H3CUniServerBX720E交换模块三层技术-IP业务配置指导新华三技术有限公司http://www.
h3c.
com资料版本:6W100-20190621产品版本:UN_BLADE-SWITCH_SYS-1.
00.
11及以上版本Copyright2019新华三技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言本配置指导主要介绍IP业务相关技术的原理及具体配置方法.
通过这些技术您可以完成IP地址的配置,进行IP参数的调整,将IP地址解析为以太网MAC地址,进行域名与IP地址之间的转换等.
前言部分包含如下内容:读者对象本书约定资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线终结单元.
该图标及其相关描述文字代表无线终结者.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.
该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
TTTT5.
示例约定由于设备型号不同、配置不同、版本升级等原因,可能造成本手册中的内容与用户使用的设备显示信息不一致.
实际使用中请以设备显示的内容为准.
本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1ARP·1-11.
1ARP简介1-11.
1.
1ARP报文结构·1-11.
1.
2ARP地址解析过程·1-11.
1.
3ARP表项类型·1-21.
2ARP配置任务简介1-31.
3手工添加静态ARP表项1-41.
3.
1手工添加短静态ARP表项·1-41.
3.
2手工添加长静态ARP表项·1-41.
3.
3手工添加多端口ARP表项·1-41.
4配置动态ARP表项的相关功能·1-51.
4.
1配置设备学习动态ARP表项的最大数目·1-51.
4.
2配置接口学习动态ARP表项的最大数目·1-51.
4.
3配置动态ARP表项的老化时间·1-61.
4.
4配置动态ARP表项的老化探测次数·1-61.
4.
5配置动态ARP表项的老化探测时间间隔·1-71.
4.
6开启动态ARP表项的检查功能·1-81.
5将IRF主设备的ARP表项同步到其他所有IRF从设备1-81.
6配置接口为用户侧接口或网络侧接口·1-81.
7开启ARP记录终端用户间IP地址冲突功能·1-91.
8开启ARP表项出接口和MAC地址表项出接口一致性检查功能1-91.
9开启ARP记录终端用户端口迁移功能·1-101.
10开启ARP日志信息功能·1-101.
11ARP显示和维护·1-111.
12ARP典型配置举例·1-111.
12.
1长静态ARP表项配置举例1-111.
12.
2短静态ARP表项配置举例1-131.
12.
3多端口ARP表项配置举例1-142免费ARP·2-12.
1免费ARP简介2-12.
1.
1IP地址冲突检测2-12.
1.
2免费ARP报文学习·2-1ii2.
1.
3定时发送免费ARP·2-12.
2免费ARP配置任务简介2-22.
3开启源IP地址冲突提示功能·2-22.
4开启免费ARP报文学习功能·2-22.
5开启定时发送免费ARP功能·2-32.
6开启设备收到非同一网段ARP请求时发送免费ARP报文功能·2-32.
7配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔2-33代理ARP·3-13.
1代理ARP简介3-13.
2开启普通代理ARP功能3-13.
3开启本地代理ARP功能3-13.
4代理ARP显示和维护3-13.
5普通代理ARP典型配置举例·3-23.
5.
1普通代理ARP基本组网配置举例·3-24ARPSnooping4-14.
1ARPSnooping简介·4-14.
1.
1ARPSnooping表项建立机制4-14.
1.
2ARPSnooping表项老化机制4-14.
1.
3ARPSnooping表项冲突处理机制4-14.
2在VLAN内开启ARPSnooping功能4-14.
3ARPSnooping显示和维护4-25ARP快速应答·5-15.
1ARP快速应答简介5-15.
2开启ARP快速应答功能5-11-11ARP1.
1ARP简介ARP(AddressResolutionProtocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议.
在网络中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址),由于IP数据报必须封装成帧才能通过物理网络发送,因此还需要知道对方的物理地址,所以设备上需要存在一个从IP地址到物理地址的映射关系.
ARP就是实现这个功能的协议.
1.
1.
1ARP报文结构ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示.
图1-1ARP报文结构硬件类型:表示硬件地址的类型.
它的值为1表示以太网地址;协议类型:表示要映射的协议地址类型.
它的值为0x0800即表示IP地址;硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位.
对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;操作类型(OP):1表示ARP请求,2表示ARP应答;发送端MAC地址:发送方设备的硬件地址;发送端IP地址:发送方设备的IP地址;目标MAC地址:接收方设备的硬件地址;目标IP地址:接收方设备的IP地址.
1.
1.
2ARP地址解析过程假设主机A和B在同一个网段,主机A要向主机B发送信息.
如图1-2所示,具体的地址解析过程如下:(1)主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项.
如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据报进行帧封装,并将IP数据报发送给主机B.
1-2(2)如果主机A在ARP表中找不到对应的MAC地址,则将缓存该IP数据报,然后以广播方式发送一个ARP请求报文.
ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址.
由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理.
(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中.
之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址.
(4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去.
图1-2ARP地址解析过程当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址.
当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关.
如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B.
1.
1.
3ARP表项类型设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发.
ARP表项分为动态ARP表项、静态ARP表项、OpenFlowARP表项和RuleARP表项.
1.
动态ARP表项动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖.
当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项.
2.
静态ARP表项静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖.
配置静态ARP表项可以增加通信的安全性.
静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信.
1-3静态ARP表项分为短静态ARP表项、长静态ARP表项和多端口ARP表项.
长静态ARP表项可以直接用于报文转发,除了包括IP地址和MAC地址外,还需要包括以下两种表项内容之一:{该ARP表项所在VLAN和出接口;{该ARP表项的入接口和出接口对应关系.
短静态ARP表项只包括IP地址和MAC地址.
如果出接口是VLAN虚接口,短静态ARP表项不能直接用于报文转发,需要对表项进行解析:当要发送IP数据报时,设备先发送ARP请求报文,如果收到的响应报文中的发送端IP地址和发送端MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,此时,该短静态ARP表项由未解析状态变为解析状态,之后就可以用于报文转发.
多端口ARP表项包括IP地址、MAC地址和VLAN信息,当多端口ARP表项中的MAC地址和VLAN信息与多端口单播MAC地址表项中的MAC地址和VLAN信息相同时,该多端口ARP表项可用来指导IP转发.
多端口ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖.
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入.
当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项.
1.
2ARP配置任务简介本节中的所有配置均为可选,请根据实际情况选择配置.
手工添加静态ARP表项{手工添加短静态ARP表项{手工添加长静态ARP表项{手工添加多端口ARP表项配置动态ARP表项的相关功能{配置设备学习动态ARP表项的最大数目{配置接口学习动态ARP表项的最大数目{配置动态ARP表项的老化时间{配置动态ARP表项的老化探测次数{配置动态ARP表项的老化探测时间间隔{开启动态ARP表项的检查功能将IRF主设备的ARP表项同步到其他所有IRF从设备配置接口为用户侧接口或网络侧接口配置ARP表项检查功能{开启ARP记录终端用户间IP地址冲突功能{开启ARP表项出接口和MAC地址表项出接口一致性检查功能{开启ARP记录终端用户端口迁移功能开启ARP日志信息功能1-41.
3手工添加静态ARP表项静态ARP表项在设备正常工作期间一直有效.
1.
3.
1手工添加短静态ARP表项1.
配置限制和指导对于已经解析的短静态ARP表项,会由于外部事件,比如解析到的出接口状态down或设备的ARP表项所对应的VLAN或VLAN接口被删除等原因,恢复到未解析状态.
2.
配置步骤(1)进入系统视图.
system-view(2)手工添加短静态ARP表项.
arpstaticip-addressmac-address1.
3.
2手工添加长静态ARP表项1.
功能简介长静态ARP表项根据设备的当前状态可能处于有效或无效两种状态.
处于无效状态的原因可能是该ARP表项中的IP地址与本地IP地址冲突或设备上没有与该ARP表项中的IP地址在同一网段的接口地址等原因.
处于无效状态的长静态ARP表项不能指导报文转发.
当长静态ARP表项所对应的VLAN或VLAN接口被删除时,该ARP表项会被删除.
2.
配置步骤(1)进入系统视图.
system-view(2)手工添加长静态ARP表项.
arpstaticip-addressmac-address[vlan-idinterface-typeinterface-number|interface-typeinterface-numberinterface-typeinterface-number]1.
3.
3手工添加多端口ARP表项1.
功能简介多端口ARP表项由多端口单播MAC地址表项指定VLAN和出端口,由多端口ARP表项指定IP地址.
多端口ARP表项可以覆盖其它动态、短静态和长静态ARP表项;短静态或长静态ARP表项也可以覆盖多端口ARP表项.
2.
配置限制和指导用户需要先配置多端口单播MAC地址表项来指定所有的出接口,这种MAC地址表项需要和多端口ARP表项有相同的MAC地址和VLANID,且保证多端口ARP表项中IP地址与VLAN虚接口的IP地址属于同一网段,且存在对应的多端口单播MAC时,该多端口ARP表项才能正常指导转发.
1-53.
配置步骤(1)进入系统视图.
system-view(2)配置多端口单播MAC地址表项.
mac-addressmultiportmac-addressinterfaceinterface-listvlanvlan-id多端口单播MAC的相关内容,请参见"二层技术-以太网交换命令参考/MAC地址表"中的命令mac-address.
(3)手工添加多端口ARP表项.
arpmultiportip-addressmac-addressvlan-id本命令中的mac-address,vlan-id应该和多端口单播MAC中的mac-address,vlan-id一致.
1.
4配置动态ARP表项的相关功能1.
4.
1配置设备学习动态ARP表项的最大数目1.
功能简介设备可以通过ARP协议自动生成动态ARP表项.
为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制.
当设备学习动态ARP表项的数目达到所设置的值时,该设备上将不再学习动态ARP表项.
当本命令配置的动态ARP表项的最大数目小于设备当前已经学到的动态ARP表项数目,已学到的动态ARP表项不会被直接删除,用户可以通过执行resetarpdynamic命令直接清除动态ARP表项.
2.
配置步骤(1)进入系统视图.
system-view(2)配置设备允许学习动态ARP表项的最大数目.
arpmax-learning-numbermax-numberslotslot-number本命令的缺省情况与设备的型号有关,请以设备的实际情况为准.
当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止本设备学习动态ARP表项.
1.
4.
2配置接口学习动态ARP表项的最大数目1.
功能简介设备可以通过ARP协议自动生成动态ARP表项.
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制.
当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项.
如果二层接口及其所属的VLAN接口都配置了允许学习动态ARP表项的最大数目,则只有二层接口及VLAN接口上的动态ARP表项数目都没有超过各自配置的最大值时,才会学习ARP表项.
设备各接口学习的动态ARP表项之和不会超过该设备学习动态ARP表项的最大数目.
1-62.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口允许学习动态ARP表项的最大数目.
arpmax-learning-nummax-number[alarmalarm-threshold]本命令的缺省情况与设备的型号有关,请以设备的实际情况为准.
当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项.
1.
4.
3配置动态ARP表项的老化时间1.
功能简介为适应网络的变化,ARP表需要不断更新.
ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将从ARP表中删除,这个生存周期被称作老化时间.
如果在到达老化时间前记录被刷新,则重新计算老化时间.
系统视图和接口视图下都可以配置动态ARP表项的老化时间,接口视图下配置的动态ARP表项的老化时间优先级高于系统视图下配置的动态ARP表项的老化时间.
2.
配置步骤(1)进入系统视图.
system-view(2)配置动态ARP表项的老化时间.
{在系统视图下配置动态ARP表项的老化时间.
arptimeraging{aging-minutes|secondaging-seconds}缺省情况下,动态ARP表项的老化时间为20分钟.
{请依次执行以下命令在接口视图下配置动态ARP表项的老化时间.
interfaceinterface-typeinterface-numberarptimeraging{aging-minutes|secondaging-seconds}缺省情况下,动态ARP表项的老化时间以系统视图下配置的老化时间为准.
1.
4.
4配置动态ARP表项的老化探测次数1.
功能简介某条动态ARP表项老化前,设备会向该表项中的IP地址发送ARP请求报文进行老化探测,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新,如果未收到应答,则删除此动态ARP表项.
动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程.
系统视图和接口视图下都可以配置动态ARP表项老化探测次数,接口视图下配置的动态ARP表项老化探测次数优先级高于系统视图下配置的动态ARP表项老化探测次数.
1-72.
配置步骤(1)进入系统视图.
system-view(2)配置动态ARP表项的老化探测次数.
{在系统视图下配置动态ARP表项的老化探测次数.
arptimeragingprobe-countcount缺省情况下,动态ARP表项老化探测次数为3次.
{请依次执行以下命令在接口视图下配置动态ARP表项的老化探测次数.
interfaceinterface-typeinterface-numberarptimeragingprobe-countcount缺省情况下,动态ARP表项老化探测次数以系统视图下配置的探测次数为准.
1.
4.
5配置动态ARP表项的老化探测时间间隔1.
功能简介动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程.
动态ARP表项老化前,设备会按照配置的老化探测时间间隔向该表项中的IP地址发送ARP请求报文进行老化探测.
如果在老化探测时间间隔内,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新;如果在老化探测时间间隔内,设备未收到ARP应答报文,探测次数加1,开始下一次探测;如果到达最大探测次数后,设备仍未收到ARP应答报文,则该动态ARP表项会被删除.
2.
配置限制和指导如果网络负载较大,请配置较大的老化探测时间间隔.
动态ARP表项老化探测过程中,老化时间超时的动态ARP表项不会被马上删除.
在动态ARP表项老化探测过程结束前收到ARP应答报文后,动态ARP表项的老化时间还可以被刷新.
配置的动态ARP表项的老化时间需要大于配置的动态ARP表项的老化探测次数乘以配置的动态ARP表项的老化探测时间间隔.
否则,ARP表项老化探测功能可能无法按照配置的探测时间间隔进行探测.
3.
配置步骤(1)进入系统视图.
system-view(2)配置动态ARP表项的老化探测时间间隔.
{在系统视图下配置动态ARP表项的老化探测时间间隔.
arptimeragingprobe-intervalinterval缺省情况下,动态ARP表项老化探测时间间隔为5秒.
{请依次执行以下命令在接口视图下配置动态ARP表项的老化探测时间间隔.
interfaceinterface-typeinterface-numberarptimeragingprobe-intervalinterval缺省情况下,动态ARP表项老化探测次数以系统视图下配置的探测次数为准.
1-81.
4.
6开启动态ARP表项的检查功能1.
配置步骤(1)进入系统视图.
system-view(2)开启动态ARP表项的检查功能.
arpcheckenable缺省情况下,动态ARP表项的检查功能处于开启状态.
1.
5将IRF主设备的ARP表项同步到其他所有IRF从设备1.
功能简介当IRF主从设备间出现了ARP表项不一致的异常情况时,可以执行本配置,保证IRF主从设备上的ARP表项处于一致状态.
2.
配置限制和指导为了防止IRF设备在长时间工作后,各设备间的ARP表项出现差异的情况,可通过schedule机制控制arpsmooth命令的起始时间及执行的时间间隔,关于schedule机制的介绍,请参见"基础配置指导"中的"设备管理".
3.
配置步骤请在用户视图下执行本命令,将IRF主设备的ARP表项同步到其他所有IRF从设备.
arpsmooth1.
6配置接口为用户侧接口或网络侧接口1.
功能简介当接口连接终端主机时,可以配置接口为用户侧接口.
对于这种接口上学到的ARP表项,设备上不会生成到主机的路由.
当接口连接网络设备时,需要配置接口为网络侧接口.
对于这种接口上学到的ARP表项,ARP表项中的信息可以用来生成对应的主机路由信息条目.
通过实际使用情况,正确配置接口的工作模式,可以适当的节省硬件资源.
2.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口为用户侧接口或网络层接口.
{配置接口为用户侧接口.
arpmodeuni{配置接口为网络侧接口.
1-9undoarpmodeuni缺省情况下,接口为网络侧接口.
1.
7开启ARP记录终端用户间IP地址冲突功能1.
功能简介开启本功能后,ARP模块收到非免费ARP报文时,会将ARP报文中的发送端IP地址和已有ARP表项中的IP地址进行比较.
如果发现发送端IP地址和某条ARP表项中的IP地址相同,但MAC地址不同,则认为网络中存在终端用户间的IP地址冲突.
此时,ARP模块会生成终端用户间IP地址冲突表项,同时生成对应的IP地址冲突日志.
生成的IP地址冲突日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
2.
配置步骤(1)进入系统视图.
system-view(2)开启ARP记录终端用户间IP地址冲突功能.
arpuser-ip-conflictrecordenable缺省情况下,ARP记录终端用户间IP地址冲突功能处于关闭状态.
1.
8开启ARP表项出接口和MAC地址表项出接口一致性检查功能1.
功能简介当网络环境不稳定时,设备收到某个用户发送的报文的接口可能会发生变化.
这时,设备会更新该用户的MAC地址表项中的接口信息.
由于该用户对应的ARP表项的出接口信息无法及时更新,匹配该ARP表项的报文会从错误的接口转发出去.
开启本功能后,ARP会定时检查某个用户的ARP表项的出接口和MAC地址表项的出接口是否一致.
如果不一致,ARP会在该用户的ARP表项记录的VLAN内发送ARP请求报文进行探测,并将收到ARP应答报文的接口信息更新到ARP表项中,保证了ARP表项的出接口信息能够及时更新,解决了某个用户的ARP表项出接口和MAC地址表项出接口不一致的问题.
使用displaymac-address命令可以查看MAC地址表信息.
关于displaymac-address命令的详细描述,请参见"二层技术-以太网交换命令参考"中的"MAC地址表".
2.
配置步骤(1)进入系统视图.
system-view(2)开启ARP表项出接口和MAC地址表项出接口一致性检查功能.
arpmac-interface-consistencycheckenable缺省情况下,ARP表项出接口和MAC地址表项出接口一致性检查功能处于关闭状态.
1-101.
9开启ARP记录终端用户端口迁移功能1.
功能简介开启本功能后,设备收到ARP报文时,会将收到ARP报文中的信息和已有ARP表项进行比较.
如果发现ARP报文中的发送端IP地址和MAC地址与某条ARP表项中的IP地址和MAC地址相同,但端口不同,则认为该ARP表项对应的用户发生了端口迁移.
此时,设备会生成终端用户的迁移表项,同时生成对应用户的迁移日志,并刷新ARP表项中的接口信息.
生成的迁移日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
如果发生大量用户迁移操作时,设备会输出大量日志信息,这可能会降低设备性能.
为了避免该情况的发生,用户可以关闭ARP记录终端用户端口迁移功能.
2.
配置步骤(1)进入系统视图.
system-view(2)开启ARP记录终端用户端口迁移功能.
arpuser-moverecordenable缺省情况下,ARP记录终端用户端口间迁移功能处于关闭状态.
1.
10开启ARP日志信息功能1.
功能简介ARP日志可以方便管理员定位问题和解决问题,对处理ARP报文的信息进行的记录.
例如,ARP日志可以记录如下事件:设备未使能ARP代理功能时收到目的IP不是设备接口IP地址或VRRP备份组中的虚拟IP地址;收到的ARP报文中源地址和接收接口IP地址或VRRP备份组中的虚拟IP地址冲突,且此报文不是ARP请求报文等.
设备生成的ARP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
2.
配置步骤(1)进入系统视图.
system-view(2)开启ARP日志信息功能.
arpchecklogenable缺省情况下,ARP日志信息功能处于关闭状态.
1-111.
11ARP显示和维护清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致无法正常通信.
清除前请务必仔细确认.
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令清除ARP表项.
表1-1ARP显示和维护操作命令显示ARP表项displayarp[[all|dynamic|multiport|static][slotslot-number]|vlanvlan-id|interfaceinterface-typeinterface-number][count|verbose]显示设备支持ARP表项的最大数目displayarpentry-limit显示指定IP地址的ARP表项displayarpip-address[slotslot-number][verbose]显示动态ARP表项的老化时间displayarptimeraging显示ARP记录的终端用户间IP地址冲突表项信息displayarpuser-ip-conflictrecord[slotslot-number]显示ARP记录的终端用户迁移表项信息displayarpuser-moverecord[slotslot-number]清除ARP表项resetarp{all|dynamic|interfaceinterface-typeinterface-number|multiport|slotslot-number|static}1.
12ARP典型配置举例1.
12.
1长静态ARP表项配置举例1.
组网需求DeviceB连接主机,通过接口Ten-GigabitEthernet1/1/1连接DeviceA.
接口Ten-GigabitEthernet1/1/1属于VLAN10.
DeviceA的IP地址为192.
168.
1.
1/24,MAC地址为00e0-fc01-0000.
为了增加DeviceB和DeviceA通信的安全性,可以在DeviceB上为DeviceA配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址的映射关系.
1-122.
组网图图1-3长静态ARP表项配置组网图3.
配置步骤在DeviceB上进行下列配置.
#创建VLAN10.
system-view[DeviceB]vlan10[DeviceB-vlan10]quit#将接口Ten-GigabitEthernet1/1/1加入到VLAN10中.
[DeviceB]interfaceten-gigabitethernet1/1/1[DeviceB-Ten-GigabitEthernet1/1/1]portaccessvlan10[DeviceB-Ten-GigabitEthernet1/1/1]quit#创建接口Vlan-interface10,并配置IP地址.
[DeviceB]interfacevlan-interface10[DeviceB-vlan-interface10]ipaddress192.
168.
1.
28[DeviceB-vlan-interface10]quit#配置一条长静态ARP表项,IP地址为192.
168.
1.
1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN10的接口Ten-GigabitEthernet1/1/1.
[DeviceB]arpstatic192.
168.
1.
100e0-fc01-000010ten-gigabitethernet1/1/14.
验证配置#查看长静态ARP表项信息.
[DeviceB]displayarpstaticType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVLAN/VSIInterfaceAgingType192.
168.
1.
100e0-fc01-000010XGE1/1/1--S1-131.
12.
2短静态ARP表项配置举例1.
组网需求DeviceB通过接口Ten-GigabitEthernet1/1/1连接主机,通过接口Ten-GigabitEthernet1/1/2连接DeviceA.
DeviceA的IP地址为192.
168.
1.
1/24,MAC地址为00e0-fc01-001f.
网络管理员需要通过某种方法来防止恶意用户对DeviceB进行ARP攻击,增加DeviceB和DeviceA通信的安全性.
如果DeviceA的IP地址和MAC地址是固定的,则可以通过在DeviceB上配置静态ARP表项的方法,防止恶意用户进行ARP攻击.
2.
组网图图1-4短静态ARP表项配置组网图3.
配置步骤在DeviceB上进行下列配置.
#在接口Ten-GigabitEthernet1/1/2配置IP地址.
system-view[DeviceB]interfaceten-gigabitethernet1/1/2[DeviceB-Ten-GigabitEthernet1/1/2]ipaddress192.
168.
1.
224[DeviceB-Ten-GigabitEthernet1/1/2]quit#配置一条短静态ARP表项,IP地址是192.
168.
1.
1,对应的MAC地址是00e0-fc01-001f.
[DeviceB]arpstatic192.
168.
1.
100e0-fc01-001f4.
验证配置#查看短静态ARP表项信息.
[DeviceB]displayarpstaticType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVLAN/VSIInterfaceAgingType192.
168.
1.
100e0-fc01-001fS1-141.
12.
3多端口ARP表项配置举例1.
组网需求Device连接服务器群,通过属于VLAN10的三个二层接口Ten-GigabitEthernet1/1/1、Ten-GigabitEthernet1/1/2和Ten-GigabitEthernet1/1/3分别连接三台服务器.
服务器群的共享IP地址为192.
168.
1.
1/24,共享MAC地址为00e0-fc01-0000.
配置多端口ARP表项,使目的IP为192.
168.
1.
1的IP数据报文能同时发送到三台服务器上.
2.
组网图图1-5多端口ARP表项配置组网图3.
配置步骤在Device上进行下列配置.
#创建VLAN10.
system-view[Device]vlan10[Device-vlan10]quit#将接口Ten-GigabitEthernet1/1/1、Ten-GigabitEthernet1/1/2、Ten-GigabitEthernet1/1/3加入到VLAN10中.
[Device]interfaceten-gigabitethernet1/1/1[Device-Ten-GigabitEthernet1/1/1]portaccessvlan10[Device-Ten-GigabitEthernet1/1/1]quit[Device]interfaceten-gigabitethernet1/0/2[Device-Ten-GigabitEthernet1/1/2]portaccessvlan10[Device-Ten-GigabitEthernet1/1/2]quit[Device]interfaceten-gigabitethernet1/0/3[Device-Ten-GigabitEthernet1/1/3]portaccessvlan10[Device-Ten-GigabitEthernet1/1/3]quit#创建接口Vlan-interface10,并配置IP地址.
