- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-IP地址-IP性能操作
本章节下载: 05-IP地址-IP性能操作 (251.35 KB)
目 录
连接到Internet上的设备接口必须有一个全球唯一的IP地址。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
l 网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
l 主机号码字段(Host-id):用于区分一个网络内的不同主机。
为了方便管理及组网,IP地址被分成五类,如图1-1所示,其中蓝色部分为类别字段。
上述五类IP地址的地址范围如表1-1所示。目前大量使用的IP地址属于A、B、C三类。
表1-1 IP地址分类及范围
|
地址类型 |
地址范围 |
说明 |
|
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址 127.0.0.0网段的地址都保留作回路测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
组播地址 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其他地址保留今后使用 |
下列IP地址具有特殊的用途,不能作为主机的IP地址。
l Net-id为全0的地址:表示本网络内的主机。例如,0.0.0.16表示本网络内Host-id为16的主机。
l Host-id为全0的地址:网络地址,用于标识一个网络。
l Host-id为全1的地址:网络广播地址。例如,目的地址为192.168.1.255的报文,将转发给192.168.1.0网络内所有的主机。
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成,通常采用点分十进制方式表示。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
图1-2所示是一个B类地址划分子网的情况。
图1-2 IP地址子网划分
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉全1的广播地址和全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉全1的广播地址和全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
交换机支持为VLAN接口和Loopback接口配置IP地址。其中VLAN接口获取IP地址有三种方式:
l 通过手工指定IP地址
l 通过BOOTP分配得到IP地址
l 通过DHCP分配得到IP地址
这三种方式不能同时配置,通过新的配置方式获取的IP地址会覆盖通过原有方式获取的IP地址。例如,首先通过手工指定了IP地址,然后使用BOOTP协议申请IP地址,那么手工指定的IP地址会被删除,接口的IP地址通过BOOTP协议分配得到。
本节只介绍通过手工指定IP地址的方式,其他两种方式请参见“DHCP”部分的介绍。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置接口的IP地址 |
ip address ip-address { mask | mask-length } [ sub ] |
必选 缺省情况下,没有配置接口的IP地址 |
l 一个接口最多可以配置5个IP地址,其中一个为主IP地址,其余为从IP地址;新配置的主IP地址将覆盖原有的主IP地址。
l 同一接口的主、从IP地址不能在同一网段;同一设备上VLAN接口和LoopBack接口的IP地址不能在同一网段。
l 用户配置VLAN接口通过BOOTP或DHCP方式分配到IP地址后,不能再给该VLAN接口配置从IP地址。
完成上述配置后,在任意视图下执行display命令,可以显示配置IP地址后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-3 IP地址配置显示
|
操作 |
命令 |
说明 |
|
显示三层接口的相关信息 |
display ip interface [ interface-type interface-number ] |
display命令可以在任意视图下执行 |
|
显示三层接口的基本配置信息 |
display ip interface brief [ interface-type [ interface-number ] ] |
设置以太网交换机的VLAN接口1的IP地址为129.2.2.1,子网掩码为255.255.255.0。
图1-3 IP地址配置组网图
# 配置VLAN接口1的IP地址。
<Switch> system-view
[Switch] interface Vlan-interface 1
[Switch-Vlan-interface1] ip address 129.2.2.1 255.255.255.0
Switch的端口(属于VLAN1)连接一个局域网,局域网中的计算机分别属于2个网段:172.16.1.0/24和172.16.2.0/24。要求这两个网段都可以通过Switch与外部网络通信,且这两个网段中的主机能够互通。
图1-4 IP地址配置组网图
针对上述的需求,如果在Switch的VLAN接口1上只配置一个IP地址,则只有一部分主机能够通过Switch与外部网络通信。为了局域网内的所有主机都能够通过Switch访问外部网络,需要配置VLAN接口1的从IP地址。为了使两个网段中的主机能够互通,两个网段中的主机都需要将Switch设置为网关。
# 配置VLAN接口1的主IP地址和从IP地址。
<Switch> system-view
[Switch] interface Vlan-interface 1
[Switch-Vlan-interface1] ip address 172.16.1.1 255.255.255.0
[Switch-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub
