06-网络

Transcription

1 目录 1 MAC 地址 概述 MAC 地址配置 配置 MAC 地址表项 配置 MAC 地址表项的老化时间 MAC 地址典型配置举例 MAC 地址典型配置举例 VLAN 概述 VLAN 简介 VLAN 原理 基于端口的 VLAN 简介 配置 VLAN 配置概述 新建 VLAN 配置 VLAN 中的端口 配置端口所属的 VLAN VLAN 典型配置举例 注意事项 ARP 管理 ARP 简介 ARP 作用 ARP 报文结构 ARP 地址解析过程 ARP 表 管理 ARP 表 查看 ARP 表项 配置静态 ARP 表项 静态 ARP 典型配置举例 免费 ARP 免费 ARP 简介 配置免费 ARP IGMP Snooping 概述 i

2 4.1.1 IGMP Snooping 原理 IGMP Snooping 相关端口 IGMP Snooping 工作机制 协议规范 配置 IGMP Snooping 配置概述 全局使能 IGMP Snooping 在 VLAN 内配置 IGMP Snooping 在端口上配置 IGMP Snooping 查看 IGMP Snooping 组播表项信息 IPv4 和 IPv6 路由 概述 路由表 静态路由 缺省路由 配置 IPv4 路由 查看 IPv4 激活路由表 新建 IPv4 静态路由 配置 IPv6 路由 查看 IPv6 激活路由表 新建 IPv6 静态路由 静态路由典型配置举例 IPv4 静态路由配置举例 IPv6 静态路由配置举例 注意事项 DHCP DHCP 简介 DHCP 的 IP 地址分配 IP 地址分配策略 IP 地址动态获取过程 IP 地址的租约更新 DHCP 报文格式 DHCP 选项 DHCP 选项简介 DHCP 常用选项介绍 Option 82 选项 协议规范 DHCP 服务器简介 ii

3 6.6.1 DHCP 服务器的应用环境 DHCP 地址池 DHCP 服务器分配 IP 地址的优先次序 配置 DHCP 服务器 配置概述 启动 DHCP 服务 配置 DHCP 服务器的静态地址池 配置 DHCP 服务器的动态地址池 配置接口工作在 DHCP 服务器模式 DHCP 服务器典型配置举例 DNS 概述 静态域名解析 动态域名解析 配置 DNS 配置概述 配置静态域名解析表 配置动态域名解析 配置 DNS 服务器的 IP 地址 配置域名后缀 DNS 典型配置举例 DNS 典型配置举例 PPPoE 概述 PPPoE 简介 配置 PPPoE Client 配置概述 新建 PPPoE Client 查看 PPPoE Client 会话信息 PPPoE Client 典型配置举例 注意事项 服务管理 概述 配置服务管理 诊断工具 概述 Ping Trace Route iii

4 10.2 诊断工具操作 Ping 操作 Trace Route 操作 iv

5 不同型号产品的特性功能支持情况略有不同, 对于手册中标有 请以设备实际情况为准 的特性, 请参见 01- 导读 中的 产品支持特性差异 章节的介绍 本手册致力于提供更加准确的描述和 WEB 页面截图, 但由于产品型号的差异, 请在实际使用中以设备实际显示的 WEB 页面为准 页面上显示为灰色的功能或参数, 表示设备不支持或者在当前配置下不可修改 本手册中对于设备以太网口的描述请以设备实际情况为准 1 MAC 地址 MAC 地址模块中对于接口的相关配置, 目前只能在二层以太网接口上进行 本章节内容只涉及静态和动态地址表项的管理, 不涉及组播 MAC 地址表项管理的内容 1.1 概述 为了转发报文, 设备需要维护 MAC 地址表 MAC 地址表的表项包含了与该设备相连的设备的 MAC 地址 与此设备相连的设备的接口号以及所属的 VLAN ID MAC 地址表中的表项包括静态表项和动态表项, 其中静态表项是由用户配置的 ; 动态表项包括用户配置的以及设备学习得来的 静态表项不会被老化掉, 而动态表项会被老化掉 设备学习 MAC 地址的方法如下 : 如果从某接口 ( 假设为接口 A) 收到一个数据帧, 设备就会分析该数据帧的源 MAC 地址 ( 假设为 MAC-SOURCE) 并认为目的 MAC 地址为 MAC-SOURCE 的报文可以由接口 A 转发 ; 如果 MAC 地址表中已经包含 MAC-SOURCE, 设备将对该表项进行更新 ; 如果 MAC 地址表中尚未包含 MAC-SOURCE, 设备则将这个新 MAC 地址以及该 MAC 地址对应的接口 A 作为一个新的表项加入到 MAC 地址表中 在设备学习 MAC 地址时, 用户手工配置的静态 MAC 地址表项不能被学习中获得的动态 MAC 地址覆盖, 而动态 MAC 地址表项可以被静态 MAC 地址覆盖 设备在转发报文时, 根据 MAC 地址表项信息, 会采取以下两种转发方式 : 单播方式 : 当 MAC 地址表中包含与报文目的 MAC 地址对应的表项时, 设备直接将报文从该表项中的转发出接口发送 广播方式 : 当设备收到目的地址为全 F 的报文, 或 MAC 地址表中没有包含对应报文目的 MAC 地址的表项时, 设备将采取广播方式将报文向除接收接口外的所有接口进行转发 1-1

6 图 1-1 设备的 MAC 地址表项 1.2 MAC 地址配置 MAC 地址表管理主要包括 MAC 地址表项的配置和查看, 以及 MAC 地址表项老化时间的配置 配置 MAC 地址表项在导航栏中选择 网络 > MAC 地址, 默认进入 MAC 页签的页面, 页面显示所有的 MAC 地址表项, 如图 1-2 所示 单击 < 新建 > 按钮, 进入新建 MAC 地址表项的配置页面, 如图 1-3 所示 图 1-2 MAC 1-2

7 图 1-3 MAC 地址创建 新建 MAC 地址表项的详细配置如表 1-1 所示 表 1-1 新建 MAC 地址表项的详细配置 配置项 说明 MAC 地址 设置待添加的 MAC 地址 设置该 MAC 地址表项的类型, 包括 : static: 表示该表项是静态 MAC 地址表项, 没有老化时间 dynamic: 表示该表项是动态 MAC 地址表项, 有老化时间 blackhole: 表示该表项是黑洞 MAC 地址表项, 没有老化时间 类型 VLAN ID 端口 在 MAC 地址表项显示页面的列表中共有如下几种类型 : Config static: 表示该表项是用户手工配置的静态表项 Config dynamic: 表示该表项是用户手工配置的动态表项 Blackhole: 表示该表项是黑洞表项 Learned: 表示该表项是设备学习得来的动态表项 Other: 表示该表项为除上述状态外的其他类型设置该 MAC 地址表项所属的 VLAN 设置该 MAC 地址表项所属的端口, 黑洞表项不需要设置所属端口 配置 MAC 地址表项的老化时间 在导航栏中选择 网络 > MAC 地址, 单击 设置 页签, 进入 MAC 地址表项老化时间的配置页面, 如图 1-4 所示 1-3

8 图 1-4 设置 MAC 地址表项老化时间的详细配置如表 1-2 所示 表 1-2 增加 MAC 地址表项的详细配置 配置项 说明 不老化 老化时间 设置 MAC 地址表项不会老化 设置 MAC 地址表项的老化, 并指定老化时间 1.3 MAC 地址典型配置举例 MAC 地址典型配置举例 1. 组网需求用户通过 Web 网管设置 MAC 地址表功能 要求在 VLAN1 中的 GigabitEthernet1/0/1 端口下添加一个静态 MAC 地址表项 00e0-fc35-dc71 2. 配置步骤 # 创建静态 MAC 地址表项 在导航栏中选择 网络 > MAC 地址, 默认进入 MAC 页签的页面, 单击 < 新建 > 按钮 在 MAC 地址创建页面进行如下配置, 如图 1-5 所示 1-4

9 图 1-5 创建静态 MAC 地址表项 输入 MAC 地址为 00e0-fc35-dc71 选择类型为 static 选择 VLAN ID 为 1 选择端口为 GigabitEthernet1/0/1 单击 < 确定 > 按钮完成操作 1-5

10 2 VLAN 2.1 概述 VLAN 简介以太网是一种基于 CSMA/CD(Carrier Sense Multiple Access/Collision Detect, 载波侦听多路访问 / 冲突检测 ) 的共享通讯介质的数据网络通讯技术, 当主机数目较多时会导致冲突严重 广播泛滥 性能显著下降, 甚至网络不可用等问题 通过交换机实现 LAN 互联虽然可以解决冲突 (Collision) 严重的问题, 但仍然不能隔离广播报文 在这种情况下出现了 VLAN(Virtual Local Area Network, 虚拟局域网 ) 技术, 这种技术可以把一个 LAN 划分成多个逻辑的 LAN VLAN, 每个 VLAN 是一个广播域,VLAN 内的主机间通信就和在一个 LAN 内一样, 而 VLAN 间则不能直接互通 这样, 广播报文被限制在一个 VLAN 内, 如图 2-1 所示 图 2-1 VLAN 示意图 VLAN 2 Router Switch A Switch B VLAN 5 VLAN 的划分不受物理位置的限制 : 不在同一物理位置范围的主机可以属于同一个 VLAN; 一个 VLAN 包含的用户可以连接在同一个交换机上, 也可以跨越交换机, 甚至可以跨越路由器 VLAN 的优点如下 : 限制广播域 广播域被限制在一个 VLAN 内, 节省了带宽, 提高了网络处理能力 增强局域网的安全性 VLAN 间的二层报文是相互隔离的, 即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信, 如果不同 VLAN 要进行通信, 则需通过路由器或三层交换机等三层设备 灵活构建虚拟工作组 用 VLAN 可以划分不同的用户到不同的工作组, 同一工作组的用户也不必局限于某一固定的物理范围, 网络构建和维护更方便灵活 VLAN 原理要使网络设备能够分辨不同 VLAN 的报文, 需要在报文中添加标识 VLAN 的字段 由于普通交换机工作在 OSI 模型的数据链路层, 只能对报文的数据链路层封装进行识别 因此, 如果添加识别字段, 也需要添加到数据链路层封装中 2-1

11 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 IEEE 802.1Q 协议标准草案, 对带有 VLAN 标识的报文结构进行了统一规定 传统的以太网数据帧在目的 MAC 地址和源 MAC 地址之后封装的是上层协议的类型字段, 如图 2-2 所示 图 2-2 传统以太网帧封装格式 其中 DA 表示目的 MAC 地址,SA 表示源 MAC 地址,Type 表示报文所属协议类型 IEEE 802.1Q 协议规定在目的 MAC 地址和源 MAC 地址之后封装 4 个字节的 VLAN Tag, 用以标识 VLAN 的相关信息 图 2-3 VLAN Tag 的组成字段 VLAN Tag DA&SA TPID Priority CFI VLAN ID Type 如图 2-3 所示,VLAN Tag 包含四个字段, 分别是 TPID(Tag Protocol Identifier, 标签协议标识符 ) Priority CFI(Canonical Format Indicator, 标准格式指示位 ) 和 VLAN ID TPID 用来标识本数据帧是带有 VLAN Tag 的数据, 长度为 16bit, 取值为 0x8100 Priority 表示报文的优先级, 长度为 3bit CFI 字段标识 MAC 地址在不同的传输介质中是否以标准格式进行封装, 长度为 1bit, 取值为 0 表示 MAC 地址以标准格式进行封装, 为 1 表示以非标准格式封装, 缺省取值为 0 VLAN ID 标识该报文所属 VLAN 的编号, 长度为 12bit, 取值范围为 0~4095 由于 0 和 4095 为协议保留取值, 所以 VLAN ID 的取值范围为 1~4094 网络设备利用 VLAN ID 来识别报文所属的 VLAN, 根据报文是否携带 VLAN Tag 以及携带的 VLAN Tag 值, 来对报文进行处理 这里的帧格式以 Ethernet II 型封装为例, 以太网还支持 LLC SNAP 和 raw 封装格式 对于这些封装格式的报文, 也会添加 VLAN Tag 字段, 用来区分不同 VLAN 的报文 基于端口的 VLAN 简介 Web 界面目前只支持对基于端口的 VLAN 的配置, 因此, 本章中也只对基于端口的 VLAN 进行介绍 基于端口划分 VLAN 是 VLAN 最简单 最有效的划分方法 它按照设备端口来定义 VLAN 成员, 将指定端口加入到指定 VLAN 中之后, 端口就可以转发指定 VLAN 的报文 2-2