[Device]interfacevlan-interface10[Device-vlan-interface10]ipaddress192.
168.
1.
224[Device-vlan-interface10]quit1-15#配置多端口单播MAC表项,MAC地址为00e0-fc01-0000,对应的出接口为Ten-GigabitEthernet1/1/1、Ten-GigabitEthernet1/1/2和Ten-GigabitEthernet1/1/3,接口属于VLAN10.
[Device]mac-addressmultiport00e0-fc01-0000interfaceten-gigabitethernet1/1/1toten-gigabitethernet1/1/3vlan10#配置一条多端口ARP表项,IP地址为192.
168.
1.
1,对应的MAC地址为00e0-fc01-0000.
[Device]arpmultiport192.
168.
1.
100e0-fc01-0000104.
验证配置#查看ARP表项信息.
[Device]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVLAN/VSIInterfaceAgingType192.
168.
1.
100e0-fc01-000010----M2-12免费ARP2.
1免费ARP简介免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机的IP地址.
设备通过对外发送免费ARP报文来确定其他设备的IP地址是否与本机的IP地址冲突,并实现在设备硬件地址改变时通知其它设备更新ARP表项.
2.
1.
1IP地址冲突检测设备接口获取到IP地址时可以在接口所在局域网内广播发送免费ARP报文.
如果设备收到ARP应答报文,表示局域网中存在与该设备IP地址相同的设备,则设备不会使用此IP地址,并打印日志提示管理员修改该IP地址.
如果设备未收到ARP应答报文,表示局域网中不存在与该设备IP地址相同的设备,则设备可以正常使用IP地址.
2.
1.
2免费ARP报文学习开启了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改.
设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项.
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项.
如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源.
2.
1.
3定时发送免费ARP定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:防止仿冒网关的ARP攻击如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络.
为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上开启定时发送免费ARP功能.
开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文.
这样,每台主机都可以学习到正确的网关,从而正常访问网络.
防止主机ARP表项老化在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象.
这种情况下,接收端主机的动态ARP2-2表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断.
为了解决上述问题,可以在网关的接口上开启定时发送免费ARP功能.
启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文.
这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象.
防止VRRP虚拟IP地址冲突当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,从而确保网络中不会存在IP地址与Master路由器VRRP虚拟IP地址相同的设备.
免费ARP报文中的发送端MAC为VRRP虚拟路由器对应的虚拟MAC地址.
关于VRRP的详细介绍,请参见"可靠性配置指导"中的"VRRP".
2.
2免费ARP配置任务简介本节中的所有配置均为可选,请根据实际情况选择配置.
当以下功能均未开启时,免费ARP的冲突地址检测功能仍然生效.
开启源IP地址冲突提示功能开启免费ARP报文学习功能开启定时发送免费ARP功能开启设备收到非同一网段ARP请求时发送免费ARP报文功能配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔2.
3开启源IP地址冲突提示功能1.
功能简介设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,只有收到对应的ARP应答后才提示存在IP地址冲突.
如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突.
2.
配置步骤(1)进入系统视图.
system-view(2)开启源IP地址冲突提示功能.
arpip-conflictlogprompt缺省情况下,源IP地址冲突提示功能处于关闭状态.
2.
4开启免费ARP报文学习功能(1)进入系统视图.
system-view2-3(2)开启免费ARP报文学习功能.
gratuitous-arp-learningenable缺省情况下,免费ARP报文的学习功能处于开启状态.
2.
5开启定时发送免费ARP功能1.
配置限制和指导设备最多允许同时在1024个接口上开启定时发送免费ARP功能.
开启定时发送免费ARP功能后,只有当接口链路状态up并且配置IP地址后,此功能才真正生效.
如果修改了免费ARP报文的发送时间间隔,则在下一个发送时间间隔才能生效.
如果同时在很多接口下开启定时发送免费ARP功能,或者每个接口有大量的从IP地址,又或者是两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户设定的时间间隔.
2.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)开启定时发送免费ARP功能.
arpsend-gratuitous-arp[intervalinterval]缺省情况下,定时发送免费ARP功能处于关闭状态.
2.
6开启设备收到非同一网段ARP请求时发送免费ARP报文功能(1)进入系统视图.
system-view(2)开启设备收到非同一网段ARP请求时发送免费ARP报文功能.
gratuitous-arp-sendingenable缺省情况下,设备收到非同一网段的ARP请求时发送免费ARP报文功能处于关闭状态.
2.
7配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔1.
功能简介当设备的MAC地址发生变化后,设备会通过免费ARP报文将修改后的MAC地址通告给其他设备.
由于目前免费ARP报文没有重传机制,其他设备可能无法收到免费ARP报文.
为了解决这个问题,用户可以配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔,保证其他设备可以收到该免费ARP报文.
2-42.
配置步骤(1)进入系统视图.
system-view(2)配置当接口MAC地址变化时,重新发送免费ARP报文的次数和时间间隔gratuitous-arpmac-changeretransmittimesintervalseconds缺省情况下,当设备的接口MAC地址变化时,该接口只会发送一次免费ARP报文.
3-13代理ARP3.
1代理ARP简介如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(ProxyARP).
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上.
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中.
本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中.
3.
2开启普通代理ARP功能(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number普通代理ARP功能可在VLAN接口视图下进行配置.
(3)开启普通代理ARP功能.
proxy-arpenable缺省情况下,普通代理ARP功能处于关闭状态.
3.
3开启本地代理ARP功能(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number本地代理ARP功能可在VLAN接口视图下进行配置.
(3)开启本地代理ARP功能.
local-proxy-arpenable[ip-rangestart-ip-addresstoend-ip-address]缺省情况下,本地代理ARP功能处于关闭状态.
3.
4代理ARP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后代理ARP的运行情况,查看显示信息验证配置的效果.
3-2表3-1代理ARP显示和维护操作命令显示本地代理ARP的状态displaylocal-proxy-arp[interfaceinterface-typeinterface-number]显示普通代理ARP的状态displayproxy-arp[interfaceinterface-typeinterface-number]3.
5普通代理ARP典型配置举例3.
5.
1普通代理ARP基本组网配置举例1.
组网需求HostA和HostD配置为同一网段的主机(HostA的IP地址是192.
168.
10.
100/16,HostD的IP地址是192.
168.
20.
200/16),但却被设备Device分在两个不同的子网(HostA属于VLAN1,HostD属于VLAN2).
HostA和HostD没有配置缺省网关,要求在设备Device上开启代理ARP功能,使处在两个子网的HostA和HostD能互通.
2.
组网图图3-1配置普通代理ARP组网图3.
配置步骤#创建VLAN2.
system-view[Device]vlan2[Device-vlan2]quit#配置接口Vlan-interface1的IP地址.
3-3[Device]interfacevlan-interface1[Device-Vlan-interface1]ipaddress192.
168.
10.
99255.
255.
255.
0#开启接口Vlan-interface1的普通代理ARP功能.
[Device-Vlan-interface1]proxy-arpenable[Device-Vlan-interface1]quit#配置接口Vlan-interface2的IP地址.
[Device]interfacevlan-interface2[Device-Vlan-interface2]ipaddress192.
168.
20.
99255.
255.
255.
0#开启接口Vlan-interface2的普通代理ARP功能.
[Device-Vlan-interface2]proxy-arpenable4.
验证配置配置完成后,HostA和HostD可以互相ping通.
4-14ARPSnooping4.
1ARPSnooping简介ARPSnooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARPSnooping表项,从而提供给ARP快速应答使用.
4.
1.
1ARPSnooping表项建立机制设备上在一个VLAN内开启ARPSnooping后,该VLAN内接收的ARP报文都会被上送到CPU.
CPU对上送的ARP报文进行分析,获取ARP报文的发送端IP地址、发送端MAC地址、VLAN和入端口信息,建立记录用户信息的ARPSnooping表项.
4.
1.
2ARPSnooping表项老化机制ARPSnooping表项的老化时间为25分钟,有效时间为15分钟.
如果一个ARPSnooping表项自最后一次更新后12分钟内没有收到ARP更新报文,设备会向外主动发送一个ARP请求进行探测;若ARPSnooping表项自最后一次更新后15分钟时,还没有收到ARP更新报文,则此表项开始进入失效状态,不再对外提供服务,其他特性查找此表项将会失败.
当收到发送端IP地址和发送端MAC与已存在的ARPSnooping表项IP地址和MAC均相同的ARP报文时,此ARPSnooping表项进行更新,重新开始生效,并重新老化计时.
当ARPSnooping表项达到老化时间后,则将此ARPSnooping表项删除.
4.
1.
3ARPSnooping表项冲突处理机制如果ARPSnooping收到ARP报文时检查到相同IP的ARPSnooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARPSnooping表项处于冲突状态,表项失效,不再对外提供服务,并在1分钟后删除此表项.
4.
2在VLAN内开启ARPSnooping功能(1)进入系统视图.
system-view(2)进入VLAN视图.
vlanvlan-id(3)开启ARPSnooping功能.
arpsnoopingenable缺省情况下,ARPSnooping功能处于关闭状态.
4-24.
3ARPSnooping显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后ARPSnooping的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令清除ARPSnooping表中的表项.
表4-1ARPSnooping显示和维护操作命令显示ARPSnooping表项displayarpsnoopingvlan[vlan-id][slotslot-number][count]displayarpsnoopingvlanipip-address[slotslot-number]清除ARPSnooping表项resetarpsnoopingvlan[vlan-id]resetarpsnoopingvlanipip-address5-15ARP快速应答5.
1ARP快速应答简介ARP快速应答功能根据设备上生成的ARPSnooping表项包含的信息,在指定的VLAN内,对ARP请求进行应答,从而减少ARP广播报文.
ARP快速应答的工作机制如下:设备接收到ARP请求报文时,如果请求报文的目的IP地址是设备的VLAN接口的IP地址,则由ARP特性进行处理.
5.
2开启ARP快速应答功能1.
配置限制和指导为了提高ARP快速应答的应答几率,可以在应用ARP快速应答功能的场合同时开启ARPSnooping功能.
2.
配置步骤(1)进入系统视图.
system-view(2)进入VLAN视图.
vlanvlan-id(3)开启ARP快速应答功能.
arpfast-replyenable缺省情况下,ARP快速应答功能处于关闭状态.
i目录1IP地址1-11.
1IP地址简介·1-11.
1.
1IP地址的表示和分类1-11.
1.
2特殊的IP地址1-21.
1.
3子网和掩码·1-21.
1.
4IP地址的获取方式1-21.
2手工指定接口的IP地址·1-31.
3配置接口借用IP地址·1-41.
4IP地址显示和维护·1-41.
5地址典型配置举例·1-51.
5.
1手工指定IP地址配置举例1-51-11IP地址1.
1IP地址简介若非特别指明,本文所指的IP地址均为IPv4地址.
1.
1.
1IP地址的表示和分类连接到IPv4网络上的设备通过IP地址标识.
IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.
1.
1.
1.
IP地址由两部分组成:网络号码字段(Net-id):用于区分不同的网络.
网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型.
主机号码字段(Host-id):用于区分一个网络内的不同主机.
为了方便管理及组网,IP地址分成五类,如图1-1所示,其中蓝色部分为类别字段.
图1-1五类IP地址上述五类IP地址的地址范围如表1-1所示.
目前大量使用的IP地址属于A、B、C三类.
表1-1IP地址分类及范围地址类型地址范围说明A0.
0.
0.
0~127.
255.
255.
255IP地址0.
0.
0.
0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址127.
0.
0.
0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理B128.
0.
0.
0~191.
255.
255.
255-C192.
0.
0.
0~223.
255.
255.
255-D224.
0.
0.
0~239.
255.
255.
255组播地址(暂不支持)E240.
0.
0.
0~255.
255.
255.
255255.
255.
255.
255用于广播地址,其它地址保留今后使用1-21.
1.
2特殊的IP地址下列IP地址具有特殊的用途,不能作为主机的IP地址.
Net-id为全0的地址:表示本网络内的主机.
例如,0.
0.
0.
16表示本网络内Host-id为16的主机.
Host-id为全0的地址:网络地址,用于标识一个网络.
Host-id为全1的地址:网络广播地址.
例如,目的地址为192.
168.
1.
255的报文,将转发给192.
168.
1.
0网络内所有的主机.
1.
1.
3子网和掩码随着Internet的快速发展,IP地址已近枯竭.
为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网).
通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网.
子网号码字段的长度由子网掩码确定.
子网掩码是一个长度为32比特的数字,由一串连续的"1"和一串连续的"0"组成.
"1"对应于网络号码字段和子网号码字段,而"0"对应于主机号码字段.
图1-2所示是一个B类地址划分子网的情况.
图1-2IP地址子网划分多划分出一个子网号码字段会浪费一些IP地址.
例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码.
但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码.
因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个.
若不进行子网划分,则子网掩码为默认值,此时子网掩码中"1"的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.
0.
0.
0、255.
255.
0.
0和255.
255.
255.
0.
1.
1.
4IP地址的获取方式接口获取IP地址有以下几种方式:通过手动指定IP地址,本手册只介绍通过手动指定IP地址的方式.
通过DHCP分配得到IP地址,通过DHCP分配得到IP地址方式的介绍请参见"三层技术-IP业务配置指导"中的"DHCP客户端".
这几种方式是互斥的,通过新的配置方式获取的IP地址会覆盖通过原有方式获取的IP地址.
例如,首先通过手动指定了IP地址,然后使用DHCP协议申请IP地址,那么手动指定的IP地址会被删除,接口的IP地址是通过DHCP协议分配的.
1-31.
2手工指定接口的IP地址1.
功能简介设备的每个接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址.
一般情况下,一个接口只需配置一个主IP地址,但在有些特殊情况下需要配置从IP地址.
比如,一台设备通过一个接口连接了一个局域网,但该局域网中的计算机分别属于2个不同的子网,为了使设备与局域网中的所有计算机通信,就需要在该接口上配置一个主IP地址和一个从IP地址.
IRF环境中,当IRF分裂后,无法使用管理以太网口登录从设备排除故障.
为解决该问题,设备提供了配置IRF成员设备的管理以太网口IP地址功能.
当IRF分裂后,某台从设备被选举为主设备时,用户可以通过该设备的管理以太网接口IP地址登录设备进行配置管理.
IRF的详细描述请参见"虚拟化技术配置指导"中的"IRF".
2.
配置限制和指导一个接口只能有一个主IP地址.
新配置的主IP地址将覆盖原有主IP地址.
当接口被配置为通过DHCP方式获取IP地址或借用其它接口的IP地址后,则不能再给该接口配置从IP地址.
同一接口的主、从IP地址可以在同一网段,但不同接口之间、主接口之间的IP地址不可以在同一网段.
IRF分裂后,由于原主设备上的路由信息还没有更新,在分裂出来的原从设备上无法立即ping通原主设备网管口地址.
为解决该问题,可以等设备间路由同步完毕,或者开启路由NSR功能.
路由NSR的详细描述请参见"三层技术-IP路由配置指导"中的"IP路由基础".
配置IRF主设备管理口IP地址时,如果使用ipaddressirf-member命令,则不要再配置其他IP地址命令(包括ipaddress命令、madipaddress命令或ipaddressdhcp-alloc命令等),以免影响功能正常运行.
在开启MAD检测情况下,请将主设备的管理用以太网口设置为MAD检测的保留接口,避免在IRF分裂后被MAD功能设置为关闭状态.
设备支持在不同接口上配置掩码不同但最短掩码对应网络位相同的地址,比如地址1.
1.
1.
1/16和1.
1.
2.
1/24,这两个地址的最短掩码16对应的网络位都是1.
1.
0.
0.
缺省连接这两个接口上的用户不能互通,如需互通,需要配置普通代理ARP功能,关于普通代理ARP的描述,请参见"三层技术-IP业务配置指导"中的"ARP".
3.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口的IP地址.
ipaddressip-address{mask-length|mask}[sub]缺省情况下,未配置接口IP地址.
1-41.
3配置接口借用IP地址1.
功能简介IP地址借用是指一个接口上未配置IP地址,但为了使该接口能正常使用,就向同一设备上其它有IP地址的接口借用一个IP地址.
IP地址借用的使用场景如下:在IP地址资源比较匮乏的环境下,为了节约IP地址资源,可以配置某个接口借用其它接口的IP地址.
如果某个接口只是偶尔使用,可以配置该接口借用其它接口的IP地址,而不必让其一直占用一个单独的IP地址.
2.
配置限制和指导Loopback接口的IP地址可被其它接口借用,但本身不能借用其它接口的地址.
被借用接口的地址本身不能为借用地址.
一个接口的地址可以借给多个接口.
如果被借用接口有多个手动配置的IP地址,则只有手动配置的主IP地址能被借用.
由于借用方接口本身没有IP地址,无法在此接口上启用动态路由协议.
所以必须手动配置一条到对端网段的静态路由,才能实现设备间的连通.
3.
配置准备被借用接口的IP地址已经配置,配置方法可以为手动指定或通过DHCP动态获取.
4.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置本接口借用指定接口的IP地址.
ipaddressunnumberedinterfaceinterface-typeinterface-number缺省情况下,本接口未借用其它接口的IP地址.
1.
4IP地址显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后IP地址的运行情况,通过查看显示信息验证配置的效果.
表1-2IP地址的显示和维护操作命令显示Vlan接口与IP相关的简要信息displayipinterface[interface-type[interface-number]]brief[description]显示Vlan接口与IP相关的配置和统计信息displayipinterface[[interface-typeinterface-number]]1-51.
5地址典型配置举例1.
5.
1手工指定IP地址配置举例1.
组网需求Device的端口(属于VLAN1)连接一个局域网,局域网中的计算机分别属于2个网段:172.
16.
1.
0/24和172.
16.
2.
0/24.
要求这两个网段的主机都可以通过Device与外部网络通信,且这两个网段中的主机能够互通.
2.
组网图图1-3IP地址配置组网图3.
配置步骤针对上述的需求,如果在Device的VLAN接口1上只配置一个IP地址,则只有一部分主机能够通过Device与外部网络通信.
为了使局域网内的所有主机都能够通过Device访问外部网络,需要配置VLAN接口1的从IP地址.
为了使两个网段中的主机能够互通,两个网段中的主机都需要将Device设置为网关.
#配置VLAN接口1的主IP地址和从IP地址.
system-view[Device]interfacevlan-interface1[Device-Vlan-interface1]ipaddress172.
16.
1.
1255.
255.
255.
0[Device-Vlan-interface1]ipaddress172.
16.
2.
1255.
255.
255.
0sub#在172.
16.
1.
0/24网段中的主机上配置网关为172.
16.
1.
1;在172.
16.
2.
0/24网段中的主机上配置网关为172.
16.
2.
1.
4.
验证配置#使用ping命令检测Device与网络172.
16.
1.
0/24内主机的连通性.
ping172.
16.
1.
2Ping172.
16.
1.
2(172.
16.
1.
2):56databytes,pressCTRL_Ctobreak1-656bytesfrom172.
16.
1.
2:icmp_seq=0ttl=128time=7.
000ms56bytesfrom172.
16.
1.
2:icmp_seq=1ttl=128time=2.
000ms56bytesfrom172.
16.
1.
2:icmp_seq=2ttl=128time=1.
000ms56bytesfrom172.
16.
1.
2:icmp_seq=3ttl=128time=1.
000ms56bytesfrom172.
16.
1.
2:icmp_seq=4ttl=128time=2.
000ms---Pingstatisticsfor172.
16.
1.
2---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
000/2.
600/7.
000/2.
245ms显示信息表示Device与网络172.
16.
1.
0/24内的主机可以互通.
#使用ping命令检测Device与网络172.
16.
2.
0/24内主机的连通性.
ping172.
16.
2.
2Ping172.
16.
2.
2(172.
16.
2.
2):56databytes,pressCTRL_Ctobreak56bytesfrom172.
16.
2.
2:icmp_seq=0ttl=128time=2.
000ms56bytesfrom172.
16.
2.
2:icmp_seq=1ttl=128time=7.
000ms56bytesfrom172.
16.
2.
2:icmp_seq=2ttl=128time=1.
000ms56bytesfrom172.
16.
2.
2:icmp_seq=3ttl=128time=2.
000ms56bytesfrom172.
16.
2.
2:icmp_seq=4ttl=128time=1.
000ms---Pingstatisticsfor172.
16.
2.
2---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
000/2.
600/7.
000/2.
245ms显示信息表示Device与网络172.
16.
2.
0/24内的主机可以互通.
#使用ping命令检测网络172.
16.
1.
0/24和网络172.
16.
2.
0/24内主机的连通性.
在HostA上可以ping通HostB.
i目录1DHCP概述1-11.
1DHCP的IP地址分配1-11.
1.
1IP地址分配策略1-11.
1.
2IP地址获取过程1-11.
1.
3IP地址的租约更新1-21.
2DHCP报文格式1-21.
3DHCP常用选项1-31.
4协议规范·1-32DHCP客户端2-12.
1DHCP客户端简介2-12.
2DHCP客户端配置限制和指导2-12.
3DHCP客户端配置任务简介2-12.
4配置接口通过DHCP协议获取IP地址2-12.
5配置接口使用的DHCP客户端ID2-22.
6开启地址冲突检查功能·2-22.
7配置DHCP客户端发送DHCP报文的DSCP优先级·2-32.
8DHCP客户端显示和维护2-31-11DHCP概述1.
1DHCP的IP地址分配1.
1.
1IP地址分配策略针对客户端的不同需求,DHCP提供三种IP地址分配策略:手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址.
通过DHCP将配置的固定IP地址分配给客户端.
自动分配地址:DHCP为客户端分配租期为无限长的IP地址.
动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址.
绝大多数客户端得到的都是这种动态分配的地址.
1.
1.
2IP地址获取过程图1-1IP地址动态获取过程如图1-1所示,DHCP客户端从DHCP服务器获取IP地址,主要通过四个阶段进行:(1)发现阶段,即DHCP客户端寻找DHCP服务器的阶段.
客户端以广播方式发送DHCP-DISCOVER报文.
(2)提供阶段,即DHCP服务器提供IP地址的阶段.
DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端.
(3)选择阶段,即DHCP客户端选择IP地址的阶段.
如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址.
(4)确认阶段,即DHCP服务器确认IP地址的阶段.
DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认将地1-2址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端.
客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内未收到回应,并且客户端上不存在与该地址同网段的其他地址时,客户端才使用此地址.
否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址.
如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端.
1.
1.
3IP地址的租约更新DHCP服务器分配给客户端的IP地址具有一定的租借期限(除自动分配的IP地址),该租借期限称为租约.
当租借期满后服务器会收回该IP地址.
如果DHCP客户端希望继续使用该地址,则DHCP客户端需要申请延长IP地址租约.
在DHCP客户端的IP地址租约期限达到一半左右时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新.
如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约.
如果在租约的一半左右时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约.
DHCP服务器的处理方式同上,不再赘述.
1.
2DHCP报文格式DHCP有8种类型的报文,每种报文的格式都相同,只是某些字段的取值不同.
DHCP的报文格式如图1-2所示,括号中的数字表示该字段所占的字节.
图1-2DHCP报文格式各字段的解释如下:1-3op:报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文.
具体的报文类型在options字段中标识.
htype、hlen:DHCP客户端的硬件地址类型及长度.
xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程.
secs:DHCP客户端开始DHCP请求后所经过的时间.
目前没有使用,固定为0.
flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播方式发送,0表示采用单播方式,1表示采用广播方式.
其余比特保留不用.
ciaddr:DHCP客户端的IP地址.
如果客户端有合法和可用的IP地址,则将其添加到此字段,否则字段设置为0.
此字段不用于客户端申请某个特定的IP地址.
siaddr:DHCP客户端获取启动配置信息的服务器IP地址.
chaddr:DHCP客户端的硬件地址.
sname:DHCP客户端获取启动配置信息的服务器名称.
options:可选变长选项字段,包含报文的类型、有效租期、DNS服务器的IP地址、WINS服务器的IP地址等配置信息.
1.
3DHCP常用选项常见的DHCP选项有:Option3:路由器选项,用来指定为客户端分配的网关地址.
Option6:DNS服务器选项,用来指定为客户端分配的DNS服务器地址.
Option33:静态路由选项.
该选项中包含一组有分类静态路由(即目的网络地址的掩码固定为自然掩码,不能划分子网),客户端收到该选项后,将在路由表中添加这些静态路由.
如果Option33和Option121同时存在,则忽略Option33.
Option51:IP地址租约选项.
Option53:DHCP消息类型选项,标识DHCP消息的类型.
