速分配过程... 1-1 1.2.2 交互四个消息的分配过程... 1-1 1.3 地址 / 前缀租约更新过程...1-2 1.4 DHCPv6 无状态配置...1-3 1.4.1 DHCPv6 无状态配置简介... 1-3 1.4.2

More information

H3C LA2608 室内无线网关 用户手册 杭州华三通信技术有限公司 资料版本 :6W

H3C LA2608 室内无线网关 用户手册 杭州华三通信技术有限公司   资料版本 :6W H3C LA2608 室内无线网关 用户手册 杭州华三通信技术有限公司 http://www.h3c.com.cn 资料版本 :6W100-20140227 Copyright 2014 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF

More information

路由器基本配置

路由器基本配置 路由器基本配置 本章内容 路由器的基本操作 实验练习 常用的路由器配置方法 TFTP Console MODEM AUX telnet web 任何 Interface AUX 备份接口, 一般用于路由器的管理备份接口 路由器的操作模式 : 配置模式 1. 线路配置模式 Router(config-line)# 配置路由器的线路参数 2. 路由协议配置模式 Router(config-router)#

More information

reset dhcp server ip-in-use reset dhcp server statistics static-bind client-identifier static-bind

reset dhcp server ip-in-use reset dhcp server statistics static-bind client-identifier static-bind 目录 1 DHCP 服务器配置命令... 1-1 1.1 DHCP 服务器配置命令...1-1 1.1.1 bims-server... 1-1 1.1.2 bootfile-name... 1-2 1.1.3 dhcp enable... 1-2 1.1.4 dhcp server apply ip-pool... 1-3 1.1.5 dhcp select server global-pool...

More information

目录 1 MAC 地址表配置命令 MAC 地址表配置命令 display mac-address display mac-address aging-time display mac-address m

目录 1 MAC 地址表配置命令 MAC 地址表配置命令 display mac-address display mac-address aging-time display mac-address m 目录 1 MAC 地址表配置命令... 1-1 1.1 MAC 地址表配置命令...1-1 1.1.1 display mac-address... 1-1 1.1.2 display mac-address aging-time... 1-2 1.1.3 display mac-address mac-learning... 1-3 1.1.4 display mac-address statistics...

More information

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP # iptables 默认安全规则脚本 一 #nat 路由器 ( 一 ) 允许路由 # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT ( 二 ) DNAT 与端口转发 1 启用 DNAT 转发 # iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dprot 422 -j DNAT to-destination

More information

next-server option reset dhcp server conflict reset dhcp server ip-in-use reset dhcp server sta

next-server option reset dhcp server conflict reset dhcp server ip-in-use reset dhcp server sta 目录 1 DHCP 服务器配置命令 1-1 1.1 DHCP 服务器配置命令 1-1 1.1.1 bims-server 1-1 1.1.2 bootfile-name 1-2 1.1.3 dhcp dscp (for DHCP server) 1-2 1.1.4 dhcp enable(for DHCP server) 1-3 1.1.5 dhcp server apply ip-pool 1-3

More information

ARP ICMP

ARP ICMP ARP ICMP 2 9-1 ARP 9-2 ARP 9-3 ARP 9-4 ICMP 9-5 ICMP 9-6 ICMP 9-7 ICMP 3 ARP ICMP TCP / IP, IP ARP ICMP 3 IP, ARP ICMP IP ARP ICMP 2, 4 9-1 ARP, MAC, IP IP, MAC ARP Address Resolution Protocol, OSI ARP,,

More information

Simulator By SunLingxi 2003

Simulator By SunLingxi 2003 Simulator By SunLingxi sunlingxi@sina.com 2003 windows 2000 Tornado ping ping 1. Tornado Full Simulator...3 2....3 3. ping...6 4. Tornado Simulator BSP...6 5. VxWorks simpc...7 6. simulator...7 7. simulator

More information

目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介 配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介 配置 ARP 防止 I

目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介 配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介 配置 ARP 防止 I 目录 1 ARP 攻击防御配置... 1-1 1.1 ARP 攻击防御简介...1-1 1.2 ARP 攻击防御配置任务简介... 1-1 1.3 配置 ARP 防止 IP 报文攻击功能... 1-2 1.3.1 ARP 防止 IP 报文攻击功能简介... 1-2 1.3.2 配置 ARP 防止 IP 报文攻击功能... 1-2 1.3.3 ARP 防止 IP 报文攻击显示和维护... 1-3 1.3.4

More information

目 录(目录名)

目  录(目录名) H3C S5500-EI 系列以太网交换机 三层技术 -IP 业务命令参考 杭州华三通信技术有限公司 http://www.h3c.com.cn 资料版本 :20100708-C-1.04 产品版本 :Release 2202 Copyright 2008-2010 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部,

More information

01-特性差异化列表

01-特性差异化列表 目录 1 适用型号及对应软件版本... 1-1 2 特性支持情况... 2-1 3 命令行及参数支持情况... 3-1 i 在使用 H3C WA 系列无线局域网接入点设备前请先阅读本章内容 1 适用型号及对应软件版本 H3C WA 系列无线局域网接入点设备包含 WA1208E 系列,WA2200 系列和 WA2600 系列 具体型 号和对应的软件版本信息请参见表 1-1 表 1-1 产品型号及软件版本

More information

IP505SM_manual_cn.doc

IP505SM_manual_cn.doc IP505SM 1 Introduction 1...4...4...4...5 LAN...5...5...6...6...7 LED...7...7 2...9...9...9 3...11...11...12...12...12...14...18 LAN...19 DHCP...20...21 4 PC...22...22 Windows...22 TCP/IP -...22 TCP/IP