# 在172.16.1.0/24网段中的主机上配置网关为172.16.1.1;在172.16.2.0/24网段中的主机上配置网关为172.16.2.1。
# 使用Ping命令检测Switch与网络172.16.1.0/24内主机的连通性。
<Switch> ping 172.16.1.2
PING 172.16.1.2: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=25 ms
Reply from 172.16.1.2: bytes=56 Sequence=2 ttl=255 time=27 ms
Reply from 172.16.1.2: bytes=56 Sequence=3 ttl=255 time=26 ms
Reply from 172.16.1.2: bytes=56 Sequence=4 ttl=255 time=26 ms
Reply from 172.16.1.2: bytes=56 Sequence=5 ttl=255 time=26 ms
--- 172.16.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 25/26/27 ms
显示信息表示Switch与网络172.16.1.0/24内的主机可以互通。
# 使用Ping命令检测Switch与网络172.16.2.0/24内主机的连通性。
<Switch> ping 172.16.2.2
PING 172.16.2.2: 56 data bytes, press CTRL_C to break
Reply from 172.16.2.2: bytes=56 Sequence=1 ttl=255 time=25 ms
Reply from 172.16.2.2: bytes=56 Sequence=2 ttl=255 time=26 ms
Reply from 172.16.2.2: bytes=56 Sequence=3 ttl=255 time=26 ms
Reply from 172.16.2.2: bytes=56 Sequence=4 ttl=255 time=26 ms
Reply from 172.16.2.2: bytes=56 Sequence=5 ttl=255 time=26 ms
--- 172.16.2.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 25/25/26 ms
显示信息表示Switch与网络172.16.2.0/24内的主机可以互通。
新增“取消系统预置的防止ICMP攻击ACL”特性,具体介绍请参见2.2.5 取消系统预置的防止ICMP攻击ACL。
在一些特定的网络环境里,需要调整IP的参数,以便网络性能达到最佳。交换机支持的IP性能配置包括:
l 配置TCP属性
l 配置允许接收直连网段广播报文
l 关闭ICMP差错报文发送功能
l 取消系统预置的防止ICMP攻击ACL
FIB(Forwarding Information Base,转发信息库),每个交换机中都保存着一个转发信息库,用于存储交换机的转发信息,指导交换机进行三层转发。
用户可以通过查看FIB表来了解交换机的转发信息,每一条转发信息的内容包括:目的地址/掩码长度、下一跳、当前标志、时间戳和输出接口。
交换机正常运行的情况下,转发信息库的内容和路由表的内容是一致的。
表2-1 IP性能配置任务简介
|
关闭ICMP差错报文发送功能 |
||
|
取消系统预置的防止ICMP攻击ACL |
可选 |
可以配置的TCP属性包括:
l synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果在定时器超时前未收到回应报文,则TCP连接建立不成功。
l finwait定时器:当TCP的连接状态变为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前没有收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。
l TCP连接的接收和发送缓冲区的大小。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置TCP的synwait定时器超时时间 |
tcp timer syn-timeout time-value |
可选 缺省情况下,synwait定时器超时时间为75秒 |
|
配置TCP的finwait定时器超时时间 |
tcp timer fin-timeout time-value |
可选 缺省情况下,finwait定时器超时时间为675秒 |
|
配置TCP连接的接收和发送缓冲区的大小 |
tcp window window-size |
可选 缺省情况下,TCP连接的接收和发送缓冲区大小为8KB |
直连网段广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为设备接口所在网络的网络号,主机号码字段为全1。如果允许设备接收这一类报文,黑客就可以利用这样的报文来攻击设备,给网络的安全带来了很大的隐患。因此,缺省情况下,S3600系列以太网交换机禁止接收直连网段广播报文。
在某些应用环境下,交换机需要接收直连网段广播报文,例如:
l 使用UDP Helper功能,将广播报文转换为单播报文发送给指定的服务器。(关于UDP Helper功能的具体介绍请参见本手册“UDP Helper”模块。)
l 用户使用Wake on LAN(网络唤醒)功能,发送广播报文唤醒远程网络中的计算机。
在上述情况下,交换机可以通过命令配置S3600系列以太网交换机允许接收直连网段广播报文。
传递差错报文是ICMP(Internet Control Message Protocol,互联网控制报文协议)的主要功能之一。ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理。
ICMP差错报文的发送虽然便于控制管理,但也存在一定的弊端:
l 发送大量的ICMP报文,增大了网络流量。
l 如果设备接收到大量需要发送ICMP差错报文进行相应的恶意攻击报文,会因为处理该类报文而导致性能降低。