12 1. 端口的连接类型根据端口在转发报文时对 Tag 标签的不同处理方式, 可将端口的连接类型分为三种 : Access 类型 : 端口只能属于 1 个 VLAN, 一般用于连接用户设备 Trunk 类型 : 端口可以允许多个 VLAN 通过, 可以接收和发送多个 VLAN 的报文, 一般用于网络设备之间的连接 Hybrid 类型 : 端口可以允许多个 VLAN 通过, 可以接收和发送多个 VLAN 的报文, 可以用于网络设备之间连接, 也可以用于连接用户设备 Trunk 端口和 Hybrid 端口的不同之处在于 : Trunk 端口只允许缺省 VLAN 的报文发送时不带 Tag 标签 Hybrid 端口允许多个 VLAN 的报文发送时不带 Tag 标签 2. 缺省 VLAN(PVID) 除了可以设置端口允许通过的 VLAN, 还可以设置端口的缺省 VLAN 在缺省情况下, 所有端口的缺省 VLAN 均为 VLAN 1, 但用户可以根据需要进行配置 Access 端口的缺省 VLAN 就是它所属的 VLAN, 不能配置 Trunk 端口和 Hybrid 端口可以允许多个 VLAN 通过, 能够配置缺省 VLAN 在配置了端口连接类型和缺省 VLAN 后, 端口对报文的接收和发送的处理有几种不同情况, 具体情况如表 2-1 所示 表 2-1 端口收发报文的处理 端口类型 接收的报文不带 Tag 时 对接收报文的处理 接收的报文带 Tag 时 对发送报文的处理 Access 为报文打上缺省 VLAN 的 Tag 当 VLAN ID 与缺省 VLAN 相同时, 接收该报文 当 VLAN ID 与缺省 VLAN ID 不同时, 丢弃该报文 由于 VLAN ID 与缺省 VLAN ID 相同, 去掉 Tag, 发送该报文 Trunk Hybrid 当缺省 VLAN 在端口允许通过的 VLAN 列表中时, 接收该报文, 为报文打上缺省 VLAN 的 Tag 当缺省 VLAN 不在端口允许通过的 VLAN 列表中时, 丢弃该报文 当 VLAN 在端口允许通过的 VLAN 列表中时, 接收该报文 当 VLAN ID 不在端口允许通过的 VLAN 列表中时, 丢弃该报文 当 VLAN ID 与缺省 VLAN ID 相同时, 去掉 Tag, 发送该报文 当 VLAN ID 与缺省 VLAN ID 不同, 且在端口允许通过的 VLAN 列表中时, 保持原有 Tag, 发送该报文 当 VLAN 在端口允许通过的 VLAN 列表中时, 发送该报文, 是否去掉 Tag 可由用户手动配置 2.2 配置 VLAN 配置概述 VLAN 配置的推荐步骤如表 2-2 所示 2-3

13 表 2-2 VLAN 配置步骤 步骤配置任务说明 新建 VLAN 配置 VLAN 中的端口 配置端口所属的 VLAN 必选新建一个或多个 VLAN 二者至少选择其一配置 VLAN 的 Untagged Tagged 成员, 或从 VLAN 中删除成员 新建 VLAN 在导航栏中选择 网络 > VLAN, 默认进入 VLAN 页签的页面, 如图 2-4 所示 单击 < 新建 > 按钮, 进入新建 VLAN 的配置页面, 如图 2-5 所示 图 2-4 VLAN 图 2-5 新建 VLAN 新建 VLAN 的详细配置如表 2-3 所示 表 2-3 新建 VLAN 的详细配置 配置项 说明 VLAN ID 设置要创建的 VLAN ID 可点击返回 表 2-2 VLAN 配置步骤 2-4

14 2.2.3 配置 VLAN 中的端口 在导航栏中选择 网络 > VLAN, 默认进入 VLAN 页签的页面, 如图 2-4 所示 在 VLAN 列表中找到要修改 VLAN, 单击对应的 操作 列中的图标, 进入修改 VLAN 的配置页面, 如图 2-6 所示 图 2-6 修改 VLAN VLAN 中端口的详细配置如表 2-4 所示 表 2-4 VLAN 中端口的详细配置 配置项 说明 ID 描述 端口 Untagged 成员端口 Tagged 成员端口 非成员 显示要修改的 VLAN 的 ID 设置 VLAN 的描述字符串缺省情况下,VLAN 的描述字符串为该 VLAN 的 VLAN ID, 如 VLAN 0001 设置 VLAN 中要修改的端口成员类型在端口列表中找到要加入或删除的端口, 在端口对应的 Untagged 成员端口 Tagged 成员端口 和 非成员 列的单选按钮中进行选择 : Untagged: 表示端口成员发送该 VLAN 报文时不带 Tag 标签 Tagged: 表示端口成员发送该 VLAN 报文时带 Tag 标签 非成员 : 表示从该 VLAN 中删除端口成员 可点击返回 表 2-2 VLAN 配置步骤 配置端口所属的 VLAN 在导航栏中选择 网络 > VLAN, 单击 端口 页签, 进入端口显示页面, 如图 2-7 所示 在端口列表中找到要修改端口, 单击对应的 操作 列中的图标, 进入修改端口的配置页面, 如图 2-8 所示 图 2-7 端口 2-5

15 图 2-8 修改端口 端口所属 VLAN 的详细配置如表 2-5 所示 表 2-5 端口所属 VLAN 的详细配置 配置项 说明 端口 Untagged 成员 VLAN Tagged 成员 VLAN 显示要修改所属 VLAN 的端口 显示该端口目前是哪个或哪些 VLAN 的 Untagged 成员 显示该端口目前是哪个或哪些 VLAN 的 Tagged 成员 成员类型 Untagged Tagged 非成员 设置端口要修改为的成员类型在 Untagged Tagged 和 非成员 前的单选按钮中进行选择 Untagged: 表示端口成员发送该 VLAN 报文时不带 Tag 标签 Tagged: 表示端口成员发送该 VLAN 报文时带 Tag 标签 非成员 : 表示从该 VLAN 中删除端口成员 VLAN ID 设置要修改端口成员的目的 VLAN 可点击返回 表 2-2 VLAN 配置步骤 2.3 VLAN 典型配置举例 1. 组网需求 AP 与 Switch 使用 GigabitEthernet1/0/1 相连,GigabitEthernet1/0/1 为 Hybrid 端口, 缺省 VLAN 为 VLAN1 配置 GigabitEthernet1/0/1, 使该端口还可以允许 VLAN 1 VLAN 2 VLAN 6 到 VLAN 50 VLAN 100 的报文通过, 且允许 VLAN 1 和 VLAN 100 的报文发送时不带 Tag 标签 图 2-9 VLAN 配置组网图 2-6

16 2. 配置步骤 (1) 配置 AP 缺省情况下,GigabitEthernet1/0/1 为 Access 端口, 缺省 VLAN ID 为 1 执行下述的配置步骤时, 如果颠倒配置端口 GigabitEthernet1/0/1 的 Tagged 成员和 Untagged 成员的先后顺序, 则在配置 Untagged 成员时输入的 VLAN ID 必须为 1,100, 否则端口的缺省 VLAN ID 将变为 100 # 创建 VLAN 2 VLAN 6 到 VLAN 50 VLAN 100 在导航栏中选择 网络 > VLAN, 默认进入 VLAN 页签的页面, 单击 < 新建 > 按钮, 进行如下配置, 如图 2-10 所示 图 2-10 新建 VLAN 输入 VLAN ID 为 2,6-50,100 单击 < 确定 > 按钮完成操作 # 配置 GigabitEthernet1/0/1 为 VLAN 2 VLAN 6 到 VLAN 50 的 Tagged 成员 在导航栏中选择 网络 > VLAN, 单击 端口 页签 在端口列表中单击端口 GigabitEthernet1/0/1 对应的图标, 进行如下配置, 如图 2-11 所示 图 2-11 配置 GigabitEthernet1/0/1 的 Tagged 成员 2-7

17 选中 Tagged 成员类型前的单选按钮 输入 VLAN ID 为 2,6-50 单击 < 确定 > 按钮, 弹出如图 2-12 所示的对话框 图 2-12 确认配置对话框 在对话框中单击 < 确定 > 完成操作 # 配置 GigabitEthernet1/0/1 为 VLAN 100 的 Untagged 成员 再次在端口列表中单击端口 GigabitEthernet1/0/1 对应的的图标, 进行如下配置, 如图 2-13 所示 图 2-13 配置 GigabitEthernet1/0/1 的 Untagged 成员 选中 Untagged 成员类型前的单选按钮 输入 VLAN ID 为 100 单击 < 确定 > 按钮完成操作 (2) 配置 Switch 与 AP 上的配置步骤相似, 不再赘述 2.4 注意事项 配置 VLAN 时需要注意如下事项 : (1) VLAN1 为系统缺省 VLAN, 用户不能手工创建和删除 (2) 保留 VLAN 是系统为实现特定功能预留的 VLAN, 用户不能手工创建和删除 2-8

18 (3) 在 VLAN 显示页面, 如图 2-4 所示, 在 VLAN 范围 文本框中输入一个 VLAN 范围, 单击 < 选择 > 按钮, 则下面列表中将只显示符合该范围的所有 VLAN 的信息, 对 VLAN 的查询也将在此范围中进行, 这样可以在存在大量 VLAN 时方便用户的操作 ; 单击 < 删除 > 按钮, 则会将符合该范围的 VLAN 全部删除 (4) 用户不能手工删除设备上动态学习到的 VLAN 2-9

19 3 ARP 管理 设备对 ARP 管理的支持情况与设备的具体型号有关, 使用中请以设备的实际情况为准 3.1 ARP 简介 ARP 作用 ARP(Address Resolution Protocol, 地址解析协议 ) 是将 IP 地址解析为以太网 MAC 地址 ( 或称物理地址 ) 的协议 在局域网中, 当主机或其它网络设备有数据要发送给另一个主机或设备时, 它必须知道对方的网络层地址 ( 即 IP 地址 ) 但是仅仅有 IP 地址是不够的, 因为 IP 数据报文必须封装成帧才能通过物理网络发送, 因此发送站还必须有接收站的物理地址, 所以需要一个从 IP 地址到物理地址的映射 APR 就是实现这个功能的协议 ARP 报文结构 ARP 报文分为 ARP 请求和 ARP 应答报文, 报文格式如图 3-1 所示 图 3-1 ARP 报文结构 硬件类型 : 表示硬件地址的类型 它的值为 1 表示以太网地址 协议类型 : 表示要映射的协议地址类型 它的值为 0x0800 即表示 IP 地址 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度, 以字节为单位 对于以太网上 IP 地址的 ARP 请求或应答来说, 它们的值分别为 6 和 4 操作类型 (OP):1 表示 ARP 请求,2 表示 ARP 应答 发送端 MAC 地址 : 发送方设备的硬件地址 发送端 IP 地址 : 发送方设备的 IP 地址 目标 MAC 地址 : 接收方设备的硬件地址 目标 IP 地址 : 接收方设备的 IP 地址 3-1

20 3.1.3 ARP 地址解析过程假设主机 A 和 B 在同一个网段, 主机 A 要向主机 B 发送信息 如图 3-2 所示, 具体的地址解析过程如下 : (1) 主机 A 首先查看自己的 ARP 表, 确定其中是否包含有主机 B 对应的 ARP 表项 如果找到了对应的 MAC 地址, 则主机 A 直接利用 ARP 表中的 MAC 地址, 对 IP 数据包进行帧封装, 并将数据包发送给主机 B (2) 如果主机 A 在 ARP 表中找不到对应的 MAC 地址, 则将缓存该数据报文, 然后以广播方式发送一个 ARP 请求报文 ARP 请求报文中的发送端 IP 地址和发送端 MAC 地址为主机 A 的 IP 地址和 MAC 地址, 目标 IP 地址和目标 MAC 地址为主机 B 的 IP 地址和全 0 的 MAC 地址 由于 ARP 请求报文以广播方式发送, 该网段上的所有主机都可以接收到该请求, 但只有被请求的主机 ( 即主机 B) 会对该请求进行处理 (3) 主机 B 比较自己的 IP 地址和 ARP 请求报文中的目标 IP 地址, 当两者相同时进行如下处理 : 将 ARP 请求报文中的发送端 ( 即主机 A) 的 IP 地址和 MAC 地址存入自己的 ARP 表中 之后以单播方式发送 ARP 响应报文给主机 A, 其中包含了自己的 MAC 地址 (4) 主机 A 收到 ARP 响应报文后, 将主机 B 的 MAC 地址加入到自己的 ARP 表中以用于后续报文的转发, 同时将 IP 数据包进行封装后发送出去 图 3-2 ARP 地址解析过程 当主机 A 和主机 B 不在同一网段时, 主机 A 就会先向网关发出 ARP 请求,ARP 请求报文中的目标 IP 地址为网关的 IP 地址 当主机 A 从收到的响应报文中获得网关的 MAC 地址后, 将报文封装并发给网关 如果网关没有主机 B 的 ARP 表项, 网关会广播 ARP 请求, 目标 IP 地址为主机 B 的 IP 地址, 当网关从收到的响应报文中获得主机 B 的 MAC 地址后, 就可以将报文发给主机 B; 如果网关已经有主机 B 的 ARP 表项, 网关直接把报文发给主机 B ARP 表设备通过 ARP 解析到目的 MAC 地址后, 将会在自己的 ARP 表中增加 IP 地址到 MAC 地址的映射表项, 以用于后续到同一目的地报文的转发 ARP 表项分为动态 ARP 表项和静态 ARP 表项 1. 动态 ARP 表项动态 ARP 表项由 ARP 协议通过 ARP 报文自动生成和维护, 可以被老化, 可以被新的 ARP 报文更新, 可以被静态 ARP 表项覆盖 当到达老化时间 接口 down 时会删除相应的动态 ARP 表项 2. 静态 ARP 表项静态 ARP 表项通过手工配置和维护, 不会被老化, 不会被动态 ARP 表项覆盖 3-2