More information

协议分析 * DHCP协议解码详解

协议分析 * DHCP协议解码详解 技术白皮书 协议分析 本文档属商业机密文件, 所有内容均为成都科来软件有限公司独立完成, 属科来软件内部机密信息, 未经成都科来软件有限公司做出明确书面许可, 不得为任何目的 以任何形式或手段 ( 包括电子 机械 复印 录音或其他形式 ) 对本文档的任何部分进行复制 修改 存储 引入检索系统或者传播 2009 科来软件保留所有权利 技术支持部科来软件电话 :86-28-85120922 传真 :86-28-85120911

More information

操作指南 10 月 /2015 年 如何配置 SCALANCE W AP 的 DHCP 功能? SCALANCE W DHCP IP 地址 Unrestricted

操作指南 10 月 /2015 年 如何配置 SCALANCE W AP 的 DHCP 功能? SCALANCE W DHCP IP 地址   Unrestricted 操作指南 10 月 /2015 年 如何配置 SCALANCE W AP 的 DHCP 功能? SCALANCE W DHCP IP 地址 https://support.industry.siemens.com/cs/cn/zh/view/109480500 Unrestricted 目录 1 概述... 3 2 配置 SCALANCE W 作为 DHCP 客户端... 4 3 配置 SCALANCE

More information

1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 disable

1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 disable 目录 1 ARP 攻击防御配置命令... 1-1 1.1 ARP 报文限速配置命令... 1-1 1.1.1 arp rate-limit... 1-1 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令... 1-1 1.2.1 arp anti-attack source-mac... 1-1 1.2.2 arp anti-attack source-mac aging-time... 1-2

More information

通过动态路由协议实现链路备份

通过动态路由协议实现链路备份 通过动态路由协议实现链路备份 实验名称 通过动态路由协议实现链路备份 实验目的 掌握通过在不同链路上配置不同的路由协议实现链路备份 背景描述 你是公司高级网络管理员, 公司内部有一个很重要的服务器所在网段为 192.168.12.0/24, 平常访问通过 R1,R3 的 OSPF 路由协议, 为了保证该网段随时能够访问, 不能因为链路故障出问题, 要求你实现一个备份冗余的功能, 请给予支持 实现功能

More information

目录 1 sflow 配置命令 sflow 配置命令 display sflow sflow agent sflow collector sflow counter inte

目录 1 sflow 配置命令 sflow 配置命令 display sflow sflow agent sflow collector sflow counter inte 目录 1 sflow 配置命令... 1-1 1.1 sflow 配置命令... 1-1 1.1.1 display sflow... 1-1 1.1.2 sflow agent... 1-3 1.1.3 sflow collector... 1-4 1.1.4 sflow counter interval... 1-4 1.1.5 sflow counter collector... 1-5 1.1.6

More information

R3105+ ADSL

R3105+ ADSL ... 1 1 1... 1 1 2... 1... 3 2 1... 3 2 2... 3 2 3... 5 2 4... 5 2 4 1... 5... 7 3 1... 7 3 2... 8 3 2 1... 8 3 2 2... 9 3 3... 12 3 3 1... 13 3 3 2 WAN... 16 3 3 3 LAN... 21 3 3 4 NAT... 22 3 3 5... 24

More information

目 录(目录名)

目  录(目录名) H3C WA 系列 PPPoE Client 配置举例 关键词 :PPPoE,PPPoE Client,AP 摘要 :PPPoE 是 Point-to-Point Protocol over Ethernet 的简称, 它可以通过一个远端接入设备为以太网上的主机提供因特网接入服务, 并对接入的每个主机实现控制 计费功能 由于很好地结合了以太网的经济性及 PPP 良好的可扩展性与管理控制功能,PPPoE

More information

计算机网络 实验指导书 / 实验四 : 动态路由协议 实验四 : 动态路由协议 一 实验目的 1 进一步理解路由器的工作原理; 2 掌握 RIP 的基本原理和实现 ; 3 掌握 OSPF 的基本原理和实现 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2

计算机网络 实验指导书 / 实验四 : 动态路由协议 实验四 : 动态路由协议 一 实验目的 1 进一步理解路由器的工作原理; 2 掌握 RIP 的基本原理和实现 ; 3 掌握 OSPF 的基本原理和实现 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2 实验四 : 动态路由协议 一 实验目的 1 进一步理解路由器的工作原理; 2 掌握 RIP 的基本原理和实现 ; 3 掌握 OSPF 的基本原理和实现 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2 软件 Windows 7 以上操作系统, 安装 GNS3 网络仿真与 VirtualBox 虚拟化软件, 安装 Putty 软件 3 网络实验室局域网支持,

More information

计算机网络 实验指导书 / 实验三 : 使用路由器组网 实验三 : 使用路由器组网 一 实验目的 1 理解路由器的基本工作原理; 2 掌握路由器的基本管理和配置方法; 3 理解路由组网的方法和静态路由的具体使用; 4 理解基于路由器的园区网的结构, 并进一步体会园区网的设计思路 二 实验学时 2 学

计算机网络 实验指导书 / 实验三 : 使用路由器组网 实验三 : 使用路由器组网 一 实验目的 1 理解路由器的基本工作原理; 2 掌握路由器的基本管理和配置方法; 3 理解路由组网的方法和静态路由的具体使用; 4 理解基于路由器的园区网的结构, 并进一步体会园区网的设计思路 二 实验学时 2 学 实验三 : 使用路由器组网 一 实验目的 1 理解路由器的基本工作原理; 2 掌握路由器的基本管理和配置方法; 3 理解路由组网的方法和静态路由的具体使用; 4 理解基于路由器的园区网的结构, 并进一步体会园区网的设计思路 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2 软件 Windows 7 以上操作系统, 安装 GNS3 网络仿真与 VirtualBox

More information

1 连接数限制 MSR810/810-W/810-W-DB/810-LM/810-W-LM/ PoE/810-LM-HK/810-W-LM-HK/810- LMS/810-LUS/ X1/2630/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-

