05-网络
本章节下载 (1.29 MB)
目 录
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,带冲突检测的载波侦听多路访问)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virtual Local Area Network,虚拟局域网)技术,这种技术可以把一个LAN划分成多个虚拟的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。这样,广播报文被限制在一个VLAN内,如下图所示。
图1-1 VLAN示意图
VLAN的划分不受物理位置的限制:不在同一物理位置范围的主机可以属于同一个VLAN;一个VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由器。
VLAN的优点如下:
· 限制广播域。广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
· 增强局域网的安全性。VLAN间的二层报文是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需通过路由器或三层交换机等三层设备。
· 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层,只能对报文的数据链路层封装进行识别。因此,如果添加识别字段,也需要添加到数据链路层封装中。
IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN标识的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段,如下图所示。
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文所属协议类型。
IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
图1-3 VLAN Tag的组成字段
如上图所示,VLAN Tag包含四个字段,分别是TPID(Tag Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式指示位)和VLAN ID。
· TPID用来标识本数据帧是否带有VLAN Tag,长度为16bit,缺省取值为0x8100。
· Priority表示报文的802.1P优先级,长度为3bit。
· CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。
· VLAN ID标识该报文所属VLAN的编号,长度为12bit,取值范围为0~4095。由于0和4095为协议保留取值,所以VLAN ID的取值范围为1~4094。
网络设备利用VLAN ID来识别报文所属的VLAN,根据报文是否携带VLAN Tag以及携带的VLAN Tag值,来对报文进行处理。
· 这里的帧格式以Ethernet II型封装为例,以太网还支持802.2 LLC、802.2 SNAP和802.3 raw封装格式。对于这些封装格式的报文,也会添加VLAN Tag字段,用来区分不同VLAN的报文。
· 对于多VLAN Tag报文,设备会根据其最外层VLAN Tag进行处理,而内层VLAN Tag会被视为报文的普通数据部分。
VLAN根据划分方式不同可以分为不同类型,下面列出了几种最常见的VLAN类型:
· 基于端口的VLAN
· 基于MAC地址的VLAN
· 基于协议的VLAN
· 基于IP子网的VLAN
· 基于策略的VLAN
· 其它VLAN
Web界面目前只支持对基于端口的VLAN的配置,因此,本章中也只对基于端口的VLAN进行介绍。
基于端口划分VLAN是最简单、最有效的VLAN划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文。
根据端口在转发报文时对VLAN Tag的不同处理方式,可将端口的链路连接类型分为三种:
· Access连接:端口发出去的报文不带VLAN Tag。一般用于和不能识别VLAN Tag的终端设备相连,或者不需要区分不同VLAN成员时使用。如图1-4所示,Device A和普通的PC相连,PC不能识别带VLAN Tag的报文,所以需要将Device A和PC相连端口的链路连接类型设置为Access。
· Trunk连接:端口发出去的报文,端口缺省VLAN内的报文不带Tag,其它VLAN内的报文都必须带Tag。通常用于网络传输设备之间的互连。如图1-4所示,Device A和Device B之间需要传输VLAN 2和VLAN 3的报文,所以,需要将Device A和Device B相连端口的链路连接类型设置为Trunk,并允许VLAN 2和VLAN 3通过。
· Hybrid连接:端口发出去的报文可根据需要设置某些VLAN内的报文带Tag,某些VLAN内的报文不带Tag。通常在不确定相连的设备是否支持VLAN Tag(即是否可以识别携带VLAN Tag的报文)时,设置某些VLAN内的报文不带Tag。如图1-4所示,Device C与一个小局域网相连,局域网中有些PC属于VLAN 2,有些PC属于VLAN 3,此时Device B不确定Device C是否支持VLAN Tag,需要将与Device C相连端口的链路连接类型设置为Hybrid,并允许VLAN 2和VLAN 3的报文不带Tag通过。
除了可以设置端口允许通过的VLAN,还可以设置端口的缺省VLAN。在缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。
· Access端口的缺省VLAN就是它所属的VLAN。
· Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置缺省VLAN。
· 当删除某个VLAN时,如果该VLAN是某个端口的缺省VLAN,则对Access端口,端口的缺省VLAN会恢复到VLAN 1;对Trunk或Hybrid端口,端口的缺省VLAN配置不会改变,即它们可以使用已经不存在的VLAN作为缺省VLAN。
· 建议本端设备端口的缺省VLAN和相连的对端设备端口的缺省VLAN保持一致。
· 建议保证端口的缺省VLAN为端口允许通过的VLAN。如果端口不允许某VLAN通过,但是端口的缺省VLAN为该VLAN,则端口会丢弃收到的该VLAN的报文或者不带VLAN Tag的报文。
在配置了端口连接类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况如表1-1所示。
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
接收的报文不带Tag时 |
接收的报文带有Tag时 |
||
Access |
为报文添加缺省VLAN的Tag |
· 当VLAN与缺省VLAN相同时,接收该报文 · 当VLAN与缺省VLAN不同时,丢弃该报文 |
去掉Tag,发送该报文 |
Trunk |
· 当缺省VLAN在端口允许通过的VLAN列表中时,接收该报文,为报文添加缺省VLAN的Tag · 当缺省VLAN不在端口允许通过的VLAN列表中时,丢弃该报文 |
· 当VLAN在端口允许通过的VLAN列表中时,接收该报文 · 当VLAN不在端口允许通过的VLAN列表中时,丢弃该报文 |
· 当VLAN与缺省VLAN相同,且在端口允许通过的VLAN列表中时,去掉Tag,发送该报文 · 当VLAN与缺省VLAN不同,且在端口允许通过的VLAN列表中时,保持原有Tag,发送该报文 |
Hybrid |
当VLAN在端口允许通过的VLAN列表中时,发送该报文,是否去掉Tag可由用户手动配置 |
表1-2 基于Access端口的VLAN配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建一个或多个VLAN |
||
2 |
可选 配置端口的连接类型为Access 缺省情况下,端口的连接类型为Access |
