选择区域语言: EN CN HK

H3C WX系列无线控制产品 Web网管配置指导-6W106

06-网络

本章节下载  (1.57 MB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/User_Manual/H3C_WX_WEB_UM-6W106/201011/699386_30005_0.htm

06-网络

  录

1 MAC地址

1.1 概述

1.2 MAC地址配置

1.2.1 配置MAC地址表项

1.2.2 配置MAC地址表项的老化时间

1.3 MAC地址典型配置举例

2 VLAN

2.1 概述

2.1.1 VLAN简介

2.1.2 VLAN原理

2.1.3 VLAN划分

2.1.4 基于端口的VLAN简介

2.2 配置VLAN

2.2.1 配置概述

2.2.2 新建VLAN

2.2.3 配置VLAN中的端口

2.2.4 配置端口所属的VLAN

2.3 VLAN典型配置举例

2.4 注意事项

3 ARP管理

3.1 ARP简介

3.1.1 ARP作用

3.1.2 ARP报文结构

3.1.3 ARP地址解析过程

3.1.4 ARP表

3.2 管理ARP表

3.2.1 查看ARP表项

3.2.2 配置静态ARP表项

3.2.3 静态ARP典型配置举例

3.3 免费ARP

3.3.1 免费ARP简介

3.3.2 配置免费ARP

4 ARP防攻击

4.1 ARP Detection

4.1.1 ARP Detection功能介绍

4.1.2 配置ARP Detection功能

4.2 其他ARP防攻击功能

4.2.1 简介

4.2.2 配置其他ARP防攻击功能

5 IGMP Snooping

5.1 概述

5.1.1 IGMP Snooping原理

5.1.2 IGMP Snooping相关端口

5.1.3 IGMP Snooping工作机制

5.1.4 交换机对组播协议报文的特殊处理规则

5.1.5 协议规范

5.2 配置IGMP Snooping

5.2.1 配置概述

5.2.2 全局使能IGMP Snooping

5.2.3 在VLAN内配置IGMP Snooping

5.2.4 在端口上配置IGMP Snooping

5.2.5 查看IGMP Snooping组播表项信息

5.3 IGMP Snooping典型配置举例

6 IPv4和IPv6路由

6.1 概述

6.1.1 路由表

6.1.2 静态路由

6.1.3 缺省路由

6.2 配置IPv4路由

6.2.1 查看IPv4激活路由表

6.2.2 新建IPv4静态路由

6.3 配置IPv6路由

6.3.1 查看IPv6激活路由表

6.3.2 新建IPv6静态路由

6.4 静态路由典型配置举例

6.4.1 IPv4静态路由配置举例

6.4.2 IPv6静态路由配置举例

6.5 注意事项

7 DHCP

7.1 概述

7.1.1 DHCP简介

7.1.2 DHCP的IP地址分配

7.1.3 DHCP报文格式

7.1.4 DHCP选项

7.1.5 协议规范

7.2 DHCP服务器

7.2.1 DHCP服务器的应用环境

7.2.2 DHCP地址池

7.2.3 DHCP服务器分配IP地址的优先次序

7.2.4 配置DHCP服务器

7.2.5 DHCP服务器典型配置举例

7.3 DHCP中继配置

7.3.1 DHCP中继的应用环境

7.3.2 DHCP中继的基本原理

7.3.3 配置DHCP中继

7.3.4 DHCP中继典型配置举例

7.4 DHCP Snooping

7.4.1 DHCP Snooping作用

7.4.2 信任端口的典型应用环境

7.4.3 DHCP Snooping支持Option 82功能

7.4.4 配置DHCP Snooping

7.4.5 DHCP Snooping典型配置举例

8 DNS

8.1 概述

8.1.1 静态域名解析

8.1.2 动态域名解析

8.1.3 DNS代理

8.2 配置DNS

8.2.1 配置概述

8.2.2 配置静态域名解析表

8.2.3 配置动态域名解析

8.2.4 配置设备为DNS代理

8.2.5 配置DNS服务器的IP地址

8.2.6 配置域名后缀

8.3 DNS典型配置举例

9 服务管理

9.1 概述

9.2 配置服务管理

10 诊断工具

10.1 概述

10.1.1 Ping

10.1.2 Trace Route

10.2 诊断工具操作

10.2.1 Ping操作

10.2.2 Trace Route操作

 


l          本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见用户手册的“特性差异化列表”的“特性支持情况”章节。

l          除非特殊说明,本手册的页面显示信息以WX5004设备为例,实际使用中请以设备实际显示的WEB页面为准。

l          页面上显示为灰色的功能或参数,表示设备不支持或在当前配置下不可修改。

 

1 MAC地址

l          MAC地址模块中对于接口的相关配置,目前只能在二层以太网接口上进行。

l          本章节内容只涉及静态和动态地址表项的管理,不涉及组播MAC地址表项管理的内容。

 

1.1  概述

为了转发报文,设备需要维护MAC地址表。MAC地址表的表项包含了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLAN ID。MAC地址表中的表项包括静态表项和动态表项,其中静态表项是由用户配置的;动态表项包括用户配置的以及设备学习得来的。静态表项不会被老化掉,而动态表项会被老化掉。

设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE)并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。

在设备学习MAC地址时,用户手工配置的静态MAC地址表项不能被学习中获得的动态MAC地址覆盖,而动态MAC地址表项可以被静态MAC地址覆盖。

 

设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:

l              单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。

l              广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。

图1-1 设备的MAC地址表项

 

1.2  MAC地址配置

MAC地址表管理主要包括MAC地址表项的配置和查看,以及MAC地址表项老化时间的配置。

1.2.1  配置MAC地址表项

在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,页面显示所有的MAC地址表项,如图1-2所示。单击<新建>按钮,进入新建MAC地址表项的配置页面,如图1-3所示。

图1-2 MAC

 

图1-3 MAC地址创建

 

新建MAC地址表项的详细配置如表1-1所示。

表1-1 新建MAC地址表项的详细配置

配置项

说明

MAC地址

设置待添加的MAC地址

类型

设置该MAC地址表项的类型,包括:

l      static:表示该表项是静态MAC地址表项,没有老化时间

l      dynamic:表示该表项是动态MAC地址表项,有老化时间

l      blackhole:表示该表项是黑洞MAC地址表项,没有老化时间

在MAC地址表项显示页面的列表中共有如下几种类型:

l      Config static:表示该表项是用户手工配置的静态表项

l      Config dynamic:表示该表项是用户手工配置的动态表项

l      Blackhole:表示该表项是黑洞表项

l      Learned:表示该表项是设备学习得来的动态表项

l      Other:表示该表项为除上述状态外的其他类型

VLAN ID

设置该MAC地址表项所属的VLAN

端口

设置该MAC地址表项所属端口,黑洞表项不需要设置所属端口

 