1 连接数限制 MSR810/810-W/810-W-DB/810-LM/810-W-LM/ PoE/810-LM-HK/810-W-LM-HK/810- LMS/810-LUS/ X1/2630/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1- 目录 1 连接数限制 1-1 1.1 连接数限制简介 1-1 1.2 配置基于接口的连接数限制 1-2 1.2.1 基于接口的连接数限制配置任务简介 1-2 1.2.2 创建连接数限制策略 1-2 1.2.3 配置连接数限制策略 1-2 1.2.4 应用连接数限制策略 1-3 1.3 连接数限制显示和维护 1-4 1.4 连接数限制典型配置举例 1-5 1.5 连接限制常见配置错误举例 1-7 1.5.1

More information

1 组播路由与转发 本章中所指的 接口 为三层口, 包括 VLAN 接口 三层以太网接口等 三层以太网接口是指在以 太网接口视图下通过 port link-mode route 命令切换为三层模式的以太网接口, 有关以太网接口模 式切换的操作, 请参见 二层技术 - 以太网交换配置指导 中的 以太网

1 组播路由与转发 本章中所指的 接口 为三层口, 包括 VLAN 接口 三层以太网接口等 三层以太网接口是指在以 太网接口视图下通过 port link-mode route 命令切换为三层模式的以太网接口, 有关以太网接口模 式切换的操作, 请参见 二层技术 - 以太网交换配置指导 中的 以太网 目录 1 组播路由与转发 1-1 1.1 组播路由与转发配置命令 1-1 1.1.1 delete ip rpf-route-static 1-1 1.1.2 display mac-address multicast 1-1 1.1.3 display mrib interface 1-3 1.1.4 display multicast boundary 1-4 1.1.5 display multicast

More information

计算机网络实验说明

计算机网络实验说明 计算机网络实验说明 龚旭东 电三楼 420 lzgxd@mailustceducn 2011 年 11 月 1 日 龚旭东 (TA) 计算机网络实验说明 2011 年 11 月 1 日 1 / 20 Outline 1 实验系统介绍 实验环境实验流程 2 实验内容编程实验交互实验观察实验 3 一些控制台命令 4 实验报告说明 龚旭东 (TA) 计算机网络实验说明 2011 年 11 月 1 日 2

More information

目录 1 简介 1 2 配置前提 1 3 VSR 接口直接绑定主机网络接口 组网需求 配置思路 使用版本 配置步骤 虚拟网卡的配置 VSR 虚拟路由器配置 配置验证 配置文件 7 4 VSR 多个

目录 1 简介 1 2 配置前提 1 3 VSR 接口直接绑定主机网络接口 组网需求 配置思路 使用版本 配置步骤 虚拟网卡的配置 VSR 虚拟路由器配置 配置验证 配置文件 7 4 VSR 多个 H3C VSR1000 虚拟路由器基于 KVM 平台网络连接配置举例 Copyright 2014 杭州华三通信技术有限公司版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知 目录 1 简介 1 2 配置前提 1 3 VSR 接口直接绑定主机网络接口 2 3.1 组网需求 2 3.2

More information

TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP

TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP TCP/IP : TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP 1. ASCII EBCDIC Extended Binary-Coded Decimal Interchange Code 2. / (1) (2) Single System Image SSI) (3) I/O (4) 3.OSI OSI Open System Interconnection

More information

財金資訊-80期.indd

財金資訊-80期.indd IPv6 / LINE YouTube TCP/IP TCP (Transmission Control Protocol) IP (Internet Protocol) (node) (address) IPv4 168.95.1.1 IPv4 1981 RFC 791 --IP IPv4 32 2 32 42 IP (Internet Service Provider ISP) IP IP IPv4

More information

ebook140-8

ebook140-8 8 Microsoft VPN Windows NT 4 V P N Windows 98 Client 7 Vintage Air V P N 7 Wi n d o w s NT V P N 7 VPN ( ) 7 Novell NetWare VPN 8.1 PPTP NT4 VPN Q 154091 M i c r o s o f t Windows NT RAS [ ] Windows NT4

More information

扉页

扉页 H3C WA 系列无线局域网接入点设备 三层技术 -IP 业务命令参考 杭州华三通信技术有限公司 http://www.h3c.com.cn 资料版本 :6W101-20100910 Copyright 2010 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3

More information

工程师培训

工程师培训 .1 TCP/IP TCP/IP 1 .2.2.1 Host 1960 S 1970 S Host Low Speed Lines 1970 S 1980 S pc Server Local Interneting 1980 S 1990 S Branch. pc Branch. WAN Branch. pc pc IBM SNA IBM X.25 2 .2.2 OSI OSI Application

More information

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南 Symantec Sygate Enterprise Protection 防 护 代 理 安 装 使 用 指 南 5.1 版 版 权 信 息 Copyright 2005 Symantec Corporation. 2005 年 Symantec Corporation 版 权 所 有 All rights reserved. 保 留 所 有 权 利 Symantec Symantec 徽 标 Sygate

More information

1 QinQ 1.1 QinQ 简介 IEEE 802.1Q 定义的 VLAN ID 域有 12 个比特, 最多可以提供 4094 个 VLAN 但在实际应用中, 尤其是在城域网中, 需要大量的 VLAN 来隔离用户,4094 个 VLAN 远远不能满足需求 QinQ 使整个网络最多可以提供 409

1 QinQ 1.1 QinQ 简介 IEEE 802.1Q 定义的 VLAN ID 域有 12 个比特, 最多可以提供 4094 个 VLAN 但在实际应用中, 尤其是在城域网中, 需要大量的 VLAN 来隔离用户,4094 个 VLAN 远远不能满足需求 QinQ 使整个网络最多可以提供 409 目录 1 QinQ 1-1 1.1 QinQ 简介 1-1 1.1.1 QinQ 的工作原理 1-1 1.1.2 QinQ 的实现方式 1-2 1.1.3 协议规范 1-3 1.2 配置 QinQ 功能 1-3 1.2.1 使能 QinQ 功能 1-3 1.2.2 配置 VLAN 透传功能 1-4 1.3 配置 VLAN Tag 的 TPID 值 1-4 1.4 配置外层 VLAN Tag 的 802.1p