21 配置静态 ARP 表项可以增加通信的安全性 静态 ARP 表项可以限制和指定 IP 地址的设备通信时只使用指定的 MAC 地址, 此时攻击报文无法修改此表项的 IP 地址和 MAC 地址的映射关系, 从而保护了本设备和指定设备间的正常通信 静态 ARP 表项分为短静态 ARP 表项和长静态 ARP 表项 在配置长静态 ARP 表项时, 除了配置 IP 地址和 MAC 地址项外, 还必须配置该 ARP 表项所在 VLAN 和出接口 长静态 ARP 表项可以直接用于报文转发 在配置短静态 ARP 表项时, 只需要配置 IP 地址和 MAC 地址项 如果出接口是三层以太网接口, 短静态 ARP 表项可以直接用于报文转发 ; 如果出接口是 VLAN 虚接口, 短静态 ARP 表项不能直接用于报文转发, 当要发送 IP 数据包时, 先发送 ARP 请求报文, 如果收到的响应报文中的源 IP 地址和源 MAC 地址与所配置的 IP 地址和 MAC 地址相同, 则将接收 ARP 响应报文的接口加入该静态 ARP 表项中, 之后就可以用于 IP 数据包的转发 一般情况下,ARP 动态执行并自动寻求 IP 地址到以太网 MAC 地址的解析, 无需管理员的介入 3.2 管理 ARP 表 查看 ARP 表项在导航栏中选择 网络 > ARP 管理, 默认进入 ARP 表 页签的页面, 如图 3-3 所示 页面显示所有 ARP 表项的信息 图 3-3 ARP 表 配置静态 ARP 表项在导航栏中选择 网络 > ARP 管理, 默认进入 ARP 表 页签的页面, 如图 3-3 所示 单击 < 新建 > 按钮, 进入新建静态 ARP 表项的配置页面, 选中 高级选项 前的复选框, 可以展开静态 ARP 表项的高级配置项, 如图 3-4 所示 3-3

22 图 3-4 新建静态 ARP 静态 ARP 表项的详细配置如表 3-1 所示 表 3-1 静态 ARP 表项的详细配置 配置项 说明 IP 地址 MAC 地址 设置静态 ARP 表项的 IP 地址 设置静态 ARP 表项的 MAC 地址 高级选项 VLAN ID 端口 设置静态 ARP 表项所属的 VLAN 和端口 指定的 VLAN ID 必须是已经创建好的 VLAN 的 ID, 且指定的端口必须属于这个 VLAN; 指定的 VLAN ID 对应的 VLAN 虚接口必须已经创建 静态 ARP 典型配置举例 1. 组网需求 AP 通过接口 GigabitEthernet1/0/1 连接 Router 接口 GigabitEthernet1/0/1 属于 VLAN 1 Router 的 IP 地址为 /24,MAC 地址为 00e0-fc 为了增加 AP 和 Router 通信的安全性, 可以在 AP 上配置静态 ARP 表项 图 3-5 静态 ARP 配置组网图 3-4

23 2. 配置步骤 进行下面的配置前, 假设接口 Vlan-interface1 已存在, 管理员通过 Vlan-interface1 登录 AP 的 Web 页面进行配置 # 配置静态 ARP 表项 在导航栏中选择 网络 > ARP 管理, 默认进入 ARP 表 页签的页面, 单击 < 新建 > 按钮 进行如下配置, 如图 3-6 所示 图 3-6 新建静态 ARP 表项 输入 IP 地址为 输入 MAC 地址为 00e0-fc 选中 高级选项 前的复选框 输入 VLAN ID 为 1 选择端口为 GigabitEthernet1/0/1 单击 < 确定 > 按钮完成操作 3.3 免费 ARP 免费 ARP 简介免费 ARP 报文是一种特殊的 ARP 报文, 该报文中携带的发送者 IP 地址和目标 IP 地址都是本机 IP 地址, 发送者 MAC 地址是本机 MAC 地址, 目标 MAC 地址是广播地址 设备通过对外发送免费 ARP 报文, 实现以下功能 : 确定其它设备的 IP 地址是否与本机 IP 地址冲突 设备改变了硬件地址, 通过发送免费 ARP 报文通知其他设备更新 ARP 表项 设备通过学习免费 ARP 报文, 实现以下功能 : 3-5

24 对于收到的免费 ARP 报文, 如果 ARP 表中没有与此报文对应的 ARP 表项, 就将免费 ARP 报文中携带的信息添加到本地动态 ARP 映射表中 配置免费 ARP 在导航栏中选择 网络 > ARP 管理, 单击 免费 ARP 页签, 进入如图 3-7 所示的页面 图 3-7 免费 ARP 免费 ARP 的详细配置如表 3-2 所示 表 3-2 免费 ARP 的详细配置 配置项 关闭学习免费 ARP 报文 收到非同一网段 ARP 请求时发送免费 ARP 报文 说明设置是否关闭免费 ARP 报文学习功能缺省情况下, 免费 ARP 报文学习功能处于开启状态设置使能收到非同一网段 ARP 请求时发送免费 ARP 报文功能缺省情况下, 收到非同一网段 ARP 请求时不发送免费 ARP 报文 3-6

25 4 IGMP Snooping 设备对 IGMP Snooping 的支持情况与设备的具体型号有关, 请以设备的实际情况为准 4.1 概述 IGMP Snooping 是 Internet Group Management Protocol Snooping( 互联网组管理协议窥探 ) 的简称, 它是运行在二层设备上的组播约束机制, 用于管理和控制组播组 IGMP Snooping 原理运行 IGMP Snooping 的二层设备通过对收到的 IGMP 报文进行分析, 为端口和 MAC 组播地址建立起映射关系, 并根据这样的映射关系转发组播数据 如图 4-1 所示, 当二层设备没有运行 IGMP Snooping 时, 组播数据在二层被广播 ; 当二层设备运行了 IGMP Snooping 后, 已知组播组的组播数据不会在二层被广播, 而在二层被组播给指定的接收者 图 4-1 二层设备运行 IGMP Snooping 前后的对比 Multicast packet transmission without IGMP Snooping Multicast packet transmission when IGMP Snooping runs Source Multicast router Switch Source Multicast router Switch AP AP Host A Receiver Host C Receiver Host A Receiver Host C Receiver Host B Host B Multicast packets IGMP Snooping 相关端口 如图 4-2 所示,Router 连接组播源, 在 Switch 和 AP 上分别运行 IGMP Snooping,Host A 和 Host C 为接收者主机 ( 即组播组成员 ) 4-1

26 图 4-2 IGMP Snooping 相关端口 结合图 4-2, 介绍一下 IGMP Snooping 相关的端口概念 : 路由器端口 (Router Port): 交换机或 AP 设备上朝向三层组播设备 (DR 或 IGMP 查询器 ) 一侧的端口, 如 Switch 的 Ethernet1/0 端口和 AP 的 Ethernet1/0/1 端口 交换机和 AP 设备将本设备上的所有路由器端口都记录在路由器端口列表中 成员端口 (Member Port): 又称组播组成员端口, 表示交换机或 AP 设备上朝向组播组成员一侧的端口, 如 Switch 的 Ethernet1/1 端口, 以及 AP 的 WLAN-BSS1 和 WLAN-BSS2 端口 交换机或 AP 设备将本设备上的所有成员端口都记录在 IGMP Snooping 转发表中 本文中提到的路由器端口都是指交换机上朝向组播路由器的端口, 而不是指路由器上的端口 如没有特别说明, 本文中提到的路由器 / 成员端口均包括动态和静态端口 在运行了 IGMP Snooping 的交换机或 AP 设备上, 所有收到源地址不为 的 IGMP 普遍组查询报文或 PIM Hello 报文的端口都将被视为动态路由器端口 IGMP Snooping 工作机制 运行了 IGMP Snooping 的 AP 设备对不同 IGMP 动作的具体处理方式如下 : 本节中所描述的增删端口动作均只针对动态端口 1. 普遍组查询 IGMP 查询器定期向本地网段内的所有主机与路由器 ( ) 发送 IGMP 普遍组查询报文, 以查询该网段有哪些组播组的成员 在收到 IGMP 普遍组查询报文时,AP 设备将其通过 VLAN 内除接收端口以外的其它所有端口转发出去, 并对该报文的接收端口做如下处理 : 如果在路由器端口列表中已包含该动态路由器端口, 则重置其老化定时器 4-2

27 如果在路由器端口列表中尚未包含该动态路由器端口, 则将其添加到路由器端口列表中, 并启动其老化定时器 2. 报告成员关系以下情况, 主机会向 IGMP 查询器发送 IGMP 成员关系报告报文 : 当组播组的成员主机收到 IGMP 查询报文后, 会回复 IGMP 成员关系报告报文 如果主机要加入某个组播组, 它会主动向 IGMP 查询器发送 IGMP 成员关系报告报文以声明加入该组播组 在收到 IGMP 成员关系报告报文时,AP 设备将其通过 VLAN 内的所有路由器端口转发出去, 从该报文中解析出主机要加入的组播组地址, 并对该报文的接收端口做如下处理 : 如果不存在该组播组所对应的转发表项, 则创建转发表项, 将该端口作为动态成员端口添加到出端口列表中, 并启动其老化定时器 ; 如果已存在该组播组所对应的转发表项, 但其出端口列表中不包含该端口, 则将该端口作为动态成员端口添加到出端口列表中, 并启动其老化定时器 ; 如果已存在该组播组所对应的转发表项, 且其出端口列表中已包含该动态成员端口, 则重置其老化定时器 AP 设备不会将 IGMP 成员关系报告报文通过非路由器端口转发出去, 因为根据主机上的 IGMP 成员关系报告抑制机制, 如果非路由器端口下还有该组播组的成员主机, 则这些主机在收到该报告报文后便抑制了自身的报告, 从而使 AP 设备无法获知这些端口下还有该组播组的成员主机 3. 离开组播组运行 IGMPv1 的主机离开组播组时不会发送 IGMP 离开组报文, 因此 AP 设备无法立即获知主机离开的信息 但是, 由于主机离开组播组后不会再发送 IGMP 成员关系报告报文, 因此当其对应的动态成员端口的老化定时器超时后,AP 设备就会将该端口对应的转发表项从转发表中删除 运行 IGMPv2 或 IGMPv3 的主机离开组播组时, 会通过发送 IGMP 离开组报文, 以通知组播路由器自己离开了某个组播组 当 AP 设备从某动态成员端口上收到 IGMP 离开组报文时, 首先判断要离开的组播组所对应的转发表项是否存在, 以及该组播组所对应转发表项的出端口列表中是否包含该接收端口 : 如果不存在该组播组对应的转发表项, 或者该组播组对应转发表项的出端口列表中不包含该端口,AP 设备不会向任何端口转发该报文, 而将其直接丢弃 ; 如果存在该组播组对应的转发表项, 且该组播组对应转发表项的出端口列表中包含该端口, AP 设备会将该报文通过 VLAN 内的所有路由器端口转发出去 同时, 由于并不知道该接收端口下是否还有该组播组的其它成员, 所以 AP 设备不会立刻把该端口从该组播组所对应转发表项的出端口列表中删除, 而是重置其老化定时器 当 IGMP 查询器收到 IGMP 离开组报文后, 从中解析出主机要离开的组播组的地址, 并通过接收端口向该组播组发送 IGMP 特定组查询报文 AP 设备在收到 IGMP 特定组查询报文后, 将其通过 VLAN 内的所有路由器端口和该组播组的所有成员端口转发出去 对于 IGMP 离开组报文的接收端口 ( 假定为动态成员端口 ),AP 设备在其老化时间内 : 如果从该端口收到了主机响应该特定组查询的 IGMP 成员关系报告报文, 则表示该端口下还有该组播组的成员, 于是重置其老化定时器 ; 4-3

28 如果没有从该端口收到主机响应特定组查询的 IGMP 成员关系报告报文, 则表示该端口下已没有该组播组的成员, 则在其老化时间超时后, 将其从该组播组所对应转发表项的出端口列表中删除 协议规范与 IGMP Snooping 相关的协议规范有 : RFC 4541:Considerations for Internet Group Management Protocol (IGMP) and Multicast Listener Discovery (MLD) Snooping Switches 4.2 配置 IGMP Snooping 配置概述 IGMP Snooping 配置的推荐步骤如表 4-1 所示 表 4-1 IGMP Snooping 配置步骤 步骤配置任务说明 全局使能 IGMP Snooping 在 VLAN 内配置 IGMP Snooping 在端口上配置 IGMP Snooping 查看 IGMP Snooping 组播表项信息 必选缺省情况下, 全局 IGMP Snooping 处于禁止状态 必选在 VLAN 内使能 IGMP Snooping, 配置 IGMP Snooping 版本 查询器等功能缺省情况下,VLAN 内的 IGMP Snooping 处于禁止状态 在 VLAN 内配置 IGMP Snooping 之前, 必须先在全局使能 IGMP Snooping 在 VLAN 内使能 IGMP Snooping 之后, 不允许在该 VLAN 所对应的 VLAN 接口上再使能 IGMP 和 PIM, 反之亦然 在 VLAN 内使能了 IGMP Snooping 之后, 该功能只在属于该 VLAN 的端口上生效 可选在指定 VLAN 内容配置端口的最大组播组数和端口快速离开功能 在端口上配置 IGMP Snooping 之前, 必须先全局使能组播路由或 IGMP Snooping 在 VLAN 内使能 IGMP Snooping 或者 VLAN 接口上使能 IGMP 的情况下, 端口上的 IGMP Snooping 配置才生效 可选 全局使能 IGMP Snooping 在导航栏中选择 网络 > IGMP Snooping, 默认进入 基本配置 页签的页面, 如图 4-3 所示 4-4

29 图 4-3 基本配置 全局使能 IGMP Snooping 的详细配置如表 4-2 所示 表 4-2 全局使能 IGMP Snooping 的详细配置 配置项 IGMP Snooping 设置在全局使能或禁止 IGMP Snooping 说明 可点击返回 表 4-1 IGMP Snooping 配置步骤 在 VLAN 内配置 IGMP Snooping 在导航栏中选择 网络 > IGMP Snooping, 默认进入 基本配置 页签的页面, 如图 4-3 所示 在 VLAN 配置 中单击要配置的 VLAN 对应的图标, 进入该 VLAN 的 IGMP Snooping 配置页面, 如图 4-4 所示 图 4-4 VLAN 配置 VLAN 内 IGMP Snooping 的详细配置如表 4-3 所示 4-5