Option55:请求参数列表选项.
客户端利用该选项指明需要从服务器获取哪些网络配置参数.
该选项内容为客户端请求的参数对应的选项值.
Option66:TFTP服务器名选项,用来指定为客户端分配的TFTP服务器的域名.
Option67:启动文件名选项,用来指定为客户端分配的启动文件名.
Option121:无分类路由选项.
该选项中包含一组无分类静态路由(即目的网络地址的掩码为任意值,可以通过掩码来划分子网),客户端收到该选项后,将在路由表中添加这些静态路由.
如果Option33和Option121同时存在,则忽略Option33.
Option150:TFTP服务器地址选项,用来指定为客户端分配的TFTP服务器的地址.
更多DHCP选项的介绍,请参见RFC2132和RFC3442.
1.
4协议规范与DHCP相关的协议规范有:RFC2131:DynamicHostConfigurationProtocolRFC1542:ClarificationsandExtensionsfortheBootstrapProtocol1-4RFC3046:DHCPRelayAgentInformationOptionRFC3442:TheClasslessStaticRouteOptionforDynamicHostConfigurationProtocol(DHCP)version42-12DHCP客户端2.
1DHCP客户端简介为了方便用户配置和集中管理,可以指定设备的接口作为DHCP客户端,使用DHCP协议从DHCP服务器动态获得IP地址等参数.
2.
2DHCP客户端配置限制和指导DHCP客户端中对于接口的相关配置,目前只能在VLAN接口上进行.
2.
3DHCP客户端配置任务简介DHCP客户端配置任务如下:(1)配置接口通过DHCP协议获取IP地址(2)配置接口使用的DHCP客户端IDDHCP客户端使用客户端ID从DHCP服务器获取特定地址时配置.
(3)(可选)开启地址冲突检查功能(4)(可选)配置DHCP客户端发送DHCP报文的DSCP优先级2.
4配置接口通过DHCP协议获取IP地址1.
配置限制和指导配置接口通过DHCP协议获取IP地址,需要注意:某些产品上,接口作为DHCP客户端多次申请IP地址失败后,将停止申请,并为接口配置缺省IP地址.
接口可以采用多种方式获得IP地址,新的配置方式会覆盖原有的配置方式.
当接口被配置为通过DHCP动态获取IP地址后,不能再给该接口配置从IP地址.
如果DHCP服务器为接口分配的IP地址与设备上其他接口的IP地址在同一网段,则该接口不会使用该IP地址,且会再向DHCP服务器重新申请IP地址.
2.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口通过DHCP协议获取IP地址.
ipaddressdhcp-alloc2-2缺省情况下,接口不通过DHCP协议获取IP地址.
2.
5配置接口使用的DHCP客户端ID1.
功能简介DHCP客户端ID用来填充DHCP报文Option61,作为识别DHCP客户端的唯一标识.
DHCP服务器可以根据客户端ID为特定的客户端分配特定的IP地址.
DHCP客户端ID包括类型和取值两部分,用户可以通过ASCII字符串、十六进制数和指定接口的MAC地址来指定DHCP客户端ID:当客户端ID的取值为ASCII字符串时,对应的类型值为00;当客户端ID的取值为十六进制数时,对应的类型值为该十六进制数的前两个字符;当客户端ID使用指定接口的MAC地址时,对应的类型值为01.
DHCP客户端ID类型值可通过命令displaydhcpserverip-in-use或displaydhcpclient进行查看.
2.
配置限制和指导用户在指定客户端ID时,需要确保不同客户端的客户端ID不能相同.
3.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口使用的DHCP客户端ID.
dhcpclientidentifier{asciiascii-string|hexhex-string|macinterface-typeinterface-number}缺省情况下,根据本接口MAC地址生成DHCP客户端ID,如果本接口没有MAC地址,则获取设备第一个以太接口的MAC地址生成DHCP客户端ID.
2.
6开启地址冲突检查功能1.
功能简介通常情况下,DHCP客户端上开启地址冲突检查功能,通过发送和接收ARP报文,对DHCP服务器分配的IP地址进行地址冲突检测.
如果攻击者仿冒地址拥有者进行ARP应答,就可以欺骗DHCP客户端,导致DHCP客户端无法正常使用分配到的IP地址.
在网络中存在上述攻击者时,建议在客户端上关闭地址冲突检查功能.
2.
配置步骤(1)进入系统视图.
system-view(2)开启地址冲突检查功能.
dhcpclientdadenable缺省情况下,地址冲突检查功能处于开启状态.
2-32.
7配置DHCP客户端发送DHCP报文的DSCP优先级1.
功能简介DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCP客户端发送的DHCP报文的DSCP优先级.
2.
配置步骤(1)进入系统视图.
system-view(2)配置DHCP客户端发送DHCP报文的DSCP优先级.
dhcpclientdscpdscp-value缺省情况下,DHCP客户端发送的DHCP报文的DSCP优先级为56.
2.
8DHCP客户端显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCP客户端的信息,通过查看显示信息验证配置的效果.
表2-1DHCP客户端显示和维护操作命令显示DHCP客户端的相关信息displaydhcpclient[verbose][interfaceinterface-typeinterface-number]i目录1域名解析·1-11.
1域名解析简介·1-11.
1.
1域名解析类型·1-11.
1.
2静态域名解析·1-11.
1.
3动态域名解析·1-11.
1.
4DNS代理1-21.
1.
5DNSspoofing1-41.
2域名解析配置任务简介·1-51.
3配置DNS客户端1-51.
3.
1配置静态域名解析·1-51.
3.
2配置动态域名解析·1-61.
4配置DNSproxy1-71.
5配置DNSspoofing1-71.
6配置DNS报文的源接口1-81.
7配置DNS信任接口1-81.
8指定DNS报文的DSCP优先级1-91.
9域名解析显示和维护·1-91.
10IPv4域名解析典型配置举例1-101.
10.
1静态域名解析配置举例1-101.
10.
2动态域名解析配置举例1-101.
10.
3DNSproxy配置举例·1-151.
11IPv6域名解析典型配置举例1-161.
11.
1静态域名解析配置举例1-161.
11.
2动态域名解析配置举例1-171.
11.
3DNSproxy配置举例·1-211.
12域名解析常见故障处理1-221.
12.
1无法解析到正确的IP地址1-221.
12.
2无法解析到正确的IPv6地址·1-222DDNS2-12.
1DDNS简介2-12.
2DDNS配置限制和指导2-22.
3设备作为DDNS客户端配置任务简介2-2ii2.
4配置DDNS策略2-22.
5在接口上应用DDNS策略2-42.
6配置DDNS报文的DSCP优先级·2-52.
7DDNS显示和维护2-52.
8DDNS典型配置举例2-52.
8.
1与www.
3322.
org互通的配置举例·2-52.
8.
2与花生壳DDNS服务器互通的配置举例·2-71-11域名解析1.
1域名解析简介DNS(DomainNameSystem,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换.
通过域名系统,用户进行某些应用时,可以直接使用便于记忆的、有意义的域名,而由网络中的域名解析服务器将域名解析为正确的IP地址.
1.
1.
1域名解析类型域名解析分为静态域名解析和动态域名解析,二者可以配合使用.
在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析.
由于动态域名解析需要域名服务器(DNSserver)的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率.
1.
1.
2静态域名解析静态域名解析就是手工建立域名和IP地址之间的对应关系.
当用户使用域名进行某些应用(如telnet应用)时,系统查找静态域名解析表,从中获取指定域名对应的IP地址.
1.
1.
3动态域名解析1.
体系结构图1-1动态域名解析用户程序、DNS客户端及域名服务器的关系如图1-1所示,其中解析器和缓存构成DNS客户端.
用户程序、DNS客户端在同一台设备上,而DNS客户端和域名服务器一般分布在两台设备上.
目前,设备只能作为DNS客户端,不能作为DNS服务器.
1-2如果域名服务器上配置了域名的别名,设备也可以通过别名来解析主机的IP地址.
2.
解析过程动态域名解析通过向域名服务器查询域名和IP地址之间的对应关系来实现将域名解析为IP地址.
动态域名解析过程如下:(1)当用户使用域名进行某些应用时,用户程序首先向DNS客户端中的解析器发出请求.
(2)DNS客户端收到请求后,首先查询本地的域名缓存.
如果存在已解析成功的映射项,就将域名对应的IP地址返回给用户程序;如果未发现所要查找的映射项,就向域名服务器发送查询请求.
(3)域名服务器首先从自己的数据库中查找域名对应的IP地址.
如果判断该域名不属于本域范围,就将请求交给其他域名服务器处理,直到完成解析,并将解析的结果返回给DNS客户端.
(4)DNS客户端收到域名服务器的响应报文后,将解析结果返回用户程序.
3.
缓存功能动态域名解析支持缓存功能.
每次动态解析成功的域名与IP地址的映射均存放在DNS客户端的动态域名缓存区中,当下一次查询相同域名的时候,就可以直接从缓存区中读取,不用再向域名服务器进行请求.
缓存区中的映射在一段时间后会老化而被删除,以保证及时从域名服务器得到最新的内容.
老化时间由域名服务器设置,DNS客户端从域名服务器的应答报文中获得老化时间.
4.
域名后缀列表功能动态域名解析支持域名后缀列表功能.
用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析.
例如,用户想查询域名aabbcc.
com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.
com进行查询.
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:如果用户输入的域名中没有".
",比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询.
如果用户输入的域名中间有".
",比如www.
aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询.
如果用户输入的域名最后有".
",比如aabbcc.
com.
,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果.
就是说,如果用户输入的字符中最后一个字符为".
",就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个".
",也被称为查找终止符.
带有查询终止符的域名,称为FQDN(FullyQualifiedDomainName,完全合格域名).
1.
1.
4DNS代理DNS代理(DNSproxy)用来在DNSclient和DNSserver之间转发DNS请求和应答报文.
局域网内的DNSclient把DNSproxy当作DNSserver,将DNS请求报文发送给DNSproxy.
DNSproxy1-3将该请求报文转发到真正的DNSserver,并将DNSserver的应答报文返回给DNSclient,从而实现域名解析.
使用DNSproxy功能后,当DNSserver的地址发生变化时,只需改变DNSproxy上的配置,无需改变局域网内每个DNSclient的配置,从而简化了网络管理.
DNSproxy的典型应用环境如图1-2所示.
图1-2DNS代理典型组网应用DNS代理的工作过程如下:(1)DNSclient把DNSproxy当作DNSserver,将DNS请求报文发送给DNSproxy,即请求报文的目的地址为DNSproxy的IP地址.
(2)DNSproxy收到请求报文后,首先查找本地的静态域名解析表和动态域名解析缓存表,如果存在请求的信息,则DNSproxy直接通过DNS应答报文将域名解析结果返回给DNSclient.
(3)如果不存在请求的信息,则DNSproxy将报文转发给DNSserver,通过DNSserver进行域名解析.
(4)DNSproxy收到DNSserver的应答报文后,记录域名解析的结果,并将报文转发给DNSclient.
DNSclient利用域名解析的结果进行相应的处理.
只有DNSproxy上存在域名服务器地址,并存在到达域名服务器的路由,DNSproxy才会向DNSserver发送域名解析请求.
1-41.
1.
5DNSspoofing图1-3DNSspoofing典型应用场景DNSspoofing(DNS欺骗)主要应用于图1-3所示的拨号网络.
在该网络中:Device通过拨号接口连接到PSTN等拨号网络.
只有存在通过拨号接口转发的报文时,才会触发拨号接口建立连接.
Device作为DNSproxy.
在Host上将Device指定为DNS服务器;拨号接口建立连接后,Device通过DHCP等方式动态获取DNS服务器地址.
Device上未开启DNSspoofing功能时,Device接收到Host发送的域名解析请求报文后,如果不存在对应的域名解析表项,则需要向DNSserver发送域名解析请求.
但是,由于此时拨号接口尚未建立连接,Device上不存在DNSserver地址,Device不会向DNSserver发送域名解析请求,也不会应答DNSclient的请求.
从而导致域名解析失败,且没有流量触发拨号接口建立连接.
DNSspoofing功能可以解决上述问题.
使能DNSspoofing功能后,即便Device上不存在DNSserver地址或到达DNSserver的路由,Device也会利用指定的IP地址作为域名解析结果,应答DNSclient的域名解析请求.
DNSclient后续发送的报文可以用来触发拨号接口建立连接.
图1-3所示网络中,Host访问HTTPserver的报文处理流程为:(1)Host通过域名访问HTTPserver时,首先向Device发送域名解析请求,将HTTPserver的域名解析为IP地址.
(2)Device接收到域名解析请求后,如果拨号接口尚未建立连接,Device上不存在DNSserver地址,或者设备上配置的DNSserver地址均不可达,则Device利用DNSspoofing中指定的IP地址作为域名解析结果,应答DNSclient的域名解析请求.
该域名解析应答的老化时间为0.
并且,应答的IP地址满足如下条件:Device上存在到达该IP地址的路由,且路由的出接口为拨号接口.
(3)Host接收到Device的应答报文后,向应答的IP地址发送HTTP请求.
(4)Device通过拨号接口转发HTTP请求时,触发拨号接口建立连接,并通过DHCP等方式动态获取DNSserver的地址.
(5)域名解析应答老化后,Host再次发送域名解析请求.
(6)之后,Device的处理过程与DNSproxy工作过程相同,请参见"1.
1.
4DNS代理".
(7)Host获取到正确的HTTPserver地址后,可以正常访问HTTPserver.
HostDNSclientHostDNSclientDNSserverHTTPserverDNSproxyDNSspoofing拨号接口PSTN/ISDNDevice1-5由于DNSspoofing功能指定的IP地址并不是待解析域名对应的IP地址,为了防止DNSclient上保存错误的域名解析表项,该IP地址对应域名解析应答的老化时间为0.
1.
2域名解析配置任务简介域名解析配置任务如下:(1)配置DNS客户端请至少选择其中一项进行配置.
{配置静态域名解析{配置动态域名解析(2)(可选)配置DNSproxy(3)(可选)配置DNSspoofing本功能用于拨号网络.
(4)(可选)配置DNS报文的源接口(5)(可选)配置DNS信任接口(6)(可选)指定DNS报文的DSCP优先级1.
3配置DNS客户端1.
3.
1配置静态域名解析1.
配置限制和指导在公网或单个VPN实例内,一个主机名只能对应一个IPv4地址和IPv6地址.
公网或单个VPN实例内最多可以配置2048个主机名和地址的对应关系.
可同时在公网和VPN实例内配置主机名和地址的对应关系.
2.
配置步骤(1)进入系统视图.
system-view(2)配置主机名和对应的地址.
请至少选择其中一项进行配置.
(IPv4网络)iphosthost-nameip-address(IPv6网络)ipv6hosthost-nameipv6-address1-61.
3.
2配置动态域名解析1.
配置限制和指导设备上允许配置的域名服务器数目限制为:{系统视图下,公网或单个VPN实例内最多可以配置6个域名服务器的IPv4地址.
可同时在公网和VPN实例内配置域名服务器的IPv4地址.
{系统视图下,公网或单个VPN实例内最多可以配置6个域名服务器的IPv6地址.
可同时在公网和VPN实例内配置域名服务器的IPv6地址.
{接口视图下,公网或单个VPN实例内最多可以配置6个域名服务器的IPv4地址.
可同时在公网和VPN实例内配置域名服务器的IPv4地址.
如果同时配置域名服务器的IPv4地址和IPv6地址,DNS客户端向域名服务器发送请求的处理方式如下:{查询主机名对应的IPv4地址时,优先向域名服务器的IPv4地址发送查询请求.
如果查询失败,则再向域名服务器的IPv6地址发送查询请求;{查询主机名对应的IPv6地址时,优先向域名服务器的IPv6地址发送查询请求.
如果查询失败,则再向域名服务器的IPv4地址发送查询请求.
域名服务器的优先级顺序为:系统视图下配置的域名服务器优先级高于接口视图下配置的域名服务器;先配置的域名服务器优先级高于后配置的域名服务器;设备上手工配置的域名服务器优先级高于通过DHCP等方式动态获取的域名服务器.
设备首先向优先级最高的域名服务器发送查询请求,失败后再根据优先级从高到低的次序向其他域名服务器发送查询请求.
配置域名解析后缀时,需要注意:{公网或单个VPN实例内最多可以配置16个域名后缀.
可同时在公网和VPN实例内配置域名后缀.
{添加域名后缀的优先级顺序为:先配置的域名后缀优先级高于后配置的域名后缀;设备上手工配置的域名后缀优先级高于通过DHCP等方式动态获取的域名后缀.
设备首先添加优先级最高的域名后缀,查询失败后再根据优先级从高到低的次序添加其他域名后缀.
2.
配置步骤(1)进入系统视图.
system-view(2)(可选)配置域名后缀.
dnsdomaindomain-name缺省情况下,未配置域名后缀,即只根据用户输入的域名信息进行解析.
(3)配置域名服务器的地址.
(IPv4网络)dnsserverip-address(IPv6网络)ipv6dnsserveripv6-address[interface-typeinterface-number]缺省情况下,未配置域名服务器的地址.
1-71.
4配置DNSproxy1.
配置限制和指导可以指定多个DNSserver.
DNSproxy接收到客户端的查询请求后,首先向优先级最高的DNSserver转发查询请求,失败后再依次向其他DNSserver转发查询请求.
DNSproxy可同时配置域名服务器的IPv4地址和IPv6地址.
无论DNSproxy接收到的查询请求是来自IPv4客户端还是来自IPv6客户端,DNSproxy都会按照优先级顺序向域名服务器的IPv4地址和IPv6地址转发查询请求.
如果查询请求是IPv4报文,则优先向域名服务器的IPv4地址转发查询请求.
如果查询请求是IPv6报文,则优先向域名服务器的IPv6地址转发查询请求.
2.
配置步骤(1)进入系统视图.
system-view(2)开启DNSproxy功能.
dnsproxyenable缺省情况下,DNSproxy功能处于关闭状态.
(3)配置域名服务器的地址.
(IPv4网络)dnsserverip-address(IPv6网络)ipv6dnsserveripv6-address[interface-typeinterface-number]缺省情况下,未配置域名服务器的地址.
1.
5配置DNSspoofing1.
配置限制和指导公网或单个VPN实例内只能配置1个DNSspoofing应答的IPv4地址和1个DNSspoofing应答的IPv6地址.
重复配置时,新的配置会覆盖原有配置.
可同时在公网和VPN实例内配置DNSspoofing功能.
DNSspoofing功能生效时,即使设备上配置了静态域名解析,也会使用DNSspoofing指定的IP地址来应答DNS请求.
2.
配置准备设备上启用了DNSproxy功能.
设备上未指定域名服务器地址或不存在到达域名服务器的路由.
3.
配置步骤(1)进入系统视图.
system-view(2)启用DNSproxy功能.
dnsproxyenable缺省情况下,DNSproxy功能处于关闭状态.
1-8(3)开启DNSSnooping功能,并指定DNSspoofing应答地址.
(IPv4网络)dnsspoofingip-address(IPv6网络)ipv6dnsspoofingipv6-address缺省情况下,未开启DNSSnooping功能.
1.
6配置DNS报文的源接口1.
功能简介缺省情况下,设备根据域名服务器的地址,通过路由表查找请求报文的出接口,并将该出接口的主IP地址作为发送到该服务器的DNS请求报文的源地址.
根据域名服务器的地址不同,发送报文的源地址可能会发生变化.
在某些特殊的组网环境中,域名服务器只应答来自特定源地址的DNS请求报文.
这种情况下,必须指定DNS报文的源接口.
如果为设备配置了DNS报文的源接口,则设备在发送DNS报文时,将固定使用该接口的主IP地址作为报文的源地址.
2.
配置限制和指导发送IPv4DNS报文时,将使用源接口的主IPv4地址作为DNS报文的源地址.
发送IPv6DNS报文时,将根据RFC3484中定义的规则从源接口上选择IPv6地址作为DNS报文的源地址.
如果源接口上未配置对应的地址,则将导致报文发送失败.
公网或单个VPN实例内只能配置1个源接口.
重复配置时,新的配置会覆盖原有配置.
可同时在公网和VPN实例内配置源接口.
无论配置的源接口是否属于指定的VPN,该配置都会生效.
不建议为某个VPN配置一个不属于该VPN的源接口.
否则,设备会使用不属于该VPN的地址作为DNS报文源地址,导致无法收到DNS应答.
3.
配置步骤(1)进入系统视图.
system-view(2)指定DNS报文的源接口.
dnssource-interfaceinterface-typeinterface-number缺省情况下,未指定DNS报文的源接口.
1.
7配置DNS信任接口1.
功能简介缺省情况下,任意接口通过DHCP等协议动态获得的域名后缀和域名服务器信息都将作为有效信息,用于域名解析.
通过本配置指定信任接口后,域名解析时只采用信任接口动态获得的域名后缀和域名服务器信息,非信任接口获得的信息不能用于域名解析,从而在一定程度上避免这类攻击.
2.
配置限制和指导设备最多可以配置128个DNS信任接口.
1-93.
配置步骤(1)进入系统视图.
system-view(2)指定DNS信任接口.
dnstrust-interfaceinterface-typeinterface-number缺省情况下,未指定任何接口为信任接口.
1.
8指定DNS报文的DSCP优先级1.
功能简介DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定设备发送的DNS报文的DSCP优先级.
2.
配置步骤(1)进入系统视图.
system-view(2)指定DNS客户端或DNSproxy发出的DNS报文的DSCP优先级.
(IPv4网络)dnsdscpdscp-value缺省情况下,DNS报文的DSCP优先级为0.
(IPv6网络)ipv6dnsdscpdscp-value缺省情况下,IPv6DNS报文的DSCP优先级为0.
1.
9域名解析显示和维护在完成上述配置后,在任意视图下执行display命令可以显示域名解析配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除动态域名缓存信息.
表1-1域名解析显示和维护操作命令显示域名后缀信息displaydnsdomain[dynamic]显示域名解析表信息displaydnshost[ip|ipv6]显示域名服务器的IPv4地址信息displaydnsserver[dynamic]显示域名服务器的IPv6地址信息displayipv6dnsserver[dynamic]清除动态域名解析缓存信息resetdnshost[ip|ipv6]1-101.
10IPv4域名解析典型配置举例1.
10.
1静态域名解析配置举例1.
组网需求为了避免记忆复杂的IP地址,Device希望通过便于记忆的主机名访问某一主机.
在Device上手工配置IP地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机.
在本例中,Device访问的主机IP地址为10.
1.
1.
2,主机名为host.
com.
2.
组网图图1-4静态域名解析配置组网图3.
配置步骤#配置主机名host.
com对应的IP地址为10.
1.
1.
2.
system-view[Sysname]iphosthost.
com10.
1.
1.
2#执行pinghost.
com命令,Device通过静态域名解析可以解析到host.
com对应的IP地址为10.
1.
1.
2.
[Sysname]pinghost.
comPinghost.
com(10.
1.
1.
2):56databytes,pressCTRL_Ctobreak56bytesfrom10.
1.
1.
2:icmp_seq=0ttl=255time=1.
000ms56bytesfrom10.
1.
1.
2:icmp_seq=1ttl=255time=1.
000ms56bytesfrom10.
1.
1.
2:icmp_seq=2ttl=255time=1.
000ms56bytesfrom10.
1.
1.
2:icmp_seq=3ttl=255time=1.
000ms56bytesfrom10.
1.
1.
2:icmp_seq=4ttl=255time=2.
000ms---Pingstatisticsforhost.
com---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
000/1.
200/2.
000/0.
400ms1.
10.
2动态域名解析配置举例1.
组网需求为了避免记忆复杂的IP地址,Device希望通过便于记忆的域名访问某一主机.
如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机.
在本例中:域名服务器的IP地址是2.
1.
1.
2/16,域名服务器上存在com域,且com域中包含域名"host"和IP地址3.
1.
1.
1/16的对应关系.
Device作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址.
1-11Device上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.
com、IP地址为3.
1.
1.
1/16的主机Host.
2.
组网图图1-5动态域名解析组网图3.
配置步骤在开始下面的配置之前,假设设备与主机之间的路由可达,设备和主机都已经配置完毕,接口IP地址如图1-5所示.
不同域名服务器的配置方法不同,下面仅以WindowsServer2008R2为例,说明域名服务器的配置方法.
(1)配置域名服务器#进入域名服务器配置界面.
在开始菜单中,选择[程序/管理工具/DNS].
#创建区域com.
如图1-6所示,右键点击[正向查找区域],选择[新建区域],按照提示创建新的区域com.
1-12图1-6创建区域#添加域名和IP地址的映射.