More information

active phisical rp address: backup phisical rp address: 截取部分 TOPO 图说明到 不通的问题 : internet internet tengige 0/0/0/0 tengige

active phisical rp address: backup phisical rp address: 截取部分 TOPO 图说明到 不通的问题 : internet internet tengige 0/0/0/0 tengige ASR9000 ping 丢包 troubleshooting 目录 硬件平台软件版本案例介绍问题分析思路问题总结经验总结相关命令 硬件平台 ASR9000 软件版本 4.2.0 案例介绍 拓扑示例 : 问题, 客户从外网 internet ping 3 个 vrrp subnet 的地址时候始终只能通一个 IP 地址 : vrrp virtual IP :2.2.2.129 其他不能 ping 通的

More information

1 Web 认证 1.1 Web 认证配置命令 display web-auth display web-auth 命令用来显示接口上 Web 认证的配置信息和运行状态信息 命令 display web-auth [ interface interface-type interface-

1 Web 认证 1.1 Web 认证配置命令 display web-auth display web-auth 命令用来显示接口上 Web 认证的配置信息和运行状态信息 命令 display web-auth [ interface interface-type interface- 目录 1 Web 认证 1-1 1.1 Web 认证配置命令 1-1 1.1.1 display web-auth 1-1 1.1.2 display web-auth free-ip 1-2 1.1.3 display web-auth server 1-2 1.1.4 display web-auth user 1-3 1.1.5 ip 1-5 1.1.6 redirect-wait-time

More information

版权声明

版权声明 SG3124 http://www.utt.com.cn 2000-2008 URL Internet Web EULA EULA UTT HiPER PN 0901-0003-001 DN PR-PMMU-1180.03-PPR-CN-1.0A ...1 1...2 1.1...2 1.2...2 1.3...3 1.4...3 2 1.4.1...3 1.4.2...4...5 2.1...5

More information

实验四 跨交换机VLAN配置

实验四  跨交换机VLAN配置 实验三十五 交换机 DHCP 服务器的配置 一 实验目的 1 了解 DHCP 原理 ; 2 熟练掌握交换机作为 DHCP 服务器的配置方法 ; 3 了解该功能的广泛应用 二 应用环境大型网络一般都采用 DHCP 协议作为地址分配的方法, 需要为网络购置多台 DHCP 服务器放置在网络的不同位置 为减轻网络管理员和用户的配置负担, 我们可以将支持 DHCP 的交换机配置成 DHCP 服务器 三 实验设备

More information

飞鱼星多WAN防火墙路由器用户手册

飞鱼星多WAN防火墙路由器用户手册 WAN VER: 20110218 Copyright 2002-2011 VOLANS WAN VR4600 VR4900 VR7200 VR7500 VR7600 1.1 1.2 IP 1.3 2.1 2.2 2.2.1 2.2.2 3.1 3.2 3.2.1 3.2.2 3.2.3 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.3 4.3.1 4.3.2

More information

¶C¶L§§¬_™¨ A.PDF

¶C¶L§§¬_™¨ A.PDF 1 9 3 1 9 4 / 7.1 / 1 9 5 7.2 % netstat -rn Routing tables Destination Gateway Flags Refcnt Use Interface 127.0.0.1 127.0.0.1 UH 1 132 lo0 172.16.12.0 172.16.12.2 U 26 49041 le0 1 9 6 / % ping -s almond

More information

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG --------------------------------------------TABLE OF CONTENTS------------------------------------------

More information

IPSec对接案例

IPSec对接案例 AR120&AR150&AR160&AR200&AR500&AR510&A R1 文档版本 V1.0 发布日期 2015-09-30 华为技术有限公司 版权所有 华为技术有限公司 2015 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 商标声明 和其他华为商标均为华为技术有限公司的商标 本文档提及的其他所有商标或注册商标, 由各自的所有人拥有

More information

FortiGate-v5.2-PPPOE 拨号协商时的 AC-name 和 Service-name 版本 1.0 时间 2015 年 3 月 支持的版本 FortiOS v5.2.x 作者 黄豪赫 状态 已审核 反馈

FortiGate-v5.2-PPPOE 拨号协商时的 AC-name 和 Service-name 版本 1.0 时间 2015 年 3 月 支持的版本 FortiOS v5.2.x 作者 黄豪赫 状态 已审核 反馈 FortiGate-v5.2-PPPOE 拨号协商时的 AC-name 和 Service-name 版本 1.0 时间 2015 年 3 月 支持的版本 FortiOS v5.2.x 作者 黄豪赫 状态 已审核 反馈 support_cn@fortinet.com 1 目 录 简介...3 PPPoE 发现阶段简介...3 相关组件...4 参考文档...4 FortiGate 相关命令介绍...

