地址查看ip

i目录1MAC地址1-11.
1概述1-11.
2配置MAC地址表项·1-21.
3配置MAC地址表项的老化时间1-31.
4MAC地址典型配置举例1-42VLAN2-12.
1概述2-12.
2VLAN配置任务简介·2-12.
3新建VLAN·2-22.
4配置VLAN中的端口·2-32.
5配置端口所属的VLAN·2-42.
6VLAN典型配置举例·2-52.
7注意事项·2-73ARP管理·3-13.
1概述3-13.
1.
1ARP简介·3-13.
1.
2免费ARP简介·3-13.
2查看ARP表项3-23.
3配置静态ARP表项3-23.
4删除ARP表项3-33.
5配置免费ARP功能3-33.
6静态ARP典型配置举例3-44IGMPSnooping·4-14.
1概述4-14.
2IGMPSnooping配置任务简介·4-24.
3全局启用IGMPSnooping·4-24.
4在VLAN内配置IGMPSnooping·4-34.
5在端口上配置IGMPSnooping·4-44.
6查看IGMPSnooping组播表项信息·4-64.
7IGMPSnooping典型配置举例·4-75IPv4和IPv6路由5-15.
1概述5-15.
2查看IPv4激活路由表·5-1ii5.
3新建IPv4静态路由·5-25.
4查看IPv6激活路由表·5-45.
5新建IPv6静态路由·5-45.
6IPv4静态路由典型配置举例5-65.
7IPv6静态路由典型配置举例5-85.
8注意事项·5-106DHCP6-16.
1概述6-16.
1.
1DHCP简介6-16.
2配置DHCP服务器6-26.
2.
1DHCP服务器配置任务简介6-26.
2.
2启动DHCP服务6-26.
2.
3配置DHCP服务器的静态地址池·6-36.
2.
4配置DHCP服务器的动态地址池·6-56.
2.
5配置接口工作在DHCP服务器模式·6-66.
2.
6查看地址池中已被分配的地址信息6-66.
3DHCP服务器典型配置举例6-77DNS7-17.
1概述7-17.
2DNS配置任务简介7-17.
3配置静态域名解析表·7-27.
4启动动态域名解析·7-37.
5配置DNS服务器的IP地址·7-37.
6配置域名后缀·7-47.
7清空动态域名缓存区·7-47.
8DNS典型配置举例7-48PPPoE8-18.
1概述8-18.
2配置PPPoEClient8-18.
3查看PPPoEClient会话统计信息·8-38.
4查看PPPoEClient会话概要信息·8-48.
5PPPoEClient典型配置举例·8-58.
6注意事项·8-79服务管理·9-19.
1概述9-19.
2配置服务管理·9-1iii10诊断工具10-110.
1概述·10-110.
1.
1Ping10-110.
1.
2TraceRoute·10-110.
2Ping操作·10-110.
2.
1IPv4Ping10-110.
2.
2IPv6Ping10-310.
3TraceRoute操作10-511NAT11-711.
1概述·11-711.
1.
1NAT简介11-711.
1.
2地址转换控制11-811.
1.
3NAT实现11-811.
2配置NAT动态转换·11-1011.
3配置一对一地址转换·11-1211.
4配置虚拟服务器·11-1311.
5配置ALG(应用层网关)11-1411.
6NAT典型配置举例·11-1411.
6.
1NAT动态转换典型配置举例11-1411.
6.
2一对一地址转换典型配置举例11-1811.
6.
3虚拟服务器典型配置举例11-191-11MAC地址MAC地址模块中对于接口的相关配置,目前只能在二层以太网接口上进行.
本章节内容只涉及静态和动态地址表项的管理,不涉及组播MAC地址表项管理的内容.
1.
1概述为了转发报文,设备需要维护MAC地址表.
MAC地址表的表项包含了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLANID.
MAC地址表中的表项包括静态表项和动态表项,其中静态表项是由用户配置的;动态表项包括用户配置的以及设备学习得来的.
静态表项不会被老化掉,而动态表项会被老化掉.
设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE)并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中.
在设备学习MAC地址时,用户手工配置的静态MAC地址表项不能被学习中获得的动态MAC地址覆盖,而动态MAC地址表项可以被静态MAC地址覆盖.
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送.
广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发.
1-2图1-1设备的MAC地址表项1.
2配置MAC地址表项(1)在导航栏中选择"网络>MAC地址",默认进入"MAC"页签的页面,页面显示所有的MAC地址表项,如下图所示.
图1-2MAC(2)单击按钮,进入新建MAC地址表项的配置页面,如下图所示.
Port1Port2MACaddressPortMACA1MACB1MACC2MACD2MACAMACBMACCMACD1-3图1-3MAC地址创建(3)配置MAC地址表项的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-1新建MAC地址表项的详细配置配置项说明MAC地址设置待添加的MAC地址类型设置该MAC地址表项的类型,包括:static:表示该表项是静态MAC地址表项,没有老化时间dynamic:表示该表项是动态MAC地址表项,有老化时间blackhole:表示该表项是黑洞MAC地址表项,没有老化时间在MAC地址表项显示页面的列表中共有如下几种类型:Configstatic:表示该表项是用户手工配置的静态表项Configdynamic:表示该表项是用户手工配置的动态表项Blackhole:表示该表项是黑洞表项Learned:表示该表项是设备学习得来的动态表项Other:表示该表项为除上述状态外的其他类型VLANID设置该MAC地址表项所属的VLAN端口设置该MAC地址表项所属的端口,黑洞表项不需要设置所属端口1.
3配置MAC地址表项的老化时间(1)在导航栏中选择"网络>MAC地址".
(2)单击"设置"页签,进入MAC地址表项老化时间的配置页面,如下图所示.
1-4图1-4设置(3)配置MAC地址表项老化时间,详细配置如下表所示.
(4)单击按钮完成操作.
表1-2MAC地址老化时间的详细配置配置项说明不老化设置MAC地址表项不会老化老化时间设置MAC地址表项的老化,并指定老化时间1.
4MAC地址典型配置举例1.
组网需求用户通过Web网管设置MAC地址表功能.
要求在VLAN1中的GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71.
2.
配置步骤配置静态MAC地址表项.
步骤1:在导航栏中选择"网络>MAC地址",默认进入"MAC"页签的页面.
步骤2:单击按钮.
步骤3:进行如下配置,如下图所示.
输入MAC地址为"00e0-fc35-dc71".
选择类型为"static".
选择VLANID为"1".
选择端口为"GigabitEthernet1/0/1".
步骤4:单击按钮完成操作.
1-5图1-5新建静态MAC地址表项2-12VLAN2.
1概述以太网是一种基于CSMA/CD(CarrierSenseMultipleAccess/CollisionDetect,带冲突检测的载波侦听多路访问)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题.
通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文.
在这种情况下出现了VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术,这种技术可以把一个LAN划分成多个虚拟的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通.
这样,广播报文被限制在一个VLAN内,如下图所示.
图2-1VLAN示意图VLAN根据划分方式不同可以分为不同类型,Web界面目前只支持对基于端口的VLAN的配置.
基于端口划分VLAN是VLAN最简单、最有效的划分方式.
他按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文.
关于VLAN的详细介绍请参见"二层技术配置指导"中的"VLAN".
2.
2VLAN配置任务简介表2-1VLAN配置步骤步骤配置任务说明12.
3新建VLAN必选新建一个或多个VLAN2-2步骤配置任务说明22.
4配置VLAN中的端口二者至少选择其一配置VLAN的Untagged、Tagged成员,或从VLAN中删除成员32.
5配置端口所属的VLAN2.
3新建VLAN(1)在导航栏中选择"网络>VLAN",默认进入"VLAN"页签的页面,如下图所示.
图2-2VLAN当存在大量VLAN时,在上图所示页面的"VLAN范围"文本框中输入一个VLAN范围,单击按钮,页面的VLAN列表中将只显示该范围内的VLAN信息,并且对VLAN的查询也将在此范围内进行,这样可以方便用户的操作;而单击按钮,则会将该范围内的VLAN全部删除.
(2)单击按钮,进入新建VLAN的配置页面,如下图所示.
(3)在"VLANID"文本框中输入要创建的VLANID.
(4)单击按钮完成操作.
2-3图2-3新建VLAN2.
4配置VLAN中的端口(1)在导航栏中选择"网络>VLAN",默认进入"VLAN"页签的页面,如图2-2所示.
(2)在VLAN列表中单击某VLAN对应的图标,进入修改该VLAN的配置页面,如下图所示.
图2-4修改VLAN(3)配置VLAN的描述,以及VLAN中的端口成员,详细配置如下表所示.
(4)单击按钮完成操作.