如图1-7所示,右键点击区域[com].
1-13图1-7新建主机选择[新建主机],弹出如图1-8的对话框.
按照图1-8输入域名host和IP地址3.
1.
1.
1.
单击可完成操作.
1-14图1-8添加域名和IP地址的映射(2)配置DNS客户端Devicesystem-view#配置域名服务器的IP地址为2.
1.
1.
2.
[Sysname]dnsserver2.
1.
1.
2#配置域名后缀com.
[Sysname]dnsdomaincom4.
验证配置#在设备上执行pinghost命令,可以ping通主机,且对应的目的地址为3.
1.
1.
1.
[Sysname]pinghostPinghost.
com(3.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom3.
1.
1.
1:icmp_seq=0ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=1ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=2ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=3ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=4ttl=255time=2.
000ms---Pingstatisticsforhost---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
000/1.
200/2.
000/0.
400ms1-151.
10.
3DNSproxy配置举例1.
组网需求某局域网内拥有多台设备,每台设备上都指定了域名服务器的IP地址,以便直接通过域名访问外部网络.
当域名服务器的IP地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IP地址,工作量将会非常巨大.
通过DNSproxy功能,可以大大减少网络管理员的工作量.
当域名服务器IP地址改变时,只需更改DNSproxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名.
在本例中,具体配置步骤为:(1)局域网中的某台设备DeviceA配置为DNSproxy,DNSproxy上指定域名服务器IP地址为真正的域名服务器的地址4.
1.
1.
1.
(2)局域网中的其他设备(如DeviceB)上,域名服务器的IP地址配置为DNSproxy的地址,域名解析报文将通过DNSproxy转发给真正的域名服务器.
2.
组网图图1-9DNSproxy组网图3.
配置步骤在开始下面的配置之前,假设设备与域名服务器、主机之间的路由可达,并已按照图1-9配置各接口的IP地址.
(1)配置域名服务器不同的域名服务器的配置方法不同.
WindowsServer2008R2作为域名服务器时,配置方法请参见"1.
10.
2动态域名解析配置举例".
(2)配置DNS代理DeviceA#配置域名服务器的IP地址为4.
1.
1.
1.
system-view3.
1.
1.
1/24host.
comDeviceBDNSclientDeviceADNSproxyIPnetworkDNSserver2.
1.
1.
1/242.
1.
1.
2/241.
1.
1.
1/244.
1.
1.
1/24Host1-16[DeviceA]dnsserver4.
1.
1.
1#开启DNSproxy功能.
[DeviceA]dnsproxyenable(3)配置DNS客户端DeviceBsystem-view#配置域名服务器的IP地址为2.
1.
1.
2.
[DeviceB]dnsserver2.
1.
1.
24.
验证配置#在DeviceB上执行pinghost.
com命令,可以ping通主机,且对应的目的地址为3.
1.
1.
1.
[DeviceB]pinghost.
comPinghost.
com(3.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom3.
1.
1.
1:icmp_seq=0ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=1ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=2ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=3ttl=255time=1.
000ms56bytesfrom3.
1.
1.
1:icmp_seq=4ttl=255time=2.
000ms---Pingstatisticsforhost.
com---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
000/1.
200/2.
000/0.
400ms1.
11IPv6域名解析典型配置举例1.
11.
1静态域名解析配置举例1.
组网需求为了避免记忆复杂的IPv6地址,Device希望通过便于记忆的主机名访问某一主机.
在Device上手工配置IPv6地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机.
在本例中,Device访问的主机IPv6地址为1::2,主机名为host.
com.
2.
组网图图1-10静态域名解析配置组网图3.
配置步骤#配置主机名host.
com对应的IPv6地址为1::2.
system-view[Sysname]ipv6hosthost.
com1::2#执行pingipv6host.
com命令,Device通过静态域名解析可以解析到host.
com对应的IPv6地址为1::2.
1-17[Sysname]pingipv6host.
comPing6(56databytes)1::1-->1::2,pressCTRL_Ctobreak56bytesfrom1::2,icmp_seq=0hlim=128time=1.
000ms56bytesfrom1::2,icmp_seq=1hlim=128time=0.
000ms56bytesfrom1::2,icmp_seq=2hlim=128time=1.
000ms56bytesfrom1::2,icmp_seq=3hlim=128time=1.
000ms56bytesfrom1::2,icmp_seq=4hlim=128time=0.
000ms---Ping6statisticsforhost.
com---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=0.
000/0.
600/1.
000/0.
490ms1.
11.
2动态域名解析配置举例1.
组网需求为了避免记忆复杂的IPv6地址,Device希望通过便于记忆的域名访问某一主机.
如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机.
在本例中:域名服务器的IPv6地址是2::2/64,域名服务器上存在com域,且com域中包含域名"host"和IPv6地址1::1/64的对应关系.
Device作为DNS客户端,使用动态域名解析功能,将域名解析为IPv6地址.
Device上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.
com、IPv6地址为1::1/64的主机Host.
2.
组网图图1-11动态域名解析组网图3.
配置步骤1-18在开始下面的配置之前,假设设备与主机之间的路由可达,设备和主机都已经配置完毕,接口IPv6地址如图1-11所示.
不同域名服务器的配置方法不同,下面仅以WindowsServer2008R2为例,说明域名服务器的配置方法.
配置之前,需确保DNS服务器支持IPv6DNS功能,以便处理IPv6域名解析报文;且DNS服务器的接口可以转发IPv6报文.
(1)配置域名服务器#进入域名服务器配置界面.
在开始菜单中,选择[程序/管理工具/DNS].
#创建区域com.
如图1-12所示,右键点击[正向查找区域],选择[新建区域],按照提示创建新的区域com.
图1-12创建区域如图1-13所示,右键点击区域[com].
1-19图1-13新建主机选择[新建主机],弹出如图1-14的对话框,输入域名和IPv6地址1::1.
单击可完成操作.
1-20图1-14添加域名和IPv6地址的映射(2)配置DNS客户端Device#配置域名服务器的IPv6地址为2::2.
system-view[Device]ipv6dnsserver2::2#配置域名后缀com.
[Device]dnsdomaincom4.
验证配置#在设备上执行pingipv6host命令,可以ping通主机,且对应的目的地址为1::1.
[Device]pingipv6hostPing6(56databytes)3::1-->1::1,pressCTRL_Ctobreak56bytesfrom1::1,icmp_seq=0hlim=128time=1.
000ms56bytesfrom1::1,icmp_seq=1hlim=128time=0.
000ms56bytesfrom1::1,icmp_seq=2hlim=128time=1.
000ms56bytesfrom1::1,icmp_seq=3hlim=128time=1.
000ms56bytesfrom1::1,icmp_seq=4hlim=128time=0.
000ms---Ping6statisticsforhost---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=0.
000/0.
600/1.
000/0.
490ms1-211.
11.
3DNSproxy配置举例1.
组网需求某局域网内拥有多台设备,每台设备上都指定了域名服务器的IPv6地址,以便直接通过域名访问外部网络.
当域名服务器的IPv6地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IPv6地址,工作量将会非常巨大.
通过DNSproxy功能,可以大大减少网络管理员的工作量.
当域名服务器IPv6地址改变时,只需更改DNSproxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名.
在本例中,具体配置步骤为:(1)局域网中的某台设备DeviceA配置为DNSproxy,DNSproxy上指定域名服务器IPv6地址为真正的域名服务器的地址4000::1(2)局域网中的其他设备(如DeviceB)上,域名服务器的IPv6地址配置为DNSproxy的地址,域名解析报文将通过DNSproxy转发给真正的域名服务器.
2.
组网图图1-15DNSproxy组网图3.
配置步骤在开始下面的配置之前,假设设备与域名服务器、主机之间的路由可达,并已按照图1-9配置各接口的IPv6地址.
(1)配置域名服务器不同的域名服务器的配置方法不同.
WindowsServer2008R2作为域名服务器时,配置方法请参见"1.
11.
2动态域名解析配置举例".
(2)配置DNS代理DeviceA#配置域名服务器的IPv6地址为4000::1.
system-view1-22[DeviceA]ipv6dnsserver4000::1#开启DNSproxy功能.
[DeviceA]dnsproxyenable(3)配置DNS客户端DeviceB#配置域名服务器的IPv6地址为2000::2.
system-view[DeviceB]ipv6dnsserver2000::24.
验证配置#在DeviceB上执行pinghost.
com命令,可以ping通主机,且对应的目的地址为3000::1.
[DeviceB]pinghost.
comPing6(56databytes)2000::1-->3000::1,pressCTRL_Ctobreak56bytesfrom3000::1,icmp_seq=0hlim=128time=1.
000ms56bytesfrom3000::1,icmp_seq=1hlim=128time=0.
000ms56bytesfrom3000::1,icmp_seq=2hlim=128time=1.
000ms56bytesfrom3000::1,icmp_seq=3hlim=128time=1.
000ms56bytesfrom3000::1,icmp_seq=4hlim=128time=0.
000ms---Ping6statisticsforhostcom---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=0.
000/0.
600/1.
000/0.
490ms1.
12域名解析常见故障处理1.
12.
1无法解析到正确的IP地址1.
故障现象配置了动态域名解析,但不能根据域名解析到正确的IP地址.
2.
故障分析DNS客户端需要和域名服务器配合使用,才能根据域名解析到正确的IP地址.
3.
处理过程执行命令displaydnshostip,检查动态域名缓存信息是否存在指定域名.
如果不存在要解析的域名,检查DNS客户端是否和域名服务器通信正常,域名服务器是否工作正常.
如果存在要解析的域名,但地址不对,则检查DNS客户端所配置的域名服务器的IP地址是否正确.
检查域名服务器所设置的域名和地址映射表是否正确.
1.
12.
2无法解析到正确的IPv6地址1.
故障现象配置了动态域名解析,但不能根据域名解析到正确的IPv6地址.
1-232.
故障分析DNS客户端需要和域名服务器配合使用,才能根据域名解析到正确的IPv6地址.
3.
处理过程执行命令displaydnshostipv6,检查动态域名缓存信息是否存在指定域名.
如果不存在要解析的域名,检查DNS客户端是否和域名服务器通信正常,域名服务器是否工作正常.
如果存在要解析的域名,但地址不对,则检查DNS客户端所配置的域名服务器的IPv6地址是否正确.
检查域名服务器所设置的域名和地址映射表是否正确.
2-12DDNS2.
1DDNS简介DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,通过域名解析得到的IP地址是错误的,会导致访问失败.
DDNS(DynamicDomainNameSystem,动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址.
图2-1DDNS典型组网图DDNS的典型组网环境如图2-1所示,DDNS采用客户端/服务器模式:DDNS客户端:IP地址变化时,需要在DNS服务器上动态更新其域名和IP地址对应关系的设备.
Internet用户通常通过域名访问提供应用层服务的服务器,如HTTP、FTP服务器.
为了保证IP地址变化时,仍然可以通过域名访问这些服务器,当服务器的IP地址发生变化时,服务器将作为DDNS客户端,向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求.
DDNS服务器:负责通知DNS服务器动态更新域名和IP地址之间的对应关系.
接收到DDNS客户端的更新请求后,DDNS服务器通知DNS服务器重新建立DDNS客户端的域名和IP地址之间的对应关系.
从而保证即使DDNS客户端的IP地址改变,Internet用户仍然可以通过同样的域名访问DDNS客户端.
设备可以作为DDNS客户端,通过www.
3322.
org、花生壳等DDNS服务器动态更新DNS服务器上域名和IP地址之间的对应关系.
目前,DDNS更新过程没有统一的标准,向不同的DDNS服务器请求更新的过程各不相同.
2-22.
2DDNS配置限制和指导目前,只有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即只能通过DDNS动态更新域名和IPv4地址之间的对应关系.
2.
3设备作为DDNS客户端配置任务简介设备作为DDNS客户端配置任务如下:(1)配置DDNS策略(2)在接口上应用DDNS策略(3)(可选)配置DDNS报文的DSCP优先级2.
4配置DDNS策略1.
功能简介DDNS策略是DDNS服务器的地址、端口号、登录用户名、密码、时间间隔和更新时间间隔等信息的集合.
创建DDNS策略后,可以在不同的接口上应用相同的DDNS策略,从而简化DDNS的配置.
2.
配置限制和指导设备向不同DDNS服务器请求更新的过程各不相同,因此,DDNS更新请求的URL地址的配置方式也存在差异,如表2-1所示.
表2-1常见的DDNS更新请求URL地址格式列表DDNS服务器DDNS更新请求的URL地址格式www.
3322.
orghttp://members.
3322.
org/dyndns/updatesystem=dyndns&hostname=&myip=DYNDNShttp://members.
dyndns.
org/nic/updatesystem=dyndns&hostname=&myip=DYNShttp://www.
dyns.
cx/postscript.
phphost=&ip=ZONEEDIThttp://dynamic.
zoneedit.
com/auth/dynamic.
htmlhost=&dnsto=TZOhttp://cgi.
tzo.
com/webclient/signedon.
htmlTZOName=IPAddress=EASYDNShttp://members.
easydns.
com/dyn/ez-ipupdate.
phpaction=edit&myip=&host_id=HEIPV6TBhttp://dyn.
dns.
he.
net/nic/updatehostname=&myip=CHANGE-IPhttp://nic.
changeip.
com/nic/updatehostname=&offline=1NO-IPhttp://dynupdate.
no-ip.
com/nic/updatehostname=&myip=DHShttp://members.
dhs.
org/nic/hostsdomain=dyn.
dhs.
org&hostname=&hostscmd=edit&hostscmdstage=2&type=1&ip=HPhttps://server-name/nic/updategroup=group-name&myip=ODSods://update.
ods.
orgGNUDIPgnudip://server-name2-3DDNS服务器DDNS更新请求的URL地址格式花生壳根据实际情况选择:oray://phservice2.
oray.
netoray://phddns60.
oray.
netoray://client.
oray.
netoray://ph031.
oray.
net请根据网络中DDNS服务器选择要设置的URL地址:DDNS更新请求的URL地址可以以"http://"开头,表示基于HTTP与DDNS服务器通信;以"https://"开头,表示基于HTTPS与DDNS服务器通信;以"ods://"开头,表示基于TCP与ODS服务器通信;以"gnudip://"开头,表示基于TCP与GNUDIP服务器通信;以"oray://"开头,表示基于TCP与花生壳DDNS服务器通信.
HP和GNUDIP是通用的DDNS更新协议,server-name是使用对应DDNS更新协议的服务提供商的服务器域名或地址.
URL地址中的端口号是可选项,如果不包含端口号则使用缺省端口号:HTTP是80,HTTPS是443,花生壳DDNS服务器是6060.
由系统根据接口上应用DDNS策略时指定的FQDN自动填写,由系统根据应用DDNS策略的接口的主IP地址自动填写.
用户也可以手工输入需要更新的FQDN和IP地址,代替URL中的和,此时,应用DDNS策略时指定的FQDN将不会生效.
建议不要修改URL中的和,以免配置错误的FQDN和IP地址.
应用DDNS策略的详细介绍,请参见"2.
5在接口上应用DDNS策略".
花生壳DDNS服务器的URL地址中不能指定用于更新的FQDN和IP地址.
用户可在接口上应用DDNS策略时指定FQDN;用于更新的IP地址是应用DDNS策略的接口的主IP地址.
3.
配置准备登录DDNS服务提供商的网站,注册帐户,并为DDNS客户端申请域名.
通过DDNS服务器更新域名和IP地址的对应关系时,DDNS服务器将检查DDNS更新请求中的帐户信息是否正确、需要更新的域名是否属于该帐户.
4.
配置步骤(1)进入系统视图.
system-view(2)创建DDNS策略,并进入DDNS策略视图.
ddnspolicypolicy-name(3)指定DDNS更新请求的URL地址.
urlrequest-url缺省情况下,未指定DDNS更新请求的URL地址.
URL地址中不支持携带用户名和密码,配置用户名和密码请配合username和password命令使用,请根据实际情况修改.
(4)指定登录DDNS服务器的用户名.
usernameusername2-4缺省情况下,未指定登录DDNS服务器的用户名.
(5)指定登录DDNS服务器的密码.
password{cipher|simple}string缺省情况下,未指定登录DDNS服务器的密码.
(6)(可选)配置采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数传输方式.
method{http-get|http-post}缺省情况下,采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数的传输方式为http-get.
本命令仅在基于HTTP或HTTPS与DDNS服务器通信时生效.
与DHS通信时,必须指定http-post参数传输方式进行DDNS更新.
(7)(可选)指定定时发起更新请求的时间间隔.
intervaldays[hours[minutes]]缺省情况下,定时发起DDNS更新请求的时间间隔是1小时.
2.
5在接口上应用DDNS策略1.
功能简介在接口上应用DDNS策略,并指定需要更新的FQDN与IP地址对应关系后,DDNS客户端才会向DDNS服务器发起更新域名和接口主IP地址对应关系的请求.
2.
配置限制和指导除花生壳DDNS服务器外,其他的DDNS服务器均需要指定更新的FQDN,否则会导致DDNS更新失败.
对于花生壳DDNS服务器,如果未指定更新的FQDN,则DDNS服务器将更新DDNS客户端的帐户对应的所有域名;如果指定了更新的FQDN,则DDNS服务器只更新指定的FQDN.
3.
配置准备配置该接口的主IP地址,使之与DDNS服务器路由可达.
配置IPv4静态或动态域名解析功能,以便将DDNS服务器的域名解析为IP地址.
域名解析功能的配置方法请参见"1.
3配置DNS".
4.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)在接口上应用指定的DDNS策略来更新指定的FQDN与IP地址的对应关系,并启动DDNS更新.
ddnsapplypolicypolicy-name[fqdndomain-name]缺省情况下,没有为接口指定任何DDNS策略和需要更新的FQDN,且未启动DDNS更新.
FQDN是节点在网络中的唯一标识,由主机名和域名组成,可被解析为IP地址.
2-52.
6配置DDNS报文的DSCP优先级1.
功能简介DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DDNS服务器发送的DDNS报文的DSCP优先级.
2.
配置步骤(1)进入系统视图.
system-view(2)配置DDNS报文的DSCP优先级.
ddnsdscpdscp-value缺省情况下,DDNS报文的DSCP优先级为0.
2.
7DDNS显示和维护在完成上述配置后,在任意视图下执行displayddnspolicy命令可以显示DDNS策略的配置情况,通过查看显示信息验证配置的效果.
表2-2DDNS显示和维护操作命令显示DDNS策略的配置情况displayddnspolicy[policy-name]2.
8DDNS典型配置举例2.
8.
1与www.
3322.
org互通的配置举例1.
组网需求Device为Internet上的用户提供Web服务,使用的域名为whatever.
3322.
org.
Device通过DHCP获得IP地址,为保证Device的IP地址变化后,Internet上的用户仍然可以利用域名whatever.
3322.
org访问Device,Device通过www.
3322.
org提供的DDNS服务及时通知DNS服务器更新域名和IP地址的对应关系.
DNS服务器的IP地址为1.
1.
1.
1.
Device通过该DNS服务器将DDNS服务器的域名www.
3322.
org解析为IP地址.
2-62.
组网图图2-2与www.
3322.
org互通配置举例组网图3.
配置步骤配置之前,请登录http://www.
3322.
org注册帐户(本配置举例以帐户名steven,密码nevets为例).
配置DDNS策略来更新指定的FQDNwhatever.
3322.
org和IP地址的对应关系,并保证各个设备之间的路由可达.
#创建名称为3322.
org的DDNS策略,并进入DDNS策略视图.
system-view[Device]ddnspolicy3322.
org#为DDNS策略3322.
org指定DDNS更新请求的URL地址,登录用户名为steven,密码为明文字段nevets.
[Device-ddns-policy-3322.
org]urlhttp://members.
3322.
org/dyndns/updatesystem=dyndns&hostname=&myip=[Device-ddns-policy-3322.
org]usernamesteven[Device-ddns-policy-3322.
org]passwordsimplenevets#为DDNS策略3322.
org指定定时发起更新请求的时间间隔为15分钟.
[Device-ddns-policy-3322.
org]interval0015[Device-ddns-policy-3322.
org]quit#配置DNS服务器的IP地址为1.
1.
1.
1.
[Device]dnsserver1.
1.
1.
1#在VLAN接口2下指定应用DDNS策略3322.
org,更新域名whatever.
3322.
org与接口主IP地址的对应关系,并启动DDNS更新功能.
[Device]interfacevlan-interface2[Device-Vlan-interface2]ddnsapplypolicy3322.
orgfqdnwhatever.
3322.
org2-74.
验证配置配置完成后,Device的接口IP地址变化时,它将通过DDNS服务提供商www.
3322.
org通知DNS服务器建立域名whatever.
3322.
org和新的IP地址的对应关系,从而保证Internet上的用户可以通过域名whatever.
3322.
org解析到最新的IP地址,访问Device提供的Web服务.
2.
8.
2与花生壳DDNS服务器互通的配置举例1.
组网需求Device为Internet上的用户提供Web服务,使用的域名为whatever.
gicp.
cn.
Device通过DHCP获得IP地址,为保证Device的IP地址变化后,Internet上的用户仍然可以利用域名whatever.
gicp.
cn访问Device,Device通过花生壳提供的DDNS服务及时通知DNS服务器更新域名和IP地址的对应关系.
DNS服务器的IP地址为1.
1.
1.
1.
Device通过该DNS服务器将花生壳DDNS服务器的域名解析为IP地址.
2.
组网图图2-3与花生壳DDNS服务器互通配置举例组网图3.
配置步骤产品特有说明-与花生壳DDNS服务器互通的配置举例(交换应用)配置之前,请登录http://www.
oray.
cn注册帐户(本配置举例以用户名steven,密码nevets为例).
配置DDNS策略来更新指定的FQDNwhatever.
gicp.
cn和IP地址的对应关系,并保证各个设备之间的路由可达.
#创建名称为oray.
cn的DDNS策略,并进入DDNS策略视图.
system-view[Device]ddnspolicyoray.
cn2-8#为DDNS策略oray.
cn指定DDNS更新请求的URL地址,登录用户名为steven,密码为明文字段nevets.
[Device-ddns-policy-oray.
cn]urloray://phservice2.
oray.
net[Device-ddns-policy-oray.
cn]usernamesteven[Device-ddns-policy-oray.
cn]passwordsimplenevets#为DDNS策略oray.
cn指定定时发起更新请求的时间间隔为12分钟.
[Device-ddns-policy-oray.
cn]interval0012[Device-ddns-policy-oray.
cn]quit#配置DNS服务器的IP地址为1.
1.
1.
1.
[Device]dnsserver1.
1.
1.
1#在VLAN接口2接口下指定应用DDNS策略oray.
cn,更新域名whatever.
gicp.
cn与接口主IP地址的对应关系,并启动DDNS更新功能.
[Device]interfacevlan-interface2[Device-Vlan-interface2]ddnsapplypolicyoray.
cnfqdnwhatever.
gicp.
cn4.
验证配置配置完成后,Device的接口IP地址变化时,它将通过花生壳DDNS服务器通知DNS服务器建立域名whatever.
gicp.
cn和新的IP地址的对应关系,从而保证Internet上的用户可以通过域名whatever.
gicp.
cn解析到最新的IP地址,访问Device提供的Web服务.
i目录1IP转发基础·1-11.
1IP转发表简介·1-11.
2将当前的IP转发表项保存到用户指定的文件中1-11.
3IP转发表显示和维护·1-22负载分担·2-12.
1负载分担简介·2-12.
2配置负载分担方式·2-12.
3开启等价路由负载分担本地优先功能·2-22.
4负载分担显示和维护·2-22.
5负载分担典型配置举例·2-22.
5.
1基于源和目的地址负载分担配置举例2-21-11IP转发基础1.
1IP转发表简介FIB(ForwardingInformationBase,转发信息库)表用来指导IP报文转发.
路由器通过路由表选择路由,把优选路由下发到FIB表中,通过FIB表指导IP报文转发.
FIB表中每条转发表项都指明了要到达某子网或某主机的报文的下一跳IP地址以及出接口.
关于路由表的详细介绍,请参见"三层技术-IP路由配置指导"中的"IP路由基础".
通过命令displayfib可以查看FIB表的信息,例如:displayfibDestinationcount:4FIBentrycount:4Flag:U:UsableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination/MaskNexthopFlagOutInterface/TokenLabel10.
2.
0.
0/1610.
2.
1.
1UXGE1/1/1Null10.
2.
1.
1/32127.
0.
0.
1UHInLoop0Null127.
0.
0.
0/8127.
0.
0.
1UInLoop0Null127.
0.
0.
1/32127.