More information

ch08.PDF

ch08.PDF 8-1 CCNA 8.1 CLI 8.1.1 8-2 8-3 8.1.21600 2500 1600 2500 / IOS 8-4 8.2 8.2.1 A 5 IP CLI 1600 2500 8-5 8.1.2-15 Windows 9598NT 2000 HyperTerminal Hilgraeve Microsoft Cisco HyperTerminal Private Edition (PE)

More information

自由軟體教學平台

自由軟體教學平台 NCHC Opensource task force DRBL steven@nchc.gov.tw, c00hkl00@nchc.gov.tw National Center for High-Performance Computing http://www.nchc.gov.tw Jan, 2003 1 2003/1/28 ( ) 09:00-10:30 10:40-12:00 Linux 13:00-14:30

More information

自由軟體教學平台

自由軟體教學平台 NCHC Opensource task force DRBL c00hkl00@nchc.gov.tw, steven@nchc.gov.tw National Center for High-Performance Computing http://www.nchc.gov.tw Dec, 2002 1 Outline 1. 2. DRBL 3. 4. Service DHCP, TFTP, NFS,

More information

D-link用户手册.doc

D-link用户手册.doc 声 明 Copyright 1986-2013 版 权 所 有, 保 留 一 切 权 利 非 经 本 公 司 书 面 许 可, 任 何 单 位 和 个 人 不 得 擅 自 摘 抄 复 制 本 书 内 容 的 部 分 或 全 部, 并 不 得 以 任 何 形 式 传 播 由 于 产 品 版 本 升 级 或 其 它 原 因, 本 手 册 内 容 会 不 定 期 进 行 更 新, 为 获 得 最 新 版

More information

1

1 DOCUMENTATION FOR FAW-VW Auto Co., Ltd. Sales & Service Architecture Concept () () Version 1.0.0.1 Documentation FAW-VW 1 61 1...4 1.1...4 2...4 3...4 3.1...4 3.2...5 3.3...5 4...5 4.1 IP...5 4.2 DNSDNS...6

More information

ebook140-9

ebook140-9 9 VPN VPN Novell BorderManager Windows NT PPTP V P N L A V P N V N P I n t e r n e t V P N 9.1 V P N Windows 98 Windows PPTP VPN Novell BorderManager T M I P s e c Wi n d o w s I n t e r n e t I S P I

More information

03-VLAN命令

03-VLAN命令 目录 1 VLAN 配置命令... 1-1 1.1 VLAN 配置命令... 1-1 1.1.1 description... 1-1 1.1.2 display interface Vlan-interface... 1-2 1.1.3 display vlan... 1-3 1.1.4 interface Vlan-interface... 1-4 1.1.5 name... 1-5 1.1.6

More information

目录 1 系统维护与调试 系统维护与调试命令 debugging display debugging ping ping ipv tracert tracert

目录 1 系统维护与调试 系统维护与调试命令 debugging display debugging ping ping ipv tracert tracert 目录 1 系统维护与调试 1-1 1.1 系统维护与调试命令 1-1 1.1.1 debugging 1-1 1.1.2 display debugging 1-2 1.1.3 ping 1-2 1.1.4 ping ipv6 1-5 1.1.5 tracert 1-7 1.1.6 tracert ipv6 1-8 i 1 系统维护与调试 1.1 系统维护与调试命令 1.1.1 debugging

More information

自由軟體教學平台

自由軟體教學平台 NCHC Opensource task force Steven Shiau steven@nchc.gov.tw National Center for High-Performance Computing Sep 10, 2002 1 Outline 1. 2. 3. Service DHCP, TFTP, NFS, NIS 4. 5. 2 DRBL (diskless remote boot

More information

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli BYOD 204 2015 GoogleHicloud (Load Balance) Server Load Balance Link Load Balance Server Redirect 1. URL Redirect redirector URL redirect Real Server Client HTTP Real Server Web Client 2 (1) URL Redirect

More information

11N 无线宽带路由器

11N 无线宽带路由器 http://www.tenda.com.cn 1... 1 1.1... 1 1.2... 1 2... 3 2.1... 3 2.2... 3 2.3... 5 2.4... 6 2.5... 7 2.6... 9 2.6.1 无线基本设置... 9 2.6.2 无线加密设置... 9 2.7... 10 3... 18 3.1... 18 3.2... 19 3.2.1 ADSL 拨号上网设置...

More information

Quidway S3526系列交换机R0028P01版本发布

Quidway S3526系列交换机R0028P01版本发布 MSR V7 系列路由器和 MSR V5 系列路由器野蛮式对接 L2TP over IPSEC 典型配置 一 组网需求 : 要求 MSR3020 和 MSR3620 之间路由可达,PCA 使用 MSR3620 上的 loopback 0 口代替,PCB 由 MSR3020 上的 loopback 0 口代替, 并且有如下要求 : 1 双方使用野蛮模式建立 IPsec 隧道 ; 2 双方使用预共享密钥的方式建立

More information

M-LAG 技术白皮书

M-LAG 技术白皮书 文 档 版 本 03 发 布 日 期 2016-01-05 华 为 技 术 有 限 公 司 2016 保 留 一 切 权 利 非 经 本 公 司 书 面 许 可, 任 何 单 位 和 个 人 不 得 擅 自 摘 抄 复 制 本 文 档 内 容 的 部 分 或 全 部, 并 不 得 以 任 何 形 式 传 播 商 标 声 明 和 其 他 华 为 商 标 均 为 华 为 技 术 有 限 公 司 的 商

More information

目 录(目录名)

目  录(目录名) H3C MSR 系列路由器 NAM 网络分析模块软件 安装手册 杭州华三通信技术有限公司 http://www.h3c.com.cn 资料版本 :20070425-C-1.00 产品版本 :NAM VER 1.00 声明 Copyright 2007 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播

More information

目 彔 1. 准 备 工 作... 1 2. 登 彔 设 置... 2 3. 功 能 说 明... 4 3.1 实 时 监 控... 4 3.1.1 基 本 控 制... 4 4.1.2 功 能 设 置... 4 3.1.3 画 质 调 节... 6 3.1.4 彔 像 与 抓 拍... 6 3.1

目 彔 1. 准 备 工 作... 1 2. 登 彔 设 置... 2 3. 功 能 说 明... 4 3.1 实 时 监 控... 4 3.1.1 基 本 控 制... 4 4.1.2 功 能 设 置... 4 3.1.3 画 质 调 节... 6 3.1.4 彔 像 与 抓 拍... 6 3.1 嵌 入 式 Web Server 用 户 手 册 V2.0 感 谢 您 选 用 本 公 司 的 产 品, 请 您 在 使 用 本 产 品 前 仔 细 阅 读 用 户 手 册, 本 用 户 手 册 将 为 您 提 供 正 确 的 使 用 说 明 版 权 声 明 : 本 用 户 手 册 版 权 归 天 津 市 亚 安 科 技 股 仹 有 限 公 司 所 有, 未 经 本 公 司 许 可, 仸 何 机 构