1.2.2  配置MAC地址表项的老化时间

在导航栏中选择“网络 > MAC地址”,单击“设置”页签,进入MAC地址表项老化时间的配置页面,如图1-4所示。

图1-4 设置

 

MAC地址表项老化时间的详细配置如表1-2所示。

表1-2 增加MAC地址表项的详细配置

配置项

说明

不老化

设置MAC地址表项不会老化

老化时间

设置MAC地址表项的老化,并指定老化时间

 

1.3  MAC地址典型配置举例

1. 组网需求

用户通过Web网管设置MAC地址表功能。要求在VLAN1中的GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71。

2. 配置步骤

# 创建静态MAC地址表项。

l              在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,单击<新建>按钮。在MAC地址创建页面进行如下配置,如图1-5所示。

图1-5 创建静态MAC地址表项

 

l              输入MAC地址为“00e0-fc35-dc71”。

l              选择类型为“static”。

l              选择VLAN ID为“1”。

l              选择端口为“GigabitEthernet1/0/1”。

l              单击<确定>按钮完成操作。

 


2 VLAN

2.1  概述

2.1.1  VLAN简介

以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virtual Local Area Network,虚拟局域网)技术,这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。这样,广播报文被限制在一个VLAN内,如图2-1所示。

图2-1 VLAN示意图

 

VLAN的划分不受物理位置的限制:不在同一物理位置范围的主机可以属于同一个VLAN;一个VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由器。

VLAN的优点如下:

l              限制广播域。广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。

l              增强局域网的安全性。VLAN间的二层报文是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需通过路由器或三层交换机等三层设备。

l              灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。

2.1.2  VLAN原理

要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层,只能对报文的数据链路层封装进行识别。因此,如果添加识别字段,也需要添加到数据链路层封装中。

IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN标识的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段,如图2-2所示。

图2-2 传统以太网帧封装格式

 

其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文所属协议类型。

IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。

图2-3 VLAN Tag的组成字段

 

图2-3所示,VLAN Tag包含四个字段,分别是TPID(Tag Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式指示位)和VLAN ID。

l              TPID用来标识本数据帧是带有VLAN Tag的数据,长度为16bit,取值为0x8100。

l              Priority表示报文的优先级,长度为3bit。

l              CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。

l              VLAN ID标识该报文所属VLAN的编号,长度为12bit,取值范围为0~4095。由于0和4095为协议保留取值,所以VLAN ID的取值范围为1~4094。

网络设备利用VLAN ID来识别报文所属的VLAN,根据报文是否携带VLAN Tag以及携带的VLAN Tag值,来对报文进行处理。

这里的帧格式以Ethernet II型封装为例,以太网还支持802.2 LLC、802.2 SNAP和802.3 raw封装格式。对于这些封装格式的报文,也会添加VLAN Tag字段,用来区分不同VLAN的报文。

 

2.1.3  VLAN划分

VLAN根据划分方式不同可以分为不同类型,下面列出了6中最常见的VLAN类型:

l              基于端口的VLAN

l              基于MAC地址的VLAN

l              基于协议的VLAN

l              基于IP子网的VLAN

l              基于策略的VLAN

l              其它VLAN

Web界面目前只支持对基于端口的VLAN的配置,因此,本章中也只对基于端口的VLAN进行介绍。

2.1.4  基于端口的VLAN简介

基于端口划分VLAN是VLAN最简单、最有效的划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文。

1. 端口的连接类型

根据端口在转发报文时对Tag标签的不同处理方式,可将端口的连接类型分为三种:

l              Access类型:端口只能属于1个VLAN,一般用于连接用户设备。

l              Trunk类型:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于网络设备之间的连接。

l              Hybrid类型:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。

Trunk端口和Hybrid端口的不同之处在于:

l              Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。

l              Hybrid端口允许多个VLAN的报文发送时不带Tag标签。

2. 缺省VLAN(PVID)

除了可以设置端口允许通过的VLAN,还可以设置端口的缺省VLAN。在缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。

l              Access端口的缺省VLAN就是它所属的VLAN,不能配置。

l              Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置缺省VLAN。

在配置了端口连接类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况如表2-1所示。

表2-1 端口收发报文的处理

端口类型

对接收报文的处理

对发送报文的处理

接收的报文不带Tag时

接收的报文带Tag时

Access

为报文打上缺省VLAN的Tag

l      当VLAN ID与缺省VLAN相同时,接收该报文

l      当VLAN ID与缺省VLAN ID不同时,丢弃该报文

由于VLAN ID与缺省VLAN ID相同,去掉Tag,发送该报文

Trunk

l      当缺省VLAN在端口允许通过的VLAN列表中时,接收该报文,为报文打上缺省VLAN的Tag

l      当缺省VLAN不在端口允许通过的VLAN列表中时,丢弃该报文

l      当VLAN在端口允许通过的VLAN列表中时,接收该报文

l      当VLAN ID不在端口允许通过的VLAN列表中时,丢弃该报文

l      当VLAN ID与缺省VLAN ID相同时,去掉Tag,发送该报文

l      当VLAN ID与缺省VLAN ID不同,且在端口允许通过的VLAN列表中时,保持原有Tag,发送该报文

Hybrid

当VLAN在端口允许通过的VLAN列表中时,发送该报文,是否去掉Tag可由用户手动配置

 

2.2  配置VLAN

2.2.1  配置概述

VLAN配置的推荐步骤如表2-2所示。

表2-2 VLAN配置步骤

步骤

配置任务

说明

1

2.2.2  新建VLAN

必选

新建一个或多个VLAN

2

2.2.3  配置VLAN中的端口

二者至少选择其一

配置VLAN的Untagged、Tagged成员,或从VLAN中删除成员

3

2.2.4  配置端口所属的VLAN

 

2.2.2  新建VLAN

在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,如图2-4所示。单击<新建>按钮,进入新建VLAN的配置页面,如图2-5所示。

图2-4 VLAN

 

图2-5 新建VLAN

 

新建VLAN的详细配置如表2-3所示。

表2-3 新建VLAN的详细配置

配置项

说明

VLAN ID

设置要创建的VLAN ID

 

可点击返回“表2-2 VLAN配置步骤”。

2.2.3  配置VLAN中的端口

在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,如图2-4所示。在VLAN列表中找到要修改VLAN,单击对应的“操作”列中的图标,进入修改VLAN的配置页面,如图2-6所示。

图2-6 修改VLAN

 

VLAN中端口的详细配置如表2-4所示。

表2-4 VLAN中端口的详细配置

配置项

说明

ID

显示要修改的VLAN的ID

描述

设置VLAN的描述字符串

缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,如“VLAN 0001”