表2-2VLAN中端口的详细配置配置项说明ID显示要修改的VLAN的ID描述设置VLAN的描述字符串缺省情况下,VLAN的描述字符串为该VLAN的VLANID,如"VLAN0001"端口Untagged成员端口在端口列表中找到要加入或删除的端口,在端口对应的"Untagged成员端口"、"Tagged成员端口"和"非成员"列的单选按钮中进行选择:Untagged:表示端口成员发送该VLAN报文时不带Tag标签Tagged成员端口2-4配置项说明非成员Tagged:表示端口成员发送该VLAN报文时带Tag标签非成员:表示从该VLAN中删除端口成员将Access端口配置为某VLAN时,该端口会被修改为Hybrid端口2.
5配置端口所属的VLAN(1)在导航栏中选择"网络>VLAN".
(2)单击"端口"页签,进入端口显示页面,如下图所示.
图2-5端口(3)在端口列表中单击某端口对应的图标,进入修改该端口的配置页面,如下图所示.
图2-6修改端口(4)配置端口所属的VLAN,详细配置如下表所示.
(5)单击按钮完成操作.
2-5表2-3端口所属VLAN的详细配置配置项说明端口显示要修改所属VLAN的端口Untagged成员VLAN显示该端口目前是哪个或哪些VLAN的Untagged成员Tagged成员VLAN显示该端口目前是哪个或哪些VLAN的Tagged成员成员类型Untagged在"Untagged"、"Tagged"和"非成员"前的单选按钮中进行选择Untagged:表示端口成员发送该VLAN报文时不带Tag标签Tagged:表示端口成员发送该VLAN报文时带Tag标签非成员:表示从该VLAN中删除端口成员将Access端口配置为某VLAN的Untagged成员时,该VLAN必须已经存在将Access端口配置为某VLAN的Tagged成员或将Trunk端口一次配置为多个VLAN的Untagged成员时,该端口会被修改为Hybrid端口将Hybrid端口配置为某VLAN的Untagged或Tagged成员时,该VLAN必须是已经存在的静态VLANTagged非成员VLANID设置要修改端口成员的目的VLAN2.
6VLAN典型配置举例1.
组网需求AP与Switch使用GigabitEthernet1/0/1相连.
GigabitEthernet1/0/1为Hybrid端口,缺省VLANID为1.
配置GigabitEthernet1/0/1,使该端口允许VLAN1、VLAN2、VLAN6到VLAN50、VLAN100的报文通过,且允许VLAN1和VLAN100的报文发送时不带Tag标签.
图2-7VLAN配置组网图2.
配置AP缺省情况下,GigabitEthernet1/0/1为Access端口,缺省VLANID为1.
执行下述的配置步骤时,如果颠倒配置端口GigabitEthernet1/0/1的Tagged成员和Untagged成员的先后顺序,则在配置Untagged成员时输入的VLANID必须为"1,100",否则端口的缺省VLANID将变为100.
(1)创建VLAN2、VLAN6到VLAN50、VLAN100.
GE1/0/1GE1/0/1APSwitch2-6步骤1:在导航栏中选择"网络>VLAN",默认进入"VLAN"页签的页面.
步骤2:单击按钮.
步骤3:如下图所示,输入VLANID为"2,6-50,100".
步骤4:单击按钮完成操作.
图2-8新建VLAN(2)配置GigabitEthernet1/0/1为VLAN2、VLAN6到VLAN50的Tagged成员.
步骤1:单击"端口"页签.
步骤2:在端口列表中单击GigabitEthernet1/0/1对应的图标.
步骤3:进行如下配置,如下图所示.
选择成员类型为"Tagged".
输入VLANID为"2,6-50".
图2-9配置GigabitEthernet1/0/1的Tagged成员步骤4:单击按钮,弹出如下图所示的对话框.
步骤5:在对话框中单击完成操作.
2-7图2-10确认配置对话框(3)配置GigabitEthernet1/0/1为VLAN100的Untagged成员.
步骤1:再次在端口列表中单击GigabitEthernet1/0/1对应的的图标.
步骤2:进行如下配置,如下图所示.
选择成员类型为"Untagged".
输入VLANID为"100".
步骤3:单击按钮完成操作.
图2-11配置GigabitEthernet1/0/1的Untagged成员3.
配置Switch与AP上的配置步骤相似,不再赘述.
2.
7注意事项配置VLAN时需要注意如下事项:(1)VLAN1为系统缺省VLAN,用户不能手工创建和删除.
(2)保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除.
(3)用户不能手工删除设备上动态学习到的VLAN.
3-13ARP管理3.
1概述3.
1.
1ARP简介ARP(AddressResolutionProtocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议.
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址).
但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射.
APR就是实现这个功能的协议.
关于ARP协议的详细介绍请参见"三层技术配置指导"中的"ARP".
3.
1.
2免费ARP简介1.
免费ARP报文免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址.
设备通过对外发送免费ARP报文来实现以下功能:确定其它设备的IP地址是否与本机IP地址冲突.
当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突.
设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项.
2.
免费ARP报文学习功能使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改.
设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项.
如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项.
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项.
如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源.
3-23.
2查看ARP表项在导航栏中选择"网络>ARP管理",默认进入"ARP表"页签的页面,如下图所示.
页面显示所有ARP表项的信息.
图3-1ARP表3.
3配置静态ARP表项(1)在导航栏中选择"网络>ARP管理",默认进入"ARP表"页签的页面,如图3-1所示.
(2)单击按钮,进入新建静态ARP表项的配置页面,如下图所示.
图3-2新建静态ARP(3)配置静态ARP表项的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表3-1静态ARP表项的详细配置配置项说明IP地址设置静态ARP表项的IP地址3-3配置项说明MAC地址设置静态ARP表项的MAC地址高级选项VLANID设置静态ARP表项所属的VLAN和端口指定的VLANID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLANID对应的VLAN虚接口必须已经创建端口3.
4删除ARP表项(1)在导航栏中选择"网络>ARP管理",默认进入"ARP表"页签的页面,如图3-1所示.
(2)删除ARP表项,详细配置如下表所示.
表3-2删除ARP表项的详细配置功能配置方法删除指定的ARP表项在列表中选中指定ARP表项前的复选框,单击按钮删除所有静态和动态ARP表项单击按钮删除所有静态ARP表项单击按钮删除所有动态ARP表项单击按钮3.
5配置免费ARP功能(1)在导航栏中选择"网络>ARP管理".
(2)单击"免费ARP"页签,进入如下图所示的页面.
图3-3免费ARP(3)配置免费ARP功能,详细配置如下表所示.
(4)单击按钮完成操作.
3-4表3-3免费ARP功能的详细配置配置项说明关闭学习免费ARP报文设置是否关闭免费ARP报文学习功能缺省情况下,免费ARP报文学习功能处于开启状态收到非同一网段ARP请求时发送免费ARP报文设置开启收到非同一网段ARP请求时发送免费ARP报文功能缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文3.
6静态ARP典型配置举例1.
组网需求AP通过接口GigabitEthernet1/0/1连接Router.
接口GigabitEthernet1/0/1属于VLAN1.
Router的IP地址为192.
168.
1.
1/24,MAC地址为00e0-fc01-0000.
为了增加AP和Router通信的安全性,可以在AP上配置静态ARP表项.
图3-4静态ARP配置组网图2.
配置步骤进行下面的配置前,假设接口Vlan-interface1已存在,管理员通过Vlan-interface1登录AP的Web页面进行配置.
(1)配置静态ARP表项.
步骤1:在导航栏中选择"网络>ARP管理",默认进入"ARP表"页签的页面.
步骤2:单击按钮.
步骤3:进行如下配置,如下图所示.
输入IP地址为"192.
168.
1.
1".
输入MAC地址为"00e0-fc01-0000".
选中"高级选项"前的复选框.
输入VLANID为"1".
选择端口为"GigabitEthernet1/0/1".
步骤4:单击按钮完成操作.
3-5图3-5新建静态ARP表项4-14IGMPSnooping4.
1概述IGMPSnooping是InternetGroupManagementProtocolSnooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组.
运行IGMPSnooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据.
如下图所示,当二层设备没有运行IGMPSnooping时,组播数据在二层被广播;当二层设备运行了IGMPSnooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者.
图4-1二层设备运行IGMPSnooping前后的对比IGMPSnooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:减少二层网络中的广播报文,节约网络带宽.
增强组播信息的安全性.
为实现对每台主机的单独计费带来方便.
关于IGMPSnooping的详细介绍请参见"IP组播配置指导"中的"IGMPSnooping".
4-24.
2IGMPSnooping配置任务简介表4-1IGMPSnooping配置步骤步骤配置任务说明14.
3全局启用IGMPSnooping必选缺省情况下,全局IGMPSnooping处于关闭状态24.
4在VLAN内配置IGMPSnooping必选在VLAN内启用IGMPSnooping,配置IGMPSnooping版本、查询器等功能缺省情况下,VLAN内的IGMPSnooping处于关闭状态在VLAN内配置IGMPSnooping之前,必须先在全局启用IGMPSnooping在VLAN内启用IGMPSnooping之后,不允许在该VLAN所对应的VLAN接口上再启用IGMP和PIM,反之亦然在VLAN内启用了IGMPSnooping之后,该功能只在属于该VLAN的端口上生效34.