More information

D. 192.168.5.32 E. 192.168.5.14 答 案 :C 3. 工 作 站 A 配 置 的 IP 地 址 为 192.0.2.24/28. 工 作 站 B 配 置 的 IP 地 址 为 192.0.2.100/28. 两 个 工 作 站 之 间 有 直 通 线 连 接, 两 台

D. 192.168.5.32 E. 192.168.5.14 答 案 :C 3. 工 作 站 A 配 置 的 IP 地 址 为 192.0.2.24/28. 工 作 站 B 配 置 的 IP 地 址 为 192.0.2.100/28. 两 个 工 作 站 之 间 有 直 通 线 连 接, 两 台 CCNP 学 前 测 试 题 都 选 自 官 方 的 全 真 考 试 题, 共 100 道 题 实 际 测 试 选 60 道 题, 同 官 方 正 式 考 题 数 目 基 本 一 致, 因 此 等 于 是 模 拟 考 试, 采 用 网 上 形 式 进 行 测 评 学 前 测 评 目 的 是 为 了 检 验 大 家 对 CCNA 阶 段 知 识 掌 握 的 程 度, 同 时 对 CCNA 最 核 心

More information

穨CAS1042快速安速說明.doc

穨CAS1042快速安速說明.doc CAS1042 4 Port 10/100M Switch Internet BroadBand Router IP IP... PC CAS1042 UTP Cable CAS1042 5V / 2.4A 6 1. 2. ADSL Cable Modem 3. CAS1042 4. TCP/IP 5. 6. 1 2 ADSL Modem Cable Modem CAS1042 ) / "LAN

More information

1 WLAN 接 入 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 接 入 简 介 WLAN 接 入 为 用 户 提 供 接 入 网 络 的 服 务 无 线 服 务 的 骨 干 网 通 常 使 用 有 线 电 缆 作 为 线 路 连 接 安 置 在 固 定

1 WLAN 接 入 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 接 入 简 介 WLAN 接 入 为 用 户 提 供 接 入 网 络 的 服 务 无 线 服 务 的 骨 干 网 通 常 使 用 有 线 电 缆 作 为 线 路 连 接 安 置 在 固 定 目 录 1 WLAN 接 入 配 置 1-1 1.1 WLAN 接 入 简 介 1-1 1.1.1 无 线 扫 描 1-1 1.1.2 关 联 1-3 1.2 WLAN 客 户 端 接 入 控 制 1-4 1.2.1 基 于 AP 组 的 接 入 控 制 1-4 1.2.2 基 于 SSID 的 接 入 控 制 1-4 1.3 零 漫 游 1-5 1.4 WLAN 接 入 配 置 任 务 简 介 1-6

More information

(UTM???U_935_938_955_958_959 V2.1.9.1)

(UTM???U_935_938_955_958_959 V2.1.9.1) 192.16 www.sharetech.com.tw UTM 多 功 能 防 火 牆 管 理 者 手 冊 V 2.1.9.1 目 錄 第 一 章 安 裝 與 訊 息... 7 1-1 建 議 的 安 裝 設 定 圖... 8 1-2 軟 體 安 裝 設 定... 9 1-3 首 頁 訊 息... 14 1-4 型 號 與 功 能 對 照 表... 17 第 二 章 系 統 設 定... 19 2-1

More information

UDP 8.2 TCP/IP OSI OSI 3 OSI TCP/IP IP TCP/IP TCP/IP Transport Control Protocol TCP User Datagram Protocol UDP TCP TCP/IP IP TCP TCP/IP TC

UDP 8.2 TCP/IP OSI OSI 3 OSI TCP/IP IP TCP/IP TCP/IP Transport Control Protocol TCP User Datagram Protocol UDP TCP TCP/IP IP TCP TCP/IP TC 8 TCP/IP TCP/IP TCP OSI 8.1 OSI 4 end to end A B FTP OSI Connection Management handshake Flow Control Error Detection IP Response to User s Request TCP/IP TCP 181 UDP 8.2 TCP/IP OSI OSI 3 OSI 3 8.1 TCP/IP

More information

NAT

NAT 学习沉淀成长分享 NAT 红茶三杯 ( 朱 SIR) 微博 :http://t.sina.com/vinsoney Latest update: 2012-06-01 为什么需要 NAT IPv4 地址紧缺 Internet 公有地址 私有地址 什么是 NAT NAT(Network Address Translation) 地址转换 Internet 公有地址 私有地址 私有 IPv4 地址 10.0.0.0-10.255.255.255

More information

VIDEOJET connect 7000 VJC-7000-90 zh- CHS Operation Manual VIDEOJET connect 7000 zh-chs 3 目 录 1 浏 览 器 连 接 7 1.1 系 统 要 求 7 1.2 建 立 连 接 7 1.2.1 摄 像 机 中 的 密 码 保 护 7 1.3 受 保 护 的 网 络 7 2 系 统 概 述 8 2.1 实 况

More information

一.NETGEAR VPN防火墙产品介绍

一.NETGEAR VPN防火墙产品介绍 NETGEAR VPN NETGEAR 6 http://www.netgear.com.cn - 1 - NETGEAR VPN... 4 1.1 VPN...4 1.2 Dynamic Domain Name Service...4 1.3 Netgear VPN...4 Netgear VPN... 6 2.1 FVS318 to FVS318 IKE Main...7 2.1.1 A VPN