端口

Untagged成员端口

设置VLAN中要修改的端口成员类型

在端口列表中找到要加入或删除的端口,在端口对应的“Untagged成员端口”、“Tagged成员端口”和“非成员”列的单选按钮中进行选择:

l      Untagged:表示端口成员发送该VLAN报文时不带Tag标签

l      Tagged:表示端口成员发送该VLAN报文时带Tag标签

l      非成员:表示从该VLAN中删除端口成员

Tagged成员端口

非成员

 

可点击返回“表2-2 VLAN配置步骤”。

2.2.4  配置端口所属的VLAN

在导航栏中选择“网络 > VLAN”,单击“端口”页签,进入端口显示页面,如图2-7所示。在端口列表中找到要修改端口,单击对应的“操作”列中的图标,进入修改端口的配置页面,如图2-8所示。

图2-7 端口

 

图2-8 修改端口

 

端口所属VLAN的详细配置如表2-5所示。

表2-5 端口所属VLAN的详细配置

配置项

说明

端口

显示要修改所属VLAN的端口

Untagged成员VLAN

显示该端口目前是哪个或哪些VLAN的Untagged成员

Tagged成员VLAN

显示该端口目前是哪个或哪些VLAN的Tagged成员

成员类型

Untagged

设置端口要修改为的成员类型

在“Untagged”、“Tagged”和“非成员”前的单选按钮中进行选择

l      Untagged:表示端口成员发送该VLAN报文时不带Tag标签

l      Tagged:表示端口成员发送该VLAN报文时带Tag标签

l      非成员:表示从该VLAN中删除端口成员

Tagged

非成员

VLAN ID

设置要修改端口成员的目的VLAN

 

可点击返回“表2-2 VLAN配置步骤”。

2.3  VLAN典型配置举例

1. 组网需求

l              AC 1与对端AC 2使用GigabitEthernet1/0/1相连;

l              GigabitEthernet1/0/1为Trunk端口,缺省VLAN ID为100;

l              配置GigabitEthernet1/0/1,使该端口允许VLAN 2、VLAN 6到VLAN 50、VLAN 100的报文通过。

图2-9 VLAN配置组网图

 

2. 配置步骤

(1)        配置AC 1

# 创建VLAN 2、VLAN 6到VLAN 50、VLAN 100。

l              在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,单击<新建>按钮,如图2-10所示。在新建VLAN的页面进行如下配置,如图2-11所示。

图2-10 VLAN

 

图2-11 新建VLAN

 

l              输入VLAN ID为“2,6-50,100”。

l              单击<确定>按钮完成操作。

# 通过修改VLAN来配置GigabitEthernet1/0/1为VLAN 100的Untagged成员。

l              在“VLAN”页签的页面输入VLAN范围为“100”,单击<选择>按钮,如图2-12所示。

图2-12 VLAN选择

 

l              VLAN列表只显示VLAN 100,单击其对应的“操作”列中的图标,如图2-13所示。在修改VLAN的页面进行如下配置,如图2-14所示。

图2-13 VLAN

 

图2-14 修改VLAN

 

l              在端口列表中找到端口“GigabitEthernet1/0/1”。

l              选中该端口对应的“Untagged成员端口”列中的单选按钮。

l              单击<确定>按钮完成操作。

# 通过修改端口来配置GigabitEthernet1/0/1为VLAN 2、VLAN 6到VLAN 50的Tagged成员。

l              在导航栏中选择“网络 > VLAN”,单击“端口”页签。

l              在端口列表中找到端口“GigabitEthernet1/0/1”,单击对应的“操作”列中的图标,如图2-15所示。在修改端口的页面进行如下配置,如图2-16所示。

图2-15 端口

 

图2-16 修改端口

 

l              选中“Tagged”成员类型前的单选按钮。

l              输入VLAN ID为“2,6-50”。

l              单击<确定>按钮,弹出如图2-17所示的对话框。

图2-17 确认配置对话框

 

l              在对话框中单击<确定>完成操作。

(2)        配置AC 2

与AC 1上的配置步骤相似,不再赘述。

2.4  注意事项

配置VLAN时需要注意如下事项:

(1)        VLAN1为系统缺省VLAN,用户不能手工创建和删除。

(2)        保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除。

(3)        在VLAN显示页面,如图2-4所示,在“VLAN范围”文本框中输入一个VLAN范围,单击<选择>按钮,则下面列表中将只显示符合该范围的所有VLAN的信息,对VLAN的查询也将在此范围中进行,这样可以在存在大量VLAN时方便用户的操作;单击<删除>按钮,则会将符合该范围的VLAN全部删除。

(4)        用户不能手工删除设备上动态学习到的VLAN。

 


3 ARP管理

3.1  ARP简介

3.1.1  ARP作用

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。

3.1.2  ARP报文结构

ARP报文分为ARP请求和ARP应答报文,报文格式如图3-1所示。

图3-1 ARP报文结构

 

l              硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。

l              协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。

l              硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。

l              操作类型(OP):1表示ARP请求,2表示ARP应答。

l              发送端MAC地址:发送方设备的硬件地址。

l              发送端IP地址:发送方设备的IP地址。

l              目标MAC地址:接收方设备的硬件地址。

l              目标IP地址:接收方设备的IP地址。

3.1.3  ARP地址解析过程

假设主机A和B在同一个网段,主机A要向主机B发送信息。如图3-2所示,具体的地址解析过程如下:

(1)        主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。

(2)        如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。

(3)        主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。

(4)        主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。

图3-2 ARP地址解析过程

 

当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。

3.1.4  ARP

设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。

ARP表项分为动态ARP表项和静态ARP表项。

1. 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。

2. 静态ARP表项

静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

静态ARP表项分为短静态ARP表项和长静态ARP表项。

l              在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。

l              在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN虚接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,之后就可以用于IP数据包的转发。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

 

3.2  管理ARP

3.2.1  查看ARP表项

在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图3-3所示。页面显示所有ARP表项的信息。

图3-3 ARP

 

3.2.2  配置静态ARP表项

在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图3-3所示。单击<新建>按钮,进入新建静态ARP表项的配置页面,选中“高级选项”前的复选框,可以展开静态ARP表项的高级配置项,如图3-4所示。

图3-4 新建静态ARP

 

静态ARP表项的详细配置如表3-1所示。

表3-1 静态ARP表项的详细配置

配置项

说明

IP地址

设置静态ARP表项的IP地址

MAC地址

设置静态ARP表项的MAC地址

高级选项

VLAN ID

设置静态ARP表项所属的VLAN和端口

指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLAN ID对应的VLAN虚接口必须已经创建

端口

 

3.2.3  静态ARP典型配置举例

1. 组网需求

l              AC通过接口GigabitEthernet1/0/1连接Router。接口GigabitEthernet1/0/1属于VLAN 100。

l              Router的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。

为了增加AC和Router通信的安全性,可以在AC上配置静态ARP表项。

图3-5 静态ARP配置组网图

 