30 表 4-3 VLAN 内 IGMP Snooping 的详细配置 配置项 说明 VLAN ID IGMP Snooping 显示当前要配置的 VLAN 的 ID 设置在该 VLAN 内使能或禁止 IGMP Snooping 只有在此项选择 Enable 时, 才能进行后面配置项的设置 设置 IGMP Snooping 的版本, 即设置 IGMP Snooping 可以处理的 IGMP 报文的版本 版本 当 IGMP Snooping 的版本为 2 时,IGMP Snooping 能够对 IGMPv1 和 IGMPv2 的报文进行处理, 对 IGMPv3 的报文则不进行处理, 而是在 VLAN 内将其广播 当 IGMP Snooping 的版本为 3 时,IGMP Snooping 能够对 IGMPv1 IGMPv2 和 IGMPv3 的报文进行处理 设置使能或禁止丢弃未知组播数据报文功能 丢弃未知组播数据报文 未知组播数据报文是指在 IGMP Snooping 转发表中不存在对应转发表项的那些组播数据报文 : 当使能丢弃未知组播数据报文功能时, 交换机将丢弃所有收到的未知组播数据报文 当禁止丢弃未知组播数据报文功能时, 交换机将在未知组播数据报文所属的 VLAN 内广播该报文 设置使能或禁止 IGMP Snooping 查询器功能 查询器 查询间隔 在一个没有三层组播设备的网络中, 由于二层设备并不支持 IGMP, 因此无法实现 IGMP 查询器的相关功能 为了解决这个问题, 可以在二层设备上使能 IGMP Snooping 查询器, 使二层设备能够在数据链路层建立并维护组播转发表项, 从而在数据链路层正常转发组播数据 设置发送 IGMP 普遍组查询报文的时间间隔 可点击返回 表 4-1 IGMP Snooping 配置步骤 在端口上配置 IGMP Snooping 在导航栏中选择 网络 > IGMP Snooping, 单击 高级配置 页签, 进入如图 4-5 所示的页面 图 4-5 高级配置 IGMP Snooping 高级参数的详细配置如表 4-4 所示 4-6

31 表 4-4 IGMP Snooping 高级参数的详细配置 端口名称 VLAN ID 配置项 说明设置要进行 IGMP Snooping 高级配置的端口选择一个端口后, 页面下方的列表中显示该端口的高级配置信息设置在指定 VLAN 内配置端口快速离开功能或配置允许端口加入的组播组最大数量 设置允许端口加入的组播组最大数量 通过配置允许端口加入的组播组最大数量, 可以限制用户点播组播节目的数量, 从而控制了端口上的数据流量 最大组播组数 在对允许端口加入的组播组最大数量进行配置时, 如果当前端口上的组播组数量已经超过了配置值, 系统将把该端口相关的所有转发表项从 IGMP Snooping 转发表中删除, 该端口上的主机需要重新加入组播组 设置在指定端口上使能或禁止快速离开功能 端口快速离开 端口快速离开是指当交换机从某端口收到主机发送的离开某组播组的 IGMP 离开组报文时, 直接把该端口从对应转发表项的出端口列表中删除 此后, 当交换机收到对该组播组的 IGMP 特定组查询报文时, 交换机将不再向该端口转发 在交换机上, 如果端口下只连接有一个接收者, 则可以通过使能端口快速离开功能以节约带宽和资源 在使能了端口快速离开功能后, 当端口下有多个用户时, 一个用户的离开会导致该端口下属于同一组播组的其它用户无法收到组播数据 可点击返回 表 4-1 IGMP Snooping 配置步骤 查看 IGMP Snooping 组播表项信息在导航栏中选择 网络 > IGMP Snooping, 默认进入 基本配置 页签的页面, 如图 4-3 所示 单击 显示表项 前的扩展按钮, 可以查看 IGMP Snooping 组播表项的概要信息, 如图 4-6 所示 单击要查看的表项对应的图标, 进入该 IGMP Snooping 组播表项详细信息的显示页面 图 4-6 显示表项 IGMP Snooping 组播表项信息的详细说明如表 4-5 所示 表 4-5 IGMP Snooping 组播表项信息的详细说明 标题项 说明 VLAN ID 源地址 组播表项所属 VLAN 的 ID 组播源地址, 表示所有组播源 4-7

32 标题项 说明 组地址 组播组地址 可点击返回 表 4-1 IGMP Snooping 配置步骤 4-8

33 5 IPv4 和 IPv6 路由 本章所指的路由器代表了一般意义下的路由设备, 以及配置了路由功能的无线接入点设备 为提高可读性, 在手册的描述中将不另行说明 设备对 IPv6 的支持情况与设备的型号有关, 请以设备的实际情况为准 5.1 概述 在因特网中进行路由选择要使用路由器, 路由器根据所收到的报文的目的地址选择一条合适的路由 ( 通过某一网络 ), 并将报文传送到下一个路由器 路径中最后的路由器负责将报文送交目的主机 路由表路由器转发报文的关键是路由表 每个路由器中都保存着一张路由表, 表中每条路由项都指明了要到达某子网或某主机的报文应通过路由器的哪个接口发送, 可到达该路径的下一跳, 或者不需再经过别的路由器便可传送到直接相连的网络中的目的主机 根据来源不同, 路由表中的路由通常可分为以下三类 : 链路层协议发现的路由 ( 也称为接口路由或直连路由 ) 由网络管理员手工配置的静态路由 动态路由协议发现的路由路由表中包含了下列关键项 : 目的地址 : 用来标识 IP 数据报的目的主机地址或目的网络 网络掩码 (IPv4)/ 前缀长度 (IPv6): 与目的地址一起来标识目的主机或路由器所在网段 出接口 : 指明 IP 报文将从该路由器哪个接口转发 下一跳 : 更接近目的网络的下一个路由器的 IP 地址 如果只配置了出接口, 则下一跳是出接口的 IP 地址 本条路由加入 IP 路由表的优先级 : 对于同一目的地, 可能存在若干条不同下一跳的路由 这些不同的路由可能是由不同的路由协议发现的, 也可能是手工配置的静态路由 优先级高 ( 即数值小 ) 的路由将成为当前的最优路由 静态路由静态路由是由管理员手工配置的路由 当组网结构比较简单网络中, 只需配置静态路由就可以了 恰当地设置和使用静态路由可以改善网络的性能, 并可为重要的网络应用保证带宽 静态路由的缺点在于 : 不能自动适应网络拓扑结构的变化, 当网络发生故障或者拓扑发生变化后, 可能会出现路由不可达, 导致网络中断, 此时必须由网络管理员手工修改静态路由的配置 配置静态路由时, 可指定出接口, 也可指定下一跳 指定出接口还是指定下一跳要视具体情况而定, 下一跳不能为本地接口 IP 地址, 否则路由不会生效 5-1

34 实际上, 所有的路由项都必须明确下一跳 在发送报文时, 首先根据报文的目的地址寻找路由表中与之匹配的路由 只有指定了下一跳, 链路层才能找到对应的链路层地址, 并转发报文 缺省路由缺省路由是在路由器没有找到匹配的路由表入口项时才使用的路由 : 如果报文的目的地址不能与路由表的任何入口项相匹配, 那么该报文将选取缺省路由 ; 如果没有缺省路由且报文的目的地不在路由表中, 那么该报文将被丢弃, 并向源端返回一个目标网络不可达的 ICMP 报文 缺省路由可以通过静态路由配置, 也可以由某些动态路由协议生成 在配置 IPv4 静态路由时, 如果指定的目的 IP 地址为 ( 掩码也为 ), 则表示配置了一条 IPv4 缺省路由 在配置 IPv6 静态路由时, 如果指定的目的 IP 地址为 ::/0( 前缀长度为 0), 则表示配置了一条 IPv6 缺省路由 5.2 配置 IPv4 路由 查看 IPv4 激活路由表在导航栏中选择 网络 > IPv4 路由, 默认进入 显示 页签的页面, 如图 5-1 所示 图 5-1 IPv4 路由显示 IPv4 激活路由表的详细说明如表 5-1 所示 5-2

35 表 5-1 IPv4 激活路由表的详细说明 标题项 说明 目的 IP 地址掩码协议优先级下一跳接口 IPv4 路由的目的 IP 地址和子网掩码发现该 IPv4 路由的路由协议该 IPv4 路由的优先级数值越小, 优先级越高该 IPv4 路由下一跳 IP 地址该 IPv4 路由的出接口, 即到该目的网段的数据包将从此接口发出 新建 IPv4 静态路由在导航栏中选择 网络 > IPv4 路由, 单击 创建 页签, 进入 IPv4 静态路由配置页面, 如图 5-2 所示 图 5-2 IPv4 静态路由创建 IPv4 静态路由的详细配置如表 5-2 所示 5-3

36 表 5-2 IPv4 静态路由的详细配置 配置项目的 IP 地址掩码优先级下一跳接口 说明 设置 IPv4 数据报文的目的主机或目的网段, 格式要求为点分十进制 设置目的主机或目的网段的掩码 下拉框中既给出了掩码长度 ( 即掩码中连续 1 的位数 ), 也给出了点分十进制的掩码 设置本条静态路由的优先级, 数值越小优先级越高 配置到达相同目的地的多条路由, 如果指定相同优先级, 则可实现负载分担 ; 如果指定不同优先级, 则可实现路由备份 设置 IPv4 数据报文要经过的下一个设备的 IP 地址, 格式要求为点分十进制 设置 IPv4 数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口, 包括各种虚接口 如果选择 NULL0, 表示目的 IP 地址不可达 5.3 配置 IPv6 路由 查看 IPv6 激活路由表在导航栏中选择 网络 > IPv6 路由, 默认进入 显示 页签的页面, 如图 5-3 所示 图 5-3 IPv6 路由显示 IPv6 激活路由表的详细说明如表 5-3 所示 5-4

37 表 5-3 IPv6 激活路由表的详细说明 标题项 说明 目的 IP 地址前缀长度协议优先级下一跳接口 IPv6 路由的目的 IP 地址和前缀长度发现该 IPv6 路由的路由协议该 IPv6 路由的优先级数值越小, 优先级越高该 IPv6 路由下一跳 IP 地址该 IPv6 路由的出接口, 即到该目的网段的数据包将从此接口发出 新建 IPv6 静态路由在导航栏中选择 网络 > IPv6 路由, 单击 创建 页签, 进入 IPv6 静态路由配置页面, 如图 5-4 所示 图 5-4 IPv6 路由显示 IPv6 静态路由的详细配置如表 5-4 所示 5-5

38 表 5-4 IPv6 静态路由的详细配置 配置项目的 IP 地址前缀长度优先级下一跳接口 说明 设置 IPv6 数据报文的目的主机或目的网段, 格式类似于 X:X::X:X 目的 IP 地址共 128bit, 每 16bit 为一段, 段之间用 : 分隔, 每段都可以用 4 位十六进制数表示 设置目的主机或目的网段的前缀长度 设置本条静态路由的优先级, 数值越小优先级越高 配置到达相同目的地的多条路由, 如果指定相同优先级, 则可实现负载分担 ; 如果指定不同优先级, 则可实现路由备份 设置 IPv6 数据报文要经过的下一个设备的 IP 地址, 格式要求和目的 IP 地址相同 设置 IPv6 数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口, 包括各种虚接口 如果选择 NULL0, 表示目的 IP 地址不可达 5.4 静态路由典型配置举例 IPv4 静态路由配置举例 1. 组网需求 Switch A Switch B 和 AP 各接口及主机的 IP 地址和掩码如图 5-5 所示 要求 Switch A Switch B 和 AP 之间配置 IPv4 静态路由后,Host A 和 Host B 之间能够互通 图 5-5 IPv4 静态路由配置组网图 Vlan-int /30 Switch B Vlan-int /24 Vlan-int /30 Vlan-int /24 Host A /24 Vlan-int /24 Switch A Vlan-int1 AP WLAN-BSS /24 Host B /24 2. 配置思路采用如下的思路配置 IPv4 静态路由 : (1) 在 Switch A 上配置一条到 Switch B 的缺省路由 (2) 在 Switch B 上分别配置两条到 Switch A 和 AP 的静态路由 (3) 在 AP 上配置一条到 Switch B 的缺省路由 3. 配置步骤 (1) 配置 Host A 的网关地址为 , 配置 Host B 的网关地址为 (2) 配置各接口的 IP 地址 ( 略 ) (3) 配置 IPv4 静态路由 # 在 Switch A 上配置一条下一跳为 的缺省路由 ( 略 ) # 在 Switch B 上配置一条目的地址为 /24 下一跳为 的静态路由 ( 略 ) # 在 AP 上配置缺省路由 5-6

39 在 AP 的导航栏中选择 网络 > IPv4 路由, 单击 创建 页签, 进入 IPv4 静态路由配置页面, 进行如下配置, 如图 5-6 所示 图 5-6 配置缺省路由 输入目的 IP 地址为 在 掩码 下拉框中选择 0 ( ) 输入下一跳为 单击 < 应用 > 按钮完成操作 4. 配置结果验证 # 查看激活路由列表 分别进入 Switch A Switch B 和 AP 的 IPv4 路由显示页面 查看到页面上的激活路由列表中有新配置的静态路由 # 使用 ping 命令验证 在 Host A 上使用 ping 命令验证 Host B 是否可达 ( 假定主机安装的操作系统为 Windows XP) C:\Documents and Settings\Administrator>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=1ms TTL=128 Reply from : bytes=32 time=1ms TTL=128 Reply from : bytes=32 time=1ms TTL=128 Reply from : bytes=32 time=1ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 1ms, Average = 1ms IPv6 静态路由配置举例 1. 组网需求 Switch A Switch B 和 AP 各接口及主机的 IP 地址和掩码如图 5-7 所示 要求 Switch A Switch B 和 AP 之间配置 IPv6 静态路由协议后,Host A 和 Host B 之间能够互通 5-7