0.
0.
1UHInLoop0NullFIB表中包含了下列关键项:Destination:目的地址.
用来标识IP报文的目的地址或目的网络.
Mask:网络掩码.
与目的地址一起来标识目的主机或路由器所在的网段的地址.
将目的地址和网络掩码"逻辑与"后可得到目的主机或路由器所在网段的地址.
例如:目的地址为192.
168.
1.
40、掩码为255.
255.
255.
0的主机或路由器所在网段的地址为192.
168.
1.
0.
掩码由若干个连续"1"构成,既可以用点分十进制法表示,也可以用掩码中连续"1"的个数来表示.
NextHop:转发的下一跳地址.
Flag:路由的标志.
OutInterface:转发接口.
指明IP报文将从哪个接口转发.
Label:内层标签值.
1.
2将当前的IP转发表项保存到用户指定的文件中1.
配置限制和指导保存IP转发表项信息到用户指定的文件中时,如果指定的文件不存在,系统会先创建该文件,再保存;如果已存在,则会覆盖原文件.
本功能只用来触发一次IP转发表项保存到用户指定的文件中.
1-2如果需要周期性地自动保存IP转发表,可以通过配置定时执行任务功能,采用循环执行方式,让设备在指定时间到达时,自动执行命令.
关于配置定时执行任务功能的详细介绍,请参见"基础配置指导"中"设备管理".
2.
配置步骤可在任意视图下执行本命令,将当前的IP转发表项保存到用户指定的文件中.
ipforwarding-tablesavefilenamefilename1.
3IP转发表显示和维护查看转发表的信息是定位转发问题的基本方法.
在任意视图下执行display命令可以显示转发表信息.
表1-1IP转发表显示和维护操作命令显示FIB表项的信息displayfib[ip-address[mask|mask-length]]2-12负载分担2.
1负载分担简介对同一路由协议来说,允许配置多条目的地相同且开销也相同的路由.
当到同一目的地的路由中,没有更高优先级的路由时,这几条路由都被采纳,在转发去往该目的地的报文时,依次通过各条路径发送,从而实现网络的负载分担.
2.
2配置负载分担方式1.
功能简介配置负载分担的内容包括:配置负载分担方式:设备上存在多条等价路由时,可以根据报文中的信息(源IP地址、目的IP地址、源端口、目的端口、IP协议号和入端口)配置逐流进行负载分担,或者根据报文进行逐包负载分担.
配置负载分担算法切换:在某些复杂的组网环境中,单一的负载分担算法不能满足负载分担的需求,可能出现设备负载分担不均匀的时候.
这种情况下可以通过指定不同的负载分担算法来实现设备负载分担算法切换,保证负载分担均匀.
2.
配置步骤(1)进入系统视图.
system-view(2)配置负载分担方式.
ipload-sharingmode{per-flow[algorithmalgorithm-number|[dest-ip|dest-port|ip-pro|src-ip|src-portglobal|slotslot-number}本命令的缺省情况与设备的型号有关,请以设备的实际情况为准.
(3)显示计算出的等价路由选路信息.
displayipload-sharingpathingress-portinterface-typeinterface-numberpacket-format{ipv4oedest-ipip-address[src-ipip-address]|ipv6oedest-ipv6ipv6-address[src-ipv6ipv6-address]}[dest-portport-id|ip-proprotocol-id|src-portport-id]*本命令行的参数输入需要和displayipload-sharingmode命令显示的配置参数以及负载分担报文所携带的字段相匹配.
如不匹配,则显示的等价路由哈希选路信息可能跟实际不一致.
2-22.
3开启等价路由负载分担本地优先功能1.
功能简介当IRF设备转发报文时,如果查询到的是等价路由且出接口在不同成员设备上,可能会将报文透传到某个成员设备再发送,这会使报文转发效率变低,也会影响成员设备间的数据处理能力.
当配置了等价路由负载分担本地优先的功能以后,如果在处理报文的成员设备上存在等价路由的出接口,就只从当前设备发送报文,而不会再透传到其他成员设备发送.
2.
配置步骤(1)进入系统视图.
system-view(2)开启等价路由负载分担本地优先功能.
ipload-sharinglocal-firstenable本命令的缺省情况与设备的型号有关,请以设备的实际情况为准.
2.
4负载分担显示和维护在任意视图下执行display命令可以显示配置后的运行情况,通过查看显示信息验证配置的效果.
表2-1负载分担显示和维护操作命令指定计算等价路由哈希选路的参数并显示计算出的等价路由哈希选路信息displayipload-sharingpathingress-portinterface-typeinterface-numberpacket-format{ipv4oedest-ipip-address[src-ipip-address]|ipv6oedest-ipv6ipv6-address[src-ipv6ipv6-address]}[dest-portport-id|ip-proprotocol-id|src-portport-id]*2.
5负载分担典型配置举例2.
5.
1基于源和目的地址负载分担配置举例1.
组网需求在DeviceA和DeviceB之间存在两条等价路由,要求实现通过DeviceB到达目的地址为1.
2.
3.
4/24的报文在两条等价路由上基于源和目的地址进行负载分担.
2.
组网图图2-1负载分担配置举例组网图2-33.
配置步骤#配置DeviceAsystem-view[DeviceA]vlan10[DeviceA-vlan10]portten-gigabitethernet1/1/1[DeviceA-vlan10]quit[DeviceA]vlan20[DeviceA-vlan20]portten-gigabitethernet1/1/2[DeviceA-vlan20]quit#配置接口Vlan-interface10和Vlan-interface20的IP地址.
[DeviceA]interfacevlan-interface10[DeviceA-Vlan-interface10]ipaddress10.
1.
1.
124[DeviceA-Vlan-interface10]quit[DeviceA]interfacevlan-interface20[DeviceA-Vlan-interface20]ipaddress20.
1.
1.
124[DeviceA-Vlan-interface20]quit#配置DeviceBsystem-view[DeviceB]vlan10[DeviceB-vlan10]portten-gigabitethernet1/1/1[DeviceB-vlan10]quit[DeviceB]vlan20[DeviceB-vlan20]portten-gigabitethernet1/1/2[DeviceB-vlan20]quit#配置接口Vlan-interface10和Vlan-interface20的IP地址.
[DeviceB]interfacevlan-interface10[DeviceB-Vlan-interface10]ipaddress10.
1.
1.
224[DeviceB-Vlan-interface10]quit[DeviceB]interfacevlan-interface20[DeviceB-Vlan-interface20]ipaddress20.
1.
1.
224[DeviceB-Vlan-interface20]quit#在DeviceA上配置静态路由system-view[DeviceA]iproute-static1.
2.
3.
42410.
1.
1.
2[DeviceA]iproute-static1.
2.
3.
42420.
1.
1.
2[DeviceA]quit#通过查看转发表观察两条等价路由displayfib1.
2.
3.
4Destinationcount:1FIBentrycount:2Flag:U:UsableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination/MaskNexthopFlagOutInterface/TokenLabel2-41.
2.
3.
0/2410.
1.
1.
2USGRVlan10Null1.
2.
3.
0/2420.
1.
1.
2USGRVlan20Null#配置基于源IP地址和目的IP地址的负载分担system-view[DeviceA]ipload-sharingmodeper-flowdest-ipsrc-ipglobal[DeviceA]quit4.
验证配置displaycountersoutboundinterfaceTen-GigabitEthernetInterfaceTotal(pkts)Broadcast(pkts)Multicast(pkts)Err(pkts)XGE1/1/11045000XGE1/1/21044000由上表可以看出来,通过DeviceA的两个接口的报文数量基本相同,实现了负载分担.
i目录1IP性能优化·1-11.
1IP性能优化配置任务简介·1-11.
2配置允许接口转发直连网段的定向广播报文·1-11.
2.
1功能简介·1-11.
2.
2配置步骤·1-11.
2.
3允许接口转发直连网段的定向广播报文典型配置举例1-21.
3配置接口发送IPv4报文的MTU·1-31.
4开启IP分片报文本地重组功能·1-31.
5配置ICMP差错报文发送功能1-41.
5.
1功能简介·1-41.
5.
2开启ICMP重定向报文发送功能·1-41.
5.
3开启ICMP超时报文发送功能1-41.
5.
4开启ICMP目的不可达报文发送功能·1-51.
6配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量·1-61.
7配置ICMP分片报文转发功能1-61.
8指定ICMP报文源地址1-61.
9配置接口的TCP最大报文段长度·1-71.
10配置TCP连接的PathMTU探测功能·1-71.
11开启SYNCookie功能·1-81.
12配置TCP连接的缓冲区大小1-91.
13配置TCP定时器·1-91.
14IP性能优化显示和维护1-101-11IP性能优化1.
1IP性能优化配置任务简介如下所有配置均为可选,请根据实际情况选择配置.
配置IP报文功能{配置允许接口转发直连网段的定向广播报文{配置接口发送IPv4报文的MTU{开启IP分片报文本地重组功能本功能适用于IRF组网环境.
配置ICMP报文功能{配置ICMP差错报文发送功能{配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量{配置ICMP分片报文转发功能{指定ICMP报文源地址配置TCP报文功能{配置接口的TCP最大报文段长度{配置TCP连接的PathMTU探测功能{开启SYNCookie功能{配置TCP连接的缓冲区大小{配置TCP定时器1.
2配置允许接口转发直连网段的定向广播报文1.
2.
1功能简介定向广播报文是指发送给特定网络的广播报文.
该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1.
在转发定向广播报文的情况下,如果在接口上配置了此命令,设备从其他接口接收到目的地址为此接口直连网段的定向广播报文时,会从此接口转发此类报文.
黑客可以利用定向广播报文来攻击网络系统,给网络的安全带来了很大的隐患.
但在某些应用环境下,设备接口需要转发这类定向广播报文,例如:使用UDPHelper功能,将广播报文转换为单播报文发送给指定的服务器.
使用WakeonLAN(网络唤醒)功能,发送定向广播报文唤醒远程网络中的计算机.
在上述情况下,用户可以通过命令配置接口允许转发直连网段的定向广播报文.
1.
2.
2配置步骤(1)进入系统视图.
1-2system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置允许接口转发面向直连网段的定向广播报文.
ipforward-broadcast[aclacl-number]缺省情况下,设备禁止转发直连网段的定向广播报文.
1.
2.
3允许接口转发直连网段的定向广播报文典型配置举例1.
组网需求如图1-1所示,Host的接口和SwitchA的VLAN接口3处于同一个网段(1.
1.
1.
0/24),SwitchA的VLAN接口2和SwitchB的VLAN接口2处于另外一个网段(2.
2.
2.
0/24).
Host上配置默认网关为SwitchA的VLAN接口3的地址(1.
1.
1.
2/24).
要求通过配置使得SwitchB可以收到Host发送的定向广播报文.
2.
组网图图1-1配置转发定向广播报文组网图3.
配置步骤(1)配置SwitchA#配置VLAN接口3和VLAN接口2的IP地址.
system-view[SwitchA]interfacevlan-interface3[SwitchA-Vlan-interface3]ipaddress1.
1.
1.
224[SwitchA-Vlan-interface3]quit[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress2.
2.
2.
224#配置允许VLAN接口2转发面向直连网段的定向广播报文.
[SwitchA-Vlan-interface2]ipforward-broadcast(2)配置SwitchB#配置SwitchB到Host的静态路由system-view[SwitchB]iproute-static1.
1.
1.
1242.
2.
2.
2#配置VLAN接口2的IP地址.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress2.
2.
2.
1241-34.
验证配置配置完成以后,在Host上pingSwitchA的VLAN接口2所在子网网段的广播地址(2.
2.
2.
255)时,SwitchB的VLAN接口2可以收到该报文.
取消掉ipforward-broadcast的配置,SwitchB的VLAN接口2就不能收到该报文.
1.
3配置接口发送IPv4报文的MTU1.
功能简介当设备使用某个接口发送报文时,发现报文长度大于该接口的发送IPv4报文的MTU值,则进行下列处理:如果报文不允许分片,则将报文丢弃;如果报文允许分片,则将报文进行分片转发.
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生.
2.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置发送IPv4报文的MTU.
ipmtumtu-size缺省情况下,未配置接口发送IPv4报文的MTU.
1.
4开启IP分片报文本地重组功能1.
功能简介当某单板收到目的为本设备的IP分片报文时,需要把分片报文送到主用主控板进行重组,这样会导致报文重组性能较低的问题.
当开启IP分片报文本地重组功能后,分片报文会在该单板直接进行报文重组,这样就能提高报文的重组性能.
开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的单板进入的,会导致IP分片报文本地无法重组成功.
多台设备组成的IRF环境下,当某成员设备收到目的为本IRF设备的IP分片报文时,需要把分片报文送到主设备进行重组,这样会导致报文重组性能较低的问题.
当开启IP分片报文本地重组功能后,分片报文会在该成员设备上直接进行报文重组,这样就能提高分片报文的重组性能.
开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的成员设备进入的,会导致IP分片报文本地无法重组成功.
2.
配置步骤(1)进入系统视图.
system-view(2)开启IP分片报文本地重组功能.
ipreassemblelocalenable1-4缺省情况下,IP分片报文本地重组功能处于关闭状态.
1.
5配置ICMP差错报文发送功能1.
5.
1功能简介ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理.
ICMP差错报文的发送虽然方便了网络的控制管理,但是也存在缺陷:发送大量的ICMP报文,增大网络流量;如果有用户发送ICMP差错报文进行恶意攻击,会导致设备性能下降或影响正常工作.
为了避免上述现象发生,缺省情况下,ICMP差错报文发送功能处于关闭状态,用户可以根据需要开启ICMP差错报文发送功能.
ICMP差错报文包括重定向报文、超时报文和目的不可达报文.
1.
5.
2开启ICMP重定向报文发送功能1.
功能简介ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由.
主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由.
当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送.
满足下列条件时,设备会发送ICMP重定向报文:接收和转发数据报文的接口是同一接口;被选择的路由本身没有被ICMP重定向报文创建或修改过;被选择的路由不是到默认目的地(0.
0.
0.
0)的路由;数据报文中没有源路由选项.
ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由.
2.
配置步骤(1)进入系统视图.
system-view(2)开启ICMP重定向报文发送功能.
ipredirectsenable缺省情况下,ICMP重定向报文发送功能处于关闭状态.
1.
5.
3开启ICMP超时报文发送功能1.
功能简介ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文.
设备在满足下列条件时会发送ICMP超时报文:1-5设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送"TTL超时"ICMP差错报文;设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送"重组超时"ICMP差错报文.
2.
配置限制和指导关闭ICMP超时报文发送功能后,设备不会再发送"TTL超时"ICMP差错报文,但"重组超时"ICMP差错报文仍会正常发送.
3.
配置步骤(1)进入系统视图.
system-view(2)开启ICMP超时报文发送功能.
ipttl-expiresenable缺省情况下,ICMP超时报文发送功能处于关闭状态.
1.
5.
4开启ICMP目的不可达报文发送功能1.
功能简介ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文.
设备在满足下列条件时会发送目的不可达报文:设备在转发报文时,如果在路由表中未找到对应的转发路由,且路由表中没有缺省路由,则给源端发送"网络不可达"ICMP差错报文;设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送"协议不可达"ICMP差错报文;设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送"端口不可达"ICMP差错报文;源端如果采用"严格的源路由选择"发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送"源站路由失败"的ICMP差错报文;设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送"需要进行分片但设置了不分片比特"ICMP差错报文.
2.
配置限制和指导设备开启DHCP服务后,在未发送ICMP回显请求(ECHO-REQUEST)报文情况下,收到非法ICMP回显应答(ECHO-REPLY)报文,此时设备不会回应"协议不可达"ICMP差错报文报文.
关于DHCP的详细介绍,请参见"三层技术-IP业务配置指导"中的"DHCP".
3.
配置步骤(1)进入系统视图.
system-view(2)开启ICMP目的不可达报文发送功能.
ipunreachablesenable1-6缺省情况下,ICMP目的不可达报文发送功能处于关闭状态.
1.
6配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量1.
功能简介如果网络中短时间内发送的ICMP差错报文过多,将可能导致网络拥塞.
为了避免这种情况,用户可以控制设备在指定时间内发送ICMP差错报文的最大数目,目前采用令牌桶算法来实现.
用户可以设置令牌桶的容量,即令牌桶中可以同时容纳的令牌数;同时可以设置令牌桶的刷新周期,即每隔多长时间发放一个令牌到令牌桶中,直到令牌桶中的令牌数达到配置的容量.
一个令牌表示允许发送一个ICMP差错报文,每当发送一个ICMP差错报文,则令牌桶中减少一个令牌.
如果连续发送的ICMP差错报文超过了令牌桶的容量,则后续的ICMP差错报文将不能被发送出去,直到按照所设置的刷新频率将新的令牌放入令牌桶中.
2.
配置步骤(1)进入系统视图.
system-view(2)配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量.
ipicmperror-intervalinterval[bucketsize]缺省情况下,令牌刷新周期为100毫秒,令牌桶容量为10.
刷新周期为0时,表示不限制ICMP差错报文的发送.
1.
7配置ICMP分片报文转发功能1.
配置限制和指导为了防止ICMP分片报文攻击,用户可以关闭设备的ICMP分片报文转发功能,对于收到的ICMP分片报文不进行转发.
2.
配置步骤(1)进入系统视图.
system-view(2)关闭ICMP分片报文转发功能.
ipicmpfragmentdiscarding缺省情况下,ICMP分片报文转发功能处于开启状态.
1.
8指定ICMP报文源地址1.
功能简介在网络中IP地址配置较多的情况下,收到ICMP报文时,用户很难根据报文的源IP地址判断报文来自哪台设备.
为了简化这一判断过程,可以指定ICMP报文源地址.
用户配置特定地址(如环回口地址)为ICMP报文的源地址,可以简化判断.
设备发送ICMP差错报文(TTL超时、端口不可达和参数错误等)和pingechorequest报文时,都可以通过上述命令指定报文的源地址.
1-72.
配置限制和指导用户发送pingechorequest报文时,如果ping命令中已经指定源地址,则使用该源地址,否则使用ipicmpsource配置的源地址.
3.
配置步骤(1)进入系统视图.
system-view(2)指定ICMP报文源地址.
ipicmpsource[vpn-instancevpn-instance-name]ip-address缺省情况下,未指定ICMP报文源地址.
设备使用出接口IP地址作为ICMP报文源地址.
1.
9配置接口的TCP最大报文段长度1.
功能简介TCP最大报文段长度(MaximumSegmentSize,MSS)表示TCP连接的对端发往本端的最大TCP报文段的长度,目前作为TCP连接建立时的一个选项来协商:当一个TCP连接建立时,连接的双方要将MSS作为TCP报文的一个选项通告给对端,对端会记录下这个MSS值,后续在发送TCP报文时,会限制TCP报文的大小不超过该MSS值.
当对端发送的TCP报文的长度小于本端的TCP最大报文段长度时,TCP报文不需要分段;否则,对端需要对TCP报文按照最大报文段长度进行分段处理后再发给本端.
2.
配置限制和指导用户可以通过下面的命令配置接口的TCP最大报文段长度,配置后该接口接收和发送的TCP报文的大小都不能超过该值.
该配置仅对新建的TCP连接生效,对于配置前已建立的TCP连接不生效.
该配置仅对IP报文生效,当接口上配置了MPLS功能后,不建议再配置本功能.
3.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口的TCP最大报文段长度.
tcpmssvalue缺省情况下,未配置接口的TCP最大报文段长度.
1.
10配置TCP连接的PathMTU探测功能1.
功能简介通过开启TCP连接的PathMTU探测功能,用户可确定TCP路径上从源端到目的端的最小MTU(PathMTU),按照PathMTU组织TCP分段长度,避免IP分片的发生.
为了在PathMTU增大1-8时,减少资源浪费,可以开启PathMTU老化定时器,保证设备尽量按照TCP路径允许的最大报文长度发送数据.
RFC1191中规定的TCP连接的PathMTU探测机制如下:(1)TCP源端将发送的TCP数据段的外层IP报文设置DF(不可分片)标记.
(2)如果TCP路径上某路由器的出接口MTU值小于该IP报文长度,则会丢弃报文,并给TCP源端发送ICMP差错报文,报文中会携带该出接口MTU值.
(3)TCP源端通过解析该ICMP差错报文,可知TCP路径上当前最小的单向MTU值.
(4)后续TCP源端发送数据段的长度不超过MSS.
其中,MSS=最小MTU值-IP头部长度-TCP头部长度.
当MSS已经达到系统规定的最小的32字节后,如果再次收到减少MSS的ICMP差错报文,系统将允许该TCP连接发送的报文进行分片.
产生ICMP差错报文的路由器可能不支持RFC1191,其产生的ICMP差错报文中的出接口MTU字段值为0,对于这种报文,TCP源端将按照RFC1191中规定的MTU表获取比当前路径MTU更小的值作为计算TCPMSS的基础.
MTU表的内容为(单位为字节):68、296、508、1006、1280、1492、2002、4352、8166、17914、32000、65535(由于系统规定的TCP最小MSS为32,所以对应最小的MTU实际为72字节).
PathMTU的老化机制如下:当TCP源端收到ICMP差错报文后,除了减小PathMTU值,同时会为该PathMTU值启动老化定时器.
当该定时器超时后,系统将按照RFC1191规定的MTU表依次递增TCP的MSS值.
如果增加一次MSS之后的2分钟内未收到ICMP差错报文,则继续递增,直到MSS增长到对端在TCP三次握手阶段通告的MSS值.
2.
配置准备TCP连接的PathMTU探测功能依赖IP报文的DF标记位设置后触发ICMP差错报文,因此需要TCP路径上的所有设备打开ICMP差错报文发送功能(ipunreachablesenable),以确保ICMP差错报文可以发送到TCP源端.
3.
配置步骤(1)进入系统视图.
system-view(2)开启TCP连接的PathMTU探测功能.
tcppath-mtu-discovery[agingage-time|no-aging]缺省情况下,TCP连接的PathMTU探测功能处于关闭状态.
1.
11开启SYNCookie功能1.
功能简介SYNCookie功能用来防止SYNFlood攻击.
SYNFlood攻击中,攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYNACK报文,导致设备上建立了大量的TCP半连接.
从而,达到耗费设备资源,使设备无法处理正常业务的目的.
配置SYNCookie功能后,当设备收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYNACK报文.
设备接收到发起1-9者回应的ACK报文后,建立连接,并进入ESTABLISHED状态.
通过这种方式,可以避免在设备上建立大量的TCP半连接,防止设备受到SYNFlood攻击.
2.
配置步骤(1)进入系统视图.
system-view(2)开启SYNCookie功能.
tcpsyn-cookieenable缺省情况下,SYNCookie功能处于关闭状态.
1.
12配置TCP连接的缓冲区大小(1)进入系统视图.
system-view(2)配置TCP连接的接收和发送缓冲区的大小.
tcpwindowwindow-size缺省情况下,TCP连接的接收和发送缓冲区大小为63KB.
1.
13配置TCP定时器1.
TCP定时器简介可以配置的TCP定时器包括:synwait定时器:当发送SYN报文时,TCP启动synwait定时器和重传SYN报文定时器,当synwait定时器超时且SYN报文重传未达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功;当synwait定时器未超时但是SYN报文重传达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功.
finwait定时器:当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前未收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接.
2.
配置步骤(1)进入系统视图.
system-view(2)配置TCP的synwait定时器超时时间.
tcptimersyn-timeouttime-value缺省情况下,synwait定时器超时时间为75秒.
(3)配置TCP的finwait定时器超时时间.
tcptimerfin-timeouttime-value缺省情况下,finwait定时器超时时间为675秒.
1-101.
14IP性能优化显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置IP性能优化功能后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令清除IP、TCP和UDP的流量统计信息.
表1-1IP性能优化显示和维护操作命令显示ICMP流量统计信息displayicmpstatistics[slotslot-number]显示IP报文统计信息displayipstatistics[slotslot-number]显示RawIP连接摘要信息displayrawip[slotslot-number]显示RawIP连接详细信息displayrawipverbose[slotslot-number[pcbpcb-index]]显示TCP连接摘要信息displaytcp[slotslot-number]显示TCP连接的流量统计信息displaytcpstatistics[slotslot-number]显示TCP连接详细信息displaytcpverbose[slotslot-number[pcbpcb-index]]显示UDP连接摘要信息displayudp[slotslot-number]显示UDP流量统计信息displayudpstatistics[slotslot-number]显示UDP连接详细信息displayudpverbose[slotslot-number[pcbpcb-index]]清除IP报文统计信息resetipstatistics[slotslot-number]清除TCP连接的流量统计信息resettcpstatistics清除UDP流量统计信息resetudpstatisticsi目录1IPv6基础1-11.