2. 配置步骤

# 创建VLAN 100。

l              在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,单击<新建>按钮,进行如下配置,如图3-6所示。

图3-6 新建VLAN 100

 

l              输入VLAN ID为“100”。

l              单击<确定>按钮完成操作。

# 将端口GigabitEthernet1/0/1加入到VLAN 100中。

l              在“VLAN”页签的页面单击VLAN 100对应的图标,进行如下配置,如图3-7所示。

图3-7 将端口添加到VLAN 100

 

l              选择端口GigabitEthernet1/0/1为“Untagged成员端口”。

l              单击<确定>按钮完成操作。

# 配置Vlan-interface100。

l              在导航栏中选择“设备 > 接口管理”,单击<新建>按钮,进行如下配置,如图3-8所示。

图3-8 创建Vlan-interface100

 

l              在接口名称中选择接口类型为“Vlan-interface”,输入接口编号为“100”。

l              选择IP配置为“静态地址”。

l              输入IP地址为“192.168.1.2”。

l              选择网络掩码为“24 (255.255.255.0)”。

l              单击<确定>按钮完成操作。

# 配置静态ARP表项。

l              在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,单击<新建>按钮。进行如下配置,如图3-9所示。

图3-9 新建静态ARP表项

 

l              输入IP地址为“192.168.1.1”。

l              输入MAC地址为“00e0-fc01-0000”。

l              选中“高级选项”前的复选框。

l              输入VLAN ID为“100”。

l              选择端口为“GigabitEthernet1/0/1”。

l              单击<确定>按钮完成操作。

3.3  免费ARP

3.3.1  免费ARP简介

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,发送者MAC地址是本机MAC地址,目标MAC地址是广播地址。

设备通过对外发送免费ARP报文,实现以下功能:

l              确定其它设备的IP地址是否与本机IP地址冲突。

l              设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。

设备通过学习免费ARP报文,实现以下功能:

对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到本地动态ARP映射表中。

3.3.2  配置免费ARP

在导航栏中选择“网络 > ARP管理”,单击“免费ARP”页签,进入如图3-10所示的页面。

图3-10 免费ARP

 

免费ARP的详细配置如表3-2所示。

表3-2 免费ARP的详细配置

配置项

说明

关闭学习免费ARP报文

设置是否关闭免费ARP报文学习功能

缺省情况下,免费ARP报文学习功能处于开启状态

收到非同一网段ARP请求时发送免费ARP报文

设置使能收到非同一网段ARP请求时发送免费ARP报文功能

缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文

 


4 ARP防攻击

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。

下面将详细介绍一下这些技术的原理以及配置。

4.1  ARP Detection

4.1.1  ARP Detection功能介绍

为了防止黑客或攻击者通过ARP报文实施“中间人”攻击,用户可以通过配置ARP Detection功能,对于合法用户的ARP报文进行正常转发,否则丢弃,从而防止“中间人”攻击。

1. “中间人”攻击简介

按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。

图4-1所示,Host A和Host C通过Device进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行窃取和篡改。这种攻击方式就称作“中间人”攻击。

图4-1 ARP“中间人”攻击示意图

 

2. ARP Detection工作原理

某VLAN内开启ARP Detection功能后,该VLAN内所有端口接收到的ARP(请求与应答)报文将被重定向到CPU进行报文的用户合法性检查和报文有效性检查:如果认为该ARP报文合法,则进行转发;否则直接丢弃。

(1)        用户合法性检查

对于ARP信任端口,不进行用户合法性检查;对于ARP非信任端口,只要其所在VLAN使能ARP Detection功能即进行用户合法性检查,以防止仿冒用户的攻击。

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查。

l              首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项,认为该ARP报文合法,进行转发。如果找到了对应源IP地址的静态绑定表项但源MAC地址不符,认为该ARP报文非法,进行丢弃。如果没有找到对应源IP地址的静态绑定表项,继续进行DHCP Snooping安全表项、802.1X安全表项和OUI MAC地址检查。

l              在基于IP Source Guard静态绑定表项检查之后进行基于DHCP Snooping安全表项、802.1X安全表项和OUI MAC地址检查,只要符合三者中任何一个,就认为该ARP报文合法,进行转发。其中,OUI MAC地址检查指的是,只要ARP报文的源MAC地址为OUI MAC地址就认为是合法报文,检查通过。

l              如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。

(2)        ARP报文有效性检查

对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,当设置了ARP报文有效性检查功能时,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。

l              对于源MAC地址的检查模式,会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致认为有效,否则丢弃;

l              对于目的MAC地址的检查模式(只针对ARP应答报文),会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃;

l              对于IP地址检查模式,会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

4.1.2  配置ARP Detection功能

如果配置了报文有效性检查功能,则先进行报文有效性检查,然后进行ARP用户合法性检查。

 

在导航栏中选择“网络 > ARP防攻击”,默认进入“ARP Detection”页签的页面,如图4-2所示。

图4-2 ARP Detection

 

ARP Detection的详细配置如表4-1所示。

表4-1 ARP Detection的详细配置

配置项

说明

VLAN配置

设置要使能ARP Detection功能的VLAN

在“未使能VLAN”列表框中选中一个或多个VLAN,单击“<<”按钮,可以将选中的VLAN添加到“已使能VLAN”列表框中;在“已使能VLAN”列表框中选中一个或多个VLAN,单击“>>”按钮,可以将选中的VLAN添加到“未使能VLAN”列表框中

信任端口

设置ARP信任端口和非信任端口

在“非信任端口”列表框中选中一个或多个端口,单击“<<”按钮,可以将选中的端口添加到“信任端口”列表框中;在“信任端口”列表框中选中一个或多个端口,单击“>>”按钮,可以将选中的端口添加到“非信任端口”列表框中

报文检查

设置对ARP报文进行有效性检查的方式,包括:

l      如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文

l      如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文

l      如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文

如果未配置任何ARP有效性检查方式,则不对ARP报文进行有效性检查

 

4.2  其他ARP防攻击功能

4.2.1  简介

1. 固定源MAC攻击检测功能

本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,打印对应的告警信息,并对此源MAC地址对应的用户进行限制。

只对上送CPU的ARP报文进行统计。

2. ARP主动确认功能

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。使能ARP主动确认功能之后,当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时,设备首先判断ARP表项刷新时间是否超过1分钟,如果没有超过1分钟,则不更新ARP表项。否则向ARP表项对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到ARP应答报文,则忽略之前收到的ARP攻击报文;如果没有收到ARP应答报文,则向之前收到的ARP报文对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到了ARP应答报文,则根据之前收到的ARP报文更新ARP表项,否则ARP表项不会被修改。