5在端口上配置IGMPSnooping可选在指定VLAN内容配置端口的最大组播组数和端口快速离开功能在端口上配置IGMPSnooping之前,必须先全局启用组播路由或IGMPSnooping在VLAN内启用IGMPSnooping或者VLAN接口上启用IGMP的情况下,端口上的IGMPSnooping配置才生效44.
6查看IGMPSnooping组播表项信息可选4.
3全局启用IGMPSnooping(1)在导航栏中选择"网络>IGMPSnooping",默认进入"基本配置"页签的页面,如下图所示.
(2)选中IGMPSnooping"启动"前的单选按钮.
(3)单击按钮完成操作.
4-3图4-2基本配置4.
4在VLAN内配置IGMPSnooping(1)在导航栏中选择"网络>IGMPSnooping",默认进入"基本配置"页签的页面,如上图所示.
(2)在"VLAN配置"中单击要配置的VLAN对应的图标,进入该VLAN的IGMPSnooping配置页面,如下图所示.
图4-3VLAN配置(3)在VLAN内配置IGMPSnooping,详细配置如下表所示.
(4)单击按钮完成操作.
4-4表4-2VLAN内IGMPSnooping的详细配置配置项说明VLANID显示当前要配置的VLAN的IDIGMPSnooping设置在该VLAN内启用或关闭IGMPSnooping只有在此项选择"启动"时,才能进行后面配置项的设置版本设置IGMPSnooping的版本,即设置IGMPSnooping可以处理的IGMP报文的版本当IGMPSnooping的版本为2时,IGMPSnooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播当IGMPSnooping的版本为3时,IGMPSnooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理当IGMPSnooping的版本由版本3切换到版本2时,系统将清除所有通过动态加入的IGMPSnooping转发表项丢弃未知组播数据报文设置启用或关闭丢弃未知组播数据报文功能未知组播数据报文是指在IGMPSnooping转发表中不存在对应转发表项的那些组播数据报文:当启用丢弃未知组播数据报文功能时,设备将丢弃所有收到的未知组播数据报文当关闭丢弃未知组播数据报文功能时,设备将在未知组播数据报文所属的VLAN内广播该报文查询器设置启用或关闭IGMPSnooping查询器功能在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据.
但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能.
为了解决这个问题,可以在二层设备上启用IGMPSnooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据查询间隔设置发送IGMP普遍组查询报文的时间间隔通用查询报文源IP设置IGMP普遍组查询报文的源IP地址特定组查询报文源IP设置IGMP特定组查询报文的源IP地址4.
5在端口上配置IGMPSnooping(1)在导航栏中选择"网络>IGMPSnooping".
(2)单击"高级配置"页签,进入如下图所示的页面.
4-5图4-4高级配置(3)在端口上配置IGMPSnooping,详细配置如下表所示.
(4)单击按钮完成操作.
表4-3IGMPSnooping高级参数的详细配置配置项说明端口名称设置要进行IGMPSnooping高级配置的端口选择一个端口后,页面下方的列表中显示该端口的高级配置信息VLANID设置在指定VLAN内配置端口快速离开功能或配置允许端口加入的组播组最大数量最大组播组数设置允许端口加入的组播组最大数量通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMPSnooping转发表中删除,该端口上的主机需要重新加入组播组端口快速离开设置在指定端口上启用或关闭快速离开功能端口快速离开是指当设备从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除.
此后,当设备收到对该组播组的IGMP特定组查询报文时,设备将不再向该端口转发在设备上,在只连接有一个接收者的端口上,可以通过启用端口快速离开功能来节约带宽和资源;而在连接有多个接收者的端口上,如果交换机或该端口所在的VLAN已使能了丢弃未知组播数据报文功能,则不要再启用端口快速离开功能,否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据4-64.
6查看IGMPSnooping组播表项信息(1)在导航栏中选择"网络>IGMPSnooping",默认进入"基本配置"页签的页面,如图4-2所示.
(2)单击"显示表项"前的扩展按钮,展开如下图所示的内容,可以查看IGMPSnooping组播表项的概要信息,详细说明如表4-4所示.
图4-5显示表项(3)单击要查看的表项对应的图标,进入该IGMPSnooping组播表项详细信息的显示页面,如下图所示,详细说明如表4-4所示.
图4-6表项详细信息表4-4IGMPSnooping组播表项信息的详细说明标题项说明VLANID组播表项所属VLAN的ID源地址组播源地址,0.
0.
0.
0表示所有组播源组地址组播组地址路由器端口所有路由器端口成员端口所有成员端口4-74.
7IGMPSnooping典型配置举例1.
组网需求如下图所示,RouterA通过GigabitEthernet1/0/2接口连接组播源(Source),通过GigabitEthernet1/0/1接口连接AP;RouterA上运行IGMPv2,AP上运行版本2的IGMPSnooping,并由RouterA充当IGMP查询器.
通过配置,使HostA能接收发往组播组224.
1.
1.
1的组播数据;同时,使AP将收到的未知组播数据直接丢弃,避免在其所属的VLAN内广播.
图4-7IGMPSnooping配置组网图2.
配置RouterA在RouterA上启用IP组播路由,在各接口上启用PIM-DM,并在接口GigabitEthernet1/0/1上启用IGMP.
具体配置过程略.
3.
配置AP(1)全局启用IGMPSnooping.
步骤1:在AP的导航栏中选择"网络>IGMPSnooping",默认进入"基本配置"页签的页面.
步骤2:如下图所示,选中IGMPSnooping"启动"前的单选按钮.
步骤3:单击按钮完成操作.
图4-8全局启用IGMPSnooping(2)在VLAN1(端口GigabitEthernet1/0/1和WLAN-BSS1默认属于VLAN1)内启用IGMPSnooping和丢弃未知组播数据报文功能.
步骤1:单击VLAN1对应的图标.
步骤2:进行如下配置,如下图所示.
4-8选中IGMPSnooping"启动"前的单选按钮.
选中版本"2"前的单选按钮.
选中丢弃未知组播数据报文"启动"前的单选按钮.
步骤3:单击按钮完成操作.
图4-9VLAN配置4.
配置结果验证在AP上查看IGMPSnooping组播表项的信息.
步骤1:在AP的导航栏中选择"网络>IGMPSnooping",默认进入"基本配置"的页面.
步骤2:单击"显示表项"前的扩展按钮.
步骤3:查看IGMPSnooping组播表项概要信息,如下图所示.
图4-10配置结果(IGMPSnooping组播表项概要信息)步骤4:单击VLAN1的IGMPSnooping组播表项(0.
0.
0.
0,224.
1.
1.
1)对应的图标.
步骤5:查看该IGMPSnooping组播表项的详细信息,如下图所示.
4-9图4-11配置结果(IGMPSnooping组播表项详细信息)由此可见,AP上的端口WLAN-BSS1已经加入了组播组224.
1.
1.
1.
5-15IPv4和IPv6路由本章所指的路由器代表了一般意义下的路由器,以及运行了路由协议的三层交换机.
5.
1概述在网络中路由器根据所收到的报文的目的地址选择一条合适的路径,并将报文转发到下一个路由器.
路径中最后的路由器负责将报文转发给目的主机.
路由就是报文在转发过程中的路径信息,用来指导报文转发.
路由表中保存了各种路由协议发现的路由.
路由器通过路由表选择路由,把优选路由下发到FIB(ForwardingInformationBase,转发信息库)表中,通过FIB指导报文转发.
每个路由器中都至少保存着一张路由表和一张FIB表.
静态路由是一种特殊的路由,由管理员手工配置.
配置静态路由后,去往指定目的地的数据报文将按照管理员指定的路径进行转发.
静态路由配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络.
其缺点是每当网络拓扑结构发生变化,都需要手工重新配置,不能自动适应.
关于路由表和静态路由的详细介绍请参见"三层技术配置指导"中的"IP路由基础"和"静态路由".
5.
2查看IPv4激活路由表(1)在导航栏中选择"网络>IPv4路由",默认进入"显示"页签的页面,如下图所示.
5-2图5-1IPv4路由显示(2)查看IPv4激活路由表的信息,详细说明如下表所示.
表5-1IPv4激活路由表的详细说明标题项说明目的IP地址IPv4路由的目的IP地址和子网掩码掩码协议发现该IPv4路由的路由协议优先级该IPv4路由的优先级数值越小,优先级越高下一跳该IPv4路由下一跳IP地址接口该IPv4路由的出接口,即到该目的网段的数据包将从此接口发出5.
3新建IPv4静态路由(1)在导航栏中选择"网络>IPv4路由".
(2)单击"创建"页签,进入IPv4静态路由配置页面,如下图所示.