1IPv6简介·1-11.
1.
1IPv6协议特点1-11.
1.
2IPv6地址介绍1-21.
1.
3IPv6PMTU发现·1-41.
1.
4IPv6过渡技术介绍1-51.
1.
5协议规范·1-51.
2IPv6基础配置任务简介1-61.
3配置IPv6全球单播地址1-61.
3.
1功能简介·1-61.
3.
2采用EUI-64格式形成IPv6地址1-71.
3.
3手工指定IPv6地址1-71.
3.
4无状态自动配置IPv6地址1-71.
3.
5引用前缀生成接口上的IPv6地址,并将此前缀分配给终端设备·1-91.
4配置IPv6链路本地地址1-91.
4.
1功能简介·1-91.
4.
2配置限制和指导·1-91.
4.
3配置自动生成链路本地地址1-101.
4.
4手工指定接口的链路本地地址1-101.
5配置IPv6任播地址·1-101.
6配置PMTU发现1-101.
6.
1配置接口MTU1-101.
6.
2配置指定地址的静态PMTU1-111.
6.
3配置PMTU老化时间1-111.
7配置ICMPv6报文发送功能1-121.
7.
1配置发送ICMPv6差错报文对应的令牌桶容量和令牌刷新周期1-121.
7.
2配置ICMPv6目的不可达差错报文发送功能·1-121.
7.
3配置ICMPv6超时差错报文发送功能·1-131.
7.
4配置ICMPv6重定向报文发送功能·1-131.
7.
5配置ICMPv6报文指定源地址功能·1-141.
8开启IPv6分片报文本地重组功能1-141.
9开启IPv6报文扩展头丢弃功能1-151.
10IPv6基础显示和维护1-15ii1.
11IPv6基础典型配置举例1-161.
11.
1IPv6基本组网配置举例·1-162IPv6邻居发现2-12.
1IPv6邻居发现简介·2-12.
1.
1IPv6邻居发现使用的ICMPv6消息2-12.
1.
2地址解析·2-12.
1.
3验证邻居是否可达·2-22.
1.
4重复地址检测·2-22.
1.
5路由器发现/前缀发现及地址无状态自动配置2-22.
1.
6重定向功能·2-32.
1.
7协议规范·2-32.
2IPv6邻居发现配置任务简介2-32.
3配置静态邻居表项·2-42.
4配置接口上允许动态学习的邻居的最大个数·2-42.
5配置STALE状态ND表项的老化时间·2-52.
6配置链路本地ND表项资源占用最小化2-52.
7配置设备的跳数限制·2-62.
8配置允许发布RA消息及相关参数·2-62.
8.
1RA消息及相关参数介绍·2-62.
8.
2配置限制和指导·2-72.
8.
3配置允许发布RA消息·2-72.
8.
4配置RA消息中的常用参数·2-82.
8.
5配置RA消息中的DNS服务器信息·2-92.
8.
6配置RA消息中的DNS域名后缀信息·2-102.
8.
7开启RA消息中的DNS信息抑制功能·2-102.
9配置重复地址检测时发送邻居请求消息的次数·2-112.
10配置NDProxy功能2-122.
10.
1功能简介2-122.
10.
2配置普通NDProxy功能2-132.
10.
3配置本地NDProxy功能2-132.
11开启ND记录终端用户间IPv6地址冲突功能2-142.
12开启ND记录终端用户端口迁移功能·2-142.
13开启ND输出终端用户上下线日志功能·2-142.
14IPv6邻居发现显示和维护2-152.
15IPv6邻居发现典型配置举例2-152.
15.
1NDRA报文前缀记录基本组网配置举例2-15iii1-11IPv6基础1.
1IPv6简介IPv6(InternetProtocolVersion6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IPNextGeneration,下一代互联网协议),它是IETF(InternetEngineeringTaskForce,互联网工程任务组)设计的一套规范,是IPv4的升级版本.
IPv6和IPv4之间最显著的区别为:IP地址的长度从32比特增加到128比特.
1.
1.
1IPv6协议特点1.
简化的报文头格式通过将IPv4报文头中的某些字段裁减或移入到扩展报文头,减小了IPv6基本报文头的长度.
IPv6使用固定长度的基本报文头,从而简化了转发设备对IPv6报文的处理,提高了转发效率.
尽管IPv6地址长度是IPv4地址长度的四倍,但IPv6基本报文头的长度只有40字节,为IPv4报文头长度(不包括选项字段)的两倍.
图1-1IPv4报文头和IPv6基本报文头格式比较2.
充足的地址空间IPv6的源地址与目的地址长度都是128比特(16字节).
它可以提供超过3.
4*1038种可能的地址空间,完全可以满足多层次的地址划分需要,以及公有网络和机构内部私有网络的地址分配.
3.
层次化的地址结构IPv6的地址空间采用了层次化的地址结构,有利于路由快速查找,同时可以借助路由聚合,有效减少IPv6路由表占用的系统资源.
4.
地址自动配置为了简化主机配置,IPv6支持有状态地址配置和无状态地址配置:1-2有状态地址配置是指从服务器(如DHCPv6服务器)获取IPv6地址及相关信息,详细介绍请参见"三层技术-IP业务配置指导"中的"DHCPv6";无状态地址配置是指主机根据自己的链路层地址及路由器发布的前缀信息自动配置IPv6地址及相关信息.
同时,主机也可根据自己的链路层地址及默认前缀(FE80::/10)形成链路本地地址,实现与本链路上其他主机的通信.
5.
支持QoSIPv6报文头的流标签(FlowLabel)字段实现流量的标识,允许设备对某一流中的报文进行识别并提供特殊处理.
6.
增强的邻居发现机制IPv6的邻居发现协议是通过一组ICMPv6(InternetControlMessageProtocolforIPv6,IPv6互联网控制消息协议)消息实现的,管理着邻居节点间(即同一链路上的节点)信息的交互.
它代替了ARP(AddressResolutionProtocol,地址解析协议)、ICMPv4路由器发现和ICMPv4重定向消息,并提供了一系列其他功能.
7.
灵活的扩展报文头IPv6取消了IPv4报文头中的选项字段,并引入了多种扩展报文头,在提高处理效率的同时还大大增强了IPv6的灵活性,为IP协议提供了良好的扩展能力.
IPv4报文头中的选项字段最多只有40字节,而IPv6扩展报文头的大小只受到IPv6报文大小的限制.
1.
1.
2IPv6地址介绍1.
IPv6地址表示方式IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数.
每个IPv6地址被分为8组,每组的16比特用4个十六进制数来表示,组和组之间用冒号隔开,比如:2001:0000:130F:0000:0000:09C0:876A:130B.
为了简化IPv6地址的表示,对于IPv6地址中的"0"可以有下面的处理方式:每组中的前导"0"可以省略,即上述地址可写为2001:0:130F:0:0:9C0:876A:130B.
如果地址中包含一组或连续多组均为0的组,则可以用双冒号"::"来代替,即上述地址可写为2001:0:130F::9C0:876A:130B.
在一个IPv6地址中只能使用一次双冒号"::",否则当设备将"::"转变为0以恢复128位地址时,将无法确定"::"所代表的0的个数.
IPv6地址由两部分组成:地址前缀与接口标识.
其中,地址前缀相当于IPv4地址中的网络号码字段部分,接口标识相当于IPv4地址中的主机号码部分.
地址前缀的表示方式为:IPv6地址/前缀长度.
其中,前缀长度是一个十进制数,表示IPv6地址最左边多少位为地址前缀.
1-32.
IPv6的地址分类IPv6主要有三种类型的地址:单播地址、组播地址和任播地址.
单播地址:用来唯一标识一个接口,类似于IPv4的单播地址.
发送到单播地址的数据报文将被传送给此地址所标识的接口.
组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4的组播地址.
发送到组播地址的数据报文被传送给此地址所标识的所有接口.
任播地址:用来标识一组接口(通常这组接口属于不同的节点).
发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口.
IPv6中没有广播地址,广播地址的功能通过组播地址来实现.
IPv6地址类型是由地址前面几位(称为格式前缀)来指定的,主要地址类型与格式前缀的对应关系如表1-1所示.
表1-1地址类型与格式前缀的对应关系地址类型格式前缀(二进制)IPv6前缀标识单播地址未指定地址00.
.
.
0(128bits)::/128环回地址00.
.
.
1(128bits)::1/128链路本地地址1111111010FE80::/10全球单播地址其他形式-组播地址11111111FF00::/8任播地址从单播地址空间中进行分配,使用单播地址的格式3.
单播地址的类型IPv6单播地址的类型可有多种,包括全球单播地址、链路本地地址等.
全球单播地址等同于IPv4公网地址,提供给网络服务提供商.
这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量.
链路本地地址用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信.
使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上.
环回地址:单播地址0:0:0:0:0:0:0:1(简化表示为::1)称为环回地址,不能分配给任何物理接口.
它的作用与在IPv4中的环回地址相同,即节点用来给自己发送IPv6报文.
未指定地址:地址"::"称为未指定地址,不能分配给任何节点.
在节点获得有效的IPv6地址之前,可在发送的IPv6报文的源地址字段填入该地址,但不能作为IPv6报文中的目的地址.
4.
组播地址表1-2所示的组播地址,是预留的特殊用途的组播地址.
表1-2预留的IPv6组播地址列表地址应用FF01::1表示节点本地范围所有节点的组播地址1-4地址应用FF02::1表示链路本地范围所有节点的组播地址FF01::2表示节点本地范围所有路由器的组播地址FF02::2表示链路本地范围所有路由器的组播地址另外,还有一类组播地址:被请求节点(Solicited-Node)地址.
该地址主要用于获取同一链路上邻居节点的链路层地址及实现重复地址检测.
每一个单播或任播IPv6地址都有一个对应的被请求节点地址.
其格式为:FF02:0:0:0:0:1:FFXX:XXXX其中,FF02:0:0:0:0:1:FF为104位固定格式;XX:XXXX为单播或任播IPv6地址的后24位.
5.
IEEEEUI-64格式的接口标识符IPv6单播地址中的接口标识符用来唯一标识链路上的一个接口.
目前IPv6单播地址基本上都要求接口标识符为64位.
对于所有IEEE802接口类型(例如,VLAN接口)的接口,IEEEEUI-64格式的接口标识符是从接口的链路层地址(MAC地址)变化而来的.
IPv6地址中的接口标识符是64位,而MAC地址是48位,因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE(1111111111111110).
为了使接口标识符的作用范围与原MAC地址一致,还要将Universal/Local(U/L)位(从高位开始的第7位)进行取反操作.
最后得到的这组数就作为EUI-64格式的接口标识符.
图1-2MAC地址到EUI-64格式接口标识符的转换过程对于Tunnel类型的接口,IEEEEUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址.
对于其他接口类型(例如,Serial接口)的接口,IEEEEUI-64格式的接口标识符由设备随机生成.
1.
1.
3IPv6PMTU发现报文从源端到目的端的传输路径中所经过的链路可能具有不同的MTU.
在IPv6中,当报文的长度大于链路的MTU时,报文的分片将在源端进行,从而减轻中间转发设备的处理压力,合理利用网络资源.
1-5PMTU(PathMTU,路径MTU)发现机制的目的就是要找到从源端到目的端的路径上最小的MTU.
如图1-3所示,PMTU的工作过程为:(1)源端主机按照自己的MTU对报文进行分片,之后向目的主机发送报文.
(2)中间转发设备接收到该报文进行转发时,如果发现转发报文的接口支持的MTU值小于报文长度,则会丢弃报文,并给源端返回一个ICMPv6差错报文,其中包含了转发失败的接口的MTU.
(3)源主机收到该差错报文后,将按照报文中所携带的MTU重新对报文进行分片并发送.
如此反复,直到目的端主机收到这个报文,从而确定报文从源端到目的端路径中的最小MTU.
图1-3PMTU发现工作过程1.
1.
4IPv6过渡技术介绍在IPv6成为主流协议之前,首先使用IPv6协议栈的网络希望能与当前仍被IPv4支撑着的互联网进行正常通信,因此必须开发出IPv4和IPv6互通技术以保证IPv4能够平稳过渡到IPv6.
互通技术应该对信息传递做到高效无缝.
目前已经出现了多种过渡技术,这些技术各有特点,用于解决不同过渡时期、不同环境的通信问题.
1.
双协议栈双协议栈是一种最简单直接的过渡机制.
同时支持IPv4协议和IPv6协议的网络节点称为双协议栈节点.
当双协议栈节点配置IPv4地址和IPv6地址后,就可以在相应接口上转发IPv4和IPv6报文.
当一个上层应用同时支持IPv4和IPv6协议时,根据协议要求可以选用TCP或UDP作为传输层的协议,但在选择网络层协议时,它会优先选择IPv6协议栈.
双协议栈技术适合IPv4网络节点之间或者IPv6网络节点之间通信,是所有过渡技术的基础.
但是,这种技术要求运行双协议栈的节点有一个全球唯一的地址,实际上没有解决IPv4地址资源匮乏的问题.
1.
1.
5协议规范相关的协议规范有:RFC1881:IPv6AddressAllocationManagementRFC1887:AnArchitectureforIPv6UnicastAddressAllocationRFC1981:PathMTUDiscoveryforIPversion6RFC2375:IPv6MulticastAddressAssignmentsRFC2460:InternetProtocol,Version6(IPv6)Specification1-6RFC2464:TransmissionofIPv6PacketsoverEthernetNetworksRFC2526:ReservedIPv6SubnetAnycastAddressesRFC3307:AllocationGuidelinesforIPv6MulticastAddressesRFC4191:DefaultRouterPreferencesandMore-SpecificRoutesRFC4291:IPVersion6AddressingArchitectureRFC4443:InternetControlMessageProtocol(ICMPv6)fortheInternetProtocolVersion6(IPv6)Specification1.
2IPv6基础配置任务简介IPv6基础配置任务如下:(1)配置IPv6地址请选择以下至少一项任务进行配置:{配置IPv6全球单播地址{配置IPv6链路本地地址{配置IPv6任播地址(2)(可选)配置PMTU发现{配置接口MTU{配置指定地址的静态PMTU{配置PMTU老化时间(3)(可选)配置ICMPv6报文发送参数{配置发送ICMPv6差错报文对应的令牌桶容量和令牌刷新周期{配置ICMPv6目的不可达差错报文发送功能{配置ICMPv6超时差错报文发送功能{配置ICMPv6重定向报文发送功能{配置ICMPv6报文指定源地址功能(4)(可选)开启IPv6分片报文本地重组功能(5)(可选)开启IPv6报文扩展头丢弃功能1.
3配置IPv6全球单播地址1.
3.
1功能简介IPv6全球单播地址可以通过下面几种方式配置:采用EUI-64格式形成:当配置采用EUI-64格式形成IPv6地址时,接口的IPv6地址的前缀需要手工配置,而接口ID则由接口自动生成.
手工配置:用户手工配置IPv6全球单播地址.
引用前缀生成IPv6地址:引用前缀生成IPv6地址时,接口的IPv6地址的前缀可以通过手工配置或DHCPv6动态获取,同时该前缀还会分配给终端设备.
1-7无状态自动配置:根据接收到的RA报文中携带的地址前缀信息,自动生成IPv6全球单播地址.
每个接口可以有多个全球单播地址.
手工配置的全球单播地址(包括采用EUI-64格式形成的全球单播地址)的优先级高于自动生成的全球单播地址.
如果在接口已经自动生成全球单播地址的情况下,手工配置前缀相同的全球单播地址,不会覆盖之前自动生成的全球单播地址.
如果删除手工配置的全球单播地址,设备还可以使用自动生成的全球单播地址进行通信.
1.
3.
2采用EUI-64格式形成IPv6地址(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)采用EUI-64格式形成IPv6地址.
ipv6address{ipv6-addressprefix-length|ipv6-address/prefix-length}eui-64缺省情况下,接口上未配置IPv6全球单播地址.
1.
3.
3手工指定IPv6地址(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)手工指定IPv6地址.
ipv6address{ipv6-addressprefix-length|ipv6-address/prefix-length}缺省情况下,接口上未配置IPv6全球单播地址.
1.
3.
4无状态自动配置IPv6地址1.
功能简介在配置了无状态自动配置IPv6地址功能后,接口会根据接收到的RA报文中携带的地址前缀信息和接口ID,自动生成IPv6全球单播地址.
如果接口是IEEE802类型的接口(例如,以太网接口、VLAN接口),其接口ID是由MAC地址根据一定的规则生成,此接口ID具有全球唯一性.
对于不同的前缀,接口ID部分始终不变,攻击者通过接口ID可以很方便的识别出通信流量是由哪台设备产生的,并分析其规律,会造成一定的安全隐患.
如果在地址无状态自动配置时,自动生成接口ID不断变化的IPv6地址,就可以加大攻击的难度,从而保护网络.
为此,设备提供了临时地址功能,使得系统可以生成临时地址.
配置该功能后,通过地址无状态自动配置,IEEE802类型的接口可以同时生成两类地址:公共地址:地址前缀采用RA报文携带的前缀,接口ID由MAC地址产生.
接口ID始终不变.
1-8临时地址:地址前缀采用RA报文携带的前缀,接口ID由系统根据MD5算法计算产生.
接口ID不断变化.
在配置了优先选择临时地址功能前提下发送报文,系统将优先选择临时地址作为报文的源地址.
当临时地址的有效生命期过期后,这个临时地址将被删除,同时,系统会通过MD5算法重新生成一个接口ID不同的临时地址.
所以,该接口发送报文的源地址的接口ID总是在不停变化.
如果生成的临时地址因为DAD冲突不可用,就采用公共地址作为报文的源地址.
临时地址的首选生命期和有效生命期的确定原则如下:首选生命期是如下两个值之中的较小者:"RA前缀中的首选生命期"和"配置的临时地址首选生命期减去DESYNC_FACTOR".
DESYNC_FACTOR是一个0~600秒的随机值.
有效生命期是如下两个值之中的较小者:"RA前缀中的有效生命期"和"配置的临时地址有效生命期".
2.
配置限制和指导如果RA报文携带的前缀长度不是64位,则该接口自动生成IPv6全球单播地址失败.
设备的接口必须启用地址无状态自动配置功能才能生成临时地址,而且临时地址不会覆盖公共地址,因此会出现一个接口下有多个前缀相同但是接口ID不同的地址.
如果公共地址生成失败,例如前缀冲突,则不会生成临时地址.
在接口上开启无状态地址自动配置功能后,接口通过无状态自动配置方式生成全球单播地址.
如果通过undoipv6addressauto命令关闭该功能,将删除该接口上所有自动生成的全球单播地址和链路本地地址.
3.
开启无状态自动配置IPv6地址功能(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址.
ipv6addressauto缺省情况下,接口上无状态地址自动配置功能处于关闭状态.
4.
配置系统生成临时地址,并优先选择临时地址作为报文的源地址(1)进入系统视图.
system-view(2)配置系统生成临时地址.
ipv6temporary-address[valid-lifetimepreferred-lifetime]缺省情况下,系统不生成临时地址.
(3)优先选择临时地址作为报文的源地址.
ipv6prefertemporary-address缺省情况下,不会用临时地址作为接口发送报文的源地址.
1-91.
3.
5引用前缀生成接口上的IPv6地址,并将此前缀分配给终端设备(1)进入系统视图.
system-view(2)配置IPv6前缀.
请选择其中一项进行配置.
{手工配置静态的IPv6前缀.
ipv6prefixprefix-numberipv6-prefix/prefix-length缺省情况下,未配置静态IPv6前缀.
{配置设备作为DHCPv6客户端动态获取IPv6前缀,并生成指定编号的IPv6前缀.
配置方法请参见"三层技术-IP业务配置指导"中的"DHCPv6客户端".
(3)进入接口视图.
interfaceinterface-typeinterface-number(4)引用前缀生成接口上的IPv6地址,并将此前缀分配给终端设备.
ipv6addressprefix-numbersub-prefix/prefix-length缺省情况下,接口上未引用前缀,也不会向终端设备分配该前缀.
1.
4配置IPv6链路本地地址1.
4.
1功能简介IPv6的链路本地地址可以通过两种方式获得:自动生成:设备根据链路本地地址前缀(FE80::/10)及接口的链路层地址,自动为接口生成链路本地地址;手工指定:用户手工配置IPv6链路本地地址.
1.
4.
2配置限制和指导当接口配置了IPv6全球单播地址后,同时会自动生成链路本地地址.
且与采用ipv6addressautolink-local命令生成的链路本地地址相同.
此时如果手工指定接口的链路本地地址,则手工指定的有效.
如果删除手工指定的链路本地地址,则接口的链路本地地址恢复为系统自动生成的地址.
undoipv6addressautolink-local命令只能删除使用ipv6addressautolink-local命令生成的链路本地地址.
即如果此时已经配置了IPv6全球单播地址,由于系统会自动生成链路本地地址,则接口仍有链路本地地址;如果此时没有配置IPv6全球单播地址,则接口没有链路本地地址.
每个接口只能有一个链路本地地址,为了避免链路本地地址冲突,推荐使用链路本地地址的自动生成方式.
配置链路本地地址时,手工指定方式的优先级高于自动生成方式.
即如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的.
此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效.
1-101.
4.
3配置自动生成链路本地地址(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置自动生成链路本地地址.
ipv6addressautolink-local缺省情况下,接口上没有链路本地地址.
当接口配置了IPv6全球单播地址后,会自动生成链路本地地址.
1.
4.
4手工指定接口的链路本地地址(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)手工指定接口的链路本地地址.
ipv6addressipv6-addresslink-local缺省情况下,未指定接口的链路本地地址.
1.
5配置IPv6任播地址(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置IPv6任播地址.
ipv6address{ipv6-addressprefix-length|ipv6-address/prefix-length}anycast缺省情况下,接口上未配置任播地址.
1.
6配置PMTU发现1.
6.
1配置接口MTU1.
功能简介当设备发送报文时,如果发现报文长度比发送该报文的接口的MTU值大,则会将其丢弃.
如果设备是作为中间设备转发该报文,同时会将接口的MTU值通过ICMPv6报文的"PacketTooBig"消息发给源端主机,源端主机以该值重新发送IPv6报文.
为减少报文被丢弃带来的额外流量开销,需要根据实际组网环境设置合适的接口MTU值.
1-112.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口MTU.
ipv6mtusize缺省情况下,未配置接口上发送IPv6报文的MTU.
1.
6.
2配置指定地址的静态PMTU1.
功能简介用户可以为指定的目的IPv6地址配置静态的PMTU值.
当设备作为源端从接口发送报文时,将比较该接口的MTU与指定目的IPv6地址的静态PMTU,如果报文长度大于二者中的最小值,则采用此最小值对报文进行分片发送.
发送过程中再通过"1.
1.
3IPv6PMTU发现"中的方法动态确定设备作为源端到目的端主机的PMTU值.
2.
配置步骤(1)进入系统视图.
system-view(2)配置指定IPv6地址对应的静态PMTU值.
ipv6pathmtuipv6-addressvalue缺省情况下,未配置静态PMTU值.
1.
6.
3配置PMTU老化时间1.
功能简介通过"1.
1.
3IPv6PMTU发现"中的方法动态确定设备作为源端到目的端主机的PMTU后,设备将使用这个MTU值发送后续报文到目的端主机.
当PMTU老化时间超时后,源端主机会通过PMTU机制重新确定发送报文的MTU值.
2.
配置限制与指导该配置对静态PMTU不起作用.
3.
配置步骤(1)进入系统视图.
system-view(2)配置PMTU老化时间.
ipv6pathmtuageage-time缺省情况下,PMTU的老化时间是10分钟.
1-121.
7配置ICMPv6报文发送功能1.
7.
1配置发送ICMPv6差错报文对应的令牌桶容量和令牌刷新周期1.
功能简介如果网络中短时间内发送的ICMPv6差错报文过多,将可能导致网络拥塞.
为了避免这种情况,用户可以控制在指定时间内发送ICMPv6差错报文的最大个数,目前采用令牌桶算法来实现.
用户可以设置令牌桶的容量,即令牌桶中可以同时容纳的令牌数;同时可以设置令牌桶的刷新周期,即每隔多长时间发放一个令牌到令牌桶中,直到令牌桶中的令牌数达到配置的容量.
一个令牌表示允许发送一个ICMPv6差错报文,每当发送一个ICMPv6差错报文,则令牌桶中减少一个令牌.
如果连续发送的ICMPv6差错报文超过了令牌桶的容量,则后续的ICMPv6差错报文将不能被发送出去,直到按照所设置的刷新频率将新的令牌放入令牌桶中.