3. ARP报文源MAC一致性检查功能

ARP报文源MAC一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

在ARP Detection中也对源MAC一致性进行了检查,但这两者功能不同。ARP Detection中的源MAC一致性检查,是在接入设备上使能ARP Detection,对上送的ARP报文进行源MAC一致性的检查。而这里的源MAC一致性检查,是网关设备在学习ARP之前,对要被学习的ARP报文进行检查。

4.2.2  配置其他ARP防攻击功能

在导航栏中选择“网络 > ARP防攻击”,单击“高级设置”页签,进入如图4-3所示的页面。

图4-3 高级设置

 

其他ARP防攻击功能的详细配置如表4-2所示。

表4-2 其他ARP防攻击功能的详细配置

配置项

说明

固定源MAC攻击检测

检测模式

设置固定源MAC攻击检测功能的检测模式,包括:

l      不检测:不进行固定源MAC攻击检测

l      过滤模式检测:当设备在5秒内收到某个MAC地址发送的ARP报文个数超过了设置的阈值时,打印告警信息并将该源MAC地址发送的ARP报文过滤掉

l      监控模式检测:当设备在5秒内收到某个MAC地址发送的ARP报文个数超过了设置的阈值时,只打印告警信息

检测表项老化时间

设置固定源MAC攻击检测表项的老化时间

检测阈值

设置固定源MAC攻击检测的阈值

配置保护MAC

设置受保护的MAC地址

配置保护MAC后,即使该MAC地址存在攻击也不会被检测过滤。一般对于网关或重要服务器,可以将其MAC地址添加到保护MAC中

单击“配置保护MAC”前的扩展按钮,展开如图4-4所示的内容。输入MAC地址,单击<添加>按钮,即可将该MAC地址添加到保护MAC列表中

启用ARP主动确认功能

设置是否启用ARP主动确认功能

启用ARP报文源MAC一致性检查功能

设置是否启用ARP报文源MAC一致性检查功能

 

图4-4 配置保护MAC

 


5 IGMP Snooping

5.1  概述

IGMP Snooping是Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组。

5.1.1  IGMP Snooping原理

运行IGMP Snooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。

图5-1所示,当二层设备没有运行IGMP Snooping时,组播数据在二层被广播;当二层设备运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。

图5-1 二层设备运行IGMP Snooping前后的对比

 

5.1.2  IGMP Snooping相关端口

图5-2所示,Router A连接组播源,在Switch A和Switch B上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。

图5-2 IGMP Snooping相关端口

 

结合图5-2,介绍一下IGMP Snooping相关的端口概念:

l              路由器端口(Router Port):交换机上朝向三层组播设备(DR或IGMP查询器)一侧的端口,如Switch A和Switch B各自的Ethernet1/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。

l              成员端口(Member Port):又称组播组成员端口,表示交换机上朝向组播组成员一侧的端口,如Switch A的Ethernet1/2和Ethernet1/3端口,以及Switch B的Ethernet1/2端口。交换机将本设备上的所有成员端口都记录在IGMP Snooping转发表中。

l          本文中提到的路由器端口都是指交换机上朝向组播路由器的端口,而不是指路由器上的端口。

l          如没有特别说明,本文中提到的路由器/成员端口均包括动态和静态端口。

l          在运行了IGMP Snooping的交换机上,所有收到源地址不为0.0.0.0的IGMP普遍组查询报文或PIM Hello报文的端口都将被视为动态路由器端口。

 

5.1.3  IGMP Snooping工作机制

运行了IGMP Snooping的交换机对不同IGMP动作的具体处理方式如下:

本节中所描述的增删端口动作均只针对动态端口。

 

1. 普遍组查询

IGMP查询器定期向本地网段内的所有主机与路由器(224.0.0.1)发送IGMP普遍组查询报文,以查询该网段有哪些组播组的成员。

在收到IGMP普遍组查询报文时,交换机将其通过VLAN内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:

l              如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。

l              如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动其老化定时器。

2. 报告成员关系

以下情况,主机会向IGMP查询器发送IGMP成员关系报告报文:

l              当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。

l              如果主机要加入某个组播组,它会主动向IGMP查询器发送IGMP成员关系报告报文以声明加入该组播组。

在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:

l              如果不存在该组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;

l              如果已存在该组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;

l              如果已存在该组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器。

交换机不会将IGMP成员关系报告报文通过非路由器端口转发出去,因为根据IGMP成员关系报告抑制机制,如果非路由器端口下还有该组播组的成员主机,则这些主机在收到该报告报文后便抑制了自身的报告,从而使交换机无法获知这些端口下还有该组播组的成员主机。

 

3. 离开组播组

运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的动态成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除。

运行IGMPv2或IGMPv3的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。当交换机从某动态成员端口上收到IGMP离开组报文时,首先判断要离开的组播组所对应的转发表项是否存在,以及该组播组所对应转发表项的出端口列表中是否包含该接收端口:

l              如果不存在该组播组对应的转发表项,或者该组播组对应转发表项的出端口列表中不包含该端口,交换机不会向任何端口转发该报文,而将其直接丢弃;

l              如果存在该组播组对应的转发表项,且该组播组对应转发表项的出端口列表中包含该端口,交换机会将该报文通过VLAN内的所有路由器端口转发出去。同时,由于并不知道该接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口从该组播组所对应转发表项的出端口列表中删除,而是重置其老化定时器。

当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。对于IGMP离开组报文的接收端口(假定为动态成员端口),交换机在其老化时间内:

l              如果从该端口收到了主机响应该特定组查询的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置其老化定时器;

l              如果没有从该端口收到主机响应特定组查询的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在其老化时间超时后,将其从该组播组所对应转发表项的出端口列表中删除。

5.1.4  交换机对组播协议报文的特殊处理规则

支持IGMP Snooping功能的交换机使能了三层组播路由后,在不同的情况下对各种组播协议报文的处理有所差异。具体规则如下:

(1)        如果交换机上只使能了IGMP,或同时使能了IGMP和PIM,进行常规处理。

(2)        如果交换机上只使能了PIM:

l              对于IGMP报文,将其当作未知报文在VLAN内进行广播;

l              对于PIM Hello报文,则会为其维护相应的动态路由器端口。

(3)        在交换机上关闭IGMP时:

l              如果未使能PIM,则删除所有动态成员端口和动态路由器端口;

l              如果已使能PIM,则删除动态成员端口,只保留动态路由器端口。

(4)        在交换机上关闭PIM时:

l              如果未使能IGMP,则删除动态路由器端口;

l              如果已使能IGMP,则保留所有动态成员端口和动态路由器端口。

5.1.5  协议规范

与IGMP Snooping相关的协议规范有:

l              RFC 4541:Considerations for Internet Group Management Protocol (IGMP) and Multicast Listener Discovery (MLD) Snooping Switches