5-3图5-2IPv4静态路由创建(3)配置IPv4静态路由的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表5-2IPv4静态路由的详细配置配置项说明目的IP地址设置IPv4数据报文的目的主机或目的网段,格式要求为点分十进制掩码设置目的主机或目的网段的掩码可以输入掩码长度或者点分十进制格式的掩码优先级设置本条静态路由的优先级,数值越小优先级越高配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份下一跳设置IPv4数据报文要经过的下一个设备的IP地址,格式要求为点分十进制接口设置IPv4数据报文从设备的哪个接口向外转发可以选择当前设备中的所有三层接口,包括各种虚接口.
如果选择NULL0,表示目的IP地址不可达5-45.
4查看IPv6激活路由表(1)在导航栏中选择"网络>IPv6路由",默认进入"显示"页签的页面,如下图所示.
图5-3IPv6路由显示(2)查看IPv6激活路由表的信息,详细说明如下表所示.
表5-3IPv6激活路由表的详细说明标题项说明目的IP地址IPv6路由的目的IP地址和前缀长度前缀长度协议发现该IPv6路由的路由协议优先级该IPv6路由的优先级数值越小,优先级越高下一跳该IPv6路由下一跳IP地址接口该IPv6路由的出接口,即到该目的网段的数据包将从此接口发出5.
5新建IPv6静态路由(1)在导航栏中选择"网络>IPv6路由".
(2)单击"创建"页签,进入IPv6静态路由配置页面,如下图所示.
5-5图5-4IPv6静态路由创建(3)配置IPv6静态路由的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表5-4IPv6静态路由的详细配置配置项说明目的IP地址设置IPv6数据报文的目的主机或目的网段,格式类似于X:X::X:X目的IP地址共128bit,每16bit为一段,段之间用":"分隔,每段都可以用4位十六进制数表示前缀长度设置目的主机或目的网段的前缀长度优先级设置本条静态路由的优先级,数值越小优先级越高配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份下一跳设置IPv6数据报文要经过的下一个设备的IP地址,格式要求和目的IP地址相同接口设置IPv6数据报文从设备的哪个接口向外转发可以选择当前设备中的所有三层接口,包括各种虚接口.
如果选择NULL0,表示目的IP地址不可达5-65.
6IPv4静态路由典型配置举例1.
组网需求SwitchA、SwitchB和AP各接口及主机的IP地址和掩码如下图所示.
要求SwitchA、SwitchB和AP之间配置IPv4静态路由后,HostA和HostB之间能够互通.
图5-5IPv4静态路由配置组网图2.
配置思路采用如下的思路配置IPv4静态路由:(1)在SwitchA上配置一条到SwitchB的缺省路由.
(2)在SwitchB上配置一条到SwitchA的静态路由.
(3)在AP上配置一条到SwitchB的缺省路由.
3.
配置步骤(1)配置HostA的网关地址为1.
1.
2.
3,配置HostB的网关地址为1.
1.
3.
3.
(2)在SwitchA上配置一条下一跳为"1.
1.
4.
2"的缺省路由.
(3)在SwitchB上配置一条目的地址为"1.
1.
2.
0/24"、下一跳为"1.
1.
4.
1"的静态路由.
(4)在AP上配置缺省路由.
步骤1:在AP的导航栏中选择"网络>IPv4路由".
步骤2:单击"创建"页签,进入IPv4静态路由配置页面.
步骤3:进行如下配置,如下图所示.
输入目的IP地址为"0.
0.
0.
0".
输入掩码为"0".
输入下一跳为"1.
1.
3.
3".
步骤4:单击按钮完成操作.
5-7图5-6配置缺省路由4.
配置结果验证(1)查看激活路由列表.
分别进入SwitchA、SwitchB和AP的IPv4路由显示页面.
查看到页面上的激活路由列表中有新配置的静态路由.
(2)在HostA上使用ping命令验证HostB是否可达(假定主机安装的操作系统为WindowsXP).
C:\DocumentsandSettings\Administrator>ping1.
1.
3.
2Pinging1.
1.
3.
2with32bytesofdata:Replyfrom1.
1.
3.
2:bytes=32time=1msTTL=128Replyfrom1.
1.
3.
2:bytes=32time=1msTTL=128Replyfrom1.
1.
3.
2:bytes=32time=1msTTL=128Replyfrom1.
1.
3.
2:bytes=32time=1msTTL=128Pingstatisticsfor1.
1.
3.
2:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=1ms,Maximum=1ms,Average=1ms5-85.
7IPv6静态路由典型配置举例1.
组网需求SwitchA、SwitchB和AP各接口及主机的IP地址和掩码如下图所示.
要求SwitchA、SwitchB和AP之间配置IPv6静态路由协议后,HostA和HostB之间能够互通.
图5-7IPv6静态路由配置组网图2.
配置思路采用如下的思路配置IPv6静态路由:(1)在SwitchA上配置一条到SwitchB的缺省路由.
(2)在SwitchB上配置一条到SwitchA的静态路由.
(3)在AP上配置一条到SwitchB的缺省路由.
3.
配置步骤(1)配置HostA的网关地址为1::1,配置HostB的网关地址为3::1.
(2)在SwitchA上配置一条下一跳为"4::2"的缺省路由.
(3)在SwitchB上配置一条目的地址为"1::/64"、下一跳为"4::1"的静态路由.
(4)在AP上配置缺省路由.
步骤1:在AP的导航栏中选择"网络>IPv6路由".
步骤2:单击"创建"页签,进入IPv6静态路由配置页面.
步骤3:进行如下配置,如下图所示.
输入目的IP地址为"::".
选择前缀长度为"0".
输入下一跳为"3::3".
步骤4:单击按钮完成操作.
5-9图5-8配置缺省路由4.
配置结果验证(1)查看激活路由列表.
分别进入SwitchA、SwitchB和AP的IPv6路由显示页面.
查看到页面上的激活路由列表中有新配置的静态路由.
(2)在SwitchA上使用ping命令验证HostB是否可达.
system-view[SwitchA]pingipv63::2PING3::2:56databytes,pressCTRL_CtobreakReplyfrom3::2bytes=56Sequence=1hoplimit=254time=63msReplyfrom3::2bytes=56Sequence=2hoplimit=254time=62msReplyfrom3::2bytes=56Sequence=3hoplimit=254time=62msReplyfrom3::2bytes=56Sequence=4hoplimit=254time=63msReplyfrom3::2bytes=56Sequence=5hoplimit=254time=63ms---3::2pingstatistics---5packet(s)transmitted5packet(s)received0.
00%packetloss5-10round-tripmin/avg/max=62/62/63ms5.
8注意事项配置静态路由时需要注意如下事项:(1)如果在配置静态路由时没有指定优先级,就会使用缺省优先级.
重新设置缺省优先级后,新设置的缺省优先级仅对新增的静态路由有效.
Web界面目前不支持对缺省优先级的配置.
(2)在配置静态路由时,如果先指定下一跳,然后再将该下一跳的地址配置为本地接口(如以太网接口、VLAN接口等)的IP地址,则该条静态路由不会生效.
(3)在指定出接口时要注意:对于NULL0和Loopback接口,配置了出接口就不再配置下一跳.
对于点到点接口,即使不知道对端地址,也可以在路由器配置时指定出接口.
这样,即使对端地址发生了改变也无须改变该路由器的配置.
如封装PPP协议的接口,通过PPP协商获取对端的IP地址,这时可以不指定下一跳,只需指定出接口即可.
6-16DHCP指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理.
配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见"设备"模块中的"接口管理",本章不对DHCP客户端的配置进行介绍.
关于DHCP协议的详细介绍请参见"三层技术配置指导"中的"DHCP".
6.
1概述6.
1.
1DHCP简介DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数.
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置.
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如下图所示.
图6-1DHCP典型应用6-26.
2配置DHCP服务器6.
2.
1DHCP服务器配置任务简介表6-1DHCP服务器配置步骤步骤配置任务说明16.
2.
2启动DHCP服务必选启动全局DHCP服务缺省情况下,全局DHCP服务处于关闭状态26.
2.
3配置DHCP服务器的静态地址池二者至少选其一DHCP服务器和客户端在同一个子网内,直接进行DHCP报文交互时,DHCP服务器上配置的地址池需要与DHCP服务器接口IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址6.
2.
4配置DHCP服务器的动态地址池36.
2.
5配置接口工作在DHCP服务器模式可选配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址缺省情况下,接口工作在DHCP服务器模式DHCP服务器只在IP地址为手工配置的接口上起作用46.
2.
6查看地址池中已被分配的地址信息可选6.
2.
2启动DHCP服务(1)在导航栏中选择"网络>DHCP",默认进入"DHCP服务器"页签的页面,如下图所示.
(2)在页面最上方选中DHCP服务"启动"前的单选按钮,即可启动全局DHCP服务.
6-3图6-2DHCP服务器6.
2.
3配置DHCP服务器的静态地址池(1)在导航栏中选择"网络>DHCP",默认进入"DHCP服务器"页签的页面,如图6-2所示.
(2)在"地址池"中选中"静态"前的单选按钮,显示的是所有静态地址池.