40 图 5-7 IPv6 静态路由配置组网图 2. 配置思路采用如下的思路配置 IPv6 静态路由 : (1) 在 Switch A 上配置一条到 Switch B 的缺省路由 (2) 在 Switch B 上分别配置两条到 Switch A 和 AP 的静态路由 (3) 在 AP 上配置一条到 Switch B 的缺省路由 3. 配置步骤 (1) 配置 Host A 的网关地址为 1::1, 配置 Host B 的网关地址为 3::3 (2) 配置各接口的 IPv6 地址 ( 略 ) (3) 配置 IPv6 静态路由 # 在 Switch A 上配置一条下一跳为 4::2 的缺省路由 ( 略 ) # 在 Switch B 上配置一条目的地址为 1::/64 下一跳为 4::1 的静态路由 ( 略 ) # 在 AP 上配置缺省路由 在 AP 的导航栏中选择 网络 > IPv6 路由, 单击 创建 页签, 进入 IPv6 静态路由配置页面, 进行如下配置, 如图 5-8 所示 图 5-8 配置缺省路由 输入目的 IP 地址为 :: 在 前缀长度 下拉框中选择 0 输入下一跳为 3::3 单击 < 应用 > 按钮完成操作 4. 配置结果验证 # 查看激活路由列表 5-8

41 分别进入 Switch A Switch B 和 AP 的 IPv6 路由显示页面 查看到页面上的激活路由列表中有新配置的静态路由 # 使用 ping 进行验证 在 Switch A 上使用 ping 命令验证 Host B 是否可达 <SwitchA> system-view [SwitchA] ping ipv6 3::2 PING 3::2 : 56 data bytes, press CTRL_C to break Reply from 3::2 bytes=56 Sequence=1 hop limit=254 time = 63 ms Reply from 3::2 bytes=56 Sequence=2 hop limit=254 time = 62 ms Reply from 3::2 bytes=56 Sequence=3 hop limit=254 time = 62 ms Reply from 3::2 bytes=56 Sequence=4 hop limit=254 time = 63 ms Reply from 3::2 bytes=56 Sequence=5 hop limit=254 time = 63 ms --- 3::2 ping statistics packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 62/62/63 ms 5.5 注意事项 配置静态路由时需要注意如下事项 : (1) 如果在配置静态路由时没有指定优先级, 就会使用缺省优先级 重新设置缺省优先级后, 新设置的缺省优先级仅对新增的静态路由有效 Web 界面目前不支持对缺省优先级的配置 (2) 在配置静态路由时, 如果先指定下一跳, 然后再将该下一跳的地址配置为本地接口 ( 如以太网接口 VLAN 接口等 ) 的 IP 地址, 则该条静态路由不会生效 (3) 在指定出接口时要注意 : 对于 NULL0 和 Loopback 接口, 配置了出接口就不再配置下一跳 对于点到点接口, 即使不知道对端地址, 也可以在路由器配置时指定出接口 这样, 即使对端地址发生了改变也无须改变该路由器的配置 如封装 PPP 协议的接口, 通过 PPP 协商获取对端的 IP 地址, 这时可以不指定下一跳, 只需指定出接口即可 对于 NBMA P2MP 等接口, 它们支持点到多点网络, 这时除了配置 IP 路由外, 还需在链路层建立二次路由, 即 IP 地址到链路层地址的映射 通常情况下, 建议在配置出接口时, 同时配置下一跳 IP 地址 在配置静态路由时, 建议不要直接指定广播类型接口作为出接口 ( 如以太网接口 Virtual-Template VLAN 接口等 ) 因为广播类型的接口, 会导致出现多个下一跳, 无法唯一确定下一跳 在某些特殊应用中, 如果必须配置广播接口为出接口, 则必须同时指定其对应的下一跳 5-9

42 6 DHCP 设备对 DHCP 的支持情况与设备的具体型号有关, 请以设备的实际情况为准 指定设备的接口作为 DHCP 客户端后, 可以使用 DHCP 协议从 DHCP 服务器动态获得 IP 地址等参数, 方便用户配置, 也便于集中管理 配置 DHCP 客户端即配置接口通过 DHCP 协议自动获取 IP 地址, 详细配置请参见 设备 模块的接口管理, 本章不对 DHCP 客户端的配置进行介绍 6.1 DHCP 简介 随着网络规模的不断扩大和网络复杂度的提高, 计算机的数量经常超过可供分配的 IP 地址数量 同时随着便携机及无线网络的广泛使用, 计算机的位置也经常变化, 相应的 IP 地址也必须经常更新, 从而导致网络配置越来越复杂 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) 就是为满足这些需求而发展起来的 DHCP 采用客户端 / 服务器通信模式, 由客户端向服务器提出配置申请, 服务器返回为客户端分配的 IP 地址等相应的配置信息, 以实现 IP 地址等信息的动态配置 在 DHCP 的典型应用中, 一般包含一台 DHCP 服务器和多台客户端 ( 如 PC 和便携机 ), 如图 6-1 所示 图 6-1 DHCP 典型应用 6.2 DHCP 的 IP 地址分配 IP 地址分配策略针对客户端的不同需求,DHCP 提供三种 IP 地址分配策略 : 手工分配地址 : 由管理员为少数特定客户端 ( 如 WWW 服务器等 ) 静态绑定固定的 IP 地址 可以通过将客户端的 MAC 地址与 IP 地址绑定的方式实现 当具有此 MAC 地址的客户端申请 IP 地址时,DHCP 服务器将根据客户端的 MAC 地址查找到对应的 IP 地址, 并分配给客户端 6-1

43 自动分配地址 :DHCP 为客户端分配租期为无限长的 IP 地址 动态分配地址 :DHCP 为客户端分配具有一定有效期限的 IP 地址, 到达使用期限后, 客户端需要重新申请地址 绝大多数客户端得到的都是这种动态分配的地址 IP 地址动态获取过程图 6-2 IP 地址动态获取过程 DHCP client DHCP server (1) DHCP-DISCOVER (2) DHCP-OFFER (3) DHCP-REQUEST (4) DHCP-ACK 如图 6-2 所示,DHCP 客户端从 DHCP 服务器动态获取 IP 地址, 主要通过四个阶段进行 : (1) 发现阶段, 即 DHCP 客户端寻找 DHCP 服务器的阶段 客户端以广播方式发送 DHCP-DISCOVER 报文 (2) 提供阶段, 即 DHCP 服务器提供 IP 地址的阶段 DHCP 服务器接收到客户端的 DHCP-DISCOVER 报文后, 根据 IP 地址分配的优先次序选出一个 IP 地址, 与其他参数一起通过 DHCP-OFFER 报文发送给客户端 DHCP-OFFER 报文的发送方式由 DHCP-DISCOVER 报文中的 flag 字段决定 (3) 选择阶段, 即 DHCP 客户端选择 IP 地址的阶段 如果有多台 DHCP 服务器向该客户端发来 DHCP-OFFER 报文, 客户端只接受第一个收到的 DHCP-OFFER 报文, 然后以广播方式发送 DHCP-REQUEST 报文, 该报文中包含 DHCP 服务器在 DHCP-OFFER 报文中分配的 IP 地址 (4) 确认阶段, 即 DHCP 服务器确认 IP 地址的阶段 DHCP 服务器收到 DHCP 客户端发来的 DHCP-REQUEST 报文后, 只有 DHCP 客户端选择的服务器会进行如下操作 : 如果确认将地址分配给该客户端, 则返回 DHCP-ACK 报文 ; 否则返回 DHCP-NAK 报文, 表明地址不能分配给该客户端 客户端收到服务器返回的 DHCP-ACK 确认报文后, 会以广播的方式发送免费 ARP 报文, 探测是否有主机使用服务器分配的 IP 地址, 如果在规定的时间内没有收到回应, 客户端才使用此地址 否则, 客户端会发送 DHCP-DECLINE 报文给 DHCP 服务器, 并重新申请 IP 地址 如果网络中存在多个 DHCP 服务器, 除 DHCP 客户端选中的服务器外, 其它 DHCP 服务器中本次未分配出的 IP 地址仍可分配给其他客户端 6-2

44 6.2.3 IP 地址的租约更新如果采用动态地址分配策略, 则 DHCP 服务器分配给客户端的 IP 地址有一定的租借期限, 当租借期满后服务器会收回该 IP 地址 如果 DHCP 客户端希望继续使用该地址, 需要更新 IP 地址租约 在 DHCP 客户端的 IP 地址租约期限达到一半时间时,DHCP 客户端会向为它分配 IP 地址的 DHCP 服务器单播发送 DHCP-REQUEST 报文, 以进行 IP 租约的更新 如果客户端可以继续使用此 IP 地址, 则 DHCP 服务器回应 DHCP-ACK 报文, 通知 DHCP 客户端已经获得新 IP 租约 ; 如果此 IP 地址不可以再分配给该客户端, 则 DHCP 服务器回应 DHCP-NAK 报文, 通知 DHCP 客户端不能获得新的租约 如果在租约的一半时间进行的续约操作失败,DHCP 客户端会在租约期限达到 7/8 时, 广播发送 DHCP-REQUEST 报文进行续约 DHCP 服务器的处理方式同上, 不再赘述 6.3 DHCP 报文格式 DHCP 有 8 种类型的报文, 每种报文的格式相同, 只是某些字段的取值不同 DHCP 报文格式基于 BOOTP 的报文格式, 具体格式如图 6-3 所示 ( 括号中的数字表示该字段所占的字节 ) 图 6-3 DHCP 报文格式 各字段的解释如下 : op: 报文的操作类型, 分为请求报文和响应报文,1 为请求报文 ;2 为响应报文 具体的报文类型在 option 字段中标识 htype hlen:dhcp 客户端的硬件地址类型及长度 hops:dhcp 报文经过的 DHCP 中继的数目 DHCP 请求报文每经过一个 DHCP 中继, 该字段就会增加 1 xid: 客户端发起一次请求时选择的随机数, 用来标识一次地址请求过程 secs:dhcp 客户端开始 DHCP 请求后所经过的时间 目前没有使用, 固定为 0 flags: 第一个比特为广播响应标识位, 用来标识 DHCP 服务器响应报文是采用单播还是广播方式发送,0 表示采用单播方式,1 表示采用广播方式 其余比特保留不用 ciaddr:dhcp 客户端的 IP 地址 yiaddr:dhcp 服务器分配给客户端的 IP 地址 siaddr:dhcp 客户端获取 IP 地址等信息的服务器 IP 地址 6-3

45 giaddr:dhcp 客户端发出请求报文后经过的第一个 DHCP 中继的 IP 地址 chaddr:dhcp 客户端的硬件地址 sname:dhcp 客户端获取 IP 地址等信息的服务器名称 file:dhcp 服务器为 DHCP 客户端指定的启动配置文件名称及路径信息 option: 可选变长选项字段, 包含报文的类型 有效租期 DNS 服务器的 IP 地址 WINS 服务器的 IP 地址等配置信息 6.4 DHCP 选项 DHCP 选项简介为了与 BOOTP(Bootstrap Protocol, 自举协议 ) 兼容,DHCP 保留了 BOOTP 的消息格式 DHCP 和 BOOTP 消息的不同主要体现在选项 (Option) 字段 DHCP 在 BOOTP 基础上增加的功能, 通过 Option 字段来实现 DHCP 利用 Option 字段传递控制信息和网络配置参数, 实现地址的动态分配, 为客户端提供更加丰富的网络配置信息 DHCP 选项的格式如图 6-4 所示 图 6-4 DHCP 选项格式 Option type Option length Value (variable) DHCP 常用选项介绍常见的 DHCP 选项有 : Option 3: 路由器选项, 用来指定为客户端分配的网关地址 Option 6:DNS 服务器选项, 用来指定为客户端分配的 DNS 服务器地址 Option 51:IP 地址租约选项 Option 53:DHCP 消息类型选项, 标识 DHCP 消息的类型 Option 55: 请求参数列表选项 客户端利用该选项指明需要从服务器获取哪些网络配置参数 该选项内容为客户端请求的参数对应的选项值 Option 66:TFTP 服务器名选项, 用来指定为客户端分配的 TFTP 服务器的域名 Option 67: 启动文件名选项, 用来指定为客户端分配的启动文件名 Option 150:TFTP 服务器地址选项, 用来指定为客户端分配的 TFTP 服务器的地址 Option 121: 无分类路由选项 该选项中包含一组无分类静态路由 ( 即目的地址的掩码为任意值, 可以通过掩码来划分子网 ), 客户端收到该选项后, 将在路由表中添加这些静态路由 Option 33: 静态路由选项 该选项中包含一组有分类静态路由 ( 即目的地址的掩码固定为自然掩码, 不能划分子网 ), 客户端收到该选项后, 将在路由表中添加这些静态路由 如果存在 Option 121, 则忽略该选项 更多 DHCP 选项的介绍, 请参见 RFC