l 由于ICMP重定向功能会在主机的路由表中增加主机路由,当增加的主机路由很多时,会降低主机性能。
l 由于ICMP目的不可达报文传递给用户进程的信息为不可达信息,如果有非法用户恶意攻击,可能会影响终端用户的正常使用。
用户可以选择关闭设备的ICMP差错报文发送功能,从而减少网络流量、防止遭到恶意攻击。
表2-4 关闭ICMP差错报文发送功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭ICMP重定向报文发送功能 |
undo icmp redirect send |
必选 缺省情况下,ICMP重定向报文发送功能处于开启状态 |
|
关闭ICMP目的不可达报文发送功能 |
undo icmp unreach send |
必选 缺省情况下,ICMP目的不可达报文发送功能处于开启状态 |
ICMP攻击是网络中常见的攻击方式,为避免恶意用户构造的攻击性ICMP报文对设备的正常工作造成影响,系统中预先设置了部分ACL,用来匹配发往本设备的ICMP报文,并将其与普通业务报文分开处理,减少了ICMP攻击对正常业务报文的影响,提高了网络的稳定性。
在相对安全的网络中,用户也可以通过取消系统预置的防止ICMP攻击ACL,来增加设备可用的ACL资源。
表2-5 取消系统预置的防止ICMP攻击ACL
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
取消系统预置的防止ICMP攻击ACL |
undo icmp acl-priority |
必选 缺省情况下,系统中保留为防止ICMP攻击所预置的ACL |
在取消防止ICMP攻击ACL前,请检查本地网络中是否存在ICMP攻击的隐患。
完成上述配置后,在任意视图下执行display命令,可以显示配置IP性能后的运行情况。通过查看显示信息,用户可以验证配置的效果。
在用户视图下执行reset命令,可以清除IP、TCP和UDP的流量统计信息。
表2-6 IP性能显示和维护
|
操作 |
命令 |
说明 |
|
显示TCP连接的状态 |
display tcp status |
display命令可以在任意视图下执行 |
|
显示TCP连接的流量统计信息 |
display tcp statistics |
|
|
显示UDP流量的统计信息 |
display udp statistics |
|
|
显示IP流量的统计信息 |
display ip statistics |
|
|
显示ICMP流量的统计信息 |
display icmp statistics |
|
|
显示系统当前套接字信息 |
display ip socket [ socktype sock-type ] [ task-id socket-id ] |
|
|
显示FIB转发信息表项 |
display fib |
|
|
显示与指定目的IP地址匹配的FIB转发信息表项 |
display fib ip_address1 [ { mask1 | mask-length1 } [ ip_address2 { mask2 | mask-length2 } | longer ] | longer ] |
|
|
显示通过指定标准访问控制列表过滤的FIB转发信息表项 |
display fib acl acl-number |
|
|
根据正则表达式输出缓冲区中与指定字符串相关的FIB表项 |
display fib | { begin | include | exclude } regular-expression |
|
|
显示通过指定前缀列表过滤的FIB转发信息表项 |
display fib ip-prefix ip-prefix-name |
|
|
显示FIB表项的总数目 |
display fib statistics |
|
|
清除IP流量统计信息 |
reset ip statistics |
reset命令在用户视图下执行 |
|
清除TCP流量统计信息 |
reset tcp statistics |
|
|
清除UDP流量统计信息 |
reset udp statistics |
如2. 所示,Host的接口和Switch A的VLAN接口3处于同一个网段(1.1.1.0/24),Switch A的VLAN接口2和Switch B的VLAN接口2处于另外一个网段(2.2.2.0/24)。Host上配置默认网关为Switch A的VLAN接口3的地址(1.1.1.2/24),Switch B上配置静态路由使得Host与Switch B之间路由可达。
图2-1 配置接收直连网段广播报文组网图
(1) 配置Switch A
# 配置允许Switch A接收直连网段广播报文。
<SwitchA> system-view
[SwitchA] ip forward-broadcast
# 配置VLAN接口3和VLAN接口2的IP地址。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ip address 1.1.1.2 24
[SwitchA-Vlan-interface3] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 2.2.2.2 24
(2) 配置Switch B
# 配置允许Switch B接收直连网段广播报文。
<SwitchB> system-view
[SwitchB] ip forward-broadcast
# 配置Switch B到Host的静态路由。
[SwitchB] ip route-static 1.1.1.1 24 2.2.2.2
# 配置VLAN接口2的IP地址。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 2.2.2.1 24
配置完成以后,在Host上ping Switch A的VLAN接口2所在子网网段的广播地址(2.2.2.255)时,Switch B的VLAN接口2可以收到该报文。取消掉任何一个ip forward-broadcast的配置,Switch B的VLAN接口2都不能收到该报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