(3)单击按钮,进入新建静态地址池的配置页面,如下图所示.
6-4图6-3静态地址池创建(4)配置静态地址池的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表6-2静态地址池的详细配置配置项说明地址池名称设置静态地址池的名称IP地址设置静态绑定的IP地址和子网掩码静态绑定的IP地址不能是DHCP服务器的接口IP地址,否则会导致IP地址冲突,被绑定的客户端将无法正常获取到IP地址输入的掩码可以是掩码长度或点分十进制格式的掩码掩码客户端MAC地址设置地址池中静态绑定的客户端MAC地址或客户端ID,二选一静态绑定的客户端ID要与待绑定客户端的ID一致,否则客户端无法成功获取IP地址客户端ID客户端域名设置DHCP地址池为DHCP客户端分配的域名后缀为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端网关地址设置DHCP地址池为DHCP客户端分配的网关IP地址DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发.
为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端最多可以配置8个网关地址,多个地址间用","隔开DNS服务器地址设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址最多可以配置8个DNS服务器地址,多个地址间用","隔开6-5配置项说明WINS服务器地址设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则WINS服务器地址可以不配最多可以配置8个WINS服务器地址,多个地址间用","隔开NetBIOS节点类型设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型6.
2.
4配置DHCP服务器的动态地址池(1)在导航栏中选择"网络>DHCP",默认进入"DHCP服务器"页签的页面,如图6-2所示.
(2)在"地址池"中选中"动态"前的单选按钮,显示的是所有动态地址池.
(3)单击按钮,进入新建动态地址池的配置页面,如下图所示.
图6-4动态地址池创建(4)配置动态地址池的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表6-3动态地址池的详细配置配置项说明地址池名称设置动态地址池的名称IP地址设置动态分配的IP地址范围,为一个IP网段DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等).
否则,同一地址分配给两个客户端会造成IP地址冲突输入的掩码可以是掩码长度或点分十进制格式的掩码掩码租用不限制设置DHCP地址池中动态分配的IP地址的租用有效期限6-6配置项说明期限天/小时/分/秒选择"不限制",表示不限制IP地址的租用期限客户端域名设置DHCP地址池为DHCP客户端分配的域名后缀为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端网关地址设置DHCP地址池为DHCP客户端分配的网关IP地址DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发.
为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端最多可以配置8个网关地址,多个地址间用","隔开DNS服务器地址设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址最多可以配置8个DNS服务器地址,多个地址间用","隔开WINS服务器地址设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则可以不配置WINS服务器地址最多可以配置8个WINS服务器地址,多个地址间用","隔开NetBIOS节点类型设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型6.
2.
5配置接口工作在DHCP服务器模式(1)在导航栏中选择"网络>DHCP",默认进入"DHCP服务器"页签的页面,如图6-2所示.
(2)在"接口设置"中单击某接口对应的图标,进入该接口DHCP服务器功能的配置页面,如下图所示.
(3)选中DHCP服务器"启动"前的单选按钮.
(4)单击按钮完成操作.
图6-5DHCP服务器接口设置6.
2.
6查看地址池中已被分配的地址信息(1)在导航栏中选择"网络>DHCP",默认进入"DHCP服务器"页签的页面,如图6-2所示.
(2)在"在用地址"中查看地址池中已被分配的IP地址信息,详细说明如下表所示.
6-7表6-4已被分配的地址信息的详细说明标题项说明IP地址已被分配的IP地址客户端MAC地址/客户端ID该IP地址绑定的DHCP客户端MAC地址或客户端ID地址池名称分配该IP地址的DHCP地址池名称租约到期时间该IP地址的租约到期时间6.
3DHCP服务器典型配置举例1.
组网需求配置AP作为DHCP服务器为网段10.
1.
1.
0/24中的客户端动态分配IP地址,AP上Vlan-interface1的IP地址为10.
1.
1.
1/24.
10.
1.
1.
0/24网段内的地址租用期限为10天12小时,网关的地址为10.
1.
1.
2.
图6-6DHCP服务器配置组网图2.
配置步骤(1)启动DHCP服务.
步骤1:在导航栏中选择"网络>DHCP",默认进入"DHCP服务器"页签的页面.
步骤2:如下图所示,选中DHCP服务"启动"前的单选按钮完成操作.
6-8图6-7启动DHCP服务(2)配置Vlan-interface1工作在DHCP服务器模式.
(缺省情况下接口工作在DHCP服务器模式,此步骤可以省略)步骤1:在"接口设置"中单击Vlan-interface1对应的图标.
步骤2:如下图所示,选中DHCP服务器"启动"前的单选按钮.
步骤3:单击按钮完成操作.
图6-8配置Vlan-interface1工作在DHCP服务器模式(3)配置DHCP服务器的动态地址池.
步骤1:在"地址池"中默认选中的是"动态"前的单选按钮,单击按钮.
6-9步骤2:进行如下配置,如下图所示.
输入地址池名称为"test".
输入IP地址为"10.
1.
1.
0".
输入掩码为"255.
255.
255.
0".
输入租用期限为"10"天"12"小时"0"分"0"秒.
输入网关地址为"10.
1.
1.
2".
步骤3:单击按钮完成操作.
图6-9置DHCP服务器的动态地址池7-17DNS7.
1概述域名系统(DNS,DomainNameSystem)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换.
通过域名系统,用户进行某些应用时,可以直接使用便于记忆的、有意义的域名,而由网络中的域名解析服务器将域名解析为正确的IP地址.
域名解析分为静态域名解析和动态域名解析,二者可以配合使用.
在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析.
由于动态域名解析可能会花费一定的时间,且需要域名服务器的配合,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率.
1.
静态域名解析静态域名解析就是手工建立域名和IP地址之间的对应关系.
当用户使用域名进行某些应用(如Telnet应用)时,系统查找静态域名解析表,从中获取指定域名对应的IP地址.
2.
动态域名解析动态域名解析是通过域名服务器进行动态域名解析.
关于DNS的详细介绍请参见"三层技术配置指导"中的"域名解析".
7.
2DNS配置任务简介1.
配置静态域名解析表表7-1静态域名解析表的配置步骤步骤配置任务说明17.
3配置静态域名解析表必选缺省情况下,静态域名解析表中没有主机名及其IP地址的对应关系2.
配置动态域名解析表7-2动态域名解析配置步骤步骤配置任务说明17.
4启动动态域名解析必选缺省情况下,动态域名解析功能处于关闭状态27.
5配置DNS服务器的IP地址必选缺省情况下,没有配置DNS服务器的IP地址7-2步骤配置任务说明37.
6配置域名后缀可选缺省情况下,没有配置域名后缀47.
7清空动态域名缓存区可选7.
3配置静态域名解析表(1)在导航栏中选择"网络>DNS",默认进入"静态域名解析"页签的页面,如下图所示.
图7-1静态域名解析(2)单击按钮,进入新建静态域名解析表项的配置页面,如下图所示.
图7-2新建静态域名解析(3)配置静态域名解析表的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表7-3静态域名解析表的详细配置信息配置项说明主机名设置静态域名解析表中主机名和主机IP地址的对应关系每个主机名只能对应一个IP地址,当对同一主机名进行多次配置时,最后配置的IP地址有效主机IP地址7-37.
4启动动态域名解析(1)在导航栏中选择"网络>DNS".
(2)单击"动态域名解析"页签,进入如下图所示的页面.
(3)选中动态域名解析"启动"前的单选按钮.
(4)单击按钮完成操作.
图7-3动态域名解析7.
5配置DNS服务器的IP地址(1)在导航栏中选择"网络>DNS".
(2)单击"动态域名解析"页签,进入如图7-3所示的页面.
(3)单击按钮,进入新建DNS服务器IP地址的页面,如下图所示.
(4)在文本框中输入DNS服务器的IP地址.
(5)单击按钮完成操作.
图7-4新建DNS服务器IP地址7-47.
6配置域名后缀(1)在导航栏中选择"网络>DNS".
(2)单击"动态域名解析"页签,进入如图7-3所示的页面.
(3)单击按钮,进入新建DNS域名后缀的页面,如下图所示.
(4)在文本框中输入DNS域名后缀.
(5)单击按钮完成操作.
图7-5新建DNS域名后缀7.
7清空动态域名缓存区(1)在导航栏中选择"网络>DNS".
(2)单击"动态域名解析"页签,进入如图7-3所示的页面.
(3)选中"清空动态域名缓存区"前的复选框.
(4)单击按钮完成操作.
7.
8DNS典型配置举例1.
组网需求为了避免记忆复杂的IP地址,AP希望通过便于记忆的域名访问某一主机.
如果网络中存在DNS服务器,则可以利用动态域名解析功能,实现通过域名访问主机.
在本例中:DNS服务器的IP地址是2.
1.
1.
2/16,DNS服务器上存在com域,且com域中包含域名"host"和IP地址3.
1.
1.
1/16的对应关系.
AP作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址.
