- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-网络
本章节下载: 07-网络 (2.20 MB)
· MAC地址模块中对于接口的相关配置,目前只能在二层以太网接口上进行。
· 本章节内容只涉及静态和动态地址表项的管理,不涉及组播MAC地址表项管理的内容。
为了转发报文,设备需要维护MAC地址表。MAC地址表的表项包含了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLAN ID。MAC地址表中的表项包括静态表项和动态表项,其中静态表项是由用户配置的;动态表项包括用户配置的以及设备学习得来的。静态表项不会被老化掉,而动态表项会被老化掉。
设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE)并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
在设备学习MAC地址时,用户手工配置的静态MAC地址表项不能被学习中获得的动态MAC地址覆盖,而动态MAC地址表项可以被静态MAC地址覆盖。
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
· 单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
· 广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。
图1-1 设备的MAC地址表项
(1) 在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,页面显示所有的MAC地址表项,如下图所示。
(2) 单击<新建>按钮,进入新建MAC地址表项的配置页面,如下图所示。
图1-3 MAC地址创建
(3) 配置MAC地址表项的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-1 新建MAC地址表项的详细配置
|
MAC地址 |
|
|
设置该MAC地址表项的类型,包括: · static:表示该表项是静态MAC地址表项,没有老化时间 · dynamic:表示该表项是动态MAC地址表项,有老化时间 · blackhole:表示该表项是黑洞MAC地址表项,没有老化时间
在MAC地址表项显示页面的列表中共有如下几种类型: · Config static:表示该表项是用户手工配置的静态表项 · Config dynamic:表示该表项是用户手工配置的动态表项 · Blackhole:表示该表项是黑洞表项 · Learned:表示该表项是设备学习得来的动态表项 · Other:表示该表项为除上述状态外的其他类型 |
|
|
设置该MAC地址表项所属的VLAN |
|
|
设置该MAC地址表项所属的端口,黑洞表项不需要设置所属端口 |
(1) 在导航栏中选择“网络 > MAC地址”。
(2) 单击“设置”页签,进入MAC地址表项老化时间的配置页面,如下图所示。
(3) 配置MAC地址表项老化时间,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-2 MAC地址老化时间的详细配置
|
设置MAC地址表项不会老化 |
|
|
设置MAC地址表项的老化,并指定老化时间 |
用户通过Web网管设置MAC地址表功能。要求在VLAN1中的Ten-GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71。
配置静态MAC地址表项。
步骤1:在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入MAC地址为“00e0-fc35-dc71”。
· 选择VLAN ID为“1”。
· 选择端口为“Ten-GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
图1-5 新建静态MAC地址表项
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,带冲突检测的载波侦听多路访问)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virtual Local Area Network,虚拟局域网)技术,这种技术可以把一个LAN划分成多个虚拟的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。这样,广播报文被限制在一个VLAN内,如下图所示。
图2-1 VLAN示意图
VLAN根据划分方式不同可以分为不同类型,Web界面目前只支持对基于端口的VLAN的配置。基于端口划分VLAN是VLAN最简单、最有效的划分方式。他按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文。
关于VLAN的详细介绍请参见“二层技术配置指导”中的“VLAN”。
表2-1 VLAN配置步骤
|
配置VLAN的Untagged、Tagged成员,或从VLAN中删除成员 |
||
(1) 在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,如下图所示。
当存在大量VLAN时,在上图所示页面的“VLAN范围”文本框中输入一个VLAN范围,单击<选择>按钮,页面的VLAN列表中将只显示该范围内的VLAN信息,并且对VLAN的查询也将在此范围内进行,这样可以方便用户的操作;而单击<删除>按钮,则会将该范围内的VLAN全部删除。
(2) 单击<新建>按钮,进入新建VLAN的配置页面,如下图所示。
(3) 在“VLAN ID”文本框中输入要创建的VLAN ID。
(4) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,如图2-2所示。
(2) 在VLAN列表中单击某VLAN对应的
图标,进入修改该VLAN的配置页面,如下图所示。
(3) 配置VLAN的描述,以及VLAN中的端口成员,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-2 VLAN中端口的详细配置
|
显示要修改的VLAN的ID |
||
|
设置VLAN的描述字符串 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,如“VLAN 0001” |
||
|
Untagged成员端口 |
在端口列表中找到要加入或删除的端口,在端口对应的“Untagged成员端口”、“Tagged成员端口”和“非成员”列的单选按钮中进行选择: · Untagged:表示端口成员发送该VLAN报文时不带Tag标签 · Tagged:表示端口成员发送该VLAN报文时带Tag标签 · 非成员:表示从该VLAN中删除端口成员
将Access端口配置为某VLAN时,该端口会被修改为Hybrid端口 |
|
|
Tagged成员端口 |
||
(1) 在导航栏中选择“网络 > VLAN”。
(3) 在端口列表中单击某端口对应的图标,进入修改该端口的配置页面,如下图所示。
(4) 配置端口所属的VLAN,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-3 端口所属VLAN的详细配置
|
显示要修改所属VLAN的端口 |
||
|
Untagged成员VLAN |
显示该端口目前是哪个或哪些VLAN的Untagged成员 |
|
|
Tagged成员VLAN |
显示该端口目前是哪个或哪些VLAN的Tagged成员 |
|
|
在“Untagged”、“Tagged”和“非成员”前的单选按钮中进行选择 · Untagged:表示端口成员发送该VLAN报文时不带Tag标签 · Tagged:表示端口成员发送该VLAN报文时带Tag标签 · 非成员:表示从该VLAN中删除端口成员
l 将Access端口配置为某VLAN的Untagged成员时,该VLAN必须已经存在 l 将Access端口配置为某VLAN的Tagged成员或将Trunk端口一次配置为多个VLAN的Untagged成员时,该端口会被修改为Hybrid端口 · 将Hybrid端口配置为某VLAN的Untagged或Tagged成员时,该VLAN必须是已经存在的静态VLAN |
||
· AC与Switch使用GigabitEthernet1/0/1相连。
· GigabitEthernet1/0/1为Hybrid端口,缺省VLAN ID为100。
· 配置GigabitEthernet1/0/1,使该端口允许VLAN 2、VLAN 6到VLAN 50、VLAN 100的报文通过。
图2-7 VLAN配置组网图
(1) 创建VLAN 2、VLAN 6~VLAN 50、VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面。
步骤2:单击<新建>按钮。
步骤3:如下图所示,输入VLAN ID为“2,6-50,100”。
步骤4:单击<确定>按钮完成操作。
(2) 通过修改VLAN来配置GigabitEthernet1/0/1为VLAN 100的Untagged成员。
步骤1:在“VLAN”页签的页面输入VLAN范围为“100”,如下图所示。
步骤2:单击<选择>按钮,页面上的VLAN列表将只显示VLAN 100的信息。
步骤3:单击VLAN 100对应的图标。
步骤4:如下图所示,在端口列表中选中GigabitEthernet1/0/1对应的“Untagged成员端口”列中的单选按钮。
步骤5:单击<确定>按钮完成操作。
(3) 通过修改端口来配置GigabitEthernet1/0/1为VLAN 2、VLAN 6到VLAN 50的Tagged成员。
步骤1:单击“端口”页签。
步骤2:在端口列表中单击GigabitEthernet1/0/1对应的图标。
步骤3:进行如下配置,如下图所示。
· 选择成员类型为“Tagged”。
· 输入VLAN ID为“2,6-50”。
步骤4:单击<确定>按钮,弹出如下图所示的对话框。
步骤5:在对话框中单击<确定>完成操作。
与AC上的配置步骤相似,不再赘述。
配置VLAN时需要注意如下事项:
(1) VLAN1为系统缺省VLAN,用户不能手工创建和删除。
(2) 保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除。
(4) 缺省情况下,Access类型的端口不是VLAN的Tagged成员,Hybrid或Trunk类型的端口是VLAN 2~4094的Tagged成员。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
关于ARP协议的详细介绍请参见“三层技术配置指导”中的“ARP”。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项。
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如下图所示。页面显示所有ARP表项的信息。
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图3-1所示。
(2) 单击<新建>按钮,进入新建静态ARP表项的配置页面,如下图所示。
(3) 配置静态ARP表项的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表3-1 静态ARP表项的详细配置
|
IP地址 |
设置静态ARP表项的IP地址 |
|
|
MAC地址 |
设置静态ARP表项的MAC地址 |
|
|
设置静态ARP表项所属的VLAN和端口
指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLAN ID对应的VLAN虚接口必须已经创建 |
||
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图3-1所示。
(2) 删除ARP表项,详细配置如下表所示。
表3-2 删除ARP表项的详细配置
|
删除指定的ARP表项 |
在列表中选中指定ARP表项前的复选框,单击<删除选中>按钮 |
|
单击<删除所有静态和动态表项>按钮 |
|
|
单击<删除所有静态表项>按钮 |
|
|
单击<删除所有动态表项>按钮 |
(1) 在导航栏中选择“网络 > ARP管理”。
(2) 单击“免费ARP”页签,进入如下图所示的页面。
(3) 配置免费ARP功能,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表3-3 免费ARP功能的详细配置
|
设置是否关闭免费ARP报文学习功能 缺省情况下,免费ARP报文学习功能处于开启状态 |
|
|
收到非同一网段ARP请求时发送免费ARP报文 |
设置开启收到非同一网段ARP请求时发送免费ARP报文功能 缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文 |
· AC通过接口GigabitEthernet1/0/1连接Router。接口GigabitEthernet1/0/1属于VLAN 100。
· Router的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加AC和Router通信的安全性,可以在AC上配置静态ARP表项。
图3-4 静态ARP配置组网图
步骤1:在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面。
步骤2:单击<新建>按钮。
步骤3:如下图所示,输入VLAN ID为“100”。
步骤4:单击<确定>按钮完成操作。
(2) 将端口GigabitEthernet1/0/1加入到VLAN 100中。
步骤1:在“VLAN”页签的页面单击VLAN 100对应的图标。
步骤2:如下图所示,选择端口GigabitEthernet1/0/1为“Untagged成员端口”。
步骤3:单击<确定>按钮完成操作。
(3) 配置Vlan-interface100及其IP地址。
步骤1:在导航栏中选择“设备 > 接口管理”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 在接口名称中选择接口类型为“Vlan-interface”,输入接口编号为“100”。
· 选择IP配置为“静态地址”。
· 输入IP地址为“192.168.1.2”。
· 选择网络掩码为“24 (255.255.255.0)”。
步骤4:单击<确定>按钮完成操作。
(4) 配置静态ARP表项。
步骤1:在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入IP地址为“192.168.1.1”。
· 输入MAC地址为“00e0-fc01-0000”。
· 输入VLAN ID为“100”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了以下技术对攻击进行防范、检测和解决。
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
通过Web页面配置ARP Detection可以实现两个功能:用户合法性检查、ARP报文有效性检查。
· 用户合法性检查:对于ARP信任端口,不进行用户合法性检查;对于ARP非信任端口,根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,丢弃非法用户的ARP报文,以防止仿冒用户的攻击。
· ARP报文有效性检查:对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,根据配置对MAC地址和IP地址不合法的报文进行过滤,可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
关于ARP Detection功能的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
固定源MAC攻击检测功能根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印Log信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的模式为监控模式,则只打印Log信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤。
只对上送CPU的ARP报文进行统计。
ARP主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。关于工作原理的详细介绍请参见“ARP攻击防范技术白皮书”。
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