5.2  配置IGMP Snooping

5.2.1  配置概述

IGMP Snooping配置的推荐步骤如表5-1所示。

表5-1 IGMP Snooping配置步骤

步骤

配置任务

说明

1

5.2.2  全局使能IGMP Snooping

必选

缺省情况下,全局IGMP Snooping处于禁止状态

2

5.2.3  在VLAN内配置IGMP Snooping

必选

在VLAN内使能IGMP Snooping,配置IGMP Snooping版本、查询器等功能

缺省情况下,VLAN内的IGMP Snooping处于禁止状态

l      在VLAN内配置IGMP Snooping之前,必须先在全局使能IGMP Snooping

l      在VLAN内使能IGMP Snooping之后,不允许在该VLAN所对应的VLAN接口上再使能IGMP和PIM,反之亦然

l      在VLAN内使能了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效

3

5.2.4  在端口上配置IGMP Snooping

可选

在指定VLAN内容配置端口的最大组播组数和端口快速离开功能

l      在端口上配置IGMP Snooping之前,必须先全局使能组播路由或IGMP Snooping

l      在VLAN内使能IGMP Snooping或者VLAN接口上使能IGMP的情况下,端口上的IGMP Snooping配置才生效

4

5.2.5  查看IGMP Snooping组播表项信息

可选

 

5.2.2  全局使能IGMP Snooping

在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图5-3所示。

图5-3 基本配置

 

全局使能IGMP Snooping的详细配置如表5-2所示。

表5-2 全局使能IGMP Snooping的详细配置

配置项

说明

IGMP Snooping

设置在全局使能或禁止IGMP Snooping

 

可点击返回“表5-1 IGMP Snooping配置步骤”。

5.2.3  在VLAN内配置IGMP Snooping

在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图5-3所示。在“VLAN配置”中单击要配置的VLAN对应的图标,进入该VLAN的IGMP Snooping配置页面,如图5-4所示。

图5-4 VLAN配置

 

VLAN内IGMP Snooping的详细配置如表5-3所示。

表5-3 VLAN内IGMP Snooping的详细配置

配置项

说明

VLAN ID

显示当前要配置的VLAN的ID

IGMP Snooping

设置在该VLAN内使能或禁止IGMP Snooping

只有在此项选择“Enable”时,才能进行后面配置项的设置

版本

设置IGMP Snooping的版本,即设置IGMP Snooping可以处理的IGMP报文的版本

l      当IGMP Snooping的版本为2时,IGMP Snooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播

l      当IGMP Snooping的版本为3时,IGMP Snooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理

丢弃未知组播数据报文

设置使能或禁止丢弃未知组播数据报文功能

未知组播数据报文是指在IGMP Snooping转发表中不存在对应转发表项的那些组播数据报文:

l      当使能丢弃未知组播数据报文功能时,交换机将丢弃所有收到的未知组播数据报文

l      当禁止丢弃未知组播数据报文功能时,交换机将在未知组播数据报文所属的VLAN内广播该报文

查询器

设置使能或禁止IGMP Snooping查询器功能

在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据

查询间隔

设置发送IGMP普遍组查询报文的时间间隔

 

可点击返回“表5-1 IGMP Snooping配置步骤”。

5.2.4  在端口上配置IGMP Snooping

在导航栏中选择“网络 > IGMP Snooping”,单击“高级配置”页签,进入如图5-5所示的页面。

图5-5 高级配置

 

IGMP Snooping高级参数的详细配置如表5-4所示。

表5-4 IGMP Snooping高级参数的详细配置

配置项

说明

端口名称

设置要进行IGMP Snooping高级配置的端口

选择一个端口后,页面下方的列表中显示该端口的高级配置信息

VLAN ID

设置在指定VLAN内配置端口快速离开功能或配置允许端口加入的组播组最大数量

最大组播组数

设置允许端口加入的组播组最大数量

通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量

在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMP Snooping转发表中删除,该端口上的主机需要重新加入组播组

端口快速离开

设置在指定端口上使能或禁止快速离开功能

端口快速离开是指当交换机从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当交换机收到对该组播组的IGMP特定组查询报文时,交换机将不再向该端口转发。在交换机上,如果端口下只连接有一个接收者,则可以通过使能端口快速离开功能以节约带宽和资源

在使能了端口快速离开功能后,当端口下有多个用户时,一个用户的离开会导致该端口下属于同一组播组的其它用户无法收到组播数据

 

可点击返回“表5-1 IGMP Snooping配置步骤”。

5.2.5  查看IGMP Snooping组播表项信息

在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图5-3所示。单击“显示表项”前的扩展按钮,可以查看IGMP Snooping组播表项的概要信息,如图5-6所示。单击要查看的表项对应的图标,进入该IGMP Snooping组播表项详细信息的显示页面,如图5-7所示。

图5-6 显示表项

 

图5-7 IGMP Snooping组播表项详细信息的显示页面

 

IGMP Snooping组播表项信息的详细说明如表5-5所示。

表5-5 IGMP Snooping组播表项信息的详细说明

标题项

说明

VLAN ID

组播表项所属VLAN的ID

源地址

组播源地址,0.0.0.0表示所有组播源

组地址

组播组地址

路由器端口

所有路由器端口

成员端口

所有成员端口

 

可点击返回“表5-1 IGMP Snooping配置步骤”。

5.3  IGMP Snooping典型配置举例

1. 组网需求

l              图5-8所示,Router A通过Ethernet1/2接口连接组播源(Source),通过Ethernet1/1接口连接AC。

l              组播源(Source)向组播组224.1.1.1发送组播数据,Host A是组播组224.1.1.1的接收者(Receiver)。

l              Router A上运行IGMPv2,AC上运行版本2的IGMP Snooping。

l              为了防止AC在没有二层组播转发表项时将组播数据在VLAN内广播,在AC上使能丢弃未知组播数据报文的功能。

l              为了节约带宽和资源,在AC的GigabitEthernet1/0/2口上使能端口快速离开功能。

图5-8 IGMP Snooping配置组网图

 

2. 配置步骤

(1)        配置IP地址

按照图5-8配置各接口的IP地址,具体配置过程略。

(2)        配置Router A

Router A上使能IP组播路由,在各接口上使能PIM-DM,并在接口Ethernet1/1上使能IGMP。具体配置过程略。

(3)        配置AC

# 创建VLAN 100,并把端口GigabitEthernet1/0/1和GigabitEthernet1/0/2添加到该VLAN中。

l              AC的导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,单击<新建>按钮,如图5-9所示。进行如下配置,如图5-10所示。

图5-9 VLAN

 

图5-10 创建VLAN 100

 

l              输入VLAN ID为“100”。

l              单击<确定>按钮完成操作。

l              单击VLAN 100对应的图标,进入修改VLAN的页面,进行如下配置,如图5-11所示。

图5-11 把端口添加到该VLAN

 

l              选择将端口“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”设置为VLAN 100的Untagged成员端口。

l              单击<确定>按钮完成操作。

# 全局使能IGMP Snooping。

l              在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,进行如下配置,如图5-12所示。