AP上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.
com、IP地址为3.
1.
1.
1/16的主机Host.
7-5图7-6DNS配置组网图在开始下面的配置之前,假设AP与Host之间的路由可达,AP和Host都已经配置完毕,接口IP地址如上图所示.
不同DNS服务器的配置方法不同,下面仅以WindowsServer2000为例,说明DNS服务器的配置方法.
2.
配置DNS服务器(1)创建区域com.
步骤1:在开始菜单中,选择"程序>管理工具>DNS",进入域名服务器配置界面.
步骤2:如下图所示,右键点击"正向查找区域",选择"新建区域".
步骤3:按照提示创建新的区域com.
图7-7创建区域(2)添加域名和IP地址的映射.
步骤1:如下图所示,右键点击区域com,选择"新建主机",弹出新建主机的对话框.
7-6图7-8新建主机步骤2:如下图所示,在新建主机的对话框中输入名称host和IP地址3.
1.
1.
1.
步骤3:单击按钮完成操作.
图7-9添加域名和IP地址的映射7-73.
配置AP(1)启动动态域名解析功能.
步骤1:在导航栏中选择"网络>DNS".
步骤2:单击"动态域名解析"页签.
步骤3:如下图所示,选中动态域名解析"启动"前的单选按钮.
步骤4:单击按钮完成操作.
图7-10使能动态域名解析功能(2)配置DNS服务器IP地址.
步骤1:单击按钮,进入新建DNS服务器IP地址的页面.
步骤2:如下图所示,输入DNS服务器IP地址为"2.
1.
1.
2".
步骤3:单击按钮完成操作.
图7-11新建DNS服务器IP地址(3)配置域名后缀.
步骤1:单击按钮,进入新建DNS域名后缀的页面.
7-8步骤2:如下图所示,输入DNS域名后缀为"com".
步骤3:单击按钮完成操作.
图7-12新建DNS域名后缀4.
配置结果验证在AP上执行Ping主机名host的操作,可以ping通,且对应的目的地址为3.
1.
1.
1.
步骤1:在导航栏中选择"网络>诊断工具",进入"IPv4Ping"页签的页面.
步骤2:输入目的主机名为"host".
步骤3:单击按钮执行Ping操作.
步骤4:查看到如下图所示的Ping操作结果.
图7-13Ping操作结果8-18PPPoE8.
1概述PPPoE是Point-to-PointProtocoloverEthernet的简称.
PPPoE协议采用Client/Server方式,它将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接.
AP设备上运行了PPPoEClient功能后,可以通过一个远端接入设备连入因特网,并可以实现对接入的每个AP设备进行控制、计费等.
PPPoE有两个阶段:Discovery阶段和PPPSession阶段,具体如下:Discovery阶段当一个客户端想开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SESSIONID.
这就是Discovery阶段的目的.
PPPSession阶段当PPPoE进入Session阶段后PPP报文就可以作为PPPoE帧的净荷封装在以太网帧发到对端,SESSIONID必须是Discovery阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从ProtocolID开始.
在Session阶段,客户端或服务器任何一方都可发PADT(PPPoEActiveDiscoveryTerminate,PPPoE活动发现终止)报文通知对方结束本Session.
关于PPPoE的详细介绍,可以参考RFC2516.
图8-1PPPoE组网图8.
2配置PPPoEClient(1)在导航栏中选择"网络>PPPoE",默认进入"Client信息"页签的页面,如下图所示.
8-2图8-2Client信息(2)单击按钮,进入新建PPPoEClient页面,如下图所示.
图8-3新建PPPoEClient(3)配置PPPoEClient的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表8-1新建PPPoEClient的详细配置配置项说明Dialer接口设置Dialer接口号用户名设置PPPoEClient认证使用的用户名和密码用户名和密码必须同时配置或者同时不配置密码IP配置设置接口配置或获取IP地址的方式无IP配置:不配置IP地址静态地址:静态配置接口的IP地址和掩码PPP协商:通过PPP协商获得IP地址借用地址:借用同一设备上其他接口的IP地址8-3配置项说明IP地址设置接口的IP地址和掩码当IP配置选择"静态地址"时,需配置此两项网络掩码其他接口设置被借用IP地址的接口当IP配置选择"借用地址"时,需配置此项绑定接口设置PPPoEClient绑定的接口连接方式设置PPPoEClient的连接方式为永久在线方式或非永久在线方式永久在线方式是指,当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话.
除非用户删除PPPoE会话,否则此PPPoE会话将一直存在非永久在线方式是指,当物理线路up后,设备不立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话.
如果PPPoE链路的空闲时间超过用户指定的超时时间,设备会自动中止此PPPoE会话.
选择此方式时需配置超时时间超时时间设置PPPoE链路的空闲超时时间当连接方式选择"非永久在线"时,需配置此项8.
3查看PPPoEClient会话统计信息(1)在导航栏中选择"网络>PPPoE".
(2)单击"会话信息"页签.
(3)选择会话信息查看类型为"统计信息",页面如下图所示.
(4)查看PPPoEClient会话统计信息,详细说明如下表所示.
图8-4会话统计信息8-4表8-2PPPoEClient会话统计信息的详细说明标题项说明接口PPPoE会话所属的以太网接口PPPoEClient绑定的是VLAN接口时,此处显示空会话编号SessionID,PPPoE会话的编号接收报文数PPPoEClient会话的接收报文数接收字节数PPPoEClient会话的接收字节数丢弃报文数(接收)PPPoEClient会话的丢弃报文数(接收方向)发送报文数PPPoEClient会话的发送报文数发送字节数PPPoEClient会话的发送字节数丢弃报文数(发送)PPPoEClient会话的丢弃报文数(发送方向)8.
4查看PPPoEClient会话概要信息(1)在导航栏中选择"网络>PPPoE".
(2)单击"会话信息"页签,进入会话信息查看页面.
(3)选择会话信息查看类型为"概要信息".
(4)查看PPPoEClient会话概要信息,详细说明如下表所示.
图8-5会话概要信息表8-3PPPoEClient会话概要信息的详细说明标题项说明会话编号SessionID,PPPoE会话的编号Dialer接口号PPPoE会话所对应的Dialer接口号接口PPPoE会话所属的以太网接口PPPoEClient绑定的是VLAN接口时,此处显示空8-5标题项说明Client-MACPPPoEClient的MAC地址Server-MACPPPoEServer的MAC地址状态PPPoE会话所处的状态IDLE:没有进行PPPoEClient协商PADI:发送PADI报文,等待PADO应答PADR:发送PADR报文,等待PADS应答PPPNEG:开始进行PPP协商PPPUP:PPP协商完成8.
5PPPoEClient典型配置举例1.
组网需求如下图所示,配置AP实现PPPoEClient的功能,能够与PPPoEServer建立PPPoE互通.
图8-6PPPoEClient配置组网图2.
配置步骤(1)配置PPPoEClient.
步骤1:在AP的导航栏中选择"网络>PPPoE",默认进入"Client信息"页签的页面.
步骤2:单击按钮.
步骤3:进行如下配置,如下图所示.
输入Dialer接口为"1".
输入用户名为"user1".
输入密码为"hello".
选择IP配置为"PPP协商".
选择绑定接口为"Vlan-interface1".
选择连接方式为"永久在线".
步骤4:单击按钮完成操作.
8-6图8-7新建PPPoEClient(2)配置PPPoEServer.
PPPoEServer上需要启用PPPoE协议、配置与Client上的配置相同的PPPoE用户和密码、为PPP对端分配的IP地址等,详细配置略.
3.
配置结果验证在AP上查看PPPoEClient会话的概要信息.
步骤1:在AP的导航栏中选择"网络>PPPoE",单击"会话信息"页签.
步骤2:选择会话信息查看类型为"概要信息".
步骤3:查看到PPP协商已完成,如下图所示.
图8-8查看PPPoEClient会话的概要信息8-78.
6注意事项配置PPPoEClient时需要注意,在"设备>接口管理"中创建的Dialer接口也可以在PPPoEClient的显示页面中显示出来,并且可以修改和删除,但是无法建立PPPoEClient会话.
9-19服务管理9.
1概述服务管理模块提供了Telnet、SSH、SFTP、HTTP和HTTPS服务的使能管理功能,可以使用户只在需要使用相应的服务时使能服务,否则关闭服务.
这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理.
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将HTTP、HTTPS服务与ACL(AccessControlList,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击.
1.
Telnet服务Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能.
2.
SSH服务SSH是SecureShell(安全外壳)的简称.
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
3.
SFTP服务SFTP是SecureFTP的简称,是SSH2.
0中新增的功能.
SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障.
4.
HTTP服务HTTP是HypertextTransferProtocol(超文本传输协议)的简称.
它用来在Internet上传递Web页面信息.
HTTP位于TCP/IP协议栈的应用层.
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备.
5.
HTTPS服务HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)是支持SSL(SecureSocketsLayer,安全套接字层)协议的HTTP协议.
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击.
9.