配置用户合法性检查功能时,必须至少配置DHCP Snooping功能、802.1X功能二者之一,否则所有从ARP非信任端口收到的ARP报文都将被丢弃。
(1) 在导航栏中选择“网络 > ARP防攻击”,默认进入“ARP Detection”页签的页面,如下图所示。
(2) 配置ARP Detection功能,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表4-1 ARP Detection的详细配置
|
VLAN配置 |
设置要使能ARP Detection功能的VLAN 在“未使能VLAN”列表框中选中一个或多个VLAN,单击“<<”按钮,可以将选中的VLAN添加到“已使能VLAN”列表框中;在“已使能VLAN”列表框中选中一个或多个VLAN,单击“>>”按钮,可以将选中的VLAN添加到“未使能VLAN”列表框中 |
|
设置ARP信任端口和非信任端口 在“非信任端口”列表框中选中一个或多个端口,单击“<<”按钮,可以将选中的端口添加到“信任端口”列表框中;在“信任端口”列表框中选中一个或多个端口,单击“>>”按钮,可以将选中的端口添加到“非信任端口”列表框中 |
|
|
设置对ARP报文进行有效性检查的方式,包括: · 如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文 如果配置了报文检查方式,则先进行ARP报文有效性检查,再进行用户合法性检查;如果未配置任何报文检查方式,则不对ARP报文进行有效性检查 |
其他ARP防攻击功能包括:固定源MAC攻击检测功能、ARP主动确认功能、ARP源MAC一致性检查功能。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(3) 配置其他ARP防攻击功能的参数,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表4-2 其他ARP防攻击功能的详细配置
|
固定源MAC攻击检测 |
设置固定源MAC攻击检测功能的检测模式,包括: · 不检测:不进行固定源MAC攻击检测 · 过滤模式检测:当设备在5秒内收到某个MAC地址发送的ARP报文个数超过了设置的阈值时,打印告警信息并将该源MAC地址发送的ARP报文过滤掉 · 监控模式检测:当设备在5秒内收到某个MAC地址发送的ARP报文个数超过了设置的阈值时,只打印告警信息 |
|
|
设置固定源MAC攻击检测表项的老化时间 |
||
|
设置固定源MAC攻击检测的阈值 |
||
|
设置受保护的MAC地址,方法如下: 1. 单击“配置保护MAC”前的扩展按钮,展开如图4-3所示的内容 2. 输入MAC地址 3. 单击<添加>按钮向保护MAC列表中添加一个MAC地址 配置保护MAC后,即使该MAC地址存在攻击也不会被检测过滤。一般对于网关或重要服务器,可以将其MAC地址添加到保护MAC中 |
||
|
启用ARP主动确认功能 |
设置是否启用ARP主动确认功能 |
|
|
启用ARP报文源MAC一致性检查功能 |
设置是否启用ARP报文源MAC一致性检查功能 |
|
IGMP Snooping是Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组。
运行IGMP Snooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。
如下图所示,当二层设备没有运行IGMP Snooping时,组播数据在二层被广播;当二层设备运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。
IGMP Snooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:
关于IGMP Snooping的详细介绍请参见“IP组播配置指导”中的“IGMP Snooping”。
|
缺省情况下,全局IGMP Snooping处于关闭状态 |
||
|
在VLAN内启用IGMP Snooping,配置IGMP Snooping版本、查询器等功能 缺省情况下,VLAN内的IGMP Snooping处于关闭状态
· 在VLAN内配置IGMP Snooping之前,必须先在全局启用IGMP Snooping · 在VLAN内启用IGMP Snooping之后,不允许在该VLAN所对应的VLAN接口上再启用IGMP和PIM,反之亦然 · 在VLAN内启用了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效 |
||
|
在指定VLAN内容配置端口的最大组播组数和端口快速离开功能
· 在端口上配置IGMP Snooping之前,必须先全局启用组播路由或IGMP Snooping · 在VLAN内启用IGMP Snooping或者VLAN接口上启用IGMP的情况下,端口上的IGMP Snooping配置才生效 |
||
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如下图所示。
(2) 选中IGMP Snooping“启动”前的单选按钮。
(3) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如上图所示。
(2) 在“VLAN配置”中单击要配置的VLAN对应的图标,进入该VLAN的IGMP Snooping配置页面,如下图所示。
(3) 在VLAN内配置IGMP Snooping,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表5-2 VLAN内IGMP Snooping的详细配置
|
显示当前要配置的VLAN的ID |
|
|
设置在该VLAN内启用或关闭IGMP Snooping |
|
|
设置IGMP Snooping的版本,即设置IGMP Snooping可以处理的IGMP报文的版本 · 当IGMP Snooping的版本为2时,IGMP Snooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播 · 当IGMP Snooping的版本为3时,IGMP Snooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理
当IGMP Snooping的版本由版本3切换到版本2时,系统将清除所有通过动态加入的IGMP Snooping转发表项 |
|
|
未知组播数据报文是指在IGMP Snooping转发表中不存在对应转发表项的那些组播数据报文: · 当启用丢弃未知组播数据报文功能时,设备将丢弃所有收到的未知组播数据报文 · 当关闭丢弃未知组播数据报文功能时,设备将在未知组播数据报文所属的VLAN内广播该报文 |
|
|
设置启用或关闭IGMP Snooping查询器功能 在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据。但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上启用IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据 |
|
|
设置发送IGMP普遍组查询报文的时间间隔 |
|
|
设置IGMP普遍组查询报文的源IP地址 |
|
|
设置IGMP特定组查询报文的源IP地址 |
(1) 在导航栏中选择“网络 > IGMP Snooping”。
(3) 在端口上配置IGMP Snooping,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表5-3 IGMP Snooping高级参数的详细配置
|
设置要进行IGMP Snooping高级配置的端口 |
|
|
设置在指定VLAN内配置端口快速离开功能或配置允许端口加入的组播组最大数量 |
|
|
通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量
在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMP Snooping转发表中删除,该端口上的主机需要重新加入组播组 |
|
|
端口快速离开是指当设备从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当设备收到对该组播组的IGMP特定组查询报文时,设备将不再向该端口转发 在设备上,在只连接有一个接收者的端口上,可以通过启用端口快速离开功能来节约带宽和资源;而在连接有多个接收者的端口上,如果交换机或该端口所在的VLAN已使能了丢弃未知组播数据报文功能,则不要再启用端口快速离开功能,否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据 |
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图5-2所示。
(2) 单击“显示表项”前的扩展按钮,展开如下图所示的内容,可以查看IGMP Snooping组播表项的概要信息,详细说明如表5-4所示。
(3) 单击要查看的表项对应的
图标,进入该IGMP Snooping组播表项详细信息的显示页面,如下图所示,详细说明如表5-4所示。
表5-4 IGMP Snooping组播表项信息的详细说明
|
组播表项所属VLAN的ID |
|
|
组播源地址,0.0.0.0表示所有组播源 |
|
· 如下图所示,Router A通过Ethernet1/2接口连接组播源(Source),通过Ethernet1/1接口连接AC;Router A上运行IGMPv2,AC上运行版本2的IGMP Snooping,并由Router A充当IGMP查询器。
· 通过配置,使Host A能接收发往组播组224.1.1.1的组播数据;同时,使AC将收到的未知组播数据直接丢弃,避免在其所属的VLAN内广播。
图5-7 IGMP Snooping配置组网图
在Router A上启用IP组播路由,在各接口上启用PIM-DM,并在接口Ethernet1/1上启用IGMP。具体配置过程略。
步骤1:在AC的导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面。
步骤2:单击<新建>按钮。
步骤3:如下图所示,输入VLAN ID为“100”。
步骤4:单击<确定>按钮完成操作。
(2) 配置端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为VLAN 100的Untagged成员。
步骤1:单击VLAN 100对应的图标,进入修改VLAN的页面。
步骤2:如下图所示,分别选中GigabitEthernet1/0/1和GigabitEthernet1/0/2对应的“Untagged成员端口”列中的单选按钮。
步骤3:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面。
步骤2:如下图所示,选中IGMP Snooping“Enable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
(4) 在VLAN 100内启用IGMP Snooping和丢弃未知组播数据报文功能。
步骤1:单击VLAN 100对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中IGMP Snooping“启动”前的单选按钮。
· 选中版本“2”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
在AC上查看IGMP Snooping组播表项的信息。
步骤1:在AC的导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面。
步骤2:单击“显示表项”前的扩展按钮。
步骤3:查看IGMP Snooping组播表项概要信息,如下图所示。
图5-12 配置结果(IGMP Snooping组播表项概要信息)
步骤4:单击VLAN 100的IGMP Snooping组播表项(0.0.0.0,224.1.1.1)对应的
图标。
步骤5:查看该IGMP Snooping组播表项的详细信息,如下图所示。
图5-13 配置结果(IGMP Snooping组播表项详细信息)
由此可见,AC上的端口GigabitEthernet1/0/2已经加入了组播组224.1.1.1。
在网络中路由器根据所收到的报文的目的地址选择一条合适的路径,并将报文转发到下一个路由器。路径中最后的路由器负责将报文转发给目的主机。路由就是报文在转发过程中的路径信息,用来指导报文转发。
路由表中保存了各种路由协议发现的路由。路由器通过路由表选择路由,把优选路由下发到FIB(Forwarding Information Base,转发信息库)表中,通过FIB指导报文转发。每个路由器中都至少保存着一张路由表和一张FIB表。
关于路由表和静态路由的详细介绍请参见“三层技术配置指导”中的“IP路由基础”和“静态路由”。
(1) 在导航栏中选择“网络 > IPv4路由”,默认进入“显示”页签的页面,如下图所示。
图6-1 IPv4路由显示
(2) 查看IPv4激活路由表的信息,详细说明如下表所示。
表6-1 IPv4激活路由表的详细说明
|
目的IP地址 |
IPv4路由的目的IP地址和子网掩码 |
|
发现该IPv4路由的路由协议 |
|
|
该IPv4路由的优先级 |
|
|
该IPv4路由下一跳IP地址 |
|
|
该IPv4路由的出接口,即到该目的网段的数据包将从此接口发出 |
(1) 在导航栏中选择“网络 > IPv4路由”。
(2) 单击“创建”页签,进入IPv4静态路由配置页面,如下图所示。
图6-2 IPv4静态路由创建
(3) 配置IPv4静态路由的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表6-2 IPv4静态路由的详细配置
|
目的IP地址 |
设置IPv4数据报文的目的主机或目的网段,格式要求为点分十进制 |
|
设置IPv4数据报文要经过的下一个设备的IP地址,格式要求为点分十进制 |
|
|
设置IPv4数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
当选中“接口”选项时,请不要在“下一跳”中输入IP地址,否则配置不能生效。
(1) 在导航栏中选择“网络 > IPv6路由”,默认进入“显示”页签的页面,如下图所示。
图6-3 IPv6路由显示
(2) 查看IPv6激活路由表的信息,详细说明如下表所示。
表6-3 IPv6激活路由表的详细说明
|
目的IP地址 |
IPv6路由的目的IP地址和前缀长度 |
|
发现该IPv6路由的路由协议 |
|
|
该IPv6路由的优先级 |
|
|
该IPv6路由下一跳IP地址 |
|
|
该IPv6路由的出接口,即到该目的网段的数据包将从此接口发出 |
(1) 在导航栏中选择“网络 > IPv6路由”。
(2) 单击“创建”页签,进入IPv6静态路由配置页面,如下图所示。
图6-4 IPv6静态路由创建
(3) 配置IPv6静态路由的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表6-4 IPv6静态路由的详细配置
|
目的IP地址 |
设置IPv6数据报文的目的主机或目的网段,格式类似于X:X::X:X 目的IP地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
设置IPv6数据报文要经过的下一个设备的IP地址,格式要求和目的IP地址相同 |
|
|
设置IPv6数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
Switch A、Switch B和AC各接口及主机的IP地址和掩码如下图所示。要求Switch A、Switch B和AC之间配置IPv4静态路由后,Host A和Host B之间能够互通。
图6-5 IPv4静态路由配置组网图
采用如下的思路配置IPv4静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和AC的静态路由。
(3) 在AC上配置一条到Switch B的缺省路由。
(1) 在Switch A上配置一条下一跳为“1.1.4.2”的缺省路由。
(2) 在Switch B上配置一条目的地址为“1.1.2.0/24”、下一跳为“1.1.4.1”的静态路由,和一条目的地址为“1.1.3.0/24”、下一跳为“1.1.5.6”的静态路由。
(3) 在AC上配置缺省路由。
步骤1:在AC的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签,进入IPv4静态路由配置页面。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“0.0.0.0”。
步骤4:单击<确定>按钮完成操作。
图6-6 配置缺省路由