||
3 |
配置Access端口的缺省VLAN |
必选 Access端口只有一个Untagged VLAN,即其缺省VLAN。因此,这三个步骤配置效果相同,同时配置时,以最后的配置为准 缺省情况下,Access端口的Untagged VLAN(即缺省VLAN)为VLAN 1 |
|
4 |
此步骤用于指定在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围。首次进入上述三个页面之前,必须执行此操作 |
||
配置VLAN的Untagged成员为Access端口 |
|||
5 |
配置Access端口的Untagged VLAN |
表1-3 基于Trunk端口的VLAN配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建一个或多个VLAN |
||
2 |
必选 配置端口的连接类型为Trunk 对于Hybrid端口,必须先将其设置为Access端口,才能再设置为Trunk端口 缺省情况下,端口的连接类型为Access |
||
3 |
配置Trunk端口的缺省VLAN |
必选 Trunk端口只有一个Untagged VLAN,即其缺省VLAN。因此,这三个步骤配置效果相同,同时配置时,以最后的配置为准 缺省情况下,Trunk端口的Untagged VLAN(即缺省VLAN)为VLAN 1 改变Trunk端口的Untagged VLAN(即其缺省VLAN)时,该端口原来的Untagged VLAN将自动变为其Tagged VLAN |
|
4 |
此步骤用于指定在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围。首次进入上述三个页面之前,必须执行此操作 |
||
配置VLAN的Untagged成员为Trunk端口 |
|||
5 |
配置Trunk端口的Untagged VLAN |
||
6 |
首次进入“细节”、“修改VLAN”和“删除”页签的页面前,必须执行此操作,以指定在上述三个页面中进行操作时可选择的VLAN范围 |
必选 Trunk端口可以有多个Tagged VLAN。因此,通过这两个步骤多次为Trunk端口配置的Tagged VLAN将同时有效 |
|
配置VLAN的Tagged成员为Trunk端口 |
|||
7 |
配置Trunk端口的Tagged VLAN |
表1-4 基于Hybrid端口的VLAN配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建一个或多个VLAN |
||
2 |
可选 配置端口的连接类型为Hybrid 对于Trunk端口,必须先将其设置为Access端口,才能再设置为Hybrid端口 如果通过步骤5为Trunk端口一次同时指定多个Untagged VLAN,则非Hybrid端口将自动变为Hybrid端口 缺省情况下,端口的连接类型为Access |
||
3 |
可选 配置Hybrid端口的缺省VLAN 缺省情况下,Hybrid端口的缺省VLAN为VLAN 1 |
||
4 |
此步骤用于指定在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围。首次进入上述三个页面之前,必须执行此操作 |
必选 Hybrid端口可以有多个Untagged VLAN。因此,通过这两个步骤多次为Hybrid端口配置的Untagged VLAN将同时有效 缺省情况下,Hybrid端口的Untagged VLAN为VLAN 1 |
|
配置VLAN的Untagged成员为Hybrid端口 |
|||
5 |
配置Hybrid端口的Untagged VLAN |
||
6 |
首次进入“细节”、“修改VLAN”和“删除”页签的页面前,必须执行此操作,以指定在上述三个页面中进行操作时可选择的VLAN范围 |
必选 Hybrid端口可以有多个Tagged VLAN。因此,通过这两个步骤多次为Hybrid端口配置的Tagged VLAN将同时有效 |
|
配置VLAN的Tagged成员为Hybrid端口 |
|||
7 |
配置Hybrid端口的Tagged VLAN |
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“创建”页签,进入VLAN的创建页面,如下图所示。
(3) 输入要创建的VLAN ID或VLAN ID范围。
(4) 单击<创建>按钮完成操作。
端口的连接类型还可以在“设备 > 端口管理 [设置]”中配置,详细配置请参见“端口管理”。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签。
(3) 在面板示意图中选择要配置的端口。
(4) 如下图所示,选择操作类型为“连接类型”,表示要对选中的端口进行修改连接类型的配置。
(5) 设置端口的连接类型,包括:Access、Hybrid、Trunk。
(6) 单击<应用>按钮,弹出配置进度对话框。
(7) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-6 修改端口的连接类型
端口的缺省VLAN还可以在“设备 > 端口管理 [设置]”中配置,详细配置请参见“端口管理”。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签。
(3) 在面板示意图中选择要配置的端口。
(4) 如下图所示,选择操作类型为“PVID”,表示要对选中的端口进行修改缺省VLAN的配置。
(5) 设置端口的PVID,选中“删除”时表示将端口的PVID恢复为缺省值VLAN 1。需要注意的是,为Access端口指定的PVID必须是已经存在的VLAN。
(6) 单击<应用>按钮,弹出配置进度对话框。
(7) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-7 修改端口的缺省VLAN
(1) 在导航栏中选择“网络 > VLAN”,默认进入“选择”页签的页面,如下图所示。
(2) 选择是希望显示所有已配置的VLAN,还是显示所有已配置VLAN的一个子集。如果希望显示所有已配置VLAN的一个子集,则还需要制定希望显示的VLAN范围。
(3) 单击<选择>按钮完成操作。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改VLAN”页签,进入如下图所示的页面。
(3) 配置VLAN的端口成员,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表1-5 修改VLAN中端口的详细配置
配置项 |
说明 |
|
请选择一个VLAN修改 |
设置要修改的VLAN,可选的VLAN为已存在并且包含在设置的显示范围内的VLAN |
|
修改描述 |
设置修改VLAN的描述字符串 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,如“VLAN 0001” |
|
选择成员类型 |
Untagged |
设置VLAN中要修改的端口成员类型,包括: · Untagged:表示端口成员发送该VLAN报文时不带Tag标签 · Tagged:表示端口成员发送该VLAN报文时带Tag标签 · 非成员:表示从该VLAN中删除端口成员 |
Tagged |
||
非成员 |
||
选择要修改的端口 |
选择VLAN中要进行修改的端口 将Access端口配置为某VLAN的Tagged成员时,该端口会被修改为Hybrid端口 |
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签,进入如下图所示的页面。
(3) 配置端口所属VLAN,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表1-6 修改端口所属VLAN的详细配置
配置项 |
说明 |
选择端口 |
选择要修改所属VLAN的端口 |
选择操作类型 |