2配置服务管理(1)在导航栏中选择"网络>服务管理",进入服务管理的配置页面,如下图所示.
9-2图9-1服务管理(2)配置各种服务的启用状态及相关参数,详细配置如下表所示.
(3)单击按钮完成操作.
表9-1服务管理的详细配置配置项说明Telnet服务启用Telnet服务设置是否在设备上启用Telnet服务缺省情况下,Telnet服务处于关闭状态SSH服务启用SSH服务设置是否在设备上启用SSH服务缺省情况下,SSH服务处于关闭状态SFTP服务启用SFTP服务设置是否在设备上启用SFTP服务缺省情况下,SFTP服务处于关闭状态启用SFTP服务的同时必须启用SSH服务HTTP服务启用HTTP服务设置是否在设备上启用HTTP服务缺省情况下,HTTP服务处于启用状态端口号设置HTTP服务的端口号单击"HTTP服务"前的扩展按钮可以显示此配置项修改端口时必须保证该端口没有被其他服务使用ACL设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务单击"HTTP服务"前的扩展按钮可以显示此配置项HTTPS服务启用HTTPS服务设置是否在设备上启用HTTPS服务缺省情况下,HTTPS服务处于关闭状态9-3配置项说明证书设置HTTPS服务所使用的本地证书,下拉框中显示的为证书的主题可选的证书在"认证>证书管理"中配置,详细配置请参见"认证"模块中的"证书管理"不指定证书时,HTTPS服务将自己生成证书端口号设置HTTPS服务的端口号单击"HTTPS服务"前的扩展按钮可以显示此配置项修改端口时必须保证该端口没有被其他服务使用ACL设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务单击"HTTPS服务"前的扩展按钮可以显示此配置项10-110诊断工具10.
1概述10.
1.
1Ping通过使用Ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障.
Ping的成功执行过程为:(1)源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文.
(2)目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文.
(3)源设备在收到该应答报文后,显示相关的统计信息.
Ping的输出信息分为以下几种情况:Ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息.
如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和Ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(TimetoLive,生存时间)、响应时间和Ping过程报文的统计信息.
Ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值.
10.
1.
2TraceRoute通过使用TraceRoute工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备.
当网络出现故障时,用户可以使用该命令分析出现故障的网络节点.
TraceRoute的执行过程为:(1)源设备发送一个TTL为1的报文给目的设备.
(2)第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址.
(3)源设备重新发送一个TTL为2的报文给目的设备.
(4)第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址.
(5)以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址.
TraceRoute的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息.
10.
2Ping操作10.
2.
1IPv4Ping(1)在导航栏中选择"网络>诊断工具",默认进入"IPv4Ping"页签的页面.
(2)单击"高级设置"前的扩展按钮,可以展开IPv4Ping操作高级参数的配置内容,如下图所示.
10-2图10-1IPv4Ping(3)在"目的IP地址或者主机名"文本框中输入目标设备的IPv4地址或者主机名.
(4)根据具体需要设置IPv4Ping操作的高级参数.
(5)单击按钮开始执行Ping操作.
(6)在"信息"框中查看Ping操作的输出结果,如下图所示.
10-3图10-2IPv4Ping操作结果10.
2.
2IPv6Ping(1)在导航栏中选择"网络>诊断工具".
(2)单击"IPv6Ping"页签.
(3)单击"高级设置"前的扩展按钮,可以展开IPv6Ping操作高级参数的配置内容,如下图所示.
10-4图10-3IPv6Ping(4)在"目的IPv6地址或主机名"文本框中输入目标设备的IPv6地址或者主机名.
(5)根据具体需要设置IPv6Ping操作的高级参数.
(6)单击按钮开始执行Ping操作.
(7)在"信息"框中查看Ping操作的输出结果,如下图所示.
10-5图10-4IPv6Ping操作结果10.
3TraceRoute操作Web目前不支持对IPv6地址进行TraceRoute操作.
进行TraceRoute操作前,需要先在中间设备上执行ipttl-expiresenable命令开启ICMP超时报文的发送功能,并且在目的设备上执行ipunreachablesenable命令开启ICMP目的不可达报文发送功能.
(1)在导航栏中选择"网络>诊断工具".
(2)单击"TraceRoute"页签,进入如下图所示的页面.
10-6图10-5TraceRoute(3)在文本框中输入TraceRoute操作的目的IP地址或者主机名.
(4)单击按钮开始执行TraceRoute操作.
(5)在"信息"框中查看TraceRoute操作的输出结果,如下图所示.
图10-6TraceRoute操作结果11-711NAT11.
1概述11.
1.
1NAT简介NAT(NetworkAddressTranslation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程.
在实际应用中,NAT主要用于实现私有网络访问公共网络的功能.
这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭.
私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址.
RFC1918为私有网络预留出了三个IP地址块,如下:A类:10.
0.
0.
0~10.
255.
255.
255B类:172.
16.
0.
0~172.
31.
255.
255C类:192.
168.
0.
0~192.
168.
255.
255上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用.
NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络.
下图描述了一个基本的NAT应用.
图11-1地址转换的基本过程(1)内网用户主机(192.
168.
1.
3)向外网服务器(1.
1.
1.
2)发送的IP报文通过NAT设备.
(2)NAT设备查看报头内容,发现该报文是发往外网的,将其源IP地址字段的私网地址192.
168.
1.
3转换成一个可在Internet上选路的公网地址20.
1.
1.
1,并将该报文发送给外网服务器,同时在NAT设备的网络地址转换表中记录这一映射.
192.
168.
1.
3Src:192.
168.
1.
3Dst:1.
1.
1.
2Src:20.
1.
1.
1Dst:1.
1.
1.
2192.
168.
1.
120.
1.
1.
1Src:1.
1.
1.
2Dst:20.
1.
1.
1Src:1.
1.
1.
2Dst:192.
168.
1.
31.
1.
1.
2ServerHostNATIntranetInternetBeforeNAT192.
168.
1.
3AfterNAT20.
1.
1.
1DirectionOutbound11-8(3)外网服务器给内网用户发送的应答报文(其初始目的IP地址为20.
1.
1.
1)到达NAT设备后,NAT设备再次查看报头内容,然后查找当前网络地址转换表的记录,用内网私有地址192.
168.
1.
3替换初始的目的IP地址.
上述的NAT过程对终端(如图中的Host和Server)来说是透明的.
对外网服务器而言,它认为内网用户主机的IP地址就是20.
1.
1.
1,并不知道有192.
168.
1.
3这个地址.
因此,NAT"隐藏"了企业的私有网络.
地址转换的优点在于,在为内部网络主机提供了"隐私"保护的前提下,实现了内部网络的主机通过该功能访问外部网络的资源.
但它也有一些缺点:由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密.
在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密.
例如,不能使用加密的FTP连接,否则FTP协议的port命令不能被正确转换.
网络调试变得更加困难.
比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟哪一台主机是恶意的,因为主机的IP地址被屏蔽了.
11.
1.
2地址转换控制在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问,即当NAT设备查看IP数据报文的报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行地址转换.
另外,也希望只有指定的公网地址才可用于地址转换.
设备可以利用ACL(AccessControlList,访问控制列表)和地址池来对地址转换进行控制.
访问控制列表可以有效地控制地址转换的使用范围,只有满足访问控制列表规则的数据报文才可以进行地址转换.
地址池是用于地址转换的一些连续的公网IP地址的集合,它可以有效地控制公网地址的使用.
用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池.
在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址作为数据报文转换后的源IP地址.
11.
1.
3NAT实现1.
基本地址转换从图11-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,来替代内部网络数据报文的源地址.
在图11-1中是选择NAT设备出接口的IP地址(公有IP地址).
这样所有内部网络的主机访问外部网络时,只能拥有一个外部网络的IP地址,因此,这种情况同时只允许最多有一台内部网络主机访问外部网络.
当内部网络的多台主机并发的要求访问外部网络时,NAT也可实现对并发性请求的响应,允许NAT设备拥有多个公有IP地址.
当第一个内网主机访问外网时,NAT选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内网主机访问外网时,NAT选择另一个公有地址IP2,以此类推,从而满足了多台内网主机访问外网的请求.
11-9NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内网主机并不会同时访问外网.
公有IP地址的数目,应根据网络高峰期可能访问外网的内网主机数目的统计值来确定.
2.
NAPTNAPT(NetworkAddressPortTranslation,网络地址端口转换)是基本地址转换的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为"多对一地址转换".
NAPT同时映射IP地址和端口号:来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是"私网IP地址+端口号"与"公网IP地址+端口号"之间的转换.
下图描述了NAPT的基本原理.
图11-2NAPT基本原理示意图如上图所示,三个带有内部地址的数据报文到达NAT设备,其中报文1和报文2来自同一个内部地址但有不同的源端口号,报文1和报文3来自不同的内部地址但具有相同的源端口号.
通过NAPT映射,三个数据报文的源IP地址都被转换到同一个外部地址,但每个数据报文都被赋予了不同的源端口号,因而仍保留了报文之间的区别.