分别进入Switch A、Switch B和AC的IPv4路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
(2) 在Host A上使用ping命令验证Host B是否可达(假定主机安装的操作系统为Windows XP)。
C:\Documents and Settings\Administrator>ping 1.1.3.2
Pinging 1.1.3.2 with 32 bytes of data:
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Ping statistics for 1.1.3.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Switch A、Switch B和AC各接口及主机的IP地址和掩码如下图所示。要求Switch A、Switch B和AC之间配置IPv6静态路由协议后,Host A和Host B之间能够互通。
图6-7 IPv6静态路由配置组网图
采用如下的思路配置IPv6静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和AC的静态路由。
(3) 在AC上配置一条到Switch B的缺省路由。
(1) 在Switch A上配置一条下一跳为“4::2”的缺省路由。
(2) 在Switch B上配置一条目的地址为“1::/64”、下一跳为“4::1”的静态路由,和一条目的地址为“3::/64”、下一跳为“5::1”的静态路由。
(3) 在AC上配置缺省路由。
步骤1:在AC的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签,进入IPv6静态路由配置页面。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“::”。
步骤4:单击<确定>按钮完成操作。
图6-8 配置缺省路由
分别进入Switch A、Switch B和AC的IPv6路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
(2) 在Switch A上使用ping命令验证Host B是否可达。
[SwitchA] ping ipv6 3::2
PING 3::2 : 56 data bytes, press CTRL_C to break
Reply from 3::2
bytes=56 Sequence=1 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=2 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=3 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=4 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=5 hop limit=254 time = 63 ms
--- 3::2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/62/63 ms
(1) 如果在配置静态路由时没有指定优先级,就会使用缺省优先级。重新设置缺省优先级后,新设置的缺省优先级仅对新增的静态路由有效。Web界面目前不支持对缺省优先级的配置。
(2) 在配置静态路由时,如果先指定下一跳,然后再将该下一跳的地址配置为本地接口(如以太网接口、VLAN接口等)的IP地址,则该条静态路由不会生效。
· 对于NULL0和Loopback接口,配置了出接口就不再配置下一跳。
· 对于点到点接口,即使不知道对端地址,也可以在路由器配置时指定出接口。这样,即使对端地址发生了改变也无须改变该路由器的配置。如封装PPP协议的接口,通过PPP协商获取对端的IP地址,这时可以不指定下一跳,只需指定出接口即可。
· 在配置静态路由时,建议不要直接指定广播类型接口作为出接口(如以太网接口、Virtual-Template、VLAN接口等)。因为广播类型的接口,会导致出现多个下一跳,无法唯一确定下一跳。在某些特殊应用中,如果必须配置广播接口为出接口,则必须同时指定其对应的下一跳。
· 指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见“设备 > 接口管理”,本章不对DHCP客户端的配置进行介绍。
· 关于DHCP协议的详细介绍请参见“三层技术配置指导”中的“DHCP”。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如下图所示。
图7-1 DHCP典型应用
如下图所示,当DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
图7-2 DHCP中继的典型组网应用
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
(1) 保证客户端从合法的服务器获取IP地址。
网络中如果存在私自架设的伪DHCP服务器,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以实现如ARP Detection等功能,ARP Detection功能的详细介绍请参见“4 ARP防攻击”。
表7-1 DHCP服务器配置步骤
|
启动全局DHCP服务 缺省情况下,全局DHCP服务处于关闭状态 |
||
|
· DHCP服务器和客户端在同一个子网内,直接进行DHCP报文交互时,DHCP服务器上配置的地址池需要与DHCP服务器接口IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 · DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上配置的地址池需要与DHCP中继接口的IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 |
||
|
配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址 缺省情况下,接口工作在DHCP服务器模式
· 同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 · DHCP服务器只在IP地址为手工配置的接口上起作用 |
||
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如下图所示。
(2) 在页面最上方选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
图7-3 DHCP服务器
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-3所示。
(2) 在“地址池”中选中“静态”前的单选按钮,显示的是所有静态地址池。
(3) 单击<新建>按钮,进入新建静态地址池的配置页面,如下图所示。
(5) 单击<确定>按钮完成操作。
|
IP地址 |
设置静态绑定的IP地址和子网掩码 静态绑定的IP地址不能是DHCP服务器的接口IP地址,否则会导致IP地址冲突,被绑定的客户端将无法正常获取到IP地址 |
|
客户端MAC地址 |
设置地址池中静态绑定的客户端MAC地址或客户端ID,二选一
静态绑定的客户端ID要与待绑定客户端的ID一致,否则客户端无法成功获取IP地址 |
|
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
|
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则WINS服务器地址可以不配 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-3所示。
(2) 在“地址池”中选中“动态”前的单选按钮,显示的是所有动态地址池。
(3) 单击<新建>按钮,进入新建动态地址池的配置页面,如下图所示。
(5) 单击<确定>按钮完成操作。
|
IP地址 |
设置动态分配的IP地址范围,为一个IP网段 DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等)。否则,同一地址分配给两个客户端会造成IP地址冲突 |
|
|
设置DHCP地址池中动态分配的IP地址的租用有效期限 选择“不限制”,表示不限制IP地址的租用期限 |
||
|
天/小时/分/秒 |
||
|
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
||
|
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
||
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则可以不配置WINS服务器地址 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
|
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-3所示。
(2) 在“接口设置”中单击某接口对应的
图标,进入该接口DHCP服务器功能的配置页面,如下图所示。
(3) 选中DHCP服务器“启动”前的单选按钮。
(4) 单击<确定>按钮完成操作。
图7-6 DHCP服务器接口设置
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-3所示。
(2) 在“在用地址”中查看地址 池中已被分配的IP地址信息,如图7-3所示,详细说明如表7-4所示。
|
IP地址 |
已被分配的IP地址 |
|
客户端MAC地址/客户端ID |
该IP地址绑定的DHCP客户端MAC地址或客户端ID |
|
分配该IP地址的DHCP地址池名称 |
|
|
该IP地址的租约到期时间 |
表7-5 DHCP中继配置步骤
|
启动全局DHCP服务,配置DHCP的高级参数 缺省情况下,全局DHCP服务处于关闭状态 |
||
|
为了提高可靠性,可以在一个网络中设置多个DHCP服务器,构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将客户端发来的DHCP报文转发给服务器组中的所有服务器 |
||
|
配置接口工作在中继模式,并将接口与DHCP服务器组建立归属关系 缺省情况下,接口工作在DHCP服务器模式
· 同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 · 以太网子接口支持DHCP中继时,以太网子接口接收到的客户端报文中必须包含VLAN Tag,且VLAN Tag与子接口的VLAN ID一致,否则客户端报文将被丢弃 · DHCP中继只在IP地址为手工配置的接口上起作用 · 以太网子接口支持DHCP中继时,只能是子接口对子接口,也就是说客户端也必须使用子接口获取IP地址,此时如果是PC作为客户端则无法得到IP地址 |
||
|
当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系,生成DHCP中继的动态用户地址表项。同时,为满足用户采用合法固定IP地址访问外部网络的需求,DHCP中继也支持静态用户地址表项配置,即在DHCP中继上手工配置IP地址与MAC地址的绑定关系 缺省情况下,没有配置DHCP中继的静态用户地址表项 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP中继”页签,进入如下图所示的页面。
(3) 在页面最上方选中DHCP服务“启动”前的单选按钮。
(4) 单击<显示高级配置>按钮,可以展开DHCP中继高级参数的配置内容,如下图所示。
图7-9 DHCP中继高级配置
(5) 配置DHCP中继的高级参数,详细配置如下表所示。
(6) 单击<确定>按钮完成操作。需要注意的是,DHCP服务启动状态的配置也需要单击<确定>按钮才能完成。
表7-6 DHCP中继高级参数的详细配置
|
设置是否启动DHCP中继伪服务器检测功能 如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器 启动伪DHCP服务器检测功能后,DHCP中继会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从日志信息中查找伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录 |
|
|
设置是否启动DHCP中继动态用户地址表项定时刷新功能和刷新的时间间隔 当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系。由于DHCP客户端释放该IP地址时,会给DHCP服务器发送单播DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的用户地址项不能被实时刷新。为了解决这个问题,可以启动表项定时刷新功能。这样,每隔指定时间,DHCP中继以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文: · 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉 · 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项 需要注意的是,当刷新时间间隔选择“Auto”时,表示根据表项的数目自动计算刷新时间间隔 |
|
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP中继”页签,进入如图7-8所示的页面。
(3) 在“服务器组”中单击<新建>按钮,进入新建DHCP服务器组的配置页面,如下图所示。
图7-10 新建DHCP服务器组
(4) 配置DHCP服务器组的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表7-7 DHCP服务器组的详细配置
|
设置DHCP服务器组的ID 最多可以创建20个DHCP服务器组 |
|
|
IP地址 |
设置DHCP服务器组中服务器的IP地址 DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP中继”页签,进入如图7-8所示的页面。
(3) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP中继功能的配置页面,如下图所示。
图7-11 DHCP中继接口设置
(4) 配置接口工作在DHCP中继模式,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表7-8 接口工作在DHCP中继模式的详细配置
|
DHCP中继 |
设置是否在接口上启动DHCP中继功能 如果设置关闭DHCP中继功能,则接口将启动DHCP服务器功能 |
|
启动地址匹配检查功能后,如果在DHCP中继的用户地址表中(包括DHCP中继动态记录的表项以及手工配置的用户地址表项)没有与主机IP地址和主机MAC地址匹配的表项,则该主机将不能通过DHCP中继访问外部网络。这样,可以防止非法主机静态配置一个IP地址并访问其他网络 |
|
|
设置将接口与DHCP服务器组建立归属关系,一个服务器组可以对应多个接口 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP中继”页签,进入如图7-8所示的页面。
(3) 在“用户信息”中单击<用户信息>按钮,进入用户地址表项的显示页面,可以查看静态和动态用户地址表项,如下图所示。
(4) 单击<新建>按钮,进入新建静态用户地址表项的配置页面,如下图所示。
(6) 单击<确定>按钮完成操作。
|
IP地址 |
设置DHCP客户端的IP地址 |
|
MAC地址 |
设置DHCP客户端的MAC地址 |
|
设置与DHCP客户端相连的三层接口
静态用户地址表项中的接口必须工作在DHCP中继模式,否则可能引起地址表项冲突 |
|
缺省情况下,DHCP Snooping功能处于关闭状态 |
||
|
配置接口的信任属性和DHCP Snooping支持Option 82的相关参数 缺省情况下,在启动DHCP Snooping功能后,设备的所有接口的信任属性均为不信任;DHCP Snooping不支持Option 82功能
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内 |
||
|
查看DHCP Snooping记录的IP地址和MAC地址的绑定信息 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如下图所示的页面。
(3) 在页面最上方选中DHCP Snooping“启动”前的单选按钮,即可启动DHCP Snooping功能。