More information

一、选择题

一、选择题 计 算 机 网 络 基 础 第 7 章 练 习 思 考 与 认 识 活 动 一 选 择 题 1. 下 面 命 令 中, 用 于 检 查 WINDOWS2000 下 TCP/IP 配 置 信 息 的 是 ( ) A. cmd B. nslookup C. ipconfig D. ping 2. 内 部 网 关 协 议 RIP 是 一 种 广 泛 使 用 的 基 于 距 离 矢 量 算 法 的 协 议

More information

epub 61-2

epub 61-2 2 Web Dreamweaver UltraDev Dreamweaver 3 We b We b We Dreamweaver UltraDev We b Dreamweaver UltraDev We b We b 2.1 Web We b We b D r e a m w e a v e r J a v a S c r i p t We b We b 2.1.1 Web We b C C +

More information

SAPIDO GR-1733 無線寬頻分享器

SAPIDO GR-1733 無線寬頻分享器 1 版 權 聲 明... 4 產 品 保 固 說 明... 4 保 固 期 限... 4 維 修 辦 法... 5 服 務 條 款... 5 注 意 事 項... 6 低 功 率 電 波 輻 射 性 電 機 管 理 辦 法... 6 CE 標 誌 聲 明... 6 無 線 功 能 注 意 事 項... 6 1 產 品 特 點 介 紹... 7 1.1 LED 指 示 燈 功 能 說 明... 8 1.2

More information

Huawei Technologies Co

Huawei Technologies Co 关键词 :IPv4,IPv6,RIP,RIPng 摘 要 :RIPng 是在 RIP 基础上开发的用于 IPv6 网络的路由协议 本文简要介绍了 RIP 的实现机 制, 并描述了 RIPng 与 RIP 的异同点及组网应用 缩略语 : 缩略语 英文全名 中文解释 CIDR Classless Interdomain Routing 无类域间路由选择 IGP Interior Gateway Protocol

More information

DOS下常用的网络命令.PDF

DOS下常用的网络命令.PDF DOS .... 1.1... 1.2... DOS... 2.1 ARP... 2.2 Finger... 2.3 Ftp... 2.4 Nbtstat... 2.5 Netstat... 2.6 Ping... 2.7 Rcp... 2.8 Rexec... 2.9 Route... 2.10 Rsh... 2.11 Tftp... 2.12 Tracert... 1 1 1 1 1 2 3 4

More information

目录 1 系统维护与调试 系统维护与调试命令 debugging display debugging ping ping ipv tracert tracert

目录 1 系统维护与调试 系统维护与调试命令 debugging display debugging ping ping ipv tracert tracert 目录 1 系统维护与调试 1-1 1.1 系统维护与调试命令 1-1 1.1.1 debugging 1-1 1.1.2 display debugging 1-2 1.1.3 ping 1-2 1.1.4 ping ipv6 1-5 1.1.5 tracert 1-7 1.1.6 tracert ipv6 1-9 i 1 系统维护与调试 1.1 系统维护与调试命令 1.1.1 debugging

More information

目录 1 概述 配置 SCALANCE X 作为 DHCP 服务器 创建 VLAN 为每个 VLAN 配置子网 配置 DHCP 服务器 查看 DCHP 状态 配置 SCALANCE X 作为 DHCP

目录 1 概述 配置 SCALANCE X 作为 DHCP 服务器 创建 VLAN 为每个 VLAN 配置子网 配置 DHCP 服务器 查看 DCHP 状态 配置 SCALANCE X 作为 DHCP 快速入门 12/2016 SCALANCE X DHCP 功能快速入门 SCALANCE X DHCP Server DHCP Client DHCP Relay IP VLAN https://support.industry.siemens.com/cs/cn/zh/view/109744114 Unrestricted 目录 1 概述... 3 2 配置 SCALANCE X 作为 DHCP

More information

Microsoft Word - chp11NAT.doc

Microsoft Word - chp11NAT.doc 第 11 章 NAT Internet 技术的飞速发展, 使越来越多的用户加入到互联网, 因此 IP 地址短缺已成为一个十分突出的问题 NAT(Network Address Translation, 网络地址翻译 ) 是解决 IP 地址短缺的重要手段 11.1 NAT 概述 NAT 是一个 IETF 标准, 允许一个机构以一个地址出现在 Internet 上 NAT 技术使得一个私有网络可以通过

More information

ebook140-11

ebook140-11 11 VPN Windows NT4 B o r d e r M a n a g e r VPN VPN V P N V P N V P V P N V P N TCP/IP 11.1 V P N V P N / ( ) 11.1.1 11 V P N 285 2 3 1. L A N LAN V P N 10MB 100MB L A N VPN V P N V P N Microsoft PPTP

More information

12-端口安全-端口绑定操作

12-端口安全-端口绑定操作 目录 1 端口安全... 1-1 1.1 端口安全简介... 1-1 1.1.1 端口安全概述...1-1 1.1.2 端口安全的特性...1-1 1.1.3 端口安全的模式...1-1 1.2 端口安全配置... 1-3 1.2.1 启动端口安全功能... 1-3 1.2.2 配置端口允许接入的最大 MAC 地址数... 1-4 1.2.3 配置端口安全模式... 1-4 1.2.4 配置端口安全的相关特性...