当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机.
采用NAPT可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问.
3.
EasyIPEasyIP功能是指进行地址转换时,直接使用接口的外网IP地址作为转换后的源地址,能够最大程度的节省IP地址资源.
它也可以利用访问控制列表控制哪些内部地址可以进行地址转换.
4.
虚拟服务器NAT隐藏了内部网络的结构,具有"屏蔽"内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器.
192.
168.
1.
120.
1.
1.
11.
1.
1.
2ServerNATIntranetInternet192.
168.
1.
2HostA192.
168.
1.
3HostBPacket1Src:192.
168.
1.
2:1111Packet2Src:192.
168.
1.
2:2222Packet3Src:192.
168.
1.
3:1111Packet1Src:20.
1.
1.
1:1001Packet2Src:20.
1.
1.
1:1002Packet3Src:20.
1.
1.
1:1003BeforeNAT192.
168.
1.
2:1111AfterNAT20.
1.
1.
1:1001DirectionOutbound192.
168.
1.
2:222220.
1.
1.
1:1002Outbound192.
168.
1.
3:111120.
1.
1.
1:1003Outbound11-10NAT设备提供的虚拟服务器功能,就是通过静态配置"公网IP地址+端口号"与"私网IP地址+端口号"间的映射关系,实现公网IP地址到私网IP地址的"反向"转换.
例如,可以将20.
1.
1.
1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问.
如下图所示,外部网络用户访问虚拟服务器的数据报文经过NAT设备时,NAT设备根据报文的目的地址查找地址转换表项,将访问虚拟服务器的请求报文的目的IP地址和端口号转换成虚拟服务器的私有IP地址和端口号.
当虚拟服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号.
图11-3虚拟服务器基本原理示意图11.
2配置NAT动态转换外部网络和内部网络之间的地址映射关系由报文动态决定.
通过配置访问控制列表和地址池(或接口地址)的关联,由"具有某些特征的IP报文"挑选使用"地址池中地址(或接口地址)",从而建立动态地址映射关系.
适用于内部网络有大量用户需要访问外部网络的需求.
这种情况下,关联中指定的地址池资源由内网报文按需从中选择使用,访问外网的会话结束之后该资源便释放给其它用户.
(1)在左侧导航栏中选择"网络>NAT",进入如下图所示的页面.
192.
168.
1.
3192.
168.
1.
120.
1.
1.
11.
1.
1.
2NATIntranetInternetHostServerDst:20.
1.
1.
1:8080Dst:192.
168.
1.
3:8080Src:192.
168.
1.
3:8080Src:20.
1.
1.
1:8080BeforeNAT20.
1.
1.
1:8080AfterNAT192.
168.
1.
3:8080DirectionInbound11-11图11-4NAT动态转换(2)配置NAT动态转换的信息,详细配置如下表所示.
(3)单击按钮完成操作.
表11-1NAT动态转换的详细配置配置项说明接口选择要配置动态地址转换的接口转换方式选择地址转换的方式接口地址:表示EasyIP方式,直接使用接口的IP地址作为转换后的地址,利用ACL控制哪些地址可以进行地址转换PAT:表示NAPT方式,将ACL和NAT地址池关联,同时转换数据包的IP地址和端口信息No-PAT:表示多对多地址转换方式,将ACL和NAT地址池关联,只转换数据包的IP地址,不使用端口信息开始IP地址配置地址池的开始IP地址结束IP地址配置地址池的结束IP地址,必须大于或等于开始IP地址ACL设置动态地址转换策略中的ACLID,ACL的详细配置请参见《QoS》的相关配置11-1211.
3配置一对一地址转换外部网络和内部网络之间的地址映射关系在配置中确定.
适用于内部网络与外部网络之间的少量固定访问需求.
(1)在左侧导航栏中选择"网络>NAT",点击"一对一地址转换"页签,进入如下图所示的页面.
图11-5一对一地址转换(2)配置一对一地址转换的信息,详细配置如下表所示.
(3)单击按钮并开启接口静态转换规则,完成操作.
表11-2一对一地址转换配置配置项说明内网IP地址设置静态地址映射的内部IP地址外网IP地址设置静态地址映射的外部IP地址接口开启要配置静态地址转换的接口11-1311.
4配置虚拟服务器(1)在导航栏中选择"网络>NAT",点击"虚拟服务器"页签,进入如下图所示的页面.
图11-6虚拟服务器(2)配置虚拟服务器的信息,详细配置如下表所示.
(3)单击按钮完成操作.
表11-3虚拟服务器配置配置项说明接口选择要配置内部服务器策略的接口协议类型选择IP协议承载的协议类型:TCPUDP外部IP地址配置提供给外部访问的合法IP地址可以选择手工指定一个IP地址;或者使用当前接口的IP地址外部端口配置提供给外部访问的服务端口号,0表示任意端口内部IP地址配置服务器在内部局域网的IP地址内部端口配置内部服务器提供的服务端口号,0表示任意端口11-1411.
5配置ALG(应用层网关)应用层协议检测,即ALG(ApplicationLevelGateway,应用层网关),主要完成对应用层报文的处理.
通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析.
然而一些特殊协议,它们报文的数据载荷中可能包含IP地址或端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题.
例如,FTP(FileTransferProtocol,文件传输协议)应用由FTP客户端与FTP服务器之间建立的数据连接和控制连接共同实现,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置完成载荷信息的转换,以保证后续数据连接的正确建立.
(1)在导航栏中选择"网络>NAT",点击"ALG(应用层网关)"页签,进入如下图所示的页面.
图11-7ALG(应用层网关)(2)勾选需要启用应用层协议检测功能的协议.
(3)单击按钮完成操作.
11.
6NAT典型配置举例11.
6.
1NAT动态转换典型配置举例1.
组网需求某公司内网使用的IP地址为192.
168.
0.
0/16,该公司拥有202.
38.
1.
2和202.
38.
1.
3两个外网IP地址.
通过配置NAT使得内部网络中192.
168.
1.
0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet.
11-152.
组网图图11-8NAT动态转换配置组网图3.
配置步骤(1)在左侧导航栏中选择"QoS>ACLIPv4",然后点击"新建"页签,新建ACL:{访问控制列表ID为2000{匹配规则为用户配置{点击按钮完成操作图11-9新建ACL(2)点击"基本配置"页签,配置ACL规则:{访问控制列表为2000{操作为允许{选中"源IP地址"前的复选框,输入源IP地址为"192.
168.
1.
0",输入源地址通配符为"0.
0.
0.
255"{单击按钮完成操作11-16图11-10配置ACL规则允许192.
168.
1.
0/24网段的用户访问Internet(3)在ACL2000下配置规则禁止其他用户访问Internet:{选择操作为"禁止"{单击按钮完成操作11-17图11-11配置ACL规则禁止其他用户访问Internet(4)在左侧导航栏中选择"网络>NAT",默认进入NAT动态转换页面:{选择接口Vlan-interface1{转换方式为PAT{配置开始IP地址为202.
38.
1.
2{配置结束IP地址为202.
38.
1.
3{ACL为2000{单击按钮完成操作11-18图11-12配置NAT动态转换4.
验证配置以上配置完成后,ClientA能够访问Webserver,ClientB无法访问Webserver.
11.
6.
2一对一地址转换典型配置举例1.
组网需求内部网络用户192.
168.
1.
10/24使用外网地址202.
38.
1.
100访问Internet.
2.
组网图图11-13一对一地址转换配置组网图11-193.
配置步骤(1)在左侧导航栏中选择"网络>NAT",点击"一对一地址转换"页签,进入一对一地址转换页面.
(2)创建全局静态转换规则,配置内网IP地址为192.
168.
1.
10,外网IP地址为202.
38.
1.
100.
(3)在接口Vlan-interface1上开启静态转换规则.
图11-14配置一对一地址转换4.
验证配置以上配置完成后,内网主机可以访问外网服务器.
11.
6.
3虚拟服务器典型配置举例1.
组网需求某公司内部对外提供Web服务,公司内部网址为192.
168.
1.
0/24,内部Web服务器的IP地址为192.
168.
1.
2/24.
选用202.
38.
1.
1作为公司对外提供服务的IP地址,实现外部的主机可以访问内部的服务器.
11-202.
组网图图11-15虚拟服务器配置组网图3.
配置步骤#在左侧导航栏中选择"网络>NAT",点击"虚拟服务器"页签,进入虚拟服务器页面:选择接口为"Vlan-interface2"选择协议类型为"TCP"选中外部IP地址的指定IP地址前的单选按钮,输入外部IP地址为"202.
38.
1.
1"在外部端口选择"HTTP"协议,并配置端口为"80"在内部IP地址输入"192.
168.
1.
2"在内部端口选择"HTTP"协议,并配置端口为"80"单击按钮完成操作图11-16配置虚拟服务器11-214.
验证配置以上配置完成后,外部的主机可以访问内部的服务器.