设置要进行的操作类型,包括: · Untagged:表示将端口设置为指定VLAN的Untagged成员,端口发送指定VLAN报文时将不带Tag标签 · Tagged:表示将端口设置为指定VLAN的Tagged成员,端口发送指定VLAN报文时将带Tag标签 · 非成员:表示将端口从指定VLAN中删除 |
VLAN IDs |
设置端口要加入或退出的VLAN ID · 将Access端口配置为某VLAN的Untagged成员时,该VLAN必须已经存在 · 将Access端口配置为某VLAN的Tagged成员或将Trunk端口一次配置为多个VLAN的Untagged成员时,该端口会被修改为Hybrid端口 · 将Hybrid端口配置为某VLAN的Untagged或Tagged成员时,该VLAN必须是已经存在的静态VLAN |
· Switch A与对端Switch B使用GigabitEthernet1/0/1相连。
· GigabitEthernet1/0/1为Trunk端口,缺省VLAN ID为100。
· 配置GigabitEthernet1/0/1,使该端口允许VLAN 2、VLAN 6到VLAN 50、VLAN 100的报文通过。
图1-11 VLAN配置组网图
(1) 配置GigabitEthernet1/0/1为Trunk端口,缺省VLAN为VLAN 100。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择连接类型为“Trunk”。
· 选中“PVID”前的复选框,输入PVID为“100”。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
步骤4:单击<提交>按钮完成操作。
图1-12 配置GigabitEthernet1/0/1为Trunk端口(PVID为100)
(2) 创建VLAN 2、VLAN 6到VLAN 50、VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN IDs为“2,6-50,100”。
步骤4:单击<创建>按钮完成操作。
图1-13 创建VLAN 2、VLAN 6-50、VLAN 100
(3) 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员。
步骤1:单击“选择”页签。
步骤2:如下图所示,选中“显示所有已配置VLAN的一个子集”前的单选按钮,在输入框中输入“1-100”。
步骤3:单击<选择>按钮完成操作。
图1-14 选择显示的VLAN范围
步骤4:单击“修改VLAN”页签。
步骤5:进行如下配置,如下图所示。
· 在“请选择一个VLAN修改”下拉框中选择“100 - VLAN 0100”。
· 选中“Untagged”前的单选按钮。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
步骤6:单击<应用>按钮,弹出配置进度对话框。
步骤7:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-15 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员
(4) 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6到VLAN 50的Tagged成员。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如下图所示。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
· 选择操作类型为“Tagged”。
· 输入VLAN IDs为“2,6-50”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-16 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6-50的Tagged成员
与Switch A上的配置相同,不再赘述。
配置VLAN时需要注意如下事项:
(1) VLAN1为系统缺省VLAN,用户不能手工创建和删除。
(2) 保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除。
(3) 不能在“删除”页面上删除设备上动态学习到的VLAN。
(4) 如果某个VLAN上应用了相关的QoS策略配置,则不允许删除该VLAN。
VLAN虚接口是一种三层模式下的虚拟接口,它不作为物理实体存在于设备上。
创建VLAN虚接口,可同时配置VLAN虚接口的IPv4地址和IPv6链路本地地址。如果不配置VLAN虚接口的IP地址,则只创建VLAN虚接口,再通过修改VLAN虚接口为其配置IP地址。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“创建”页签,进入VLAN虚接口的创建页面,如下图所示。
图2-1 创建VLAN虚接口
(3) 配置VLAN虚接口的信息,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表2-1 创建VLAN虚接口的详细配置
配置项 |
说明 |
|
请输入一个VLAN ID |
输入要创建的VLAN虚接口的ID,对应的VLAN必须已经创建 |
|
配置IPv4地址 |
手工 |
设置VLAN虚接口获取IPv4地址的方式:通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码长度 |
IPv4地址 |
设置VLAN虚接口的IPv4地址 VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
掩码长度 |
设置子网掩码长度(也可以输入点分十进制格式的掩码) VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
配置IPv6链路本地地址 |
手工 |
设置VLAN虚接口获取IPv6链路本地地址的方式为手工方式:通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
IPv6地址 |
设置VLAN虚接口的IPv6链路本地地址 VLAN虚接口IPv6链路本地地址的获取方式选择“手工”时可用,输入的IPv6链路本地地址前缀必须为“FE80::/10” |
通过修改VLAN虚接口,可以为VLAN虚接口配置IPv4地址、IPv6链路本地地址,以及IPv6站点本地地址或全球单播地址;可以设置打开或关闭VLAN虚接口。
· 修改VLAN虚接口时,修改IPv4地址和状态、配置IPv6链路本地地址和状态、添加IPv6单播地址需要分别单击各自的<应用>按钮来提交配置。
· 修改当前登录使用的VLAN虚接口的IP地址会导致与设备的连接断开,可以使用修改后的IP地址重新登录。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“修改”页签,进入VLAN虚接口的修改页面,如下图所示。
图2-2 修改VLAN虚接口
(3) 修改VLAN虚接口IP地址等信息,详细配置如下表所示。
(4) 单击相应的<应用>按钮完成操作。
表2-2 修改VLAN虚接口的详细配置
配置项 |
说明 |
|
选择VLAN虚接口 |
设置要配置的VLAN虚接口 下拉框中可选的VLAN虚接口需通过创建VLAN虚接口来创建 |
|
修改IPv4地址和状态 |
手工 |
设置VLAN虚接口获取IPv4地址的方式:表示通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码(可以输入掩码长度或点分十进制格式的掩码) |
配置状态 |