2.
配置步骤(1)进入系统视图.
system-view(2)配置发送ICMPv6差错报文对应的令牌桶容量和令牌刷新周期.
ipv6icmpv6error-intervalinterval[bucketsize]缺省情况下,令牌桶容量为10,令牌刷新周期为100毫秒.
刷新周期为0时,表示不限制ICMPv6差错报文的发送.
1.
7.
2配置ICMPv6目的不可达差错报文发送功能1.
功能简介ICMPv6目的不可达报文发送功能是在设备收到IPv6数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMPv6目的不可达差错报文.
设备在满足下列任一条件时会发送目的不可达报文:设备在转发报文时,如果在路由表中没有找到对应的转发路由,且路由表中没有缺省路由,则给源端发送"没有到达目的地址的路由"ICMPv6差错报文;设备在转发报文时,如果是因为管理策略(例如防火墙过滤、ACL等)导致无法发送报文时,则给源端发送"与目的地址的通信被管理策略禁止"ICMPv6差错报文;设备在转发报文时,如果报文的目的IPv6地址超出源IPv6地址的范围(例如,报文的源IPv6地址为链路本地地址,报文的目的IPv6地址为全球单播地址),会导致报文无法到达目的端,此时要给源端发送"超出源地址范围"ICMPv6差错报文;设备在转发报文时,如果不能解析目的IPv6地址对应的链路层地址,则给源端发送"地址不可达"ICMPv6差错报文;设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的目的端口号与正在使用的进程不匹配,则给源端发送"端口不可达"ICMPv6差错报文.
1-132.
配置限制和指导由于ICMPv6目的不可达报文传递给用户进程的信息为不可达信息,如果有用户恶意攻击,可能会影响终端用户的正常使用.
为了避免上述现象发生,可以关闭设备的ICMPv6目的不可达报文发送功能,从而减少网络流量、防止遭到恶意攻击.
3.
配置步骤(1)进入系统视图.
system-view(2)开启设备的ICMPv6目的不可达报文的发送功能.
ipv6unreachablesenable缺省情况下,ICMPv6目的不可达报文发送功能处于关闭状态.
1.
7.
3配置ICMPv6超时差错报文发送功能1.
功能简介ICMPv6超时报文发送功能是在设备收到IPv6数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMPv6超时差错报文.
设备在满足下列任一条件时会发送ICMPv6超时报文:设备收到IPv6数据报文后,如果报文的目的地不是本地且报文的Hoplimit字段是1,则发送"Hoplimit超时"ICMPv6差错报文;设备收到目的地址为本地的IPv6数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送"重组超时"ICMPv6差错报文.
如果接收到大量需要发送ICMPv6差错报文的恶意攻击报文,设备会因为处理大量该类报文而导致性能降低.
2.
配置限制和指导为了避免上述现象发生,可以关闭设备的ICMPv6超时报文发送功能,从而减少网络流量、防止遭到恶意攻击.
3.
配置步骤(1)进入系统视图.
system-view(2)开启设备的ICMPv6超时报文的发送功能.
ipv6hoplimit-expiresenable本命令的缺省情况与设备的型号有关,请以设备的实际情况为准.
1.
7.
4配置ICMPv6重定向报文发送功能1.
功能简介当主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由.
当满足一定的条件时,缺省网关会向源主机发送ICMPv6重定向报文,通知主机重新选择更好的下一跳进行后续报文的发送.
同时满足下列条件时,设备会发送ICMPv6重定向报文:接收和转发数据报文的接口是同一接口;1-14被选择的路由本身没有被ICMPv6重定向报文创建或修改过;被选择的路由不是设备的缺省路由;被转发的IPv6数据报文中不包含路由扩展头.
ICMPv6重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由.
但是由于重定向功能会在主机的路由表中增加主机路由,当增加的主机路由很多时,会降低主机性能.
因此缺省情况下设备的ICMPv6重定向报文发送功能处于关闭状态.
2.
配置步骤(1)进入系统视图.
system-view(2)开启设备的ICMPv6重定向报文发送功能.
ipv6redirectsenable缺省情况下,ICMPv6重定向报文发送功能处于关闭状态.
1.
7.
5配置ICMPv6报文指定源地址功能1.
功能简介在网络中IPv6地址配置较多的情况下,收到ICMPv6报文时,用户很难根据报文的源IPv6地址判断报文来自哪台设备.
为了简化这一判断过程,可以配置ICMPv6报文指定源地址功能.
用可配置特定地址(如环回口地址)为ICMPv6报文的源地址,可以简化判断.
设备发送ICMPv6差错报文(TTL超时、报文过大、端口不可达和参数错误等)和pingechorequest报文时,都可以通过上述命令指定报文的源地址.
2.
配置限制与指导用户发送pingechorequest报文时,如果ping命令中已经指定源地址,则使用该源地址,否则使用ipv6icmpv6source配置的源地址.
3.
配置步骤(1)进入系统视图.
system-view(2)开启ICMPv6报文指定源地址功能.
ipv6icmpv6sourceipv6-address缺省情况下,ICMPv6报文指定源地址功能处于关闭状态.
1.
8开启IPv6分片报文本地重组功能1.
功能简介当开启IPv6分片报文本地重组功能后,分片报文会在该设备上直接进行报文重组,这样就能提高分片报文的重组性能.
多台设备组成的IRF环境下,当某成员设备收到目的为本IRF设备的IPv6分片报文时,需要把分片报文送到主设备进行重组,这样会导致报文重组性能较低的问题.
1-15当开启IPv6分片报文本地重组功能后,分片报文会在该成员设备上直接进行报文重组,这样就能提高分片报文的重组性能.
2.
配置限制与指导开启IPv6分片报文本地重组功能后,如果分片报文是从IRF系统中不同的成员设备进入的,会导致IPv6分片报文本地无法重组成功.
3.
配置步骤(1)进入系统视图.
system-view(2)开启设备的IPv6分片报文本地重组功能.
ipv6reassemblelocalenable缺省情况下,IPv6分片报文本地重组功能处于关闭状态.
1.
9开启IPv6报文扩展头丢弃功能1.
功能简介IPv6协议引入了多种扩展报文头,开启IPv6扩展报文丢弃功能后,如果接收到无法处理的IPv6扩展头的报文,设备将直接丢弃.
2.
配置步骤(1)进入系统视图.
system-view(2)开启IPv6报文扩展头丢弃功能.
ipv6extension-headerdropenable缺省情况下,IPv6报文扩展头丢弃功能处于关闭状态.
1.
10IPv6基础显示和维护在完成上述配置后,在任意视图下执行display命令可以显示IPv6配置后的运行情况,用户可以通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除相应的统计信息.
表1-3IPv6基础显示和维护操作命令显示IPv6FIB信息displayipv6fib[ipv6-address[prefix-length]]显示IPv6ICMP流量统计信息displayipv6icmpstatistics[slotslot-number]显示接口的IPv6信息displayipv6interface[interface-type[interface-number]][brief]显示接口的IPv6前缀信息displayipv6interfaceinterface-typeinterface-numberprefix显示IPv6的PMTU信息displayipv6pathmtu{ipv6-address|{all|dynamic1-16操作命令|static}[count]}显示IPv6前缀信息displayipv6prefix[prefix-number]显示IPv6RawIP连接摘要信息displayipv6rawip[slotslot-number]显示IPv6RawIP连接详细信息displayipv6rawipverbose[slotslot-number[pcbpcb-index]]显示IPv6报文及ICMPv6报文的统计信息displayipv6statistics[slotslot-number]显示IPv6TCP连接摘要信息displayipv6tcp[slotslot-number]显示IPv6TCP连接详细信息displayipv6tcpverbose[slotslot-number[pcbpcb-index]]显示IPv6UDP连接摘要信息displayipv6udp[slotslot-number]显示IPv6UDP连接详细信息displayipv6udpverbose[slotslot-number[pcbpcb-index]]清除PMTU值resetipv6pathmtu{all|dynamic|static}清除IPv6报文及ICMPv6报文的统计信息resetipv6statistics[slotslot-number]1.
11IPv6基础典型配置举例1.
11.
1IPv6基本组网配置举例1.
组网需求如图1-4所示,Host、DeviceA和DeviceB之间通过以太网端口相连,将以太网端口分别加入相应的VLAN里,在VLAN接口上配置IPv6地址,验证它们之间的互通性.
DeviceB有可以到Host的路由.
在Host上安装IPv6,根据IPv6邻居发现协议自动配置IPv6地址,有可以到DeviceB的路由.
2.
组网图图1-4IPv6地址配置组网图交换模块上已经创建相应的VLAN接口.
3.
配置步骤(1)配置DeviceA1-17#手工指定VLAN接口2的全球单播地址.
system-view[DeviceA]interfacevlan-interface2[DeviceA-Vlan-interface2]ipv6address3001::1/64[DeviceA-Vlan-interface2]quit#手工指定VLAN接口1的全球单播地址,并允许其发布RA消息.
(缺省情况下,所有的接口不会发布RA消息)[DeviceA]interfacevlan-interface1[DeviceA-Vlan-interface1]ipv6address2001::1/64[DeviceA-Vlan-interface1]undoipv6ndrahalt[DeviceA-Vlan-interface1]quit(2)配置DeviceB#配置VLAN接口2的全球单播地址.
system-view[DeviceB]interfacevlan-interface2[DeviceB-Vlan-interface2]ipv6address3001::2/64[DeviceB-Vlan-interface2]quit#配置IPv6静态路由,该路由的目的地址为2001::/64,下一跳地址为3001::1.
[DeviceB]ipv6route-static2001::643001::1(3)配置Host在Host上安装IPv6,根据IPv6邻居发现协议自动配置IPv6地址.
#从DeviceA上查看端口Ten-GigabitEthernet1/1/2的邻居信息.
[DeviceA]displayipv6neighborsinterfaceten-gigabitethernet1/1/2Type:S-StaticD-DynamicO-OpenflowR-RuleIS-InvalidstaticIPv6addressMACaddressVIDInterfaceStateTAgingFE80::215:E9FF:FEA6:7D140015-e9a6-7d141XGE1/1/2STALED12382001::15B:E0EA:3524:E7910015-e9a6-7d141XGE1/1/2STALED1248通过上面的信息可以知道Host上获得的IPv6全球单播地址为2001::15B:E0EA:3524:E791.
4.
验证配置#显示DeviceA的接口信息,可以看到各接口配置的IPv6全球单播地址.
[DeviceA]displayipv6interfacevlan-interface2Vlan-interface2currentstate:UPLineprotocolcurrentstate:UPIPv6isenabled,link-localaddressisFE80::20F:E2FF:FE00:2Globalunicastaddress(es):3001::1,subnetis3001::/64Joinedgroupaddress(es):FF02::1FF02::2FF02::1:FF00:1FF02::1:FF00:2MTUis1500bytesNDDADisenabled,numberofDADattempts:1NDreachabletimeis30000millisecondsNDretransmitintervalis1000milliseconds1-18HostsusestatelessautoconfigforaddressesIPv6Packetstatistics:InReceives:25829InTooShorts:0InTruncatedPkts:0InHopLimitExceeds:0InBadHeaders:0InBadOptions:0ReasmReqds:0ReasmOKs:0InFragDrops:0InFragTimeouts:0OutFragFails:0InUnknownProtos:0InDelivers:47OutRequests:89OutForwDatagrams:48InNoRoutes:0InTooBigErrors:0OutFragOKs:0OutFragCreates:0InMcastPkts:6InMcastNotMembers:25747OutMcastPkts:48InAddrErrors:0InDiscards:0OutDiscards:0[DeviceA]displayipv6interfacevlan-interface1Vlan-interface1currentstate:UPLineprotocolcurrentstate:UPIPv6isenabled,link-localaddressisFE80::20F:E2FF:FE00:1C0Globalunicastaddress(es):2001::1,subnetis2001::/64Joinedgroupaddress(es):FF02::1FF02::2FF02::1:FF00:1FF02::1:FF00:1C0MTUis1500bytesNDDADisenabled,numberofDADattempts:1NDreachabletimeis30000millisecondsNDretransmitintervalis1000millisecondsNDadvertisedreachabletimeis0millisecondsNDadvertisedretransmitintervalis0millisecondsNDrouteradvertisementsaresentevery600secondsNDrouteradvertisementslivefor1800secondsHostsusestatelessautoconfigforaddressesIPv6Packetstatistics:1-19InReceives:272InTooShorts:0InTruncatedPkts:0InHopLimitExceeds:0InBadHeaders:0InBadOptions:0ReasmReqds:0ReasmOKs:0InFragDrops:0InFragTimeouts:0OutFragFails:0InUnknownProtos:0InDelivers:159OutRequests:1012OutForwDatagrams:35InNoRoutes:0InTooBigErrors:0OutFragOKs:0OutFragCreates:0InMcastPkts:79InMcastNotMembers:65OutMcastPkts:938InAddrErrors:0InDiscards:0OutDiscards:0#显示DeviceB的接口信息,可以看到接口配置的IPv6全球单播地址.
[DeviceB]displayipv6interfacevlan-interface2Vlan-interface2currentstate:UPLineprotocolcurrentstate:UPIPv6isenabled,link-localaddressisFE80::20F:E2FF:FE00:1234Globalunicastaddress(es):3001::2,subnetis3001::/64Joinedgroupaddress(es):FF02::1FF02::2FF02::1:FF00:2FF02::1:FF00:1234MTUis1500bytesNDDADisenabled,numberofDADattempts:1NDreachabletimeis30000millisecondsNDretransmitintervalis1000millisecondsHostsusestatelessautoconfigforaddressesIPv6Packetstatistics:InReceives:117InTooShorts:0InTruncatedPkts:0InHopLimitExceeds:0InBadHeaders:01-20InBadOptions:0ReasmReqds:0ReasmOKs:0InFragDrops:0InFragTimeouts:0OutFragFails:0InUnknownProtos:0InDelivers:117OutRequests:83OutForwDatagrams:0InNoRoutes:0InTooBigErrors:0OutFragOKs:0OutFragCreates:0InMcastPkts:28InMcastNotMembers:0OutMcastPkts:7InAddrErrors:0InDiscards:0OutDiscards:0#在Host上使用Ping测试和DeviceA及DeviceB的互通性;在DeviceB上使用Ping测试和DeviceA及Host的互通性.
在Ping链路本地地址时,需要使用-i参数来指定链路本地地址的接口.
[DeviceB]pingipv6-c13001::1Ping6(56databytes)3001::2-->3001::1,pressCTRL_Ctobreak56bytesfrom3001::1,icmp_seq=0hlim=64time=4.
404ms---Ping6statisticsfor3001::1---1packet(s)transmitted,1packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=4.
404/4.
404/4.
404/0.
000ms[DeviceB]pingipv6-c12001::15B:E0EA:3524:E791Ping6(56databytes)3001::2-->2001::15B:E0EA:3524:E791,pressCTRL_Ctobreak56bytesfrom2001::15B:E0EA:3524:E791,icmp_seq=0hlim=64time=5.
404ms---Ping6statisticsfor2001::15B:E0EA:3524:E791---1packet(s)transmitted,1packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=5.
404/5.
404/5.
404/0.
000ms从Host上也可以ping通DeviceB和DeviceA,证明它们是互通的.
2-12IPv6邻居发现2.
1IPv6邻居发现简介2.
1.
1IPv6邻居发现使用的ICMPv6消息IPv6ND(IPv6NeighborDiscovery,IPv6邻居发现)协议使用五种类型的ICMPv6消息,实现下面一些功能:地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等.
邻居发现协议使用的ICMPv6消息的类型及作用如表2-1所示.
表2-1邻居发现协议使用的ICMPv6消息类型及作用ICMPv6消息类型号作用邻居请求消息NS(NeighborSolicitation)135获取邻居的链路层地址验证邻居是否可达进行重复地址检测邻居通告消息NA(NeighborAdvertisement)136对NS消息进行响应节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息路由器请求消息RS(RouterSolicitation)133节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置路由器通告消息RA(RouterAdvertisement)134对RS消息进行响应在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息重定向消息(Redirect)137当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送2.
1.
2地址解析获取同一链路上邻居节点的链路层地址(与IPv4的ARP功能相同),通过邻居请求消息NS和邻居通告消息NA实现.
如图2-1所示,节点A要获取节点B的链路层地址的过程为:(1)节点A以组播方式发送NS消息.
NS消息的源地址是节点A的接口IPv6地址,目的地址是节点B的被请求节点组播地址,消息内容中包含了节点A的链路层地址和请求的目标地址.
(2)节点B收到NS消息后,判断报文的目标地址是否为自己的IPv6地址.
如果是,则节点B可以学习到节点A的链路层地址,并以单播方式返回NA消息,其中包含了自己的链路层地址.
(3)节点A从收到的NA消息中就可获取到节点B的链路层地址.
2-2图2-1地址解析示意图2.
1.
3验证邻居是否可达在获取到邻居节点的链路层地址后,通过邻居请求消息NS和邻居通告消息NA可以验证邻居节点是否可达.
(1)节点发送NS消息,其中目的地址是邻居节点的IPv6地址.
(2)如果收到邻居节点的确认报文,则认为邻居可达;否则,认为邻居不可达.
2.
1.
4重复地址检测当节点获取到一个IPv6地址后,需要使用重复地址检测功能确定该地址是否已被其他节点使用(与IPv4的免费ARP功能相似).
如图2-2所示,通过NS和NA实现重复地址检测的过程为:(1)节点A发送NS消息,NS消息的源地址是未指定地址::,目的地址是待检测的IPv6地址对应的被请求节点组播地址,消息内容中包含了待检测的IPv6地址.
(2)如果节点B已经使用这个IPv6地址,则会返回NA消息.
其中包含了自己的IPv6地址.
(3)节点A收到节点B发来的NA消息,就知道该IPv6地址已被使用.
反之,则说明该地址未被使用,节点A就可使用此IPv6地址.
图2-2重复地址检测示意图2.
1.
5路由器发现/前缀发现及地址无状态自动配置路由器发现/前缀发现是指节点从收到的RA消息中获取邻居路由器及所在网络的前缀,以及其他配置参数.
ICMPv6type=135Src=::Dst=FF02::1:FF00:1NSICMPv6type=136Src=2000::1Dst=FF02::1NAHostAHostB2000::12-3地址无状态自动配置是指节点根据路由器发现/前缀发现所获取的信息,自动配置IPv6地址.
路由器发现/前缀发现通过路由器请求消息RS和路由器通告消息RA来实现,具体过程如下:(1)节点启动时,通过RS消息向路由器发出请求,请求前缀和其他配置信息,以便用于节点的配置.
(2)路由器返回RA消息,其中包括前缀信息选项(路由器也会周期性地发布RA消息).
(3)节点利用路由器返回的RA消息中的地址前缀及其他配置参数,自动配置接口的IPv6地址及其他信息.
前缀信息选项中不仅包括地址前缀的信息,还包括该地址前缀的首选生命期(preferredlifetime)和有效生命期(validlifetime).
节点收到周期性发送的RA消息后,会根据该消息更新前缀的首选生命期和有效生命期.
有效生命期:表示前缀有效期.
在有效生命期内,通过该前缀自动生成的地址可以正常使用;有效生命期过期后,通过该前缀自动生成的地址变为无效,将被删除.
首选生命期:表示首选通过该前缀无状态自动配置地址的时间.
首选生命期过期后,节点通过该前缀自动配置的地址将被废止.
节点不能使用被废止的地址建立新的连接,但是仍可以接收目的地址为被废止地址的报文.
首选生命期必须小于或等于有效生命期.
2.
1.
6重定向功能当主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由.
当满足一定的条件时,缺省网关会向源主机发送ICMPv6重定向消息,通知主机选择更好的下一跳进行后续报文的发送(与IPv4的ICMP重定向消息的功能相同).
同时满足下列条件时,设备会发送ICMPv6重定向报文:接收和转发数据报文的接口是同一接口;被选择的路由本身没有被ICMPv6重定向报文创建或修改过;被选择的路由不是设备的缺省路由;被转发的IPv6数据报文中不包含路由扩展头.
2.
1.
7协议规范相关的协议规范有:RFC4861:NeighborDiscoveryforIPVersion6(IPv6)RFC4862:IPv6StatelessAddressAutoconfigurationRFC8106:IPv6RouterAdvertisementOptionsforDNSConfiguration2.
2IPv6邻居发现配置任务简介本节中的所有配置均为可选,请根据实际情况选择配置.
配置ND表项的相关功能{配置静态邻居表项{配置接口上允许动态学习的邻居的最大个数{配置STALE状态ND表项的老化时间2-4{配置链路本地ND表项资源占用最小化配置设备的跳数限制配置允许发布RA消息及相关参数配置重复地址检测时发送邻居请求消息的次数配置NDProxy功能配置ND记录终端用户信息功能{开启ND记录终端用户间IPv6地址冲突功能{开启ND记录终端用户端口迁移功能{开启ND输出终端用户上下线日志功能2.
3配置静态邻居表项1.
功能简介邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建.
设备根据邻居节点的IPv6地址和与此邻居节点相连的三层接口号来唯一标识一个静态邻居表项.
目前,静态邻居表项有两种配置方式:配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址;配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址.
2.
配置限制与指导对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息.
采用第二种方式配置静态邻居表项后,需要保证port-typeport-number指定的二层端口属于vlan-id指定的VLAN,且该VLAN已经创建了VLAN接口.
在配置后,设备会将VLAN所对应的VLAN接口与IPv6地址相对应来唯一标识一个静态邻居表项.
3.
配置步骤(1)进入系统视图.
system-view(2)配置静态邻居表项.
ipv6neighboripv6-addressmac-address{vlan-idport-typeport-number|interfaceinterface-typeinterface-number}缺省情况下,未配置静态邻居表项.
2.
4配置接口上允许动态学习的邻居的最大个数1.
功能简介设备可以通过NS消息和NA消息来动态获取邻居节点的链路层地址,并将其加入到邻居表中.
为了防止部分接口下的用户占用过多的资源,可以通过设置接口学习动态邻居表项的最大个数来进行限制.
当接口学习到的动态邻居表项的个数达到所设置的最大值时,该接口将不再学习动态邻居表项.
2-52.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口上允许学习的动态邻居表项的最大个数.
ipv6neighborsmax-learning-nummax-number不同型号的设备支持的缺省情况不同,请以设备的实际情况为准.
2.
5配置STALE状态ND表项的老化时间1.
功能简介为适应网络的变化,ND表需要不断更新.
在ND表中,处于STALE状态的ND表项并非永远有效,而是有一个老化时间.
到达老化时间的STALE状态ND表项将迁移到DELAY状态.
5秒钟后DELAY状态超时,ND表项将迁移到PROBE状态,并且设备会发送3次NS报文进行可达性探测.
若邻居已经下线,则收不到回应的NA报文,此时设备会将该ND表项删除.
用户可以根据网络实际情况调整老化时间.
2.
配置限制和指导系统视图和接口视图下都可以配置STALE状态ND表项的老化时间,接口视图下的配置优先级高于系统视图下的配置.
3.
配置步骤(1)进入系统视图.
system-view(2)配置STALE状态ND表项的老化时间.
{在系统视图下配置STALE状态ND表项的老化时间.
ipv6neighborstale-aging{aging-minutes|secondaging-seconds}缺省情况下,STALE状态ND表项的老化时间为240分钟.
{请依次执行以下命令在接口视图下配置STALE状态ND表项的老化时间.
interfaceinterface-typeinterface-numberipv6neighbortimerstale-aging{aging-minutes|secondaging-seconds}缺省情况下,未配置接口上STALE状态ND表项的老化时间,以系统视图下通过ipv6neighborstale-aging命令配置的老化时间为准.
2.
6配置链路本地ND表项资源占用最小化1.
功能简介本功能可以对链路本地ND表项(该ND表项的IPv6地址为链路本地地址)占用的资源进行优化.
2-6缺省情况下,所有ND表项均会下发硬件表项.
配置本功能后,新学习的、未被引用的链路本地ND表项(该ND表项的链路本地地址不是某条路由的下一跳)不下发硬件表项,以节省资源.
本功能只对后续新学习的ND表项生效,已经存在的ND表项不受影响.
2.
配置步骤(1)进入系统视图.
system-view(2)配置链路本地ND表项资源占用最小化.
ipv6neighborlink-localminimize缺省情况下,所有ND表项均会下发硬件表项.
2.
7配置设备的跳数限制1.
功能简介本功能可以对设备发送的IPv6数据报文的跳数(即IPv6数据报文的HopLimit字段的值)进行配置.
2.