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图7-14所示的页面。
(3) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP Snooping功能的配置页面,如下图所示。
(4) 配置接口的DHCP Snooping功能,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表7-11 接口DHCP Snooping功能的详细配置
|
设置DHCP Snooping是否支持Option 82功能 |
|
|
Option 82选项策略 |
设置DHCP Snooping对包含Option 82的请求报文的处理策略,包括: · Drop:如果报文中带有Option 82,则丢弃该报文 · Keep:如果报文中带有Option 82,则保持该报文中的Option 82不变并进行转发 · Replace:如果报文中带有Option 82,则采用normal模式填充Option 82,替换报文中原有的Option 82,并进行转发 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图7-14所示的页面。
(3) 在“用户信息”中单击<用户信息>按钮,进入DHCP Snooping用户信息的显示页面,如下图所示。
(4) 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息,详细说明如下表所示。
表7-12 DHCP Snooping用户信息的详细说明
|
IP地址 |
DHCP服务器为DHCP客户端分配的IP地址 |
|
MAC地址 |
DHCP客户端的MAC地址 |
|
· Dynamic:表示动态生成的IP地址和MAC地址绑定 · Static:表示静态配置的IP地址和MAC地址绑定,目前不支持静态配置 |
|
|
与DHCP客户端连接的设备端口 |
|
|
与DHCP客户端连接的设备端口所属的VLAN |
|
· 配置AC作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址,AC上Vlan-interface2的IP地址为10.1.1.1/24。
· 10.1.1.0/24网段内的地址租用期限为10天12小时,网关的地址为10.1.1.1。
图7-17 DHCP服务器配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面。
步骤2:如下图所示,选中DHCP服务“启动”前的单选按钮完成操作。
(2) 配置Vlan-interface2工作在DHCP服务器模式。(缺省情况下接口工作在DHCP服务器模式,此步骤可以省略)
步骤1:在“接口设置”中单击Vlan-interface2对应的图标。
步骤2:如下图所示,选中DHCP服务器“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图7-19 配置Vlan-interface2工作在DHCP服务器模式
(3) 配置DHCP服务器的动态地址池。
步骤1:在“地址池”中默认选中的是“动态”前的单选按钮,单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入IP地址为“10.1.1.0”。
· 输入租用期限为“10”天“12”小时“0”分“0”秒。
步骤3:单击<确定>按钮完成操作。
图7-20 配置DHCP服务器的动态地址池
· 具有DHCP中继功能的AC通过端口(属于VLAN1)连接到DHCP客户端所在的网络。
· DHCP服务器的IP地址为10.1.1.1/24。
· 通过AC转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。
图7-21 DHCP中继配置组网图
由于DHCP中继所在接口的IP地址与DHCP服务器的IP地址不在同一网段,因此需要在DHCP服务器上通过静态路由或动态路由协议保证两者之间路由可达。
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络 > DHCP”。
步骤2:单击“DHCP中继”页签。
步骤3:如下图所示,选中DHCP服务“启动”前的单选按钮。
步骤4:单击<确定>按钮完成操作。
(2) 配置DHCP服务器组。
步骤1:在“服务器组”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入服务器组ID为“1”。
· 输入IP地址为“10.1.1.1”。
步骤3:单击<确定>按钮完成操作。
(3) 配置接口Vlan-interface1工作在DHCP中继模式。
步骤1:在“接口设置”中单击Vlan-interface1对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中DHCP中继“启动”前的单选按钮。
· 选择服务器组ID为“1”。
步骤3:单击<确定>按钮完成操作。
图7-24 DHCP中继接口设置
AC通过以太网端口GigabitEthernet1/0/2连接到DHCP服务器。要求:
· AC上启动DHCP Snooping功能,并支持Option 82功能;对包含Option 82的请求报文的处理策略为“Replace”。
· 与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。
图7-25 DHCP Snooping配置组网图
步骤1:在导航栏中选择“网络 > DHCP”。
步骤2:单击“DHCP Snooping”页签。
步骤3:如下图所示,选中DHCP Snooping“启动”前的单选按钮完成操作。
(2) 配置接口GigabitEthernet1/0/2的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/2对应的图标。
步骤2:如下图所示,选中信任属性“信任”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图7-27 配置接口GigabitEthernet1/0/2的DHCP Snooping功能
(3) 配置接口GigabitEthernet1/0/1的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/1对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图7-28 配置接口GigabitEthernet1/0/1的DHCP Snooping功能
本特性的支持情况与设备型号相关,请参见“特性差异列表”的“特性差异情况”部分的介绍。
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
链路聚合可以实现出/入负载在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。
聚合接口是一个逻辑接口。
聚合组是一组以太网接口的集合。聚合组是随着聚合接口的创建而自动生成的,其编号与聚合接口编号相同。
· 二层聚合组:随着二层聚合接口的创建而自动生成,只能包含二层以太网接口。
聚合组中的成员端口有下面两种状态:
· Selected状态:处于此状态的接口可以参与转发用户数据。
· Unselected状态:处于此状态的接口不能转发用户数据。
聚合接口的速率、双工状态由其Selected成员端口决定:聚合接口的速率是Selected成员端口的速率之和,聚合接口的双工状态与Selected成员端口的双工状态一致。
关于如何确定一个成员端口的状态,将在“8.1.3 1. 静态聚合模式”和“8.1.3 2. 动态聚合模式”中详细介绍。
LACP(Link Aggregation Control Protocol,链路聚合控制协议)是一种基于IEEE802.3ad标准的协议。LACP协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元)使两端的设备交互信息。
处于动态聚合组中的接口会自动使能LACP协议,该接口将通过发送LACPDU向对端通告自己的系统LACP协议优先级、系统MAC、端口的LACP协议优先级、端口号和操作Key。对端接收到LACPDU后,将其中的信息与其它接口所收到的信息进行比较,以选择能够处于Selected状态的接口,从而双方可以对接口处于Selected状态达成一致。
操作Key是在链路聚合时,聚合控制根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。
在聚合组中,处于Selected状态的成员端口具有相同的操作Key。
第二类配置所含内容如表8-1所示。同一聚合组中,如果成员端口与聚合接口的第二类配置不同,那么该成员端口将不能成为Selected端口。
|
类别 |
配置内容 |
|
端口隔离 |
端口是否加入隔离组、端口所属的端口隔离组 |
|
VLAN配置 |
端口上允许通过的VLAN、端口缺省VLAN ID、端口的链路类型(即Trunk、Hybrid、Access类型)、基于IP子网的VLAN配置、基于协议的VLAN配置、VLAN报文是否带Tag配置 |
|
MAC地址学习配置 |
是否具有MAC地址学习功能、端口是否具有最大学习MAC地址个数的限制、MAC地址表满后是否继续转发 |
· 还有一些配置称为“第一类配置”,此类配置可以在聚合接口和成员端口上配置,但是不会参与操作Key的计算,比如MSTP等。
· 由于成员端口上第二类配置的改变可能导致其选中状态发生变化,进而对业务产生影响,因此当在成员端口上进行第二类配置时,系统将给出提示信息,由用户来决定该配置是否继续进行。
按照聚合方式的不同,链路聚合可以分为两种模式:
· 静态聚合模式
· 动态聚合模式
静态聚合模式中,成员端口的LACP协议为关闭状态。系统按照以下原则设置成员端口的选中状态:
· 当聚合组内有处于Up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于Up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 与参考端口的端口属性配置和第二类配置一致且处于Up状态的端口成为可能处于Selected状态的候选端口,其它端口将处于Unselected状态。
· 聚合组中处于Selected状态的端口数是有限制的,当候选端口的数目未达到上限时,所有候选端口都为Selected状态,其它端口为Unselected状态;当候选端口的数目超过这一限制时,系统将按照端口号从小到大的顺序选择一些候选端口保持在Selected状态,端口号较大的端口则变为Unselected状态。
· 当聚合组中全部成员都处于Down状态时,全组成员均为Unselected状态。
· 因硬件限制(如不能跨板聚合)而无法与参考端口聚合的端口将处于Unselected状态。
当聚合组中处于Selected状态的端口数已达到限制时,后加入的端口即使具备成为Selected端口的条件,也会成为Unselected状态。这样能够尽量维持当前Selected端口上的流量不中断,但是可能导致设备重启前后各端口的Selected状态不一致。
当聚合组配置为动态聚合模式后,聚合组中成员端口的LACP协议自动使能。
在动态聚合模式中,成员端口处于不同状态时对协议报文的处理方式如下:
· Selected端口可以收发LACP协议报文。
· 处于Up状态的Unselected端口如果配置和对应的聚合接口配置相同,可以收发LACP协议报文。
系统按照以下原则设置成员端口的选中状态:
(1) 本端系统和对端系统会进行协商,根据两端系统中设备ID较优的一端的端口ID的大小,来决定两端端口的状态。具体协商步骤如下:
· 比较两端系统的设备ID(设备ID=系统的LACP协议优先级+系统MAC地址)。先比较系统的LACP协议优先级,如果相同再比较系统MAC地址。设备ID小的一端被认为较优(系统的LACP协议优先级和MAC地址越小,设备ID越小)。
· 比较设备ID较优的一端的端口ID(端口ID=端口的LACP协议优先级+端口号)。对于设备ID较优的一端的各个端口,首先比较端口的LACP协议优先级,如果优先级相同再比较端口号。端口ID小的端口作为参考端口(端口的LACP协议优先级和端口号越小,端口ID越小)。
· 与参考端口的端口属性配置和第二类配置一致且处于Up状态的端口、并且该端口的对端端口与参考端口的对端端口的配置也一致时,该端口才成为可能处于Selected状态的候选端口。否则,端口将处于Unselected状态。
· 聚合组中处于Selected状态的端口数是有限制的,当候选端口的数目未达到上限时,所有候选端口都为Selected状态,其它端口为Unselected状态;当候选端口的数目超过这一限制时,系统将按照端口ID从小到大的顺序选择一些端口保持在Selected状态,端口ID较大的端口则变为Unselected状态。同时,对端设备会感知这种状态的改变,相应端口的状态将随之变化。
(2) 因硬件限制(如不能跨板聚合)而无法与参考端口聚合的端口将处于Unselected状态。
对于上述两种聚合模式来说:
· 聚合组中处于Selected状态的端口数目与设备的型号有关,请以设备的实际情况为准。
· 聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。用户需要通过手工配置的方式保持各端口上的这些配置一致。
· 当聚合组中某成员端口的端口属性配置或第二类配置发生改变时,该端口或该聚合组内其它成员端口的选中状态可能会发生改变。
聚合组可以分为两种类型:负载分担聚合组和非负载分担聚合组。系统按照以下原则设置聚合组的负载分担类型:
· 当存在聚合资源时,如果聚合组中有两个或两个以上的Selected端口,则系统创建的聚合组为负载分担类型;如果聚合组中只有一个Selected端口,则系统创建的聚合组的负载分担类型与设备的型号有关,请以设备的实际情况为准。
· 当聚合资源分配完后(即创建的聚合组个数达到最大值时),创建的聚合组将为非负载分担类型。
· 负载分担聚合组中至少有一个Selected端口,而非负载分担聚合组中最多只有一个Selected端口,其余均为Unselected端口。
· 聚合资源分配完后创建的聚合组为非负载分担类型。此时如果把占用聚合资源的聚合组删除,后来创建的非负载分担聚合组不会成为负载分担类型。如果需要设置其为负载分担类型,建议用户先关闭该聚合组对应的聚合接口、然后重新打开此聚合接口。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建静态聚合接口,并配置其成员端口 创建静态聚合接口时,系统自动生成静态聚合组 缺省情况下,未配置任何链路聚合组 |
|
|
2 |
可选 查看已存在的链路聚合组的详细信息 |
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建动态聚合接口,并配置其成员端口 创建动态聚合接口时,系统自动生成动态聚合组,并使能LACP协议 缺省情况下,未配置任何链路聚合组 |
|
|
2 |
可选 设置端口LACP协议优先级和系统LACP协议优先级 改变LACP协议优先级将会影响到动态聚合组成员的Selected和Unselected状态 缺省情况下,端口和系统LACP协议优先级均为32768 |
|
|
3 |
可选 查看已存在的链路聚合组的详细信息 |
|
|
4 |
可选 查看已使能LACP协议的端口的详细信息,以及对端端口的详细信息 |
(1) 在导航栏中选择“网络 > 链路聚合”。
(2) 单击“创建”页签,进入如下图所示的页面。
(3) 配置链路聚合组的信息,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表8-4 链路聚合组的详细配置
|
配置项 |
说明 |
|
输入链路聚合接口 |
设置链路聚合接口的ID,作为链路聚合接口组的标识,也是链路聚合组的标识 |
|
选择链路聚合接口类型 |
设置要创建的链路聚合接口的类型,包括: · 静态(LACP不使能) · 动态(LACP使能) |
|
为新建的聚合接口选择成员端口 |
选择需要加入该聚合接口的成员端口,可以选择一个或多个端口 |
(1) 在导航栏中选择“网络 > 链路聚合”,默认进入“显示”页签的页面,如下图所示。页面上方的列表中显示所有聚合接口的信息。
(2) 选中一条表项,在页面下方的列表中会显示该聚合接口中端口成员的详细信息,详细说明如表8-5所示。
|
标题项 |
说明 |
|
聚合接口 |
链路聚合接口的类型和ID Bridge-Aggregation表示二层聚合接口 |
|
链路类型 |
链路聚合接口的类型,包括: · Static:静态聚合接口 · Dynamic:动态聚合接口 |
|
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
|
被选中端口数 |