配置打开(Up)或关闭(Down)VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再打开接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为Down时,VLAN虚接口为Down状态;只要VLAN虚接口下有一个以太网端口状态为Up,VLAN虚接口就为Up状态 · 关闭和打开VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 · 配置状态时,“修改IPv4地址”框和“修改IPv6地址”框中的VLAN虚接口的当前状态是同步变化的 |
|
修改IPv6地址和状态 |
手工 |
设置VLAN虚接口获取IPv6链路本地地址的方式:通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
配置状态 |
配置打开(Up)或关闭(Down)VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再打开接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为Down时,VLAN虚接口为Down状态;否则VLAN虚接口处于Up状态 · 关闭和打开VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 · 配置状态时,“修改IPv4地址”框和“修改IPv6地址”框中的VLAN虚接口的当前状态是同步变化的 |
|
添加IPv6单播地址 |
设置VLAN虚接口的IPv6站点本地地址或全球单播地址,以及前缀长度 输入的IPv6地址前缀不能为“FE80::/10”,即链路本地地址前缀 配置IPv6站点本地地址时,输入的IPv6地址前缀必须为“FEC0::/10” 如果该VLAN虚接口没有IPv6链路本地地址,则配置此参数后会自动生成链路本地地址 |
|
EUI64编码 |
设置采用EUI-64(64-bit Extended Unique Identifier,64位扩展唯一标识符)格式形成IPv6站点本地地址或全球单播地址 选中前面的复选框表示采用EUI-64格式形成;不选中则表示采用手工配置的IPv6站点本地地址或全球单播地址 |
删除VLAN虚接口或者删除VLAN虚接口的IP地址。删除正在登录的IP地址或者所在的VLAN虚接口时,将会断开WEB连接,请重新通过命令行配置或者查询设备可连接的IP地址后再登录。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“删除”页签,进入VLAN虚接口的删除页面,如下图所示。
图2-3 删除VLAN虚接口
(3) 选择待删除的VLAN虚接口,单击<删除虚接口>按钮完成操作。
配置VLAN虚接口时需要注意如下事项:
(1) 配置IPv6 VLAN虚接口时,当接口配置了IPv6站点本地地址或全局单播地址后,同时会自动生成链路本地地址。且与配置自动生成链路本地地址时生成的地址相同。此时如果手工指定接口的链路本地地址,则手工指定的有效。如果删除手工指定的链路本地地址,则接口的链路本地地址恢复为系统自动生成的地址。
(2) 配置IPv6 VLAN虚接口时,如果IPv6链路本地地址是在配置IPv6站点本地地址或全局单播地址时自动生成的,则在删除IPv6站点本地地址或全局单播地址时,生成的IPv6链路本地地址也会同时被删除。
(3) 配置IPv6链路本地地址时,手工指定方式的优先级高于自动生成方式。即,如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。
· MAC地址模块中对于接口的相关配置,目前只能在二层以太网接口和二层聚合接口等二层接口上进行。
· 本章节内容只涉及单播的静态、动态和黑洞MAC地址表项(黑洞MAC地址表项仅指目的黑洞MAC地址表项)的配置和管理。
MAC地址表记录了与本设备相连的设备的MAC地址、本设备上与该设备相连的设备的接口号以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播。
MAC地址表项的生成方式有两种:自动生成、手工配置。
一般情况下,MAC地址表是设备通过源MAC地址学习过程而自动建立的。设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE),并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
为适应网络的变化,MAC地址表需要不断更新。MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前纪录被刷新,则该表项的老化时间重新计算。
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和黑客用户的报文,带来了安全隐患。如果黑客用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其它接口进入,设备就会学习到错误的MAC地址表项,于是就会将本应转发给合法用户的报文转发给黑客用户。
为了提高接口安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止假冒身份的非法用户骗取数据。
MAC地址表项分为:静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项。
· 静态MAC地址表项由用户手工配置,表项不老化。
· 动态MAC地址表项包括用户配置的以及设备通过源MAC地址学习得来的,表项有老化时间。
· 黑洞MAC地址表项用于丢弃含有特定目的MAC地址或源地址的报文(例如,出于安全考虑,可以屏蔽某个用户接收报文),由用户手工配置,表项不老化。
用户手工配置的静态MAC地址表项和黑洞MAC地址表项不会被动态MAC地址表项覆盖,而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖。
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
· 单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
· 广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。
(1) 在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,页面显示所有的MAC地址表项,如下图所示。
图3-1 MAC地址信息
(2) 单击<新建>按钮,进入新建MAC地址表项的配置页面,如下图所示。
图3-2 MAC地址创建
(3) 配置MAC地址表项的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表3-1 MAC地址表项的详细配置
配置项 |
说明 |
MAC地址 |
设置待添加的MAC地址 |
类型 |
设置MAC地址表项的类型,包括: · static:表示该表项是静态MAC地址表项,没有老化时间 · dynamic:表示该表项是动态MAC地址表项,有老化时间 · blackhole:表示该表项是黑洞MAC地址表项,没有老化时间 在MAC地址表项显示页面的列表中共有如下几种类型: · Config static:表示该表项是用户手工配置的静态表项 · Blackhole:表示该表项是黑洞表项 · Learned:表示该表项是设备学习得来的动态表项 · Other:表示该表项为除上述状态外的其他类型 |
VLAN ID |
设置MAC地址表项所属的VLAN |
端口 |
设置MAC地址表项所属的端口,该端口必须属于指定的VLAN 黑洞表项不需要设置所属端口 |
(1) 在导航栏中选择“网络 > MAC地址”。
(2) 单击“设置”页签,进入MAC地址表项老化时间的配置页面,如下图所示。
(3) 配置MAC地址表项老化时间,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表3-2 MAC地址表项老化时间的详细配置
配置项 |
说明 |
不老化 |
设置MAC地址表项不会老化 |
老化时间 |
设置MAC地址表项的老化,并指定老化时间 |