46 6.4.3 Option 82 选项有些选项的内容,RFC 2132 中没有统一规定, 例如 Option 82 选项 Option 82 称为中继代理信息选项, 该选项记录了 DHCP 客户端的位置信息 DHCP 中继或 DHCP Snooping 设备接收到 DHCP 客户端发送给 DHCP 服务器的请求报文后, 在该报文中添加 Option 82, 并转发给 DHCP 服务器 管理员可以从 Option 82 中获得 DHCP 客户端的位置信息, 以便定位 DHCP 客户端, 实现对客户端的安全和计费等控制 支持 Option 82 的服务器还可以根据该选项的信息制定 IP 地址和其他参数的分配策略, 提供更加灵活的地址分配方案 Option 82 最多可以包含 255 个子选项 若定义了 Option 82, 则至少要定义一个子选项 目前设备只支持两个子选项 :sub-option 1(Circuit ID, 电路 ID 子选项 ) 和 sub-option 2(Remote ID, 远程 ID 子选项 ) 由于 Option 82 的内容没有统一规定, 不同厂商通常根据需要进行填充 设备上, 采用默认的 normal 模式填充 Option 82 normal 填充模式中, 子选项内容的填充格式可以是 ASCII 格式和 HEX 格式 子选项的内容如下 : sub-option 1 的内容是接收到 DHCP 客户端请求报文的接口属于的 VLAN ID 以及接口编号 如图 6-5 所示, 子选项类型值为 1, 电路 ID 类型值为 0 图 6-5 normal 模式填充的 sub-option Sub-option type (0x01) VLAN ID Length (0x06) Circuit ID type (0x00) Length (0x04) Interface number sub-option 2 的内容是接收到 DHCP 客户端请求报文的接口 MAC 地址 (DHCP 中继 ) 或设备的桥 MAC 地址 (DHCP Snooping 设备 ) 如图 6-6 所示, 子选项类型值为 2, 远程 ID 类型值为 0 图 6-6 normal 模式填充的 sub-option 协议规范 与 DHCP 相关的协议规范有 : RFC 2131:Dynamic Host Configuration Protocol RFC 2132:DHCP Options and BOOTP Vendor Extensions RFC 1542:Clarifications and Extensions for the Bootstrap Protocol RFC 3046:DHCP Relay Agent Information Option 6-5

47 6.6 DHCP 服务器简介 DHCP 服务器的应用环境在以下场合通常利用 DHCP 服务器来完成 IP 地址分配 : 网络规模较大, 手工配置需要很大的工作量, 并难以对整个网络进行集中管理 网络中主机数目大于该网络支持的 IP 地址数量, 无法给每个主机分配一个固定的 IP 地址 例如,Internet 接入服务提供商限制同时接入网络的用户数目, 大量用户必须动态获得自己的 IP 地址 网络中只有少数主机需要固定的 IP 地址, 大多数主机没有固定的 IP 地址需求 DHCP 地址池 1. 地址池结构 DHCP 服务器从地址池中为客户端选择并分配 IP 地址及其他相关参数 DHCP 服务器的地址池采用树状结构 : 树根是自然网段的地址池, 分支是该网段的子网地址池, 叶节点是手工绑定的客户端地址 同一级别地址池的顺序由配置的先后决定 这种树状结构实现了配置的继承性, 即子网配置继承自然网段的配置, 客户端的配置继承子网的配置 这样, 对于一些通用参数 ( 如 DNS 服务器地址 ), 只需要在自然网段或者子网上配置即可 具体的继承情况如下 : (1) 在父子关系建立时, 子地址池将会继承父地址池的已有配置 (2) 在父子关系建立后, 对父地址池进行的配置, 子地址池是否会继承, 则有下面两种情况 : 如果子地址池没有该项配置, 则继承父地址池的配置 ; 如果子地址池已有该项配置, 则不会继承父地址池的配置 IP 地址的租用有效期限不具有继承关系 2. 地址池的选取原则 DHCP 服务器为客户端分配 IP 地址时, 地址池的选择原则如下 : (1) 如果存在将客户端 MAC 地址或客户端 ID 与 IP 地址静态绑定的地址池, 则选择该地址池, 并将静态绑定的 IP 地址分配给客户端 (2) 如果不存在静态绑定的地址池, 则选择包含 DHCP 请求报文接收接口的 IP 地址 ( 客户端与服务器在同一网段时 ) 或 DHCP 请求报文中 giaddr 字段指定的 IP 地址 ( 客户端与服务器不在同一网段, 客户端通过 DHCP 中继获取 IP 地址时 ) 地址范围最小的地址池 如果该地址池中没有可供分配的 IP 地址, 则服务器无法为客户端分配地址, 服务器不会将父地址池中的 IP 地址分配给客户端 例如,DHCP 服务器上配置了两个地址池, 动态分配的 IP 地址范围分别是 /24 和 /25, 如果接收 DHCP 请求报文的接口 IP 地址为 /25, 服务器将从 /25 地址池中选择 IP 地址分配给客户端, /25 地址池中如果没有可供分配的 IP 地址, 则服务器无法为客户端分配地址 ; 如果接收 DHCP 请求报文的接口 IP 地址为 /25, 服务器将从 /24 地址池中选择 IP 地址分配给客户端 6-6

48 6.6.3 DHCP 服务器分配 IP 地址的优先次序 DHCP 服务器为客户端分配 IP 地址的优先次序如下 : (1) DHCP 服务器中与客户端 MAC 地址或客户端 ID 静态绑定的 IP 地址 (2) DHCP 服务器记录的曾经分配给客户端的 IP 地址 (3) 客户端发送的 DHCP-DISCOVER 报文中 Option 50 字段指定的 IP 地址 (4) 选择合适的地址池, 从中顺序查找可供分配的 IP 地址, 最先找到的 IP 地址 (5) 如果未找到可用的 IP 地址, 则依次查询租约过期 曾经发生过冲突的 IP 地址, 如果找到则进 行分配, 否则将不予处理 6.7 配置 DHCP 服务器 配置概述 DHCP 服务器配置的推荐步骤如图 6-7 所示 表 6-1 DHCP 服务器配置步骤 步骤配置任务说明必选 启动 DHCP 服务 启动全局 DHCP 服务 缺省情况下, 全局 DHCP 服务处于关闭状态 配置 DHCP 服务器的静态地址池 配置 DHCP 服务器的动态地址池 配置接口工作在 DHCP 服务器模式 二者至少选其一 DHCP 服务器和客户端在同一个子网内, 直接进行 DHCP 报文交互时, DHCP 服务器上配置的地址池需要与 DHCP 服务器接口 IP 地址的网段一致, 否则会导致 DHCP 客户端无法获得正确的 IP 地址 DHCP 客户端通过 DHCP 中继获取 IP 地址时,DHCP 服务器上配置的地址池需要与 DHCP 中继接口的 IP 地址的网段一致, 否则会导致 DHCP 客户端无法获得正确的 IP 地址 可选 配置接口工作在 DHCP 服务器模式后, 当接口收到 DHCP 客户端发来的 DHCP 报文时, 将从 DHCP 服务器的地址池中分配地址 缺省情况下, 接口工作在 DHCP 服务器模式 同一个接口不能同时工作在 DHCP 服务器和 DHCP 中继两种模式, 以最后配置的为准 DHCP 服务器只在 IP 地址为手工配置的接口上起作用 启动 DHCP 服务 在导航栏中选择 网络 > DHCP, 默认进入 DHCP 服务器 页签的页面, 如图 6-7 所示 在页 面最上方可以进行 DHCP 服务启动状态的配置 6-7

49 图 6-7 DHCP 服务器 选中 DHCP 服务 启动 前的单选按钮, 即可启动全局 DHCP 服务 选中 DHCP 服务 关闭 前的单选按钮, 即可关闭全局 DHCP 服务 可点击返回 表 6-1 DHCP 服务器配置步骤 配置 DHCP 服务器的静态地址池在导航栏中选择 网络 > DHCP, 默认进入 DHCP 服务器 页签的页面, 如图 6-7 所示 在 地址池 中选中 静态 前的单选按钮, 显示的是所有静态地址池 单击 < 新建 > 按钮, 进入新建静态地址池的配置页面, 如图 6-8 所示 图 6-8 静态地址池创建 静态地址池的详细配置如表 6-2 所示 6-8

50 表 6-2 静态地址池的详细配置 配置项 说明 地址池名称 IP 地址掩码客户端 MAC 地址 设置静态地址池的名称 设置静态绑定的 IP 地址和子网掩码 静态绑定的 IP 地址不能是 DHCP 服务器的接口 IP 地址, 否则会导致 IP 地址冲突, 被绑定的客户端将无法正常获取到 IP 地址 设置地址池中静态绑定的客户端 MAC 地址或客户端 ID, 二选一 客户端 ID 客户端域名 静态绑定的客户端 ID 要与待绑定客户端的 ID 一致, 否则客户端无法成功获取 IP 地址 设置 DHCP 地址池为 DHCP 客户端分配的域名后缀 为地址池指定客户端使用的域名后, 在给客户端分配 IP 地址的同时, 也将域名发送给客户端 设置 DHCP 地址池为 DHCP 客户端分配的网关 IP 地址 网关地址 DHCP 客户端访问本网段以外的服务器或主机时, 数据必须通过网关进行转发 为地址池指定网关地址后, 在给客户端分配 IP 地址的同时, 也将网关地址发送给客户端 最多可以配置 8 个网关地址, 多个地址间用, 隔开 设置 DHCP 地址池为 DHCP 客户端分配的 DNS 服务器 IP 地址 DNS 服务器地址 为了使 DHCP 客户端能够通过域名访问 Internet 上的主机,DHCP 服务器应在为客户端分配 IP 地址的同时指定 DNS 服务器地址 最多可以配置 8 个 DNS 服务器地址, 多个地址间用, 隔开 设置 DHCP 地址池为 DHCP 客户端分配的 WINS 服务器 IP 地址 WINS 服务器地址 NetBIOS 节点类型 为 DHCP 客户端分配的 WINS 服务器地址, 如果选择节点类型是 b 类节点, 则 WINS 服务器地址可以不配 最多可以配置 8 个 WINS 服务器地址, 多个地址间用, 隔开 设置 DHCP 地址池为 DHCP 客户端分配的 NetBIOS 节点类型 可点击返回 表 6-1 DHCP 服务器配置步骤 配置 DHCP 服务器的动态地址池在导航栏中选择 网络 > DHCP, 默认进入 DHCP 服务器 页签的页面, 如图 6-7 所示 在 地址池 中选中 动态 前的单选按钮, 显示的是所有动态地址池 单击 < 新建 > 按钮, 进入新建动态地址池的配置页面, 如图 6-9 所示 6-9

51 图 6-9 动态地址池创建 动态地址池的详细配置如表 6-3 所示 表 6-3 动态地址池的详细配置 配置项 说明 地址池名称 IP 地址 掩码 设置动态地址池的名称 设置动态分配的 IP 地址范围, 为一个 IP 网段 DHCP 服务器在分配地址时, 需要排除已经被占用的 IP 地址 ( 如网关 FTP 服务器等 ) 否则, 同一地址分配给两个客户端会造成 IP 地址冲突 租用期限 不限制 天 / 小时 / 分 设置 DHCP 地址池中动态分配的 IP 地址的租用有效期限 选择 不限制, 表示不限制 IP 地址的租用期限 客户端域名 网关地址 DNS 服务器地址 设置 DHCP 地址池为 DHCP 客户端分配的域名后缀为地址池指定客户端使用的域名后, 在给客户端分配 IP 地址的同时, 也将域名发送给客户端 设置 DHCP 地址池为 DHCP 客户端分配的网关 IP 地址 DHCP 客户端访问本网段以外的服务器或主机时, 数据必须通过网关进行转发 为地址池指定网关地址后, 在给客户端分配 IP 地址的同时, 也将网关地址发送给客户端最多可以配置 8 个网关地址, 多个地址间用, 隔开 设置 DHCP 地址池为 DHCP 客户端分配的 DNS 服务器 IP 地址 为了使 DHCP 客户端能够通过域名访问 Internet 上的主机,DHCP 服务器应在为客户端分配 IP 地址的同时指定 DNS 服务器地址最多可以配置 8 个 DNS 服务器地址, 多个地址间用, 隔开 6-10

52 配置项 说明 设置 DHCP 地址池为 DHCP 客户端分配的 WINS 服务器 IP 地址 WINS 服务器地址 NetBIOS 节点类型 为 DHCP 客户端分配的 WINS 服务器地址, 如果选择节点类型是 b 类节点, 则可以不配置 WINS 服务器地址 最多可以配置 8 个 WINS 服务器地址, 多个地址间用, 隔开 设置 DHCP 地址池为 DHCP 客户端分配的 NetBIOS 节点类型 可点击返回 表 6-1 DHCP 服务器配置步骤 配置接口工作在 DHCP 服务器模式 在导航栏中选择 网络 > DHCP, 默认进入 DHCP 服务器 页签的页面, 如图 6-7 所示 在 接 口设置 中可以查看接口上 DHCP 服务器功能的状态 单击接口对应的 图标, 进入接口 DHCP 服 务器功能的配置页面, 如图 6-10 所示 图 6-10 DHCP 服务器接口设置 接口工作在 DHCP 服务器模式的详细配置如表 6-4 所示 表 6-4 接口工作在 DHCP 服务器模式的详细配置 配置项 说明 接口名称 DHCP 服务器 显示要配置的接口的名称 设置是否在接口上启动 DHCP 服务器功能如果关闭 DHCP 服务器功能, 则接口收到 DHCP 客户端发来的 DHCP 报文时, 不会为其分配 IP 地址, 也不会作为 DHCP 中继转发该报文 可点击返回 表 6-1 DHCP 服务器配置步骤 6.8 DHCP 服务器典型配置举例 1. 组网需求 配置 AP 作为 DHCP 服务器为网段 /24 中的客户端动态分配 IP 地址,AP 上 Vlan-interface1 的 IP 地址分别为 / /24 网段内的地址租用期限为 10 天 12 小时, 网关的地址为