聚合组中正在使用(即可以收发用户的业务报文)的端口数量 |
|
备用端口数 |
聚合组中未在使用(即不能收发用户的业务报文)的端口数量 |
|
端口成员 |
选中聚合接口中的端口成员 |
|
状态 |
端口成员的选中状态 |
|
未选中原因 |
端口成员未选中(即未在使用)的原因 当端口成员的状态为选中时,显示为“--” |
(1) 在导航栏中选择“网络 > LACP”。
(2) 单击“设置”页签,进入如下图所示的页面。
图8-3 设置LACP协议优先级
(3) 在页面的“设置LACP激活端口参数”部分修改端口的LACP协议优先级,详细配置如下表所示。
(4) 单击此部分的<确定>按钮完成操作。
表8-6 LACP协议优先级的详细配置
|
配置项 |
说明 |
|
端口优先级 |
设置端口的LACP协议优先级 |
|
选择端口修改端口优先级 |
在面板示意图中选择需要修改LACP协议优先级的端口 未使能LACP协议的端口也可以修改其LACP协议优先级 |
(5) 在“LACP公共参数设置”部分修改系统的LACP协议优先级。
(6) 单击此部分的<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > LACP”,默认进入“显示”页签的页面。页面上方的列表框中显示的是本设备上所有使能了LACP协议的端口的详细信息,详细说明如表8-7所示。
(2) 选中某条表项。
(3) 单击<查看详情>按钮,在下方的列表中显示该端口的对端端口的详细信息,如图8-4所示,详细说明如表8-8所示。
图8-4 查看LACP端口信息
表8-7 使能了LACP协议的端口信息的详细说明
|
标题项 |
说明 |
|
单元 |
当多台设备形成IRF时,端口所在设备的成员编号 |
|
端口 |
使能了LACP协议的端口的编号 |
|
LACP状态 |
端口上LACP协议的使能状态 |
|
端口优先级 |
端口的LACP协议优先级 |
|
状态 |
端口是否处于激活状态 如果处于激活状态,还将显示端口所属的聚合组 |
|
未选中原因 |
端口未在使用(即不能收发用户的业务报文)的原因,取值的具体说明请参见图8-4 |
|
对端端口 |
对端端口的编号 |
|
对端状态 |
对端端口的状态,用A~H表示 · A:LACP使能 · B:LACP短超时(不显示B表示LACP长超时) · C:发送端认为端口所在链路可聚合 · D:发送端认为端口所在链路处于同步状态 · E:发送端认为端口所在链路处于收集状态 · F:发送端认为端口所在链路处于分发状态 · G:发送端的接收状态机处于默认状态(没有收到报文、或者长时间内没有收到报文) · H:发送端的接收状态机处于超时状态 |
|
操作key |
本端端口的操作Key |
|
标题项 |
说明 |
|
单元 |
对端设备的成员编号 |
|
端口 |
对端端口的编号 |
|
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
|
对端端口优先级 |
对端端口的LACP协议优先级 |
|
对端操作key |
对端端口的操作Key |
· Device A与Device B通过各自的二层以太网端口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。
· Device A和Device B由三条物理链路连接。在Device A和Device B上把端口配置成链路聚合组,从而实现出/入负载在各成员端口中分担。
使用静态聚合组和动态聚合组均可以实现负载分担,下面将分别介绍这两种聚合组的配置方法,使用任何一种方法都可以实现需求。
(1) 方法一:配置静态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 选择链路聚合接口类型为“静态(LACP不使能)”。
· 选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤4:单击<确定>按钮完成操作。
图8-6 创建静态聚合组1
(2) 方法二:配置动态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 选择链路聚合接口类型为“动态(LACP使能)”。
· 在面板示意图上选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤4:单击<确定>按钮完成操作。
图8-7 创建动态聚合组1
对链路聚合组进行配置时,需要注意如下事项:
(1) 在聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。在进行配置时,用户需要通过手工配置的方式保证各端口上的这些配置一致。
· 参考端口:当聚合组内有处于Up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于Up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 端口属性配置:包括端口速率、双工模式和链路状态的配置。
· 第二类配置:请参见“8.1.2 6. 第二类配置”一节的介绍。
(2) 对于静态聚合组,用户要通过配置使同一链路上处在两台不同设备中的端口的Selected状态保持一致,否则聚合功能不能正常使用;对于动态聚合模式,系统两端会自动协商同一条链路上的两端端口在各自聚合组中的Selected状态,用户只需保证在一个系统中聚合在一起的端口的对端也同样聚合在一起,聚合功能即可正常使用。
(3) 删除二层聚合接口时,系统会自动删除对应的聚合组,且该聚合组中的所有成员端口将全部离开该聚合组。
(4) 由于没有负载分担资源而导致负载分担组成为非负载分担组时,可能出现下列两种情况:一种情况是,对端的Selected端口数与本端的Selected端口数不相同,此时不能保证流量的正确转发;另一种情况是,本端Selected端口的对端是Unselected端口,此时会导致上层协议和流量转发出现异常。请用户配置的时候避免上述情况的发生。
域名系统(DNS,Domain Name System)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的、有意义的域名,而由网络中的域名解析服务器将域名解析为正确的IP地址。
静态域名解析就是手工建立域名和IP地址之间的对应关系。当用户使用域名进行某些应用(如Telnet应用)时,系统查找静态域名解析表,从中获取指定域名对应的IP地址。
DNS代理用来在DNS客户端和DNS服务器之间转发DNS请求和应答报文,代替DNS客户端进行域名解析。
局域网内的DNS客户端把DNS代理当作DNS服务器,将DNS请求报文发送给DNS代理。DNS代理将该请求报文转发到真正的DNS服务器,并将DNS服务器的应答报文返回给DNS客户端,从而实现域名解析。
使用DNS代理功能后,当DNS服务器的地址发生变化时,只需改变DNS代理上的配置,无需改变局域网内每个DNS客户端的配置,从而简化了网络管理。
关于DNS的详细介绍请参见“三层技术配置指导”中的“域名解析”。
|
缺省情况下,静态域名解析表中没有主机名及其IP地址的对应关系 |
|
缺省情况下,没有配置DNS服务器的IP地址 |
||
表9-3 配置设备为DNS代理的步骤
(1) 在导航栏中选择“网络> DNS”,默认进入“静态域名解析”页签的页面,如下图所示。
(2) 单击<新建>按钮,进入新建静态域名解析表项的配置页面,如下图所示。
(4) 单击<确定>按钮完成操作。
表9-4 静态域名解析表的详细配置信息
|
设置静态域名解析表中主机名和主机IP地址的对应关系 每个主机名只能对应一个IP地址,当对同一主机名进行多次配置时,最后配置的IP地址有效 |
|
|
主机IP地址 |
(1) 在导航栏中选择“网络 > DNS”。
(4) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > DNS”。
(2) 单击“动态域名解析”页签,进入如图9-3所示的页面。
(3) 选中DNS代理“启动”前的单选按钮。
(4) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > DNS”。
(2) 单击“动态域名解析”页签,进入如图9-3所示的页面。
(3) 单击<添加IP地址>按钮,进入新建DNS服务器IP地址的页面,如下图所示。
(4) 在文本框中输入DNS服务器的IP地址。
(5) 单击<确定>按钮完成操作。
图9-4 新建DNS服务器IP地址
(1) 在导航栏中选择“网络 > DNS”。
(2) 单击“动态域名解析”页签,进入如图9-3所示的页面。
(3) 单击<添加域名后缀>按钮,进入新建DNS域名后缀的页面,如下图所示。
(4) 在文本框中输入DNS域名后缀。
(5) 单击<确定>按钮完成操作。
图9-5 新建DNS域名后缀
(1) 在导航栏中选择“网络 > DNS”。
(2) 单击“动态域名解析”页签,进入如图9-3所示的页面。
(4) 单击<确定>按钮完成操作。
为了避免记忆复杂的IP地址,AC希望通过便于记忆的域名访问某一主机。如果网络中存在DNS服务器,则可以利用动态域名解析功能,实现通过域名访问主机。
· DNS服务器的IP地址是2.1.1.2/16,DNS服务器上存在com域,且com域中包含域名“host”和IP地址3.1.1.1/16的对应关系。
· AC作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址。
· AC上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IP地址为3.1.1.1/16的主机Host。
图9-6 DNS配置组网图
· 在开始下面的配置之前,假设AC与Host之间的路由可达,AC和Host都已经配置完毕,接口IP地址如上图所示。
· 不同DNS服务器的配置方法不同,下面仅以Windows Server 2000为例,说明DNS服务器的配置方法。
步骤1:在开始菜单中,选择“程序 > 管理工具 > DNS”,进入域名服务器配置界面。
步骤2:如下图所示,右键点击“正向查找区域”,选择“新建区域”。
步骤3:按照提示创建新的区域com。
(2) 添加域名和IP地址的映射。
步骤1:如下图所示,右键点击区域com,选择“新建主机”,弹出新建主机的对话框。
步骤2:如下图所示,在新建主机的对话框中输入名称host和IP地址3.1.1.1。
步骤3:单击<添加主机>按钮完成操作。
图9-9 添加域名和IP地址的映射
步骤1:在导航栏中选择“网络 > DNS”。
步骤2:单击“动态域名解析”页签。
步骤3:如下图所示,选中动态域名解析“启动”前的单选按钮。
步骤4:单击<确定>按钮完成操作。
(2) 配置DNS服务器IP地址。
步骤1:单击<添加IP地址>按钮,进入新建DNS服务器IP地址的页面。
步骤2:如下图所示,输入DNS服务器IP地址为“2.1.1.2”。
步骤3:单击<确定>按钮完成操作。
图9-11 新建DNS服务器IP地址
步骤1:单击<添加域名后缀>按钮,进入新建DNS域名后缀的页面。
步骤2:如下图所示,输入DNS域名后缀为“com”。
步骤3:单击<确定>按钮完成操作。
图9-12 新建DNS域名后缀
在AC上执行Ping主机名host的操作,可以ping通,且对应的目的地址为3.1.1.1。
步骤1:在导航栏中选择“网络 > 诊断工具”,进入“IPv4 Ping”页签的页面。
步骤2:输入目的主机名为“host”。
步骤3:单击<开始>按钮执行Ping操作。
步骤4:查看到如下图所示的Ping操作结果。
图9-13 Ping操作结果
利用DNS(Domain Name System,域名系统)可以将域名解析为IP地址,从而实现使用域名来访问网络中的节点。但是,DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,DNS无法动态地更新域名和IP地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的IP地址是错误的,从而导致访问失败。
DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址。
图10-1 DDNS典型组网图
DDNS的典型组网环境如上图所示,DDNS采用客户端/服务器模式:
· DDNS客户端:IP地址变化时,需要在DNS服务器上动态更新其域名和IP地址对应关系的设备。Internet用户通常通过域名访问提供应用层服务的服务器,如HTTP、FTP服务器。为了保证IP地址变化时,仍然可以通过域名访问这些服务器,当服务器的IP地址发生变化时,服务器将作为DDNS客户端,向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求。
· DDNS服务器:负责通知DNS服务器动态更新域名和IP地址之间的对应关系。接收到DDNS客户端的更新请求后,DDNS服务器通知DNS服务器重新建立DDNS客户端的域名和IP地址之间的对应关系。从而保证即使DDNS客户端的IP地址改变,Internet用户仍然可以通过同样的域名访问DDNS客户端。
· 目前,DDNS更新过程没有统一的标准,向不同的DDNS服务器请求更新的过程各不相同。国内知名的DDNS服务提供商有www.3322.org和www.oray.cn等,其中www.oray.cn提供的DDNS服务又称为花生壳;国外的有www.dyndns.com等。
· 设备支持DDNS客户端功能,通过www.3322.org、花生壳等DDNS服务器动态更新DNS服务器上域名和IP地址之间的对应关系。
· 登录DDNS服务提供商的网站,注册账户,并为DDNS客户端申请域名。通过DDNS服务器更新域名和IP地址的对应关系时,DDNS服务器将检查DDNS更新请求中的账户信息是否正确、需要更新的域名是否属于该帐户。
· 配置与DDNS绑定的接口的主IP地址和所属安全域,使之与DDNS服务器路由可达。
· 配置静态或动态域名解析功能,以便将DDNS服务器的域名解析为IP地址。
(1) 在导航栏中选择“网络管理 > DNS > DDNS”,进入DDNS显示页面,如下图所示。
(2) 单击<新建>按钮,进入新建DDNS的配置页面,如下图所示。
(3) 配置DDNS,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表10-1 DDNS的详细配置
|
设置DDNS名称,该名称用于唯一标识一条DDNS信息 |
||
|
设置DDNS服务提供商,包括:3322.org、花生壳 |
||
|
设置服务提供商提供DDNS服务的域名 · 3322.org为“members.3322.org”,建议直接使用该域名,不要随意修改 · 花生壳为“phservice2.oray.net”。花生壳提供DDNS服务的域名可能为phservice2.oray.net、phddns60.oray.net、client.oray.net和ph031.oray.net等,请根据实际情况进行修改 |
||
|
设置DDNS更新启动后,定时发起更新请求的时间间隔
· 不论是否到达定时发起更新请求的时间,只要对应接口的主IP地址发生改变或接口的链路状态由Down变为Up,都会立即发起更新请求 · 如果配置更新间隔为0天0小时0分,则不会定时发起更新,除非对应接口的IP地址发生改变或接口的链路状态由Down变为Up |
||
|
设置登录DDNS服务器的用户名 |
||
|
设置登录DDNS服务器的密码 |
||
|
设置该DDNS所绑定的接口 DDNS更新的域名所对应的IP地址为该接口的主IP地址
一个接口最多可以被4个DDNS绑定 |
||
|
FQDN是节点在网络中的唯一标识,由主机名和域名组成,可被解析为IP地址 · 对于3322.org DDNS服务器,需要指定更新的FQDN,否则会导致DDNS更新失败 · 对于花生壳DDNS服务器,如果没有指定更新的FQDN,则DDNS服务器将更新DDNS客户端的帐户对应的所有域名;如果指定了更新的FQDN,则DDNS服务器只更新指定的FQDN |
||
· Device为Internet上的用户提供Web服务,使用的域名为whatever.3322.org。
· Device通过DHCP获得IP地址,为保证Device的Dialer 1接口IP地址变化后,Internet上的用户仍然可以利用域名whatever.3322.org访问Device,Device通过www.3322.org提供的DDNS服务及时通知DNS服务器更新域名和IP地址的对应关系。
· DNS服务器的IP地址为1.1.1.1。Device通过该DNS服务器将DDNS服务器的域名www.3322.org解析为IP地址。
图10-4 DDNS配置组网图
配置之前,请登录http://www.3322.org申请账户(帐户名为steven,密码为nevets),在DNS服务器上创建域名和IP地址的对应关系,并保证各个设备之间的路由可达。
步骤1:在导航栏中选择“网络管理 > DNS > 动态域名解析”。
步骤2:如下图所示,选中动态域名解析“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