用户通过Web网管设置MAC地址表功能。要求在VLAN1中的GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71。
创建静态MAC地址表项。
步骤1:在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入MAC地址为“00e0-fc35-dc71”。
· 选择类型为“static”。
· 选择VLAN ID为“1”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
图3-4 创建静态MAC地址表项
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
链路聚合可以实现出/入负载在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。
聚合接口是一个逻辑接口。
聚合组是一组以太网接口的集合。聚合组是随着聚合接口的创建而自动生成的,其编号与聚合接口编号相同。
随着二层聚合接口的创建而自动生成,只能包含二层以太网接口的聚合组为二层聚合组。
聚合组中的成员端口有下面两种状态:
· Selected状态:处于此状态的接口可以参与转发用户数据。
· Unselected状态:处于此状态的接口不能转发用户数据。
聚合接口的速率、双工状态由其Selected成员端口决定:聚合接口的速率是Selected成员端口的速率之和,聚合接口的双工状态与Selected成员端口的双工状态一致。
关于如何确定一个成员端口的状态,将在“4.1.3 1. 静态聚合模式”和“4.1.3 2. 动态聚合模式”中详细介绍。
LACP(Link Aggregation Control Protocol,链路聚合控制协议)是一种基于IEEE802.3ad标准的协议。LACP协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元)使两端的设备交互信息。
处于动态聚合组中的接口会自动使能LACP协议,该接口将通过发送LACPDU向对端通告自己的系统LACP协议优先级、系统MAC、端口的LACP协议优先级、端口号和操作Key。对端接收到LACPDU后,将其中的信息与其它接口所收到的信息进行比较,以选择能够处于Selected状态的接口,从而双方可以对接口处于Selected状态达成一致。
操作Key是在链路聚合时,聚合控制根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。
在聚合组中,处于Selected状态的成员端口具有相同的操作Key。
第二类配置所含内容如表4-1所示。同一聚合组中,如果成员端口与聚合接口的第二类配置不同,那么该成员端口将不能成为Selected端口。
类别 |
配置内容 |
端口隔离 |
端口是否加入隔离组、端口所属的端口隔离组 |
VLAN配置 |
端口上允许通过的VLAN、端口缺省VLAN ID、端口的链路类型(即Trunk、Hybrid、Access类型)、基于IP子网的VLAN配置、基于协议的VLAN配置、VLAN报文是否带Tag配置 |
MAC地址学习配置 |
是否具有MAC地址学习功能、端口是否具有最大学习MAC地址个数的限制、MAC地址表满后是否继续转发 |
· 还有一些配置称为“第一类配置”,此类配置可以在聚合接口和成员端口上配置,但是不会参与操作Key的计算。
· 由于成员端口上第二类配置的改变可能导致其选中状态发生变化,进而对业务产生影响,因此当在成员端口上进行第二类配置时,系统将给出提示信息,由用户来决定该配置是否继续进行。
按照聚合方式的不同,链路聚合可以分为两种模式:
· 静态聚合模式
· 动态聚合模式
静态聚合模式中,成员端口的LACP协议为关闭状态。系统按照以下原则设置成员端口的选中状态:
· 当聚合组内有处于Up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于Up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 与参考端口的端口属性配置和第二类配置一致且处于Up状态的端口成为可能处于Selected状态的候选端口,其它端口将处于Unselected状态。
· 聚合组中处于Selected状态的端口数是有限制的,当候选端口的数目未达到上限时,所有候选端口都为Selected状态,其它端口为Unselected状态;当候选端口的数目超过这一限制时,系统将按照端口号从小到大的顺序选择一些候选端口保持在Selected状态,端口号较大的端口则变为Unselected状态。
· 当聚合组中全部成员都处于Down状态时,全组成员均为Unselected状态。
· 因硬件限制(如不能跨板聚合)而无法与参考端口聚合的端口将处于Unselected状态。
当聚合组中处于Selected状态的端口数已达到限制时,后加入的端口即使具备成为Selected端口的条件,也会成为Unselected状态。这样能够尽量维持当前Selected端口上的流量不中断,但是可能导致设备重启前后各端口的Selected状态不一致。
当聚合组配置为动态聚合模式后,聚合组中成员端口的LACP协议自动使能。
在动态聚合模式中,成员端口处于不同状态时对协议报文的处理方式如下:
· Selected端口可以收发LACP协议报文。
· 处于Up状态的Unselected端口如果配置和对应的聚合接口配置相同,可以收发LACP协议报文。
系统按照以下原则设置成员端口的选中状态:
(1) 本端系统和对端系统会进行协商,根据两端系统中设备ID较优的一端的端口ID的大小,来决定两端端口的状态。具体协商步骤如下:
· 比较两端系统的设备ID(设备ID=系统的LACP协议优先级+系统MAC地址)。先比较系统的LACP协议优先级,如果相同再比较系统MAC地址。设备ID小的一端被认为较优(系统的LACP协议优先级和MAC地址越小,设备ID越小)。
· 比较设备ID较优的一端的端口ID(端口ID=端口的LACP协议优先级+端口号)。对于设备ID较优的一端的各个端口,首先比较端口的LACP协议优先级,如果优先级相同再比较端口号。端口ID小的端口作为参考端口(端口的LACP协议优先级和端口号越小,端口ID越小)。
· 与参考端口的端口属性配置和第二类配置一致且处于Up状态的端口、并且该端口的对端端口与参考端口的对端端口的配置也一致时,该端口才成为可能处于Selected状态的候选端口。否则,端口将处于Unselected状态。
· 聚合组中处于Selected状态的端口数是有限制的,当候选端口的数目未达到上限时,所有候选端口都为Selected状态,其它端口为Unselected状态;当候选端口的数目超过这一限制时,系统将按照端口ID从小到大的顺序选择一些端口保持在Selected状态,端口ID较大的端口则变为Unselected状态。同时,对端设备会感知这种状态的改变,相应端口的状态将随之变化。
(2) 因硬件限制(如不能跨板聚合)而无法与参考端口聚合的端口将处于Unselected状态。
对于上述两种聚合模式来说:
· 聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。用户需要通过手工配置的方式保持各端口上的这些配置一致。
· 当聚合组中某成员端口的端口属性配置或第二类配置发生改变时,该端口或该聚合组内其它成员端口的选中状态可能会发生改变。
· 当聚合组中成员端口或聚合接口的ARP限速功能发生改变时,该成员端口或该聚合组内其它成员端口的选中状态可能会发生改变。
表4-2 静态聚合组配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 创建静态聚合接口,并配置其成员端口 创建静态聚合接口时,系统自动生成静态聚合组 缺省情况下,未配置任何链路聚合组 |
|
2 |
可选 查看已存在的链路聚合组的详细信息 |
步骤 |
配置任务 |
说明 |
1 |