配置步骤(1)进入系统视图.
system-view(2)配置设备的跳数限制.
ipv6hop-limitvalue缺省情况下,设备的跳数限制为64跳.
2.
8配置允许发布RA消息及相关参数2.
8.
1RA消息及相关参数介绍用户可以根据实际情况,配置接口是否发送RA消息及发送RA消息的时间间隔,同时可以配置RA消息中的相关参数以通告给主机.
当主机接收到RA消息后,就可以采用这些参数进行相应操作.
可以配置的RA消息中的参数及含义如表2-2所示.
表2-2RA消息中的参数及描述参数描述跳数限制(HopLimit)在RA消息中发布本设备的跳数限制,收到该RA消息之后,主机在发送IPv6报文时,将使用该跳数值填充IPv6报文头中的HopLimit字段前缀信息(PrefixInformation)在同一链路上的主机收到设备发布的前缀信息后,可以进行无状态自动配置等操作MTU发布链路的MTU,可以用于确保同一链路上的所有节点采用相同的MTU值下载Boot文件的URL地址用于设置RA消息中的下载Boot文件的URL地址.
设备通过ND协议获取IPv6地址的同时,能够获取下载Boot文件的URL地址,不需要再通过DHCPv6方式获取被管理地址配置标志位(Mflag)用于确定主机是否采用有状态自动配置获取IPv6地址2-7参数描述如果设置该标志位为1,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据自己的链路层地址及路由器发布的前缀信息生成IPv6地址其他信息配置标志位(Oflag)用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息如果设置其他信息配置标志位为1,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息路由器生存时间(RouterLifetime)用于设置发布RA消息的路由器作为主机的默认路由器的时间.
主机根据接收到的RA消息中的路由器生存时间参数值,就可以确定是否将发布该RA消息的路由器作为默认路由器.
发布RA消息中路由器生存时间为0的路由器不能作为默认路由器邻居请求消息重传时间间隔(RetransTimer)设备发送NS消息后,如果未在指定的时间间隔内收到响应,则会重新发送NS消息保持邻居可达状态的时间(ReachableTime)当通过邻居可达性检测确认邻居可达后,在所设置的可达时间内,设备认为邻居可达;超过设置的时间后,如果需要向邻居发送报文,会重新确认邻居是否可达路由优先级(RouterPreference)用于设置发布RA消息的路由器的路由器优先级,主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关.
在路由器的优先级相同的情况下,遵循"先来先用"的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关DNS服务器信息(DNSServer)用于设置RA消息中的DNS服务器信息.
主机通过接收到的RA消息便能够获取DNS服务器信息,不需再通过DHCPv6方式获取DNS域名后缀信息(DNSSearchList)用于设置RA消息中的DNS域名后缀信息.
主机通过接收到的RA消息便能够获取DNS域名后缀信息,不需再通过DHCPv6方式获取2.
8.
2配置限制和指导RA消息发布的最大间隔时间应该小于或等于RA消息中路由器的生存时间,以保证在路由器失效之前得到更新的RA消息.
在接口上配置的邻居请求消息重传时间间隔及保持邻居可达状态的时间,既可作为RA消息中的信息发布给主机,也可作为本接口发送邻居请求消息的时间间隔及保持邻居可达状态的时间.
2.
8.
3配置允许发布RA消息(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)取消对RA消息发布的抑制.
undoipv6ndrahalt缺省情况下,抑制发布RA消息.
(4)配置RA消息发布的最大时间间隔和最小时间间隔.
2-8ipv6ndraintervalmax-interval-valuemin-interval-value缺省情况下,RA消息发布的最大间隔时间为600秒,最小时间间隔为200秒.
接口将在最大时间间隔与最小时间间隔之间随机选取一个值来发布RA消息.
配置的最小时间间隔应该小于等于最大时间间隔的0.
75倍.
2.
8.
4配置RA消息中的常用参数(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置RA消息中的前缀信息.
ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}[valid-lifetimepreferred-lifetime[no-autoconfig|off-link]*|no-advertise]缺省情况下,未配置RA消息中的前缀信息,此时将使用发送RA消息的接口IPv6地址作为RA消息中的前缀信息,其手工配置地址的有效生命期是2592000秒(30天),首选生命期是604800(7天);其他自动分配地址(如DHCPv6分配地址)的有效生命期和首选生命期与地址本身的生命期相同.
(4)配置通过RA消息发布的前缀使用的缺省参数.
ipv6ndraprefixdefault[valid-lifetimepreferred-lifetime[no-autoconfig|off-link]*|no-advertise]缺省情况下,未配置通过RA消息发布的前缀使用的缺省参数.
(5)配置RA消息中不携带MTU选项.
ipv6ndrano-advlinkmtu缺省情况下,RA消息中携带MTU选项.
(6)配置RA消息中不指定跳数限制.
ipv6ndrahop-limitunspecified缺省情况下,RA消息中发布本设备的跳数限制,本设备的跳数限制默认为64跳.
(7)设置被管理地址配置标志位为1.
ipv6ndautoconfigmanaged-address-flag缺省情况下,被管理地址标志位为0,即主机通过无状态自动配置获取IPv6地址.
(8)配置RA消息中携带的下载Boot文件的URL地址.
ipv6ndraboot-file-urlurl-string缺省情况下,RA消息中不携带下载Boot文件的URL地址.
(9)设置其他配置标志位为1.
ipv6ndautoconfigother-flag缺省情况下,其他配置标志位为0,即主机通过无状态自动配置获取其他信息.
(10)配置RA消息中路由器的生存时间.
ipv6ndrarouter-lifetimetime2-9缺省情况下,RA消息中路由器的生存时间为1800秒.
(11)配置邻居请求消息重传时间间隔.
ipv6ndnsretrans-timervalue缺省情况下,接口发送NS消息的时间间隔为1000毫秒;接口发布的RA消息中RetransTimer字段的值为0,即不对主机进行指定.
(12)配置RA消息中路由器的优先级.
ipv6ndrouter-preference{high|low|medium}缺省情况下,RA消息中路由器的优先级为medium.
(13)配置保持邻居可达状态的时间.
ipv6ndnudreachable-timetime缺省情况下,接口保持邻居可达状态的时间为30000毫秒;接口发布的RA消息中ReachableTimer字段的值为0,即不对主机进行指定.
2.
8.
5配置RA消息中的DNS服务器信息1.
功能简介RA消息中携带DNS服务器选项,可为主机提供DNS服务器信息.
当主机通过无状态地址自动配置获取IPv6地址的同时,能够获取DNS服务器信息,不需再通过DHCPv6方式获取.
一条DNS服务器信息对应RA消息中的一个DNS服务器选项.
选项按照配置序列号进行排列,序列号小的排在前面.
执行ipv6ndradnsserver命令后,立即发送RA报文,报文中携带新配置的以及之前配置的DNS服务器信息.
执行undoipv6ndradnsserver命令后,立即发送两个RA报文,第一个报文携带所有DNS服务器信息,包括被删除的DNS服务器,其生存时间为0;第二个报文携带剩余的DNS服务器信息.
发送RA报文后,会立即刷新接口下RA消息发布的时间间隔.
2.
配置限制和指导同一个接口下最多可配置8条DNS服务器信息.
如果没有配置DNS服务器的生存时间,也未指定DNS服务器的生存时间为无限期,则DNS服务器的生存时间为3*RA消息发布的最大时间间隔,RA消息发布的最大时间间隔可以通过ipv6ndrainterval命令配置.
3.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置RA消息中的DNS服务器信息.
ipv6ndradnsserveripv6-address[seconds|infinite]sequenceseqno缺省情况下,未配置RA消息中的DNS服务器信息,RA消息中不带DNS服务器信息.
2-102.
8.
6配置RA消息中的DNS域名后缀信息1.
功能简介RA消息中携带DNSSL(DNSSearchList,DNS查询列表)选项,可为主机提供域名后缀信息.
当主机通过无状态地址自动配置获取IPv6地址的同时,能够获取域名后缀信息,不需再通过DHCPv6方式获取.
一条DNS域名后缀信息对应RA消息中的一个DNSSL选项.
选项按照配置序列号进行排列,序列号小的排在前面.
执行ipv6ndradnssearch-list命令后,立即发送RA报文,报文中携带新配置的以及之前配置的DNS域名后缀信息.
执行undoipv6ndradnssearch-list命令后,立即发送两个RA报文,第一个报文携带所有域名后缀信息,包括被删除的DNS域名后缀,其生存时间为0;第二个报文携带剩余的域名后缀信息.
发送RA报文后,会立即刷新接口下RA消息发布的时间间隔.
2.
配置限制和指导同一个接口下最多可配置8条DNS域名后缀信息.
如果没有配置DNS域名后缀的生存时间,也未指定DNS域名后缀的生存时间为无限期,则DNS域名后缀的生存时间为3*RA消息发布的最大时间间隔,RA消息发布的最大时间间隔可以通过ipv6ndrainterval命令配置.
3.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置RA消息中的DNS域名后缀信息.
ipv6ndradnssearch-listdomain-name[seconds|infinite]sequenceseqno省情况下,未配置RA消息中的DNS域名后缀信息,RA消息中不带DNS域名后缀信息.
2.
8.
7开启RA消息中的DNS信息抑制功能1.
功能简介配置RA消息中的DNS信息(包括DNS服务器信息和DNS域名后缀信息)后,如果希望RA消息不发布DNS信息,可以开启相应的抑制功能.
开启RA消息中的DNS服务器信息抑制功能后:若接口下已经配置了DNS服务器信息或者已经通过AAA授权了DNS服务器地址,则立即发送两个RA报文,第一个报文携带DNS服务器的生存时间为0,第二个报文不携带DNS服务器信息.
若接口下未配置DNS服务器信息且未通过AAA授权DNS服务器地址,则不发送RA报文.
若接口下配置了新的DNS服务器信息或者删除了一条DNS服务器信息,则立即发送RA报文,但是不携带任何DNS服务器信息.
2-11关闭RA消息中的DNS服务器信息抑制功能后:若接口下已经配置了DNS服务器信息或者已经通过AAA授权了DNS服务器地址,则立即发送RA报文,携带DNS服务器信息.
若接口下未配置DNS服务器信息且未通过AAA授权DNS服务器地址,则不发送RA报文.
发送RA报文后,会立即刷新接口下RA消息发布的时间间隔.
开启、关闭RA消息中的DNS域名后缀信息抑制功能后,RA报文的发送逻辑和上述开启、关闭RA消息中的DNS服务器信息抑制功能后的RA报文发送逻辑相同,此处不再赘述.
2.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)开启RA消息中的DNS服务器信息抑制功能.
ipv6ndradnsserversuppress缺省情况下,RA消息中的DNS服务器信息抑制功能处于关闭状态.
(4)开启RA消息中的DNS域名后缀信息抑制功能.
ipv6ndradnssearch-listsuppress缺省情况下,RA消息中的DNS域名后缀信息抑制功能处于关闭状态.
2.
9配置重复地址检测时发送邻居请求消息的次数1.
功能简介接口获得IPv6地址后,将发送邻居请求消息进行重复地址检测.
如果在指定的时间内(通过ipv6ndnsretrans-timer命令配置)没有收到响应,则继续发送邻居请求消息,当发送的次数达到所设置的次数后,仍未收到响应,则认为该地址可用.
2.
配置步骤(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置重复地址检测时发送邻居请求消息的次数.
ipv6nddadattemptstimes缺省情况下,重复地址检测时发送邻居请求报文的次数为1,当times值为0时,表示禁止重复地址检测.
2-122.
10配置NDProxy功能2.
10.
1功能简介如果NS请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理功能的设备就可以代答该请求,回应NA报文,这个过程称作ND代理(NDProxy).
NDProxy功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上.
NDProxy功能根据应用场景不同分为普通NDProxy和本地NDProxy.
1.
普通NDProxy普通NDProxy的典型应用环境如图2-3所示.
设备Device通过两个三层接口InterfaceA和InterfaceB连接两个网络,两个三层接口的IPv6地址不在同一个网段,接口地址分别为4:1::99/64、4:2::99/64.
但是两个网络内的主机HostA和HostB的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段.
图2-3普通NDProxy的应用环境在这种组网情况下,当HostA需要与HostB通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此HostA会直接发出请求HostB硬件地址的NS请求.
但是,此时的两台主机处于不同的广播域中,HostB无法收到HostA的NS请求报文,当然也就无法应答.
通过在Device上启用NDProxy功能,可以解决此问题.
在接口InterfaceA和InterfaceB上启用NDProxy后,Device可以应答HostA的NS请求.
同时,Device作为HostB的代理,把其它主机发送过来的报文转发给HostB.
这样,实现HostA与HostB之间的通信.
2.
本地NDProxy本地NDProxy的应用场景如图2-4所示.
HostA属于VLAN2,HostB属于VLAN3.
但它们分别连接到端口PortB1和PortB3上.
2-13图2-4本地NDProxy的应用环境在这种组网情况下,当HostA需要与HostB通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此HostA会直接发出请求HostB硬件地址的NS请求.
但是,因为连接两台主机属于不同的VLAN中,HostB无法收到HostA的NS请求报文.
通过在DeviceA上启用本地NDProxy功能,可以解决此问题.
在接口InterfaceA上启用本地NDProxy后,DeviceA会代替HostB回应NA,HostA发给HostB的报文就会通过DeviceA进行转发,从而实现HostA与HostB之间的通信.
本地NDProxy可以在下列四种情况下实现主机之间的三层互通:想要互通的主机分别连接到同一台设备的不同VLAN中的端口下;想要互通的主机分别连接到同一个VLAN中的同一个隔离组内的不同二层隔离端口下;2.
10.
2配置普通NDProxy功能(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)开启普通NDProxy功能.
proxy-ndenable缺省情况下,NDProxy功能处于关闭状态.
2.
10.
3配置本地NDProxy功能(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)开启本地NDProxy功能.
2-14local-proxy-ndenable缺省情况下,本地NDProxy功能处于关闭状态.
2.
11开启ND记录终端用户间IPv6地址冲突功能1.
功能简介开启本功能后,当设备收到NA报文时,会根据NA报文中的源IPv6地址查询ND表项,如果发现源IPv6地址和某条ND表项中的IPv6地址相同,但MAC地址不同,则认为网络中的终端用户间存在IPv6地址冲突.
此时,设备会记录冲突信息,同时生成对应的IPv6地址冲突日志.
生成的IPv6地址冲突日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
有关信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
2.
配置步骤(1)进入系统视图.
system-view(2)开启ND记录终端用户间IPv6地址冲突功能.
ipv6nduser-ip-conflictrecordenable缺省情况下,ND记录终端用户间IPv6地址冲突功能处于关闭状态.
2.
12开启ND记录终端用户端口迁移功能1.
功能简介开启本功能后,当设备收到NA报文时,会根据接收到NA报文的端口查询ND表项.
如果发现源IPv6地址和源MAC地址与某条ND表项中的IPv6地址和MAC地址相同,但端口不同,则认为用户发生了端口迁移.
此时,设备会记录冲突信息,同时生成对应的IPv6地址的迁移日志.
生成的迁移日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
有关信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
2.
配置步骤(1)进入系统视图.
system-view(2)开启ND记录终端用户端口迁移功能.
ipv6nduser-moverecordenable缺省情况下,ND记录终端用户端口迁移功能处于关闭状态.
2.
13开启ND输出终端用户上下线日志功能1.
功能简介开启本功能后,当设备检测到终端用户上、下线时,会生成上、下线日志.
生成的日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
有关信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
2-152.
配置限制和指导日志输出速率值越大,CPU占用越高.
请根据设备CPU的性能和使用情况,调整日志输出速率值.
3.
配置步骤(1)进入系统视图.
system-view(2)开启ND输出终端用户上下线日志功能.
ipv6ndonline-offline-logenable[raterate]缺省情况下,ND输出终端用户上下线日志功能处于关闭状态.
2.
14IPv6邻居发现显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后的运行情况,用户可以通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除相应的统计信息.
表2-3IPv6邻居发现显示和维护操作命令显示ND记录的终端用户间IPv6地址冲突表项信息displayipv6nduser-ip-conflictrecord[slotslot-number]显示ND记录的终端用户端口迁移表项信息displayipv6nduser-moverecord[slotslot-number]显示邻居表项的个数displayipv6neighbors{{all|dynamic|static}[slotslot-number]|interfaceinterface-typeinterface-number|vlanvlan-id}count显示邻居信息displayipv6neighbors{{ipv6-address|all|dynamic|static}[slotslot-number]|interfaceinterface-typeinterface-number|vlanvlan-id}[verbose]显示设备支持的ND表项的最大数目displayipv6neighborsentry-limit清除IPv6邻居信息resetipv6neighbors{all|dynamic|interfaceinterface-typeinterface-number|slotslot-number|static}2.
15IPv6邻居发现典型配置举例2.
15.
1NDRA报文前缀记录基本组网配置举例1.
组网需求DeviceA连接到网关设备DeviceB.
DeviceB发布NDRA消息,DeviceA上可以监听DeviceB发送的NDRA报文并动态生成NDRA报文前缀记录表项.
2-162.
组网图图2-5NDRA报文前缀记录组网图3.
配置步骤(1)配置DeviceA#创建VLAN2.
system-view[DeviceA]vlan2[DeviceA-vlan2]quit#配置端口Ten-GigabitEthernet1/1/1允许VLAN2的报文通过.
[DeviceA]interfaceten-gigabitethernet1/1/1[DeviceA-Ten-GigabitEthernet1/1/1]portlink-typetrunk[DeviceA-Ten-GigabitEthernet1/1/1]porttrunkpermitvlan2[DeviceA-Ten-GigabitEthernet1/1/1]quit#创建VLAN接口2并配置自动配置IPv6地址.
[DeviceA]interfacevlan-interface2[DeviceA-Vlan-interface2]ipv6addressauto[DeviceA-Vlan-interface2]quit(2)配置DeviceB#创建VLAN2.
system-view[DeviceB]vlan2[DeviceB-vlan2]quit#配置端口Ten-GigabitEthernet1/1/1允许VLAN2的报文通过.
[DeviceB]interfaceten-gigabitethernet1/0/1[DeviceB-Ten-GigabitEthernet1/1/1]portlink-typetrunk[DeviceB-Ten-GigabitEthernet1/1/1]porttrunkpermitvlan2[DeviceB-Ten-GigabitEthernet1/1/1]quit#创建VLAN接口2并配置IPv6地址为3001::2/64.
[DeviceB]interfacevlan-interface2[DeviceB-Vlan-interface2]ipv6address3001::2/64#取消对VLAN接口2发布NDRA消息的抑制.
[DeviceB-Vlan-interface2]undoipv6ndrahalt[DeviceB-Vlan-interface2]quit4.
验证配置#在DeviceA上查看到VLAN2内学习到的NDRA报文前缀记录表项.
[DeviceA]displayipv6ndraprefixvlan2IPv6prefixValidlifetime(sec)SVLANIDCVLANID3001::/6425920002N/Ai目录1DHCPv6概述1-11.
1DHCPv6的优点1-11.
2协议规范·1-12DHCPv6客户端2-12.
1DHCPv6客户端简介2-12.
2DHCPv6客户端配置任务简介2-12.
3配置接口使用的DHCPv6客户端DUID2-12.
4配置DHCPv6客户端获取IPv6地址和网络配置参数·2-22.
5配置DHCPv6客户端获取IPv6前缀和网络配置参数·2-22.
6配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数2-22.
7配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数·2-32.
8配置DHCPv6客户端发送DHCPv6报文的DSCP优先级2-32.
9DHCPv6客户端显示和维护2-31-11DHCPv6概述DHCPv6(DynamicHostConfigurationProtocolforIPv6,支持IPv6的动态主机配置协议)针对IPv6编址方案设计,用来为主机分配IPv6前缀、IPv6地址和其他网络配置参数.
1.
1DHCPv6的优点与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见"三层技术-IP业务配置指导"中的"IPv6基础")相比,DHCPv6具有以下优点:更好地控制地址的分配.
通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理.
为客户端分配前缀,以便于全网络的自动配置和管理.
除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数.
1.
2协议规范与DHCPv6相关的协议规范有:RFC3736:StatelessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6RFC3315:DynamicHostConfigurationProtocolforIPv6(DHCPv6)RFC2462:IPv6StatelessAddressAutoconfigurationRFC3633:IPv6PrefixOptionsforDynamicHostConfigurationProtocol(DHCP)version6RFC6939:ClientLink-LayerAddressOptioninDHCPv62-12DHCPv6客户端2.
1DHCPv6客户端简介设备作为DHCPv6客户端时,可以具有如下功能:通过DHCPv6获取IPv6前缀和网络配置参数,IPv6前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址).
通过DHCPv6同时获取IPv6地址、IPv6前缀和网络配置参数,IPv6地址作为开启DHCPv6客户端功能的接口地址,IPv6前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址).
通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数.
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
否则DHCPv6客户端不会开启无状态配置过程.
2.
2DHCPv6客户端配置任务简介DHCPv6客户端配置任务如下:(1)(可选)配置接口使用的DHCPv6客户端DUID(2)配置DHCPv6客户端获取IPv6地址、IPv6前缀和网络配置参数请至少选择以下一项任务进行配置:{配置DHCPv6客户端获取IPv6地址和网络配置参数{配置DHCPv6客户端获取IPv6前缀和网络配置参数{配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数{配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数(3)(可选)配置DHCPv6客户端发送DHCPv6报文的DSCP优先级2.
3配置接口使用的DHCPv6客户端DUID1.
功能简介DHCPv6客户端DUID用来填充DHCPv6报文的Option1,作为识别DHCPv6客户端的唯一标识.
用户可以通过三种方法指定DHCPv6客户端DUID:ASCII字符串、十六进制数或接口的MAC地址.
2.
配置限制和指导用户在指定客户端ID时,需要确保不同客户端的客户端ID不能相同.
3.
配置步骤(1)进入系统视图.
system-view2-2(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口使用的DHCPv6客户端DUID.
ipv6dhcpclientduid{asciiascii-string|hexhex-string|macinterface-typeinterface-number}缺省情况下,根据设备的桥MAC地址生成DHCPv6客户端DUID.
2.
4配置DHCPv6客户端获取IPv6地址和网络配置参数(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数.
ipv6addressdhcp-alloc[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数.
2.
5配置DHCPv6客户端获取IPv6前缀和网络配置参数(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数.
ipv6dhcpclientpdprefix-number[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数.
2.
6配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数(1)进入系统视图.
system-view(2)进入接口视图.
interfaceinterface-typeinterface-number(3)配置接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和其他网络配置参数.
ipv6dhcpclientstatefulprefixprefix-number[option-groupoption-group-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数.
2-32.
7配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数1.
功能简介DHCPv6客户端可通过如下方式获取除地址/前缀外的其他网络参数:如果接口上只配置了ipv6addressauto命令,则接口会通过无状态自动配置方式生成全球单播地址,同时自动生成链路本地地址.
只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能.
如果接口只配置了ipv6dhcpclientstatelessenable命令,则接口开启了DHCPv6客户端功能.
如果接口上同时配置了ipv6addressauto命令和ipv6dhcpclientstatelessenable命令,则接口通过无状态生成全球单播地址,同时自动生成链路本地地址.
瓜云互联一直主打超高性价比的海外vps产品,主要以美国cn2、香港cn2线路为主,100M以内高宽带,非常适合个人使用、企业等等!安全防护体系 弹性灵活,能为提供简单、 高效、智能、快速、低成本的云防护,帮助个人、企业从实现网络攻击防御,同时也承诺产品24H支持退换,不喜欢可以找客服退现,诚信自由交易!官方网站:点击访问瓜云互联官网活动方案:打折优惠策略:新老用户购买服务器统统9折优惠预存返款活动...
wordpress高级企业自适应主题,通用型企业展示平台 + 流行宽屏设计,自适应PC+移动端屏幕设备,完美企业站功能体验+高效的自定义设置平台。一套完美自适应多终端移动屏幕设备的WordPress高级企业自适应主题, 主题设置模块包括:基本设置、首页设置、社会化网络设置、底部设置、SEO设置; 可以自定义设置网站通用功能模块、相关栏目、在线客服及更多网站功能。点击进入:wordpress高级企业...
hostsailor怎么样?hostsailor成立多年,是一家罗马尼亚主机商家,机房就设在罗马尼亚,具说商家对内容管理的还是比较宽松的,商家提供虚拟主机、VPS及独立服务器,今天收到商家推送的八月优惠,针对所有的产品都有相应的优惠,商家的VPS产品分为KVM和OpenVZ两种架构,OVZ的比较便宜,有这方面需要的朋友可以看看。点击进入:hostsailor商家官方网站HostSailor优惠活动...