图5-12 全局使能IGMP Snooping

 

l              选中IGMP Snooping“Enable”前的单选按钮。

l              单击<确定>按钮完成操作。

# 在VLAN 100内使能IGMP Snooping和丢弃未知组播数据报文功能。

l              单击VLAN 100对应的图标,在VLAN配置页面进行如下配置,如图5-13所示。

图5-13 VLAN配置

 

l              选中IGMP Snooping“Enable”前的单选按钮。

l              选中丢弃未知组播数据报文“Enable”前的单选按钮。

l              单击<确定>按钮完成操作。

# 在GigabitEthernet1/0/2口上使能端口快速离开功能。

l              单击“高级配置”页签,进行如下配置,如图5-14所示。

图5-14 高级配置

 

l              选择端口名称为“GigabitEthernet1/0/2”。

l              输入VLAN ID为“100”。

l              选中端口快速离开“Enable”前的单选按钮。

l              单击<确定>按钮完成操作。

3. 配置结果验证

# 在AC上查看IGMP Snooping组播表项的信息。

l              单击“基本配置”页签,单击“显示表项”前的扩展按钮,可以查看到IGMP Snooping组播表项概要信息,如图5-15所示。

图5-15 配置结果(IGMP Snooping组播表项概要信息)

 

l              在概要信息表中单击VLAN 100的IGMP Snooping组播表项(0.0.0.0,224.1.1.1)对应的图标,可以查看到该IGMP Snooping组播表项的详细信息,如图5-16所示。

图5-16 配置结果(IGMP Snooping组播表项详细信息)

 

由此可见,AC上的端口GigabitEthernet1/0/2已经加入了组播组224.1.1.1。

 


6 IPv4和IPv6路由

l          本章所指的路由器代表了一般意义下的路由器或运行了路由协议的WX系列无线控制产品。为提高可读性,在手册的描述中将不另行说明。

l          IPv6路由的支持情况与设备的型号有关,各产品的支持情况请参见“特型性差异化列表”,实际使用中请以设备实际情况为准。

 

6.1  概述

在因特网中进行路由选择要使用路由器,路由器根据所收到的报文的目的地址选择一条合适的路由(通过某一网络),并将报文传送到下一个路由器。路径中最后的路由器负责将报文送交目的主机。

6.1.1  路由表

路由器转发报文的关键是路由表。每个路由器中都保存着一张路由表,表中每条路由项都指明了要到达某子网或某主机的报文应通过路由器的哪个接口发送,可到达该路径的下一跳,或者不需再经过别的路由器便可传送到直接相连的网络中的目的主机。

根据来源不同,路由表中的路由通常可分为以下三类:

l              链路层协议发现的路由(也称为接口路由或直连路由)

l              由网络管理员手工配置的静态路由

l              动态路由协议发现的路由

路由表中包含了下列关键项:

l              目的地址:用来标识IP数据报的目的主机地址或目的网络。

l              网络掩码(IPv4)/前缀长度(IPv6):与目的地址一起来标识目的主机或路由器所在网段。

l              出接口:指明IP报文将从该路由器哪个接口转发。

l              下一跳:更接近目的网络的下一个路由器的IP地址。如果只配置了出接口,则下一跳是出接口的IP地址。

l              本条路由加入IP路由表的优先级:对于同一目的地,可能存在若干条不同下一跳的路由。这些不同的路由可能是由不同的路由协议发现的,也可能是手工配置的静态路由。优先级高(即数值小)的路由将成为当前的最优路由。

6.1.2  静态路由

静态路由是由管理员手工配置的路由。当组网结构比较简单网络中,只需配置静态路由就可以了。恰当地设置和使用静态路由可以改善网络的性能,并可为重要的网络应用保证带宽。

静态路由的缺点在于:不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,可能会出现路由不可达,导致网络中断,此时必须由网络管理员手工修改静态路由的配置。

配置静态路由时,可指定出接口,也可指定下一跳。指定出接口还是指定下一跳要视具体情况而定,下一跳不能为本地接口IP地址,否则路由不会生效。

实际上,所有的路由项都必须明确下一跳。在发送报文时,首先根据报文的目的地址寻找路由表中与之匹配的路由。只有指定了下一跳,链路层才能找到对应的链路层地址,并转发报文。

6.1.3  缺省路由

缺省路由是在路由器没有找到匹配的路由表入口项时才使用的路由:

l              如果报文的目的地址不能与路由表的任何入口项相匹配,那么该报文将选取缺省路由;

l              如果没有缺省路由且报文的目的地不在路由表中,那么该报文将被丢弃,并向源端返回一个目标网络不可达的ICMP报文。

缺省路由可以通过静态路由配置,也可以由某些动态路由协议生成。

l              在配置IPv4静态路由时,如果指定的目的IP地址为0.0.0.0(掩码也为0.0.0.0),则表示配置了一条IPv4缺省路由。

l              在配置IPv6静态路由时,如果指定的目的IP地址为::/0(前缀长度为0),则表示配置了一条IPv6缺省路由。

6.2  配置IPv4路由

6.2.1  查看IPv4激活路由表

在导航栏中选择“网络 > IPv4路由”,默认进入“显示”页签的页面,如图6-1所示。

图6-1 IPv4路由显示

 

IPv4激活路由表的详细说明如表6-1所示。

表6-1 IPv4激活路由表的详细说明

标题项

说明

目的IP地址

IPv4路由的目的IP地址和子网掩码

掩码

协议

发现该IPv4路由的路由协议

优先级

该IPv4路由的优先级

数值越小,优先级越高

下一跳

该IPv4路由下一跳IP地址

接口

该IPv4路由的出接口,即到该目的网段的数据包将从此接口发出

 

6.2.2  新建IPv4静态路由

在导航栏中选择“网络 > IPv4路由”,单击“创建”页签,进入IPv4静态路由配置页面,如图6-2所示。

图6-2 IPv4静态路由创建

 

IPv4静态路由的详细配置如表6-2所示。

表6-2 IPv4静态路由的详细配置

配置项

说明

目的IP地址

设置IPv4数据报文的目的主机或目的网段,格式要求为点分十进制

掩码

设置目的主机或目的网段的掩码

下拉框中既给出了掩码长度(即掩码中连续“1”的位数),也给出了点分十进制的掩码

优先级

设置本条静态路由的优先级,数值越小优先级越高

配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份

下一跳

设置IPv4数据报文要经过的下一个设备的IP地址,格式要求为点分十进制

接口

设置IPv4数据报文从设备的哪个接口向外转发

可以选择当前设备中的所有接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达

 