必选 创建动态聚合接口,并配置其成员端口 创建动态聚合接口时,系统自动生成动态聚合组,并使能LACP协议 缺省情况下,未配置任何链路聚合组 |
|
2 |
可选 设置端口LACP协议优先级和系统LACP协议优先级 改变LACP协议优先级将会影响到动态聚合组成员的Selected和Unselected状态 缺省情况下,端口和系统LACP协议优先级均为32768 |
|
3 |
可选 查看已存在的链路聚合组的详细信息 |
|
4 |
可选 查看已使能LACP协议的端口的详细信息,以及对端端口的详细信息 |
(1) 在导航栏中选择“网络 > 链路聚合”。
(2) 单击“创建”页签,进入如下图所示的页面。
(3) 配置链路聚合组的信息,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
配置项 |
说明 |
输入链路聚合接口 |
设置链路聚合接口的ID,作为链路聚合接口组的标识,也是链路聚合组的标识 |
选择链路聚合接口类型 |
设置要创建的链路聚合接口的类型,包括: · 静态(LACP不使能) · 动态(LACP使能) |
为新建的聚合接口选择成员端口 |
在面板示意图中选择需要加入该聚合接口的成员端口,可以选择一个或多个端口 选择结果显示在页面下方的概要信息列表框中 |
(1) 在导航栏中选择“网络 > 链路聚合”,默认进入“显示”页签的页面,如下图所示。页面上方的列表中显示所有聚合接口的信息。
(2) 选中一条表项,在页面下方的列表中会显示该聚合接口中端口成员的详细信息,详细说明如表4-5所示。
标题项 |
说明 |
聚合接口 |
链路聚合接口的类型和ID Bridge-Aggregation表示二层聚合接口 |
链路类型 |
链路聚合接口的类型,包括: · Static:静态聚合接口 · Dynamic:动态聚合接口 |
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
被选中端口数 |
聚合组中正在使用(即可以收发用户的业务报文)的端口数量 |
备用端口数 |
聚合组中未在使用(即不能收发用户的业务报文)的端口数量 |
端口成员 |
选中聚合接口中的端口成员 |
状态 |
端口成员的选中状态 |
未选中原因 |
端口成员未选中(即未在使用)的原因 当端口成员的状态为选中时,显示为“--” |
(1) 在导航栏中选择“网络 > LACP”。
(2) 单击“设置”页签,进入如下图所示的页面。
图4-3 设置LACP协议优先级
(3) 在页面的“设置LACP激活端口参数”部分修改端口的LACP协议优先级,详细配置如下表所示。
(4) 单击此部分的<应用>按钮完成操作。
表4-6 LACP协议优先级的详细配置
配置项 |
说明 |
端口优先级 |
设置端口的LACP协议优先级 |
选择端口修改端口优先级 |
在面板示意图中选择需要修改LACP协议优先级的端口 未使能LACP协议的端口也可以修改其LACP协议优先级 |
(5) 在“LACP公共参数设置”部分修改系统的LACP协议优先级。
(6) 单击此部分的<应用>按钮完成操作。
(1) 在导航栏中选择“网络 > LACP”,默认进入“显示”页签的页面。页面上方的列表框中显示的是本设备上所有使能了LACP协议的端口的详细信息,详细说明如表4-7所示。
(2) 选中某条表项。
(3) 单击<查看详情>按钮,在下方的列表中显示该端口的对端端口的详细信息,如图4-4所示,详细说明如表4-8所示。
图4-4 查看LACP端口信息
表4-7 使能了LACP协议的端口信息的详细说明
标题项 |
说明 |
端口 |
使能了LACP协议的端口的编号 |
LACP状态 |
端口上LACP协议的使能状态 |
端口优先级 |
端口的LACP协议优先级 |
状态 |
端口是否处于激活状态 如果处于激活状态,还将显示端口所属的聚合组 |
未选中原因 |
端口未在使用(即不能收发用户的业务报文)的原因,取值的具体说明请参见图4-4 |
对端端口 |
对端端口的编号 |
对端状态 |
对端端口的状态,用A~H表示 · A:LACP使能 · B:LACP短超时(不显示B表示LACP长超时) · C:发送端认为端口所在链路可聚合 · D:发送端认为端口所在链路处于同步状态 · E:发送端认为端口所在链路处于收集状态 · F:发送端认为端口所在链路处于分发状态 · G:发送端的接收状态机处于默认状态(没有收到报文、或者长时间内没有收到报文) · H:发送端的接收状态机处于超时状态 |
操作key |
本端端口的操作Key |
标题项 |
说明 |
单元 |
对端设备的成员编号 |
端口 |
对端端口的编号 |
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
对端端口优先级 |
对端端口的LACP协议优先级 |
对端操作key |
对端端口的操作Key |
· Switch A与Switch B通过各自的二层以太网端口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。
· Switch A和Switch B由三条物理链路连接。在Switch A和Switch B上把端口配置成链路聚合组,从而实现出/入负载在各成员端口中分担。
图4-5 静态聚合配置组网图
使用静态聚合组和动态聚合组均可以实现负载分担,下面将分别介绍这两种聚合组的配置方法,使用任何一种方法都可以实现需求。
(1) 方法一:配置静态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入二层接口为“1”。
· 选择链路聚合接口类型为“静态(LACP不使能)”。
· 在面板示意图上选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤4:单击<应用>按钮完成操作。
图4-6 创建静态聚合组1
(2) 方法二:配置动态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入二层接口为“1”。
· 选择链路聚合接口类型为“动态(LACP使能)”。
· 在面板示意图上选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤4:单击<应用>按钮完成操作。
图4-7 创建动态聚合组1
对链路聚合组进行配置时,需要注意如下事项:
(1) 在聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。在进行配置时,用户需要通过手工配置的方式保证各端口上的这些配置一致。
· 参考端口:当聚合组内有处于Up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于Up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 端口属性配置:包括端口速率、双工模式和链路状态的配置。
· 第二类配置:请参见“4.1.2 6. 第二类配置”一节的介绍。
(2) 对于静态聚合组,用户要通过配置使同一链路上处在两台不同设备中的端口的Selected状态保持一致,否则聚合功能不能正常使用;对于动态聚合模式,系统两端会自动协商同一条链路上的两端端口在各自聚合组中的Selected状态,用户只需保证在一个系统中聚合在一起的端口的对端也同样聚合在一起,聚合功能即可正常使用。
(3) 删除二层聚合接口时,系统会自动删除对应的聚合组,且该聚合组中的所有成员端口将全部离开该聚合组。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。
ARP报文分为ARP请求和ARP应答报文,报文格式如图5-1所示。
图5-1 ARP报文结构
· 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。
· 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
· 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。