53 图 6-11 DHCP 服务器配置组网图 Vlan-int1 WLAN-BSS /24 Eth1/ /24 Vlan-int /24 AP DHCP server Vlan-int1 WLAN-BSS /24 DHCP client DHCP client DHCP client 2. 配置步骤 # 配置各接口的 IP 地址 ( 略 ) # 启动 DHCP 服务 在导航栏中选择 网络 > DHCP, 默认进入 DHCP 服务器 页签的页面, 进行如下配置, 如图 6-12 所示 图 6-12 启动 DHCP 服务 选中 DHCP 服务 启动 前的单选按钮, 即可完成操作 # 配置 Vlan-interface1 工作在 DHCP 服务器模式 ( 缺省情况下接口工作在 DHCP 服务器模式, 此步骤可以省略 ) # 配置 DHCP 服务器的动态地址池 在 地址池 中默认选中的是 动态 前的单选按钮, 单击 < 新建 > 按钮, 进行如下配置, 如图 6-13 所示 6-12

54 图 6-13 配置 DHCP 服务器的动态地址池 输入地址池名称为 test 输入 IP 地址为 选择掩码为 输入租用期限为 10 天 12 小时 0 分 输入网关地址为 单击 < 确定 > 按钮完成操作 6-13

55 7 DNS 设备对 DNS 的支持情况与设备的具体型号有关, 请以设备的实际情况为准 7.1 概述 域名系统 (DNS,Domain Name System) 是一种用于 TCP/IP 应用程序的分布式数据库, 提供域名与 IP 地址之间的转换 通过域名系统, 用户进行某些应用时, 可以直接使用便于记忆的 有意义的域名, 而由网络中的域名解析服务器将域名解析为正确的 IP 地址 域名解析分为静态域名解析和动态域名解析, 二者可以配合使用 在解析域名时, 首先采用静态域名解析 ( 查找静态域名解析表 ), 如果静态域名解析不成功, 再采用动态域名解析 由于动态域名解析可能会花费一定的时间, 且需要域名服务器的配合, 因而可以将一些常用的域名放入静态域名解析表中, 这样可以大大提高域名解析效率 静态域名解析静态域名解析就是手工建立域名和 IP 地址之间的对应关系 当用户使用域名进行某些应用 ( 如 telnet 应用 ) 时, 系统查找静态域名解析表, 从中获取指定域名对应的 IP 地址 动态域名解析 1. 解析过程动态域名解析是通过对域名服务器的查询完成的 解析过程如下 : (1) 当用户使用域名进行某些应用时, 用户程序首先向 DNS 客户端中的解析器发出请求 (2) DNS 客户端收到请求后, 首先查询本地的域名缓存 如果存在已解析成功的映射项, 就将域名对应的 IP 地址返回给用户程序 ; 如果没有发现所要查找的映射项, 就向域名服务器 (DNS Server) 发送查询请求 (3) 域名服务器首先从自己的数据库中查找域名对应的 IP 地址 如果判断该域名不属于本域范围之内, 就将请求交给上一级的域名解析服务器处理, 直到完成解析, 并将解析的结果返回给 DNS 客户端 (4) DNS 客户端收到域名服务器的响应报文后, 将解析结果返回给应用程序 7-1

56 图 7-1 动态 DNS 请求 请求 应答 读取 存入 应答 DNS DNS 用户程序 DNS 客户端及域名服务器的关系如上图所示, 其中解析器和缓存构成 DNS 客户端 用户程序 DNS 客户端在同一台设备上, 而 DNS 客户端和服务器一般分布在两台设备上 动态域名解析支持缓存功能 每次动态解析成功的域名与 IP 地址的映射均存放在动态域名缓存区中, 当下一次查询相同域名的时候, 就可以直接从缓存区中读取, 不用再向域名服务器进行请求 缓存区中的映射在一段时间后会被老化删除, 以保证及时从域名服务器得到最新的内容 老化时间由域名服务器设置,DNS 客户端从协议报文中获得老化时间 2. 域名后缀列表功能动态域名解析支持域名后缀列表功能 用户可以预先设置一些域名后缀, 在域名解析的时候, 用户只需要输入域名的部分字段, 系统会自动将输入的域名加上不同的后缀进行解析 举例说明, 用户想查询域名 aabbcc.com, 那么可以先在后缀列表中配置 com, 然后输入 aabbcc 进行查询, 系统会自动将输入的域名与后缀连接成 aabbcc.com 进行查询 使用域名后缀的时候, 根据用户输入域名方式的不同, 查询方式分成以下几种情况 : 如果用户输入的域名中没有., 比如 aabbcc, 系统认为这是一个主机名, 会首先加上域名后缀进行查询, 如果所有加后缀的域名查询都失败, 将使用最初输入的域名 ( 如 aabbcc) 进行查询 如果用户输入的域名中间有., 比如 系统直接用它进行查询, 如果查询失败, 再依次加上各个域名后缀进行查询 如果用户输入的域名最后有., 比如 aabbcc.com., 表示不需要进行域名后缀添加, 系统直接用输入的域名进行查询, 不论成功与否都直接返回 就是说, 如果用户输入的字符中最后一个字符为., 就只根据用户输入的字符进行查找, 而不会去匹配用户预先设置的域名后缀, 因此最后这个., 也被称为查找终止符 7.2 配置 DNS 配置概述 DNS 模块可以配置以下功能 : 静态域名解析表 动态域名解析 静态域名解析表 : 为设备创建静态域名解析表, 之后设备查找该表进行域名解析 动态域名解析 : 设备通过 DNS server 进行域名解析 7-2

57 如果同时配置了静态域名解析表和动态域名解析, 设备先查找静态域名解析表, 如果未找到符合的 IP 或域名, 再进行动态域名解析 1. 配置静态域名解析表静态域名解析配置的推荐步骤如表 7-1 所示 表 7-1 静态域名解析表的配置步骤步骤配置任务说明 配置静态域名解析表 必选缺省情况下, 静态域名解析表中没有主机名及其 IP 地址的对应关系 2. 配置动态域名解析动态域名解析配置的推荐步骤如表 7-2 所示 表 7-2 动态域名解析配置步骤步骤配置任务说明必选 配置动态域名解析 配置 DNS 服务器的 IP 地址 配置域名后缀 启用设备的动态域名解析功能缺省情况下, 动态域名解析功能处于关闭状态必选缺省情况下, 没有配置 DNS 服务器的 IP 地址可选缺省情况下, 没有配置域名后缀 配置静态域名解析表在导航栏中选择 网络 > DNS, 默认进入 静态域名解析 页签的页面, 如图 7-2 所示 单击 < 新建 > 按钮, 进入新建静态域名解析表项的配置页面, 如图 7-3 所示 图 7-2 静态域名解析 7-3

58 图 7-3 新建静态域名解析 静态域名解析表的详细配置如表 7-3 所示 表 7-3 静态域名解析表的详细配置信息 主机名 配置项 主机 IP 地址 说明 设置静态域名解析表中主机名和主机 IP 地址的对应关系每个主机名只能对应一个 IP 地址, 当对同一主机名进行多次配置时, 最后配置的 IP 地址有效最多可配置 50 条静态域名解析信息 可点击返回 表 7-1 静态域名解析表的配置步骤 配置动态域名解析在导航栏中选择 网络 > DNS, 单击 动态域名解析 页签, 进入如图 7-4 所示的页面 图 7-4 动态域名解析 动态域名解析的详细配置如表 7-4 所示 7-4

59 表 7-4 动态域名解析的详细配置 配置项 动态域名解析 清空动态域名缓存区 说明 设置启动或关闭设备的动态域名解析功能 设置是否清除动态域名缓存区的所有信息 可点击返回 表 7-2 动态域名解析配置步骤 配置 DNS 服务器的 IP 地址在导航栏中选择 网络 > DNS, 单击 动态域名解析 页签, 进入如图 7-4 所示的页面 单击 < 添加 IP 地址 > 按钮, 进入新建 DNS 服务器 IP 地址的页面, 如图 7-5 所示 图 7-5 新建 DNS 服务器 IP 地址 域名服务 IP 地址参数详细信息如表 7-5 所示 表 7-5 配置域名服务器 IP 地址参数详细信息 配置项 说明 DNS 服务器 IP 地址 设置 DNS 服务器的 IP 地址最多可配置 6 个 DNS 服务器 可点击返回 表 7-2 动态域名解析配置步骤 配置域名后缀在导航栏中选择 网络 > DNS, 单击 动态域名解析 页签, 进入如图 7-4 所示的页面 单击 < 添加域名后缀 > 按钮, 进入新建 DNS 域名后缀的页面, 如图 7-6 所示 7-5

60 图 7-6 新建 DNS 域名后缀 DNS 域名后缀的详细配置如表 7-6 所示 表 7-6 域名后缀的详细配置 配置项 说明 DNS 域名后缀 设置 DNS 域名后缀最多可配置 10 个 DNS 域名后缀 可点击返回 表 7-2 动态域名解析配置步骤 7.3 DNS 典型配置举例 DNS 典型配置举例 1. 组网需求 DNS 服务器的 IP 地址是 /16, 配置域名后缀为 com 配置 AP 作为 DNS 客户端, 使用动态域名解析和域名后缀列表功能, 实现通过输入 host 来访问域名为 host.com IP 地址为 /16 的主机 Host 图 7-7 DNS 配置组网图 7-6

61 2. 配置步骤 在开始下面的配置之前, 假设 AP 与主机之间的路由可达,AP 和主机都已经配置完毕, 接口 IP 地址 如图 7-7 所示 并且在域名服务器上有域名为 host.com IP 地址为 /16 的映射项, 域名服务 器工作正常 # 使能动态域名解析功能 在导航栏中选择 网络 > DNS, 单击 动态域名解析 页签, 进行如下配置, 如图 7-8 所示 图 7-8 使能动态域名解析功能 选择动态 DNS 解析 启动 前的单选按钮 单击 < 确定 > 按钮完成操作 # 配置 DNS 服务器 IP 地址 如图 7-9 所示, 在 动态域名解析 页签的页面单击 < 添加 IP 地址 > 按钮 在新建 DNS 服务器 IP 地址的页面, 进行如下配置, 如图 7-10 所示 7-7

62 图 7-9 单击 < 添加 IP 地址 > 按钮 图 7-10 新建 DNS 服务器 IP 地址 输入 DNS 服务器 IP 地址为 单击 < 确定 > 按钮完成操作 # 配置域名后缀 如图 7-11 所示, 在 动态域名解析 页签的页面单击 < 添加域名后缀 > 按钮 在新建 DNS 域名后缀的页面, 进行如下配置, 如图 7-12 所示 图 7-11 单击 < 添加域名后缀 > 按钮 7-8

63 图 7-12 新建 DNS 域名后缀 输入 DNS 域名后缀为 com 单击 < 确定 > 按钮完成操作 7-9

64 8 PPPoE 设备对 PPPoE 的支持情况与设备的具体型号有关, 请以设备的实际情况为准 8.1 概述 PPPoE 简介 PPPoE 是 Point-to-Point Protocol over Ethernet 的简称 PPPoE 协议采用 Client/Server 方式, 它将 PPP 报文封装在以太网帧之内, 在以太网上提供点对点的连接 AP 设备上运行了 PPPoE Client 功能后, 可以通过一个远端接入设备连入因特网, 并可以实现对接入的每个 AP 设备进行控制 计费等 PPPoE 有两个阶段 :Discovery 阶段和 PPP Session 阶段, 具体如下 : Discovery 阶段当一个客户端想开始 PPPoE 进程的时候, 它必须先识别接入端的以太网 MAC 地址, 建立 PPPoE 的 SESSION ID 这就是 Discovery 阶段的目的 PPP Session 阶段当 PPPoE 进入 Session 阶段后 PPP 报文就可以作为 PPPoE 帧的净荷封装在以太网帧发到对端, SESSION ID 必须是 Discovery 阶段确定的 ID,MAC 地址必须是对端的 MAC 地址,PPP 报文从 Protocol ID 开始 在 Session 阶段, 客户端或服务器任何一方都可发 PADT(PPPoE Active Discovery Terminate) 报文通知对方结束本 Session 关于 PPPoE 的详细介绍, 可以参考 RFC2516 图 8-1 PPPoE 组网图 PPPoE Server PPPoE Session PPPoE Client 8.2 配置 PPPoE Client 配置概述 PPPoE Client 配置的推荐步骤如表 8-1 所示 8-1

65 表 8-1 PPPoE Client 配置步骤 步骤配置任务说明 新建 PPPoE Client 查看 PPPoE Client 会话信息 必选新建 PPPoE Client, 并配置 PPPoE Client 的相关参数可选查看 PPPoE Client 的会话概要信息和会话统计信息 新建 PPPoE Client 在导航栏中选择 网络 > PPPoE, 默认进入 Client 信息 页签的页面, 如图 8-2 所示 单击 < 新建 > 按钮, 进入新建 PPPoE Client 页面, 如图 8-3 所示 图 8-2 Client 信息 图 8-3 新建 PPPoE Client 8-2