(2) 配置DNS服务器的IP地址。
步骤1:在动态域名解析的页面单击<添加IP地址>按钮。
步骤2:如下图所示,输入DNS服务器IP地址为“1.1.1.1”。
步骤3:单击<确定>按钮完成操作。
图10-6 置DNS服务器的IP地址
步骤1:在导航栏中选择“网络管理 > DNS > DDNS”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 选择服务提供商为“3322.org”。
· 选择绑定接口为“Dialer 1”。
· 输入FQDN为“whatever.3322.org”。
步骤4:单击<确定>按钮完成操作。
配置完成后,Device的Dialer 1接口IP地址变化时,它将通过DDNS服务提供商www.3322.org通知DNS服务器建立域名whatever.3322.org和新的IP地址的对应关系,从而保证Internet上的用户可以通过域名whatever.3322.org解析到最新的IP地址,访问Device提供的Web服务。
PPPoE是Point-to-Point Protocol over Ethernet的简称。PPPoE协议采用Client/Server方式,它将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
AP设备上运行了PPPoE Client功能后,可以通过一个远端接入设备连入因特网,并可以实现对接入的每个AP设备进行控制、计费等。
PPPoE有两个阶段:Discovery阶段和PPP Session阶段,具体如下:
当一个客户端想开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SESSION ID。这就是Discovery阶段的目的。
当PPPoE进入Session阶段后PPP报文就可以作为PPPoE帧的净荷封装在以太网帧发到对端,SESSION ID必须是Discovery阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从Protocol ID开始。在Session阶段,客户端或服务器任何一方都可发PADT(PPPoE Active Discovery Terminate,PPPoE活动发现终止)报文通知对方结束本Session。
关于PPPoE的详细介绍,可以参考RFC2516。
图11-1 PPPoE组网图
(1) 在导航栏中选择“网络 > PPPoE”,默认进入“Client信息”页签的页面,如下图所示。
(2) 单击<新建>按钮,进入新建PPPoE Client页面,如下图所示。
(3) 配置PPPoE Client的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表11-1 新建PPPoE Client的详细配置
|
Dialer接口 |
设置Dialer接口号 |
|
设置PPPoE Client认证使用的用户名和密码 |
|
|
IP配置 |
设置接口配置或获取IP地址的方式 · 无IP配置:不配置IP地址 · 静态地址:静态配置接口的IP地址和掩码 · PPP协商:通过PPP协商获得IP地址 |
|
IP地址 |
设置接口的IP地址和掩码 当IP配置选择“静态地址”时,需配置此两项 |
|
设置被借用IP地址的接口 当IP配置选择“借用地址”时,需配置此项 |
|
|
设置PPPoE Client绑定的接口 |
|
|
设置PPPoE Client的连接方式为永久在线方式或非永久在线方式 · 永久在线方式是指,当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在 · 非永久在线方式是指,当物理线路up后,设备不立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户指定的超时时间,设备会自动中止此PPPoE会话。选择此方式时需配置超时时间 |
|
|
设置PPPoE链路的空闲超时时间 |
(1) 在导航栏中选择“网络 > PPPoE”。
(3) 选择会话信息查看类型为“统计信息”,页面如下图所示。
(4) 查看PPPoE Client会话统计信息,详细说明如下表所示。
表11-2 PPPoE Client会话统计信息的详细说明
|
PPPoE会话所属的以太网接口 PPPoE Client绑定的是VLAN接口时,此处显示空 |
|
|
Session ID,PPPoE会话的编号 |
|
|
PPPoE Client会话的接收报文数 |
|
|
PPPoE Client会话的接收字节数 |
|
|
PPPoE Client会话的丢弃报文数(接收方向) |
|
|
PPPoE Client会话的发送报文数 |
|
|
PPPoE Client会话的发送字节数 |
|
|
PPPoE Client会话的丢弃报文数(发送方向) |
(1) 在导航栏中选择“网络 > PPPoE”。
(4) 查看PPPoE Client会话概要信息,详细说明如下表所示。
表11-3 PPPoE Client会话概要信息的详细说明
|
Session ID,PPPoE会话的编号 |
|
|
Dialer接口号 |
PPPoE会话所对应的Dialer接口号 |
|
PPPoE会话所属的以太网接口 PPPoE Client绑定的是VLAN接口时,此处显示空 |
|
|
PPPoE Client的MAC地址 |
|
|
PPPoE Server的MAC地址 |
|
|
PPPoE会话所处的状态 · IDLE:没有进行PPPoE Client协商 · PADI:发送PADI报文,等待PADO应答 · PADR:发送PADR报文,等待PADS应答 · PPPNEG:开始进行PPP协商 · PPPUP:PPP协商完成 |
如下图所示,配置AC实现PPPoE Client的功能,能够与PPPoE Server建立PPPoE互通。
图11-6 PPPoE Client配置组网图
步骤1:在AC的导航栏中选择“网络 > PPPoE”,默认进入“Client信息”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入Dialer 接口为“1”。
· 输入用户名为“user1”。
· 选择IP配置为“PPP协商”。
步骤4:单击<确定>按钮完成操作。
图11-7 新建PPPoE Client
PPPoE Server上需要启用PPPoE协议、配置与Client上的配置相同的PPPoE用户和密码、为PPP对端分配的IP地址等,详细配置略。
在AC上查看PPPoE Client会话的概要信息。
步骤1:在AC的导航栏中选择“网络 > PPPoE”,单击“会话信息”页签。
步骤2:选择会话信息查看类型为“概要信息”。
步骤3:查看到PPP协商已完成,如下图所示。
图11-8 查看PPPoE Client会话的概要信息
配置PPPoE Client时需要注意如下事项:
(1) 在“设备 > 接口管理”中创建的Dialer接口也可以在PPPoE Client的显示页面中显示出来,并且可以修改和删除,但是无法建立PPPoE Client会话。
服务管理模块提供了FTP、Telnet、SSH、SFTP、HTTP和HTTPS服务的使能管理功能,可以使用户只在需要使用相应的服务时使能服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将FTP、HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。
FTP(File Transfer Protocol,文件传输协议)协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,是IP网络上传输文件的通用协议。
Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
· 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
· 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
· 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
(1) 在导航栏中选择“网络 > 服务管理”,进入服务管理的配置页面,如下图所示。
(2) 配置各种服务的启用状态及相关参数,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
|
FTP服务 |
启用FTP服务 |
缺省情况下,FTP服务处于关闭状态 |
|
设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务 单击“FTP服务”前的扩展按钮可以显示此配置项 |
||
|
Telnet服务 |
启用Telnet服务 |
缺省情况下,Telnet服务处于启用状态 |
|
SSH服务 |
启用SSH服务 |
缺省情况下,SSH服务处于关闭状态 |
|
SFTP服务 |
启用SFTP服务 |
缺省情况下,SFTP服务处于关闭状态
启用SFTP服务的同时必须启用SSH服务 |
|
HTTP服务 |
启用HTTP服务 |
缺省情况下,HTTP服务处于启用状态 |
|
设置HTTP服务的端口号 单击“HTTP服务”前的扩展按钮可以显示此配置项
|
||
|
设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务 单击“HTTP服务”前的扩展按钮可以显示此配置项 |
||
|
HTTPS服务 |
启用HTTPS服务 |
缺省情况下,HTTPS服务处于关闭状态 |
|
设置HTTPS服务所使用的本地证书,下拉框中显示的为证书的主题 可选的证书在“认证 > 证书管理”中配置,详细配置请参见“认证 > 证书管理”
· 服务管理、Portal认证、本地EAP服务三个模块中引用的PKI域(或PKI域的本地证书)是相互关联的,在任何一个模块进行了修改,另外两个模块中引用的PKI域(或PKI域的本地证书)也会随之改变 · 不指定证书时,HTTPS服务将自己生成证书 |
||
|
设置HTTPS服务的端口号 单击“HTTPS服务”前的扩展按钮可以显示此配置项
|
||
|
设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务 单击“HTTPS服务”前的扩展按钮可以显示此配置项 |
||
通过使用Ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障。
Ping的成功执行过程为:
(1) 源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文。
(2) 目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文。
Ping的输出信息分为以下几种情况:
· Ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
· 如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和Ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(Time to Live,生存时间)、响应时间和Ping过程报文的统计信息。
Ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值。
通过使用Trace Route工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备。当网络出现故障时,用户可以使用该命令分析出现故障的网络节点。
Trace Route的执行过程为:
(1) 源设备发送一个TTL为1的报文给目的设备。
(2) 第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址。
(3) 源设备重新发送一个TTL为2的报文给目的设备。
(4) 第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址。
(5) 以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址。
Trace Route的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
(1) 在导航栏中选择“网络 > 诊断工具”,默认进入“IPv4 Ping”页签的页面。
(2) 单击“高级设置”前的扩展按钮,可以展开IPv4 Ping操作高级参数的配置内容,如下图所示。
(3) 在“目的IP地址或者主机名”文本框中输入目标设备的IPv4地址或者主机名。
(4) 根据具体需要设置IPv4 Ping操作的高级参数。
(5) 单击<开始>按钮开始执行Ping操作。
(6) 在“信息”框中查看Ping操作的输出结果,如下图所示。
图13-2 IPv4 Ping操作结果
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“IPv6 Ping”页签。
(3) 单击“高级设置”前的扩展按钮,可以展开IPv6 Ping操作高级参数的配置内容,如下图所示。
(4) 在“目的IPv6地址或主机名”文本框中输入目标设备的IPv6地址或者主机名。
(5) 根据具体需要设置IPv6 Ping操作的高级参数。
(6) 单击<开始>按钮开始执行Ping操作。
(7) 在“信息”框中查看Ping操作的输出结果,如下图所示。
图13-4 IPv6 Ping操作结果
· Web目前不支持对IPv6地址进行Trace Route操作。
· 进行Trace Route操作前,需要先在中间设备上执行ip ttl-expires enable命令开启ICMP超时报文的发送功能,并且在目的设备上执行ip unreachables enable命令开启ICMP目的不可达报文发送功能。
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“Trace Route”页签,进入如下图所示的页面。
(3) 在文本框中输入Trace Route操作的目的IP地址或者主机名。
(4) 单击<开始>按钮开始执行Trace Route操作。
(5) 在“信息”框中查看Trace Route操作的输出结果,如下图所示。
NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。
RFC 1918为私有网络预留出了三个IP地址块,如下:
· A类:10.0.0.0~10.255.255.255
· B类:172.16.0.0~172.31.255.255
· C类:192.168.0.0~192.168.255.255
上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。
NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络。
(2) 内网用户主机(192.168.1.3)向外网服务器(1.1.1.2)发送的IP报文通过NAT设备。
(3) NAT设备查看报头内容,发现该报文是发往外网的,将其源IP地址字段的私网地址192.168.1.3转换成一个可在Internet上选路的公网地址20.1.1.1,并将该报文发送给外网服务器,同时在NAT设备的网络地址转换表中记录这一映射。
(4) 外网服务器给内网用户发送的应答报文(其初始目的IP地址为20.1.1.1)到达NAT设备后,NAT设备再次查看报头内容,然后查找当前网络地址转换表的记录,用内网私有地址192.168.1.3替换初始的目的IP地址。
上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外网服务器而言,它认为内网用户主机的IP地址就是20.1.1.1,并不知道有192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。
地址转换的优点在于,在为内部网络主机提供了“隐私”保护的前提下,实现了内部网络的主机通过该功能访问外部网络的资源。但它也有一些缺点:
· 由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP协议的port命令不能被正确转换。
· 网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟哪一台主机是恶意的,因为主机的IP地址被屏蔽了。
在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问,即当NAT设备查看IP数据报文的报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行地址转换。另外,也希望只有指定的公网地址才可用于地址转换。