· 操作类型(OP):1表示ARP请求,2表示ARP应答。
· 发送端MAC地址:发送方设备的硬件地址。
· 发送端IP地址:发送方设备的IP地址。
· 目标MAC地址:接收方设备的硬件地址。
· 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图5-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图5-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项。
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图5-3所示。页面显示所有ARP表项的信息。
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图5-3所示。
(2) 单击<新建>按钮,进入新建静态ARP表项的配置页面,如图5-4所示。
(3) 配置静态ARP表项的信息,详细配置如表5-1所示。
(4) 单击<确定>按钮完成操作。
表5-1 静态ARP表项的详细配置
配置项 |
说明 |
|
IP地址 |
设置静态ARP表项的IP地址 |
|
MAC地址 |
设置静态ARP表项的MAC地址 |
|
高级选项 |
VLAN ID |
设置静态ARP表项所属的VLAN和端口 指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLAN ID对应的VLAN虚接口必须已经创建 |
端口 |
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图5-3所示。
(2) 删除ARP表项,详细配置如表5-2所示。
表5-2 删除ARP表项的详细配置
功能 |
配置方法 |
删除指定的ARP表项 |
在列表中选中指定ARP表项前的复选框,单击<删除选中>按钮 |
删除所有静态和动态ARP表项 |
单击<删除所有静态和动态表项>按钮 |
删除所有静态ARP表项 |
单击<删除所有静态表项>按钮 |
删除所有动态ARP表项 |
单击<删除所有动态表项>按钮 |
(1) 在导航栏中选择“网络 > ARP管理”。
(2) 单击“免费ARP”页签,进入如图5-5所示的页面。
(3) 配置免费ARP功能,详细配置如表5-3所示。
表5-3 免费ARP功能的详细配置
配置项 |
说明 |
关闭学习免费ARP报文 |
设置是否关闭免费ARP报文学习功能 缺省情况下,免费ARP报文学习功能处于开启状态 |
收到非同一网段ARP请求时发送免费ARP报文 |
设置开启收到非同一网段ARP请求时发送免费ARP报文功能 缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文 |
· Switch A连接主机,通过接口GigabitEthernet1/0/1连接Router B。接口GigabitEthernet1/0/1属于VLAN 100。
· Router B的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加Switch A和Router B通信的安全性,可以在Switch A上配置静态ARP表项。
图5-6 静态ARP配置组网图
(1) 创建VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图5-7所示,输入VLAN ID为“100”。
步骤4:单击<创建>按钮完成操作。
(2) 将端口GigabitEthernet1/0/1加入到VLAN 100中。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如图5-8所示。
· 在设备面板示意图中选择端口“GigabitEthernet1/0/1”。
· 选择操作类型为“Untagged”。
· 输入VLAN IDs为“100”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 创建Vlan-interface100。
步骤1:在导航栏中选择“网络 > VLAN虚接口”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图5-9所示。
· 输入VLAN ID为“100”。
· 选中“配置IPv4地址”前的复选框。
· 选中“手工”前的单选按钮。
· 输入IPv4地址为“192.168.1.2”。
· 输入掩码长度为“24”或“255.255.255.0”。
步骤4:单击<应用>按钮完成操作。
(4) 配置静态ARP表项。
步骤1;在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图5-10所示。
· 输入IP地址为“192.168.1.1”。
· 输入MAC地址为“00e0-fc01-0000”。
· 选中“高级选项”前的复选框。
· 输入VLAN ID为“100”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
通过Web页面配置ARP Detection可以实现两个功能:用户合法性检查、ARP报文有效性检查。
对于ARP信任端口,不进行用户合法性检查;对于ARP非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于802.1X安全表项的检查。
(1) 进行基于802.1X安全表项,只要符合两者中任何一个,就认为该ARP报文合法,进行转发。
(2) 如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
· 对于源MAC地址的检查模式,会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文。
· 对于目的MAC地址的检查模式(只针对ARP应答报文),会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃。
· 对于IP地址检查模式,会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
配置用户合法性检查功能时,必须配置802.1X功能,否则所有从ARP非信任端口收到的ARP报文都将被丢弃。
(1) 在导航栏中选择“网络 > ARP防攻击”,默认进入“ARP Detection”页签的页面,如图6-1所示。
(2) 配置ARP Detection功能,详细配置如表6-1所示。
(3) 单击<确定>按钮完成操作。
表6-1 ARP Detection的详细配置
配置项 |
说明 |
VLAN配置 |
设置要使能ARP Detection功能的VLAN 在“未使能VLAN”列表框中选中一个或多个VLAN,单击“<<”按钮,可以将选中的VLAN添加到“已使能VLAN”列表框中;在“已使能VLAN”列表框中选中一个或多个VLAN,单击“>>”按钮,可以将选中的VLAN添加到“未使能VLAN”列表框中 |
信任端口 |
设置ARP信任端口和非信任端口 在“非信任端口”列表框中选中一个或多个端口,单击“<<”按钮,可以将选中的端口添加到“信任端口”列表框中;在“信任端口”列表框中选中一个或多个端口,单击“>>”按钮,可以将选中的端口添加到“非信任端口”列表框中 |
报文检查 |
设置对ARP报文进行有效性检查的方式,包括: · 如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文 如果配置了报文检查方式,则先进行ARP报文有效性检查,再进行用户合法性检查;如果未配置任何报文检查方式,则不对ARP报文进行有效性检查 |
服务管理模块提供了FTP、Telnet、SSH、SFTP、HTTP和HTTPS服务的管理功能,可以使用户只在需要使用相应的服务时启用服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将FTP、HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。