66 新建 PPPoE Client 的详细配置如表 8-2 所示 表 8-2 新建 PPPoE Client 的详细配置 配置项 说明 Dialer 接口 用户名 密码 设置 Dialer 接口号 设置 PPPoE Client 认证使用的用户名和密码 用户名和密码必须同时配置或者同时不配置 设置接口配置或获取 IP 地址的方式 IP 配置 IP 地址网络掩码其他接口绑定接口 无 IP 配置 : 不配置 IP 地址 静态地址 : 静态配置接口的 IP 地址和掩码 PPP 协商 : 通过 PPP 协商获得 IP 地址 借用地址 : 借用同一设备上其他接口的 IP 地址设置接口的 IP 地址和掩码当 IP 配置选择 静态地址 时, 需配置此两项设置被借用 IP 地址的接口当 IP 配置选择 借用地址 时, 需配置此项设置 PPPoE Client 绑定的接口 设置 PPPoE Client 的连接方式为永久在线方式或非永久在线方式 连接方式 超时时间 永久在线方式是指, 当物理线路 up 后, 设备会立即发起 PPPoE 呼叫, 建立 PPPoE 会话 除非用户删除 PPPoE 会话, 否则此 PPPoE 会话将一直存在 非永久在线方式是指, 当物理线路 up 后, 设备不立即发起 PPPoE 呼叫, 只有当有数据需要传送时, 设备才会发起 PPPoE 呼叫, 建立 PPPoE 会话 如果 PPPoE 链路的空闲时间超过用户指定的超时时间, 设备会自动中止此 PPPoE 会话 选择此方式时需配置超时时间 设置 PPPoE 链路的空闲超时时间 当连接方式选择 非永久在线 时, 需配置此项 可点击返回 表 8-1 PPPoE Client 配置步骤 查看 PPPoE Client 会话信息在导航栏中选择 网络 > PPPoE, 单击 会话信息 页签, 进入会话信息察看页面 会话信息查看类型分别为 : 统计信息 概要信息, 分别如图 8-4 图 8-5 所示 图 8-4 会话信息 ( 统计信息 ) 8-3

67 图 8-5 会话信息 ( 概要信息 ) PPPoE Client 会话统计信息的详细说明如表 8-3 所示 表 8-3 PPPoE Client 会话统计信息的详细说明 标题项 说明 接口会话编号接收报文数接收字节数 PPPoE 会话所属的以太网接口 PPPoE Client 绑定的是 VLAN 接口时, 此处显示空 Session ID,PPPoE 会话的编号 PPPoE Client 会话的接收报文数 PPPoE Client 会话的接收字节数 丢弃报文数 ( 接收 ) PPPoE Client 会话的丢弃报文数 ( 接收方向 ) 发送报文数 发送字节数 PPPoE Client 会话的发送报文数 PPPoE Client 会话的发送字节数 丢弃报文数 ( 发送 ) PPPoE Client 会话的丢弃报文数 ( 发送方向 ) PPPoE Client 会话的概要信息如表 8-4 所示 表 8-4 PPPoE Client 会话概要信息的详细说明 标题项 说明 会话编号 Dialer 接口号接口 Client-MAC Server-MAC Session ID,PPPoE 会话的编号 PPPoE 会话所对应的 Dialer 接口号 PPPoE 会话所属的以太网接口 PPPoE Client 绑定的是 VLAN 接口时, 此处显示空 PPPoE Client 的 MAC 地址 PPPoE Server 的 MAC 地址 8-4

68 标题项 说明 PPPoE 会话所处的状态 状态 IDLE: 没有进行 PPPoE Client 协商 PADI: 发送 PADI 报文, 等待 PADO 应答 PADR: 发送 PADR 报文, 等待 PADS 应答 PPPNEG: 开始进行 PPP 协商 PPPUP:PPP 协商完成 可点击返回 表 8-1 PPPoE Client 配置步骤 8.3 PPPoE Client 典型配置举例 1. 组网需求如图 8-6 所示, 配置 AP 实现 PPPoE Client 的功能, 能够与 PPPoE Server 建立 PPPoE 互通 图 8-6 PPPoE Client 配置组网图 2. 配置步骤 (1) 配置 PPPoE Client # 新建 PPPoE Client 在导航栏中选择 网络 > PPPoE, 默认进入 Client 信息 页签的页面, 单击 < 新建 > 按钮, 进行如下配置, 如图 8-7 所示 8-5

69 图 8-7 新建 PPPoE Client 输入 Dialer 接口为 1 输入用户名为 user1 输入密码为 hello 选择 IP 配置为 PPP 协商 选择绑定接口为 Vlan-interface1 选择连接方式为 永久在线 单击 < 确定 > 按钮完成操作 (2) 配置 PPPoE Server PPPoE Server 上需要启用 PPPoE 协议 配置与 Client 上的配置相同的 PPPoE 用户和密码 为 PPP 对端分配的 IP 地址等, 详细配置略 3. 配置结果验证 # 查看 PPPoE Client 会话的概要信息 单击 会话信息 页签 选择会话信息查看类型为 概要信息, 页面如图 8-8 所示, 可以看到 PPP 协商已完成 8-6

70 图 8-8 查看 PPPoE Client 会话的概要信息 8.4 注意事项 配置 PPPoE Client 时需要注意如下事项 : 在 设备 > 接口管理 中创建的 Dialer 接口也可以在 PPPoE Client 的显示页面中显示出来, 并且 可以修改和删除, 但是无法建立 PPPoE Client 会话 8-7

71 9 服务管理 设备对服务管理的支持情况与设备的具体型号有关, 请以设备的实际情况为准 SSH SFTP 和 HTTPS 服务的支持情况与设备的具体型号有关, 请以设备的实际情况为准 9.1 概述 服务管理模块提供了 Telnet SSH SFTP HTTP 和 HTTPS 服务的使能管理功能, 可以使用户只在需要使用相应的服务时使能服务, 否则关闭服务 这样, 可以提高系统的性能和设备的安全性, 实现对设备的安全管理 服务管理模块还提供了修改 HTTP HTTPS 服务端口号的功能, 以及设置将 HTTP HTTPS 服务与 ACL(Access Control List, 访问控制列表 ) 关联, 只允许通过 ACL 过滤的客户端访问设备的功能, 以减少非法用户对这些服务的攻击 1. Telnet 服务 Telnet 协议在 TCP/IP 协议族中属于应用层协议, 用于在网络中提供远程登录和虚拟终端的功能 2. SSH 服务 SSH 是 Secure Shell( 安全外壳 ) 的简称 用户通过一个不能保证安全的网络环境远程登录到设备时,SSH 可以利用加密和强大的认证功能提供安全保障, 保护设备不受诸如 IP 地址欺诈 明文密码截取等攻击 3. SFTP 服务 SFTP 是 Secure FTP 的简称, 是 SSH 2.0 中新增的功能 SFTP 建立在 SSH 连接的基础之上, 它使得远程用户可以安全地登录设备, 进行文件管理和文件传送等操作, 为数据传输提供了更高的安全保障 4. HTTP 服务 HTTP 是 Hypertext Transfer Protocol( 超文本传输协议 ) 的简称 它用来在 Internet 上传递 Web 页面信息 HTTP 位于 TCP/IP 协议栈的应用层 在设备上使能 HTTP 服务后, 用户就可以通过 HTTP 协议登录设备, 利用 Web 功能访问并控制设备 5. HTTPS 服务 HTTPS(Secure HTTP, 安全的 HTTP) 是支持 SSL(Secure Sockets Layer, 安全套接层 ) 协议的 HTTP 协议 HTTPS 通过 SSL 协议, 从以下几方面提高了设备的安全性 : 通过 SSL 协议保证合法客户端可以安全地访问设备, 禁止非法的客户端访问设备 ; 客户端与设备之间交互的数据需要经过加密, 保证了数据传输的安全性和完整性, 从而实现了对设备的安全管理 ; 为设备制定基于证书属性的访问控制策略, 对客户端的访问权限进行控制, 进一步避免了非法客户对设备进行攻击 9-1

72 9.2 配置服务管理 在导航栏中选择 网络 > 服务管理, 进入服务管理的配置页面, 如图 9-1 所示 图 9-1 服务管理 服务管理的详细配置如表 9-1 所示 表 9-1 服务管理的详细配置 Telnet 服务 SSH 服务 SFTP 服务 配置项启用 Telnet 服务启用 SSH 服务启用 SFTP 服务 说明设置是否在设备上启用 Telnet 服务缺省情况下,Telnet 服务处于关闭状态设置是否在设备上启用 SSH 服务缺省情况下,SSH 服务处于关闭状态设置是否在设备上启用 SFTP 服务缺省情况下,SFTP 服务处于关闭状态 HTTP 服务 启用 HTTP 服务 端口号 ACL 启用 SFTP 服务的同时必须启用 SSH 服务 设置是否在设备上启用 HTTP 服务缺省情况下,HTTP 服务处于启用状态 设置 HTTP 服务的端口号单击 HTTP 服务 前的扩展按钮可以显示此配置项 修改端口时必须保证该端口没有被其他服务使用 设置将 HTTP 服务与 ACL 关联, 只允许通过 ACL 过滤的客户端使用 HTTP 服务单击 HTTP 服务 前的扩展按钮可以显示此配置项 9-2

73 配置项 启用 HTTPS 服务 端口号 说明设置是否在设备上启用 HTTPS 服务缺省情况下,HTTPS 服务处于关闭状态设置 HTTPS 服务的端口号单击 HTTPS 服务 前的扩展按钮可以显示此配置项 HTTPS 服务 ACL PKI 域 修改端口时必须保证该端口没有被其他服务使用 设置将 HTTPS 服务与 ACL 关联, 只允许通过 ACL 过滤的客户端使用 HTTPS 服务 单击 HTTPS 服务 前的扩展按钮可以显示此配置项 设置 HTTPS 服务所使用的 PKI 域 可选的 PKI 域在 认证 > PKI 中配置, 详细配置请参见 认证 模块中的 PKI 9-3

74 10 诊断工具 设备对诊断工具的支持情况与设备的具体型号有关, 请以设备的实际情况为准 10.1 概述 Ping 通过使用 Ping 工具, 用户可以检查指定 IP 地址的设备是否可达, 测试网络连接是否出现故障 Ping 的成功执行过程为 : (1) 源设备向目的设备发送 ICMP 回显请求 (ECHO-REQUEST) 报文 (2) 目的设备在接收到该请求报文后, 向源设备发送 ICMP 回显应答 (ECHO-REPLY) 报文 (3) 源设备在收到该应答报文后, 显示相关的统计信息 Ping 的输出信息分为以下几种情况 : Ping 的执行对象可以是目的设备的 IP 地址或者主机名, 如果该目的设备的主机名不可识别, 则源设备上输出提示信息 如果在超时时间内源设备没有收到目的设备回的 ICMP 回显应答报文, 则输出提示信息和 Ping 过程报文的统计信息 ; 如果在超时时间内源设备收到响应报文, 则输出响应报文的字节数 报文序号 TTL(Time To Live, 生存时间 ) 响应时间和 Ping 过程报文的统计信息 Ping 过程报文的统计信息包括发送报文个数 接收到响应报文个数 未响应报文数百分比 响应时间的最小值 平均值和最大值 Trace Route 通过使用 Trace Route 工具, 用户可以查看报文从源设备传送到目的设备所经过的三层设备 当网络出现故障时, 用户可以使用该命令分析出现故障的网络节点 Trace Route 的执行过程为 : (1) 源设备发送一个 TTL 为 1 的报文给目的设备 (2) 第一跳 ( 即该报文所到达的第一个三层设备 ) 回应一个 TTL 超时的 ICMP 报文 ( 该报文中含有第一跳的 IP 地址 ), 这样源设备就得到了第一个三层设备的地址 (3) 源设备重新发送一个 TTL 为 2 的报文给目的设备 (4) 第二跳回应一个 TTL 超时的 ICMP 报文, 这样源设备就得到了第二个三层设备的地址 (5) 以上过程不断进行, 直到最终到达目的设备, 源设备就得到了从它到目的设备所经过的所有三层设备的地址 Trace Route 的执行对象可以是目的设备的 IP 地址或者主机名, 如果该目的设备的主机名不可识别, 则源设备上输出提示信息 10-1

75 10.2 诊断工具操作 Ping 操作 IPv6 Ping 操作的支持情况与设备的型号有关, 请以设备的实际情况为准 1. IPv4 Ping 在导航栏中选择 网络 > 诊断工具, 默认进入 IPv4 Ping 页签的页面 单击 < 显示高级 > 按钮, 可以展开 IPv4 Ping 操作高级参数的配置内容, 如图 10-1 所示 图 10-1 IPv4 Ping 在 目的 IP 地址或主机名 文本框中输入目标设备的 IPv4 地址或者主机名, 根据具体需要设置 IPv4 Ping 操作的高级参数, 单击 < 开始 > 按钮开始执行 Ping 操作, 在 概要信息 框中会显示 Ping 操作的输出结果, 如图 10-2 所示 10-2

76 图 10-2 IPv4 Ping 操作结果 2. IPv6 Ping 在导航栏中选择 网络 > 诊断工具, 默认进入 IPv6 Ping 页签的页面 单击 < 显示高级 > 按钮, 可以展开 IPv6 Ping 操作高级参数的配置内容, 如图 10-3 所示 图 10-3 IPv6 Ping 在 目的 IPv6 地址或主机名 文本框中输入目标设备的 IPv6 地址或者主机名, 根据具体需要设置 IPv6 Ping 操作的高级参数, 单击 < 开始 > 按钮开始执行 Ping 操作, 在 概要信息 框中会显示 Ping 操作的输出结果, 如图 10-4 所示 10-3

77 图 10-4 IPv6 Ping 操作结果 Trace Route 操作 Web 目前不支持对 IPv6 地址进行 Trace Route 操作 进行 Trace Route 操作前, 需要先在中间设备上执行 ip ttl-expires enable 命令开启 ICMP 超时报文的发送功能, 并且在目的设备上执行 ip unreachables enable 命令来开启设备的 ICMP 目的不可达报文发送功能 在导航栏中选择 网络 > 诊断工具, 单击 Trace Route 页签, 进入如图 10-5 所示的页面 10-4

78 图 10-5 Trace Route 在文本框中输入 Trace Route 操作的目的 IP 地址或者主机名, 单击 < 开始 > 按钮开始执行 Trace Route 操作, 在 结果 框中会显示 Trace Route 操作的输出结果, 如图 10-6 所示 图 10-6 Trace Route 操作结果 10-5