设备可以利用ACL(Access Control List,访问控制列表)和地址池来对地址转换进行控制。
· 访问控制列表可以有效地控制地址转换的使用范围,只有满足访问控制列表规则的数据报文才可以进行地址转换。
· 地址池是用于地址转换的一些连续的公网IP地址的集合,它可以有效地控制公网地址的使用。用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池。在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址做为数据报文转换后的源IP地址。
从图14-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,来替代内部网络数据报文的源地址。在图14-1中是选择NAT设备出接口的IP地址(公有IP地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部网络的IP地址,因此,这种情况同时只允许最多有一台内部网络主机访问外部网络。
当内部网络的多台主机并发的要求访问外部网络时,NAT也可实现对并发性请求的响应,允许NAT设备拥有多个公有IP地址。当第一个内网主机访问外网时,NAT选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内网主机访问外网时,NAT选择另一个公有地址IP2,以此类推,从而满足了多台内网主机访问外网的请求。
NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内网主机并不会同时访问外网。公有IP地址的数目,应根据网络高峰期可能访问外网的内网主机数目的统计值来确定。
NAPT(Network Address Port Translation,网络地址端口转换)是基本地址转换的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为“多对一地址转换”。
NAPT同时映射IP地址和端口号:来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是“私网IP地址+端口号”与“公网IP地址+端口号”之间的转换。
下图描述了NAPT的基本原理。
图14-2 NAPT基本原理示意图
如上图所示,三个带有内部地址的数据报文到达NAT设备,其中报文1和报文2来自同一个内部地址但有不同的源端口号,报文1和报文3来自不同的内部地址但具有相同的源端口号。通过NAPT映射,三个数据报文的源IP地址都被转换到同一个外部地址,但每个数据报文都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。
采用NAPT可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
Easy IP功能是指进行地址转换时,直接使用接口的外网IP地址作为转换后的源地址,能够最大程度的节省IP地址资源。它也可以利用访问控制列表控制哪些内部地址可以进行地址转换。
NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器。
NAT设备提供的内部服务器功能,就是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。例如,可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。
如下图所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备根据报文的目的地址查找地址转换表项,将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号。
一般情况下,DNS服务器和访问私网服务器的用户都在公网,通过在NAT设备的公网接口上配置内部服务器,可以将公网地址、端口等信息映射到私网内的服务器上,使得公网用户可以通过内部服务器的域名或公网地址来访问内部服务器。但是,如下图所示,如果DNS服务器在公网,私网用户希望通过域名来访问私网的Web服务器,则会由于DNS服务器向私网用户发送的响应报文中包含的是私网服务器的公网地址,而导致收到响应报文的私网用户无法利用域名访问私网服务器。通过在设备上配置DNS mapping可以解决该问题。
DNS mapping功能是指,通过配置“域名+公网IP地址+公网端口号+协议类型”的映射表,建立内部服务器域名与内部服务器公网信息的对应关系。在配置了NAT的接口上,设备检查接收到的DNS响应报文,根据报文中的域名查找用户配置的DNS mapping映射表,并根据表项内的“公网IP地址+公网端口号+协议类型”信息查找内部服务器地址映射表中该信息对应的私网地址,替换DNS查询结果中的公网地址。这样,私网用户收到的DNS响应报文中就包含了要访问的内部服务器的私网地址,也就能够使用内部服务器域名访问同一私网内的内部服务器。
地址池是用于动态地址转换的一些连续的公有IP地址的集合。动态地址转换的过程中,NAT网关将会从地址池中挑选一个地址做为转换后的报文源地址。
在非对称路径的会话双机热备组网下进行NAT时,两台设备上配置的NAT地址池的地址空间必须完全一样,才能保证在一台设备发生故障时,另一台设备能够接替故障设备上的业务运行。但是,如果两台设备在做地址转换时,分别从各自的地址池中选用了相同的地址,且分配了相同的端口号,则会导致两台设备上的反向会话完全一样,无法进行会话数据的备份。
为解决上述问题,NAT地址池引入了低优先级属性,非低优先级地址池和低优先级地址池使用不同的端口号范围进行端口号分配。这样,双机热备的两台设备在进行地址转换时就会分配不同的端口号,在备份会话数据时就不会发生冲突。
关于双机热备的详细介绍请参见“高可靠性 > 双机热备”。
通过NAT设备上动态生成或静态建立的地址映射关系,实现内部网络与外部网络IP地址的转换。通常,我们按照地址映射关系的产生方式将地址转换分为动态地址转换和静态地址转换两类:
外部网络和内部网络之间的地址映射关系由报文动态决定。通过配置访问控制列表和地址池(或接口地址)的关联,由“具有某些特征的IP报文”挑选使用“地址池中地址(或接口地址)”,从而建立动态地址映射关系。适用于内部网络有大量用户需要访问外部网络的需求。这种情况下,关联中指定的地址池资源由内网报文按需从中选择使用,访问外网的会话结束之后该资源便释放给其它用户。
|
当要配置NAPT和多对多地址转换时必选 |
||
外部网络和内部网络之间的地址映射关系在配置中确定。适用于内部网络与外部网络之间的少量固定访问需求。
|
通过配置DNS mapping,可以实现私网用户通过域名(DNS服务器在公网)访问位于同一私网的内部服务器的功能 |
(1) 在导航栏中选择“网络 > NAT”,进入如下图所示的页面。
单击地址转换关联列表中的ACL ID的链接,进入该ACL的规则页面,可以查看该ACL规则的具体信息,可以新建、删除该ACL的规则。详细配置请参见“QoS > ACL IPv4”。
(2) 在“地址池”中单击<新建>按钮,进入新建地址池的配置页面,如下图所示。
(4) 单击<确定>按钮完成操作。
|
开始IP地址 |
|
|
结束IP地址 |
设置地址池的结束IP地址,必须大于或等于开始IP地址 |
|
|
(1) 在导航栏中选择“网络 > NAT”,进入如图14-5所示的页面。
(2) 在“地址转换关联”中单击<新建>按钮,进入新建动态地址转换的配置页面,如下图所示。
(4) 单击<确定>按钮完成操作。
|
不能将同一个ACL与不同的NAT地址池关联,且同一个ACL不能既与某个NAT地址池关联,又配置为Easy IP方式
某些设备上的关联ACL配置需遵循限制:同一接口下引用的ACL中所定义的规则之间不允许冲突,源IP地址信息、目的IP地址信息以及VPN实例信息完全相同,即认为冲突;对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息、VPN实例信息相同即认为冲突 |
|
|
· PAT:表示NAPT方式,将ACL和NAT地址池关联,同时转换数据包的IP地址和端口信息 · No-PAT:表示多对多地址转换方式,将ACL和NAT地址池关联,只转换数据包的IP地址,不使用端口信息 · Easy IP:表示Easy IP方式,直接使用接口的IP地址作为转换后的地址,利用ACL控制哪些地址可以进行地址转换 |
|
|
设置动态地址转换策略中的NAT地址池的地址池索引 可输入的地址池索引必须先通过配置NAT地址池来配置 当地址转换方式选择为“Easy IP”时,不需设置地址池索引 |
|
|
开启VRRP关联 |
设置是否将该接口动态地址转换与VRRP备份组相关联,并指定所关联的VRRP备份组 · 需要保证同一个接口下的相同地址池所关联的VRRP组相同,否则系统默认该地址池与组号最大的VRRP组进行关联 · 需要为两台设备配置相同的VRRP备份组,同时将动态地址转换策略与该VRRP备份组相关联,以保证双机热备业务的正常切换 |
|
关联的VRRP组 |
(1) 在导航栏中选择“网络 > NAT”,单击“静态地址转换”页签,进入如下图所示的页面。
(2) 在“静态地址映射”中单击<新建>按钮,进入新建静态地址映射的配置页面,如下图所示。
(4) 单击<确定>按钮完成操作。
|
内部IP地址 |
|
|
外部IP地址 |
|
|
设置IP地址的网络掩码 |
|
(1) 在导航栏中选择“网络 > NAT”,单击“静态地址转换”页签,进入如图14-8所示的页面。
(2) 在“接口静态转换”中单击<新建>按钮,进入新建接口静态地址转换的配置页面,如下图所示。
(4) 单击<确定>按钮完成操作。
|
开启VRRP关联 |
设置是否将该接口静态地址转换与VRRP备份组相关联,并指定所关联的VRRP备份组 当网络中由两台设备同时完成双机热备和静态地址转换功能时,需要为两台设备配置相同的VRRP备份组,同时将静态地址转换策略与该VRRP备份组相关联,以保证双机热备业务的正常切换 |
|
关联的VRRP组 |
(1) 在导航栏中选择“网络 > NAT”,单击“内部服务器”页签,进入如下图所示的页面。
(2) 在“内部服务器转换”中单击<新建>按钮,进入简单方式新建内部服务器的配置页面,如下图所示。
(4) 单击<确定>按钮完成操作。
(5) 进入简单方式新建内部服务器的配置页面后,单击<高级配置>按钮,进入高级方式新建内部服务器的配置页面,如下图所示。
(7) 单击<确定>按钮完成操作。
表14-8 新建内部服务器的详细配置(包括简单和高级配置的所有配置项)
|
设置IP协议承载的协议类型(仅高级配置支持此配置项) 进行内部服务器高级配置时,当协议类型选择的不是6(TCP)或17(UDP)时,只能设置内部IP地址与外部IP地址的一一对应的关系,外部端口和内部端口配置项不可用 |
|
|
外部IP地址 |
可以选择手工指定一个IP地址;或者选择一个接口,使用该接口的IP地址 |
|
· 对于简单配置:选择单文本框,表示一个固定的端口,0表示与指定服务的缺省端口一致,若所选的服务为any(TCP)或any(UDP),则外部端口为任意端口;选择双文本框,表示一个端口范围,和内部IP地址范围构成一一对应的关系 · 对于高级配置,当协议类型选择6(TCP)或17(UDP)时才需要设置外部端口:选择单文本框,表示一个固定的端口,0表示与指定的内部端口一致;选择双文本框,表示一个端口范围,和内部IP地址范围构成一一对应的关系 |
|
|
内部IP地址 |
· 对于简单配置:当外部端口选择单文本框时,内部IP地址也是在单文本框中进行设置,表示一个固定的IP地址;当外部端口选择双文本框,内部IP地址也是在双文本框中进行设置,表示一组连续的地址范围,和外部端口范围构成一一对应的关系,地址范围的数量必须和外部端口范围的数量相同 · 对于高级配置:当协议类型选择的不是6(TCP)或17(UDP),或者外部端口选择单文本框时,内部IP地址是在单文本框中进行设置,表示一个固定的IP地址;当协议类型选择6(TCP)或17(UDP)且外部端口选择双文本框时,内部IP地址是在双文本框中进行设置,表示一组连续的地址范围,和外部端口范围构成一一对应的关系,地址范围的数量必须和外部端口范围的数量相同 |
|
当协议类型选择6(TCP)或17(UDP)时可以配置此项,0表示任何类型的服务都提供,相当于外部IP地址和内部IP地址之间有一个静态的连接 |
|
|
开启VRRP关联 |
设置是否将该接口内部服务器与VRRP备份组相关联,并指定所关联的VRRP备份组 · 需要保证同一个接口下的内部服务器的公网地址所关联的VRRP组相同,否则系统默认该公网地址与组号最大的VRRP组进行关联 · 需要为两台设备配置相同的VRRP备份组,同时将内部服务器策略与该VRRP备份组相关联,以保证双机热备业务的正常切换 |
|
关联的VRRP组 |
(1) 在导航栏中选择“网络 > NAT”,单击“内部服务器”页签,进入如图14-11所示的页面。
(2) 在“DNS-MAP”中单击<新建>按钮,进入新建DNS mapping的配置页面,如下图所示。
(3) 配置DNS mapping,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表14-9 新建DNS mapping的详细配置
|
外部IP地址 |
|
一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16。通过配置NAT使得仅内部网络中10.110.10.0/24网段的用户可以访问Internet。
(1) 配置ACL 2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签。
步骤3:如下图所示,输入访问控制列表ID为“2001”。
步骤4:单击<应用>按钮完成操作。
步骤5:单击“基本配置”页签。
步骤6:进行如下配置,如下图所示。
· 访问控制列表选择“2001”。
· 选中“源IP地址”前的复选框,输入源IP地址为“10.110.10.0”,输入源地址通配符为“0.0.0.255”。
步骤7:单击<新建>按钮完成操作。
图14-17 配置ACL 2001的规则允许10.110.10.0/24网段的用户访问Internet
步骤8:如下图所示,选择操作为“禁止”。
步骤9:单击<新建>按钮完成操作。
图14-18 配置ACL 2001的规则禁止其他用户访问Internet
(2) 配置NAT地址池0,包括两个公网地址202.38.1.2和202.38.1.3。
步骤1:在导航栏中选择“网络 > NAT”,默认进入“动态地址转换”页签的页面。
步骤2:在“地址池”中单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入地址池索引为“0”。
· 输入开始IP地址为“202.38.1.2”。
· 输入结束IP地址为“202.38.1.3”。
步骤4:单击<确定>按钮完成操作。
图14-19 配置NAT地址池0
步骤1:在“地址转换关联”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface2”。
· 输入ACL为“2001”。
· 选择地址转换方式为“PAT”。
· 输入地址池索引为“0”。
步骤3:单击<确定>按钮完成操作。
某公司内部对外提供Web和FTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16。公司拥有202.38.1.1/24至202.38.1.3/24三个IP地址。需要实现如下功能:
· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
(1) 配置内部FTP服务器。
步骤1:在导航栏中选择“网络 > NAT”,单击“内部服务器”页签。
步骤2:在“内部服务器转换”中单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface2”。
· 选中“指定IP地址”前的单选按钮,输入外部IP地址为“202.38.1.1”。
· 选中“外部端口”单文本框前的单选按钮,输入外部端口为“21”。
· 在“内部IP地址”单文本框中输入“10.110.10.3”。
· 选择服务为“ftp”。
步骤4:单击<确定>按钮完成操作。
(2) 配置内部Web服务器1。
步骤1:在“内部服务器转换”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface2”。
· 选中“指定IP地址”前的单选按钮,输入外部IP地址为“202.38.1.1”。
· 选中“外部端口”单文本框前的单选按钮,输入外部端口为“80”。
· 在“内部IP地址”单文本框中输入“10.110.10.1”。
步骤3:单击<确定>按钮完成操作。
图14-23 配置内部Web服务器1
(3) 配置内部Web服务器2。
步骤1:在“内部服务器转换”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface2”。