FTP(File Transfer Protocol,文件传输协议)协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,是IP网络上传输文件的通用协议。
Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
· 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
· 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
· 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
(1) 在导航栏中选择“网络 > 服务管理”,进入服务管理的配置页面,如下图所示。
(2) 配置各种服务的启用状态等信息,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
配置项 |
说明 |
|
FTP服务 |
启用FTP服务 |
设置是否在设备上启用FTP服务 缺省情况下,FTP服务处于关闭状态 |
ACL |
设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务 单击“FTP服务”前的扩展按钮可以显示此配置项 |
|
Telnet服务 |
启用Telnet服务 |
设置是否在设备上启用Telnet服务 缺省情况下,Telnet服务处于启用状态 |
SSH服务 |
启用SSH服务 |
设置是否在设备上启用SSH服务 缺省情况下,SSH服务处于关闭状态 |
SFTP服务 |
启用SFTP服务 |
设置是否在设备上启用SFTP服务 缺省情况下,SFTP服务处于关闭状态 启用SFTP服务的同时必须启用SSH服务 |
HTTP服务 |
启用HTTP服务 |
设置是否在设备上启用HTTP服务 缺省情况下,HTTP服务处于启用状态 |
端口号 |
设置HTTP服务的端口号 单击“HTTP服务”前的扩展按钮可以显示此配置项 修改端口时必须保证该端口没有被其他服务使用 |
|
ACL |
设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务 单击“HTTP服务”前的扩展按钮可以显示此配置项 |
|
HTTPS服务 |
启用HTTPS服务 |
设置是否在设备上启用HTTPS服务 缺省情况下,HTTPS服务处于关闭状态 |
证书 |
设置HTTPS服务所使用的本地证书,下拉框中显示的为证书的主题 可选的证书在“认证 > 证书管理”中配置,详细配置请参见“证书管理” 不指定证书时,HTTPS服务将自己生成证书 |
|
端口号 |
设置HTTPS服务的端口号 单击“HTTPS服务”前的扩展按钮可以显示此配置项 修改端口时必须保证该端口没有被其他服务使用 |
|
ACL |
设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务 单击“HTTPS服务”前的扩展按钮可以显示此配置项 |
通过使用Ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障。
Ping的成功执行过程为:
(1) 源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文。
(2) 目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文。
(3) 源设备在收到该应答报文后,显示相关的统计信息。
Ping的输出信息分为以下几种情况:
· Ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
· 如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和Ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(Time to Live,生存时间)、响应时间和Ping过程报文的统计信息。
Ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值。
通过使用Trace Route工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备。当网络出现故障时,用户可以使用该命令分析出现故障的网络节点。
Trace Route的执行过程为:
(1) 源设备发送一个TTL为1的报文给目的设备。
(2) 第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址。
(3) 源设备重新发送一个TTL为2的报文给目的设备。
(4) 第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址。
(5) 以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址。
Trace Route的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
(1) 在导航栏中选择“网络 > 诊断工具”,默认进入“IPv4 Ping”页签的页面,如下图所示。
(2) 在“目的IP地址或者主机名”文本框中输入Ping操作的目的IP地址或者主机名。
(3) 单击<开始>按钮开始执行Ping操作。
(4) 在“信息”框中查看Ping操作的输出结果,如下图所示。
图8-2 IPv4 Ping操作结果
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“IPv6 Ping”页签,进入如图8-3所示的页面。
(3) 在“目的IPv6地址或者主机名”文本框中输入IPv6 Ping操作的目的IPv6地址或者主机名。
(4) 单击<开始>按钮开始执行IPv6 Ping操作。
(5) 在“信息”框中查看IPv6 Ping操作的输出结果,如下图所示。
图8-4 IPv6 Ping操作结果
进行IPv4 Trace Route操作前,需要先在中间设备上执行ip ttl-expires enable命令开启ICMPv4超时报文的发送功能,并且在目的设备上执行ip unreachables enable命令开启ICMPv4目的不可达报文发送功能。
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“IPv4 Trace Route”页签,进入如下图所示的页面。
(3) 在“目的IP地址或者主机名”文本框中输入Trace Route操作的目的IP地址或者主机名。
(4) 单击<开始>按钮开始执行IPv4 Trace Route操作。
(5) 在“信息”框中查看IPv4 Trace Route操作的输出结果,如下图所示。
进行IPv6 Trace Route操作前,需要先在中间设备上执行ipv6 hoplimit-expires enable命令开启ICMPv6超时报文的发送功能,并且在目的设备上执行ipv6 unreachables enable命令开启ICMPv6目的不可达报文发送功能。
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“IPv6 Trace Route”页签,进入如下图所示的页面。
图8-7 IPv6 TraceRoute
(3) 在“目的IPv6地址或者主机名”文本框中输入IPv6 Trace Route操作的目的IPv6地址或者主机名。
(4) 单击<开始>按钮开始执行IPv6 Trace Route操作。
(5) 在“信息”框中查看IPv6 Trace Route操作的输出结果,如下图所示。
图8-8 IPv6 Trace Route操作结果
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!