More information

ch09.PDF

ch09.PDF 9-1 / (TCP/IP) TCP/IP TCP/IP ( ) ICMP ARP RARP 9.1 TCP/IP 9.1.1 TCP/IP OSI TCP/IP (DARPA) DARPA TCP/IP UNIX Berkeley Software DistributionTCP/IP TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP OSI - TCP/IP ( ) ( )

More information

<4D6963726F736F667420506F776572506F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA4544350A1A24950D0ADD2E9BACD4950B5D8D6B72E707074>

<4D6963726F736F667420506F776572506F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA4544350A1A24950D0ADD2E9BACD4950B5D8D6B72E707074> 项 目 一 : 初 识 计 算 机 网 络 任 务 三 熟 悉 TCP/IP 协 议 和 IP 地 址 一. 学 习 要 求 : 学 习 要 求 及 难 点 1. 了 解 IP 协 议 TCP 协 议 和 UDP 协 议 2. 熟 悉 IP 地 址 的 划 分 和 分 类 3. 了 解 IPV6 的 地 址 结 构 二. 难 点 : 1. IP 地 址 三. 学 时 : 1. 理 论 教 学 :6

More information

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页 第 1 页共 32 页 crm Mobile V1.0 for IOS 用户手册 一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页 二 crm Mobile 界面介绍 : 第 3 页共 32 页 三 新建 (New) 功能使用说明 1 选择产品 第 4 页共 32 页 2 填写问题的简要描述和详细描述 第 5 页共

More information

Copyright 2018 新华三技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C H3CS H3CIE H3CNE Aolynk H 3 Care IRF NetPilot Netflow

Copyright 2018 新华三技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C H3CS H3CIE H3CNE Aolynk H 3 Care IRF NetPilot Netflow H3C SecPath W2000-G[AK][V] 系列 Web 应用防火墙 License 激活申请和注册操作指导 新华三技术有限公司 http://www.h3c.com 资料版本 :5W102-20180812 Copyright 2018 新华三技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播

More information

C3_ppt.PDF

C3_ppt.PDF C03-101 1 , 2 (Packet-filtering Firewall) (stateful Inspection Firewall) (Proxy) (Circuit Level gateway) (application-level gateway) (Hybrid Firewall) 2 IP TCP 10.0.0.x TCP Any High Any 80 80 10.0.0.x

More information

Microsoft Word - GB0-183.doc

Microsoft Word - GB0-183.doc HuaWei HuaWei-3Com Certificated Network Engineer Q&A Demo English: www.testinside.com BIG5: www.testinside.net GB: www.testinside.cn TestInside,help you pass any IT exam! 1. 三台路由器如图所示连接, 配置如下, 路由器 RTA

More information

《计算机网络》实验指导书

《计算机网络》实验指导书 1 实 验 一 网 络 组 建 与 管 理 一. 实 验 目 的 1. 掌 握 平 行 双 绞 线 和 交 叉 双 绞 线 的 制 作 方 法 ( 初 级 ) 2. 掌 握 对 等 网 和 代 理 服 务 器 网 络 的 组 建 ( 初 级 ) 3. 会 用 ipconfig 和 ping 命 令 ( 初 级 ) 4. 掌 握 网 络 中 文 件 夹 共 享 和 打 印 机 共 享 ( 初 级 )

More information

第 1 章 概 述 1.1 计 算 机 网 络 在 信 息 时 代 中 的 作 用 1.2 计 算 机 网 络 的 发 展 过 程 *1.2.1 分 组 交 换 的 产 生 *1.2.2 因 特 网 时 代 *1.2.3 关 于 因 特 网 的 标 准 化 工 作 1.2.4 计 算 机 网 络 在

第 1 章 概 述 1.1 计 算 机 网 络 在 信 息 时 代 中 的 作 用 1.2 计 算 机 网 络 的 发 展 过 程 *1.2.1 分 组 交 换 的 产 生 *1.2.2 因 特 网 时 代 *1.2.3 关 于 因 特 网 的 标 准 化 工 作 1.2.4 计 算 机 网 络 在 计 算 机 网 络 ( 第 4 版 ) 课 件 第 1 章 计 算 机 网 络 概 述 郭 庆 北 Ise_guoqb@ujn.edu.cn 2009-02-25 第 1 章 概 述 1.1 计 算 机 网 络 在 信 息 时 代 中 的 作 用 1.2 计 算 机 网 络 的 发 展 过 程 *1.2.1 分 组 交 换 的 产 生 *1.2.2 因 特 网 时 代 *1.2.3 关 于 因 特

More information

目 录(目录名)

目  录(目录名) 本命令索引包括手册中所出现的全部命令, 按字母序排列, 左边为命令行, 右边为该命令所在的功能模块和页码 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A access-limit accounting QoS 2-1 1-1 accounting default accounting lan-access accounting login

More information

KillTest 质量更高 服务更好 学习资料 半年免费更新服务

KillTest 质量更高 服务更好 学习资料   半年免费更新服务 KillTest 质量更高 服务更好 学习资料 http://www.killtest.cn 半年免费更新服务 Exam : 070-647 Title : Windows Server 2008,Enterprise Administrator Version : Demo 1 / 13 1. Active directory Windows Server 2008 (WAN) WAN WAN A.

More information

目 录(目录名)

目  录(目录名) 目录 目录...1-1 1.1 配置命令... 1-1 1.1.1 description... 1-1 1.1.2 display interface Vlan-interface... 1-2 1.1.3 display vlan... 1-3 1.1.4 interface Vlan-interface... 1-4 1.1.5 name... 1-5 1.1.6 shutdown... 1-6

More information

实施生成树

实施生成树 学习沉淀成长分享 Spanning-tree 红茶三杯 ( 朱 SIR) 微博 :http://t.sina.com/vinsoney Latest update: 2012-06-01 STP 的概念 冗余拓扑 Server/host X Router Y Segment 1 Switch A Switch B Segment 2 冗余拓扑能够解决单点故障问题 ; 冗余拓扑造成广播风暴, 多帧复用,

More information

02-PPP配置

02-PPP配置 目录 1 PPP 配置... 1-1 1.1 PPP 协议简介... 1-1 1.1.1 PPP 简介... 1-1 1.2 配置 PPP... 1-3 1.2.1 配置 PAP 验证...1-3 1.2.2 配置 CHAP 验证...1-4 1.2.3 PPP 协商参数...1-5 1.2.4 PPP 计费统计功能... 1-8 1.3 PPP 的显示和维护...1-8 1.4 PPP 常见错误配置举例...1-9

More information