· 选中“指定IP地址”前的单选按钮,输入外部IP地址为“202.38.1.1”。
· 选中“外部端口”单文本框前的单选按钮,输入外部端口为“8080”。
· 在“内部IP地址”单文本框中输入“10.110.10.2”。
步骤3:单击<确定>按钮完成操作。
图14-24 配置内部Web服务器2
· 某些设备上的地址池空间不能和以下地址重叠:其它已存在的NAT地址池、启动Easy IP特性的接口IP地址、内部服务器的公网地址。
· 低优先级地址池空间不能和以下地址重叠:非低优先级地址池、一对一地址转换的外部IP地址、内部服务器的公网地址。
(2) 在Web界面上可对地址池、动态地址转换、静态地址转换和内部服务器配置进行修改,但要注意设备在实际下发数据时是先删除原来的配置内容,再按照用户做的修改新建一条信息。
应用层协议检测,即ALG(Application Level Gateway,应用层网关),主要完成对应用层报文的处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而一些特殊协议,它们报文的数据载荷中可能包含IP地址或端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。
例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要应用层协议检测来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
应用层协议检测在与NAT(Network Address Translation,网络地址转换)、ASPF(Application Specific Packet Filter,基于应用层状态的包过滤)配合使用的情况下,可以实现地址转换、数据通道检测和应用层状态检查的功能。
对报文应用层数据载荷中携带的IP地址、端口、协议类型(TCP或者UDP)、对端地址(在数据载荷中带有对端的地址)进行地址转换。
提取数据通道信息,为后续的报文连接建立数据通道。此处的数据通道为相对于用户的控制连接而言的数据连接。
对报文的应用层协议状态进行检查,若正确则更新报文状态机进行下一步处理,否则丢弃报文。
本特性支持对多种应用层协议的检测处理,不同的协议对以上三种功能的支持情况有所不同,实际中根据具体需要选择支持全部或部分功能。
· FTP(File Transfer Protocol,文件传输协议)
· DNS(Domain Name System,域名系统)
· RTSP(Real Time Streaming Protocol,实时流协议)
· SIP(Session Initiation Protocol,会话初始协议)
· SQLNET,一种Oracle数据库语言
· PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)
· ILS(Internet Locator Service,互联网定位服务)
· NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入/输出系统)
· MSN、QQ,两种常见的语音视频通讯协议
· TFTP(Trivial File Transfer Protocol,简单文件传输协议)
· SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)
下面以FTP协议为例,简单描述启用应用层协议检测功能的设备在网络中的工作过程。如下图所示,位于外部网络的客户端以PASV方式访问内部网络的FTP服务器,经过中间的设备Device进行NAT转换,该设备上启用了应用层协议检测功能。
图15-1 PASV方式的FTP-ALG
客户端向服务器发送TCP连接请求。TCP连接建立成功后,服务器和客户端进入用户认证阶段。若TCP连接失败,服务器会断开与客户端的连接。
客户端向服务器发送认证请求,报文中包含FTP命令(USER、PASSWORD)及命令所对应的内容。
客户端的认证请求报文通过应用层协议检测处理之后,到达服务器端,服务器将对其进行响应。
认证状态正确且用户是服务器已经授权的客户端,才能和服务器建立数据连接,进行数据的交互。
如图15-1所示,当客户端发送“PASV”命令发起连接时,服务器会在发送给客户端的PASV响应报文中携带自己的私网地址和端口号(IP1,Port1),响应报文经过应用层协议检测设备时被解析,其中携带的服务器的私网地址和端口号被转换成其对应的公网地址和端口号(IP2,Port2),之后在该地址和端口与客户端的地址和端口之间将建立起数据通道。
(1) 在导航栏中选择“网络 > 应用层协议检测”,进入如下图所示的页面。
(2) 将需要启用应用层协议检测功能的协议添加到已选应用协议框中。
(3) 单击<确定>按钮完成操作。
某公司通过启用了NAT和应用层协议检测功能的设备连接到Internet。公司内部对外提供FTP服务。公司内部网址为192.168.1.1/24。其中,内部FTP服务器的IP地址为192.168.1.2。通过配置NAT和应用层协议检测,满足如下需求:
· 外部网络的Host可以访问内部的FTP服务器。
· 公司具有5.5.5.1、5.5.5.9~5.5.5.11四个合法的公网IP地址。FTP服务器使用5.5.5.10作为对外的IP地址。
图15-3 应用层协议检测支持FTP配置组网图
(1) 配置FTP的应用层协议检测功能。(缺省情况下,FTP的应用层协议检测功能处于启用状态,此步骤可省略)
步骤1:在导航栏中选择“网络 > 应用层协议检测”。
步骤3:单击<确定>按钮完成操作。
图15-4 配置FTP的应用层协议检测功能
(2) 配置ACL 2001。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签。
步骤4:单击<应用>按钮完成操作。
步骤5:单击“基本配置”页签。
步骤6访问控制列表选择“2001”。
步骤7:如下图所示,选择操作为“允许”。
步骤8:单击<新建>按钮完成操作。
(3) 配置NAT地址池。
步骤1:在导航栏中选择“网络 > NAT”,默认进入“动态地址转换”页签的页面。
步骤2:在“地址池”中单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入地址池索引为“1”。
· 输入开始IP地址为“5.5.5.9”。
· 输入结束IP地址为“5.5.5.11”。
步骤4:单击<确定>按钮完成操作。
图15-7 配置NAT地址池
步骤1:在“地址转换关联”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface1”。
· 输入ACL为“2001”。
· 选择地址转换方式为“PAT”。
· 输入地址池索引为“1”。
步骤3:单击<确定>按钮完成操作。
(5) 配置内部FTP服务器。
步骤1:在导航栏中选择“网络 > NAT”,单击“内部服务器”页签。
步骤2:在“内部服务器转换”中单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface1”。
· 选中“指定IP地址”前的单选按钮,输入外部IP地址为“5.5.5.10”。
· 选中“外部端口”单文本框前的单选按钮,输入外部端口为“21”。
· 在“内部IP地址”单文本框中输入“192.168.1.2”。
· 选择服务为“ftp”。
步骤4:单击<确定>按钮完成操作。
某公司通过启用了NAT和应用层协议检测功能的设备连接到Internet。公司内部网址为192.168.1.0/24。通过配置NAT和应用层协议检测,满足如下要求:
· 公司内部的SIP UA 1和外部网络的SIP UA 2均可以通过别名与对方成功建立通信。
· 公司具有5.5.5.1、5.5.5.9~5.5.5.11四个合法的公网IP地址。公司内部SIP UA 1在向外部的SIP server注册时选择5.5.5.9~5.5.5.11中的一个地址作为其公网地址。
图15-10 应用层协议检测支持SIP配置组网图
(1) 配置SIP的应用层协议检测功能。(缺省情况下,SIP的应用层协议检测功能处于启用状态,此步骤可省略)
步骤1:在导航栏中选择“网络 > 应用层协议检测”。
步骤3:单击<确定>按钮完成操作。
图15-11 配置SIP的应用层协议检测功能
(2) 配置ACL 2001
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签。
步骤4:单击<应用>按钮完成操作。
步骤5:单击“基本配置”页签。
步骤6:进行如下配置,如下图所示。
· 访问控制列表选择“2001”。
· 选中“源IP地址”前的复选框,输入源IP地址为“192.168.1.0”,输入源地址通配符为“0.0.0.255”。
步骤7:单击<新建>按钮完成操作。
图15-13 配置基本ACL规则允许源IP地址为192.168.1.0/24网段报文通过
步骤8:如下图所示,选择操作为“禁止”。
步骤9:单击<新建>按钮完成操作。
图15-14 配置基本ACL规则禁止其他报文通过
(3) 配置NAT地址池。
步骤1:在导航栏中选择“网络 > NAT”,默认进入“动态地址转换”页签的页面。
步骤2:在“地址池”中单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入地址池索引为“1”。
· 输入开始IP地址为“5.5.5.9”。
· 输入结束IP地址为“5.5.5.11”。
步骤4:单击<确定>按钮完成操作。
图15-15 配置NAT地址池
步骤1:在“地址转换关联”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface2”。
· 输入ACL为“2001”。
· 选择地址转换方式为“PAT”。
· 输入地址池索引为“1”。
步骤3:单击<确定>按钮完成操作。
某公司通过启用了NAT和应用层协议检测功能的设备连接到Internet。公司内部对外提供NBT服务。公司内部网址为192.168.1.0/24。其中,内部服务器通过配置NAT和应用层协议检测,满足如下要求:
· 外部网络的主机可以通过主机名访问内部的WINS服务器和主机。
· Host A使用5.5.5.9作为对外的IP地址。WINS服务器使用5.5.5.10作为对外的IP地址。
图15-17 应用层协议检测支持NBT配置组网图
(1) 配置NBT的应用层协议检测功能。(缺省情况下,NBT的应用层协议检测功能处于启用状态,此步骤可省略)
步骤1:在导航栏中选择“网络 > 应用层协议检测”。
步骤3:单击<确定>按钮完成操作。
图15-18 配置NBT的应用层协议检测功能
步骤1:在导航栏中选择“网络 > NAT”,单击“静态地址转换”页签。
步骤2:在“静态地址映射”中单击<新建>按钮。
步骤3:如下图所示,输入内部IP地址为“192.168.1.3”,输入外部IP地址为“5.5.5.9”。
步骤4:单击<确定>按钮完成操作。
步骤1:在“接口静态转换”中单击<新建>按钮。
步骤2:如下图所示,选择接口为“Vlan-interface2”。
步骤3:单击<确定>按钮完成操作。
(4) 配置内部WINS服务器。
步骤1:在导航栏中选择“网络 > NAT”,单击“内部服务器”页签。
步骤2:在“内部服务器转换”中单击<新建>按钮。
步骤3:单击<高级配置>按钮。
步骤4:进行如下配置,如下图所示。
· 选择接口为“Vlan-interface2”。
· 选择协议类型为“17(UDP)”。
· 输入外部IP地址为“5.5.5.10”。
· 输入内部IP地址为“192.168.1.2”。
步骤5:单击<确定>按钮完成操作。
步骤6:在“内部服务器转换”中单击<新建>按钮。
步骤7:单击<高级配置>按钮。
步骤8:进行如下配置。
· 选择接口为“Vlan-interface2。
· 选择协议类型为“17(UDP)”。
· 输入外部IP地址为“5.5.5.10”。
· 输入内部IP地址为“192.168.1.2”。
步骤9:单击<确定>按钮完成操作。
步骤10:在“内部服务器转换”中单击<新建>按钮。
步骤11:单击<高级配置>按钮。
步骤12:进行如下配置。
· 选择接口为“Vlan-interface2”。
· 选择协议类型为“6(TCP)”。
· 输入外部IP地址为“5.5.5.10”。
· 输入内部IP地址为“192.168.1.2”。
步骤13:单击<确定>按钮完成操作。
本特性的支持情况与设备型号相关,请参见“特性差异列表”的“特性差异情况”部分的介绍。
WAN接口设置模块支持对以太网接口进行上网参数的配置。
以太网接口支持三种连接模式:
· 自动模式:即配置接口作为DHCP客户端,使用DHCP方式获取IP地址。
· 手动模式:即手动为接口配置IP地址和子网掩码。
· PPPoE:即配置接口作为PPPoE客户端。PPPoE是Point-to-Point Protocol over Ethernet的简称,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每个主机实现控制、计费功能,极高的性能价格比使PPPoE在包括小区组网建设等一系列应用中被广泛采用。
在导航栏中选择“接口配置 > WAN接口设置”,进入“WAN接口设置”页签的页面,如图16-1所示。页面上显示接口的名称、连接模式、IP地址/掩码、状态和操作信息。单击以太网接口对应的图标,进入以太网接口编辑的页面,如图16-2所示。
图16-1 WAN接口设置
图16-2 WAN接口设置(以太网接口)
以太网接口的详细配置如表16-1、表16-2和表16-3所示。
表16-1 以太网接口的详细配置(自动模式)
|
配置项 |
说明 |
|
WAN口 |
显示要配置的接口名称 |
|
接口状态 |
显示和设置接口的状态 · 当显示为“已连接”时,表示接口当前状态为开启且已连接,可以单击后面的<关闭>按钮,将接口强制关闭 · 当显示为“未连接”时,表示接口当前状态为开启但未连接,可以单击后面的<关闭>按钮,将接口强制关闭 · 当显示为“强制关闭”时,表示接口当前状态为强制关闭,可以单击后面的<开启>按钮,将接口开启 |
|
连接模式:自动获取IP地址 |
选择连接模式为“自动获取IP地址” |
|
配置项 |
说明 |
|
WAN口 |
显示要配置的接口名称 |
|
接口状态 |
显示和设置接口的状态 · 当显示为“已连接”时,表示接口当前状态为开启且已连接,可以单击后面的<关闭>按钮,将接口强制关闭 · 当显示为“未连接”时,表示接口当前状态为开启但未连接,可以单击后面的<关闭>按钮,将接口强制关闭 · 当显示为“强制关闭”时,表示接口当前状态为强制关闭,可以单击后面的<开启>按钮,将接口开启 |
|
连接模式:手动指定IP地址 |
选择连接模式为“手动指定IP地址” |
|
TCP-MSS |
设置接口的TCP最大报文段长度 |
|
MTU |
设置接口允许通过的最大传输单元 |
|
IP地址 |
设置接口的IP地址 |
|
子网掩码 |
设置接口的子网掩码 |
|
网关地址 |
设置静态路由的下一跳 |
|
DNS1 |
设置接口的DNS服务器的IP地址,注意DNS1的使用顺序在DNS2之前 在“高级配置 > DNS设置 > 域名解析设置”中可以配置全局的DNS服务器。全局DNS服务器的优先级高于接口的DNS服务器,即首先向全局DNS服务器发送查询请求,失败后再依次向所有接口的DNS服务器发送查询请求 |
|
DNS2 |
|
配置项 |
说明 |
|
WAN口 |
显示要配置的接口名称 |
|
接口状态 |
显示和设置接口的状态 · 当显示为“已连接”时,表示接口当前状态为开启且已连接,可以单击后面的<关闭>按钮,将接口强制关闭 · 当显示为“未连接”时,表示接口当前状态为开启但未连接,可以单击后面的<关闭>按钮,将接口强制关闭 · 当显示为“强制关闭”时,表示接口当前状态为强制关闭,可以单击后面的<开启>按钮,将接口开启 |
|
连接模式:虚拟拨号(PPPoE) |
选择连接模式为“虚拟拨号(PPPoE)” |
|
用户名 |
设置身份验证使用的用户名 |
|
密码 |
显示当前是否设置了身份验证使用的密码 如果该文本框中无内容,则表示当前未设置身份验证使用的密码 |
|
新密码 |
设置或修改身份验证使用的密码 |
|
TCP-MSS |
设置接口的TCP最大报文段长度 |
|
MTU |
设置接口允许通过的最大传输单元 |
|
一直在线 |
设置空闲自动挂断时间 · 一直在线:表示设备一直在线 · 空闲一段时间后自动断线:如果设备在设置的时间内没有与Internet发生数据交互,则设备将自动断开与服务器的连接,此后当有来自局域网的外网访问请求时,设备将自动进行拨号连接操作 当选择“空闲一段时间后自动断线”时,还需要设置“空闲时间” |
|
空闲一段时间后自动断线 |
|
|
空闲时间 |
在“WAN接口设置”页签的页面,如图16-1所示,在接口列表中可以查看接口的名称、连接模式、IP地址/掩码、状态等信息。单击接口名称的链接,可以进入端口统计信息的显示页面进行查看,如图16-3所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