6.3  配置IPv6路由

6.3.1  查看IPv6激活路由表

在导航栏中选择“网络 > IPv6路由”,默认进入“显示”页签的页面,如图6-3所示。

图6-3 IPv6路由显示

 

IPv6激活路由表的详细说明如表6-3所示。

表6-3 IPv6激活路由表的详细说明

标题项

说明

目的IP地址

IPv6路由的目的IP地址和前缀长度

前缀长度

协议

发现该IPv6路由的路由协议

优先级

该IPv6路由的优先级

数值越小,优先级越高

下一跳

该IPv6路由下一跳IP地址

接口

该IPv6路由的出接口,即到该目的网段的数据包将从此接口发出

 

6.3.2  新建IPv6静态路由

在导航栏中选择“网络 > IPv6路由”,单击“创建”页签,进入IPv6静态路由配置页面,如图6-4所示。

图6-4 IPv6路由显示

 

IPv6静态路由的详细配置如表6-4所示。

表6-4 IPv6静态路由的详细配置

配置项

说明

目的IP地址

设置IPv6数据报文的目的主机或目的网段,格式类似于X:X::X:X

目的IP地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示

前缀长度

设置目的主机或目的网段的前缀长度

优先级

设置本条静态路由的优先级,数值越小优先级越高

配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份

下一跳

设置IPv6数据报文要经过的下一个设备的IP地址,格式要求和目的IP地址相同

接口

设置IPv6数据报文从设备的哪个接口向外转发

可以选择当前设备中的所有接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达

 

6.4  静态路由典型配置举例

6.4.1  IPv4静态路由配置举例

1. 组网需求

Switch A、Switch B和AC各接口及主机的IP地址和掩码如图6-5所示。要求Switch A、Switch B和AC之间配置IPv4静态路由后,Host A和Host B之间能够互通。

图6-5 IPv4静态路由配置组网图

 

2. 配置思路

采用如下的思路配置IPv4静态路由:

(1)        在Switch A上配置一条到Switch B的缺省路由。

(2)        在Switch B上分别配置两条到Switch A和AC的静态路由。

(3)        在AC上配置一条到Switch B的缺省路由。

3. 配置步骤

(1)        配置各接口的IP地址(略)

(2)        配置IPv4静态路由

# 在Switch A上配置一条下一跳为“1.1.4.2”的缺省路由。(略)

# 在Switch B上配置一条目的地址为“1.1.2.0/24”、下一跳为“1.1.4.1”的静态路由,和一条一条目的地址为“1.1.3.0/24”、下一跳为“1.1.5.6”的静态路由。(略)

# 在AC上配置缺省路由。

l              在AC的导航栏中选择“网络 > IPv4路由”,单击“创建”页签,进入IPv4静态路由配置页面,进行如下配置,如图6-6所示。

图6-6 配置缺省路由

 

l              输入目的IP地址为“0.0.0.0”。

l              在“掩码”下拉框中选择“0 (0.0.0.0)”。

l              输入下一跳为“1.1.5.5”。

l              单击<应用>按钮完成操作。

4. 配置结果验证

# 查看激活路由列表。

分别进入Switch A、Switch B和AC的IPv4路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。

# 使用ping命令验证。

在Host A上使用ping命令验证Host B是否可达(假定主机安装的操作系统为Windows XP)。

C:\Documents and Settings\Administrator>ping 1.1.3.2

 

Pinging 1.1.3.2 with 32 bytes of data:

 

Reply from 1.1.3.2: bytes=32 time=1ms TTL=128

Reply from 1.1.3.2: bytes=32 time=1ms TTL=128

Reply from 1.1.3.2: bytes=32 time=1ms TTL=128

Reply from 1.1.3.2: bytes=32 time=1ms TTL=128

 

Ping statistics for 1.1.3.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 1ms, Average = 1ms

6.4.2  IPv6静态路由配置举例

1. 组网需求

Switch A、Switch B和AC各接口及主机的IP地址和掩码如图6-7所示。要求Switch A、Switch B和AC之间配置IPv6静态路由协议后,Host A和Host B之间能够互通。

图6-7 IPv6静态路由配置组网图

 

2. 配置思路

采用如下的思路配置IPv6静态路由:

(1)        在Switch A上配置一条到Switch B的缺省路由。

(2)        在Switch B上分别配置两条到Switch A和AC的静态路由。

(3)        在AC上配置一条到Switch B的缺省路由。

3. 配置步骤

(1)        配置各接口的IPv6地址(略)

(2)        配置IPv6静态路由

# 在Switch A上配置一条下一跳为“4::2”的缺省路由。(略)

# 在Switch B上配置一条目的地址为“1::/64”、下一跳为“4::1”的静态路由,和一条目的地址为“3::/64”、下一跳为“5::1”的静态路由。(略)

# 在AC上配置缺省路由。

l              在AC的导航栏中选择“网络 > IPv6路由”,单击“创建”页签,进入IPv6静态路由配置页面,进行如下配置,如图6-8所示。

图6-8 配置缺省路由

 

l              输入目的IP地址为“::”。

l              在“前缀长度”下拉框中选择“0”。

l              输入下一跳为“5::2”。

l              单击<应用>按钮完成操作。

4. 配置结果验证

# 查看激活路由列表。

分别进入Switch A、Switch B和AC的IPv6路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。

# 使用ping进行验证。

在Switch A上使用ping命令验证Host B是否可达。

<SwitchA> system-view

[SwitchA] ping ipv6 3::2

  PING 3::2 : 56  data bytes, press CTRL_C to break

    Reply from 3::2

    bytes=56 Sequence=1 hop limit=254  time = 63 ms

    Reply from 3::2

    bytes=56 Sequence=2 hop limit=254  time = 62 ms

    Reply from 3::2

    bytes=56 Sequence=3 hop limit=254  time = 62 ms

    Reply from 3::2

    bytes=56 Sequence=4 hop limit=254  time = 63 ms

    Reply from 3::2

    bytes=56 Sequence=5 hop limit=254  time = 63 ms

 

  --- 3::2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 62/62/63 ms

6.5  注意事项

配置静态路由时需要注意如下事项:

(1)        如果在配置静态路由时没有指定优先级,就会使用缺省优先级。重新设置缺省优先级后,新设置的缺省优先级仅对新增的静态路由有效。Web界面目前不支持对缺省优先级的配置。

(2)        在配置静态路由时,如果先指定下一跳,然后再将该下一跳的地址配置为本地接口(如以太网接口、VLAN接口等)的IP地址,则该条静态路由不会生效。

(3)        在指定出接口时要注意:

l              对于NULL0和Loopback接口,配置了出接口就不再配置下一跳。

l              对于点到点接口,即使不知道对端地址,也可以在路由器配置时指定出接口。这样,即使对端地址发生了改变也无须改变该路由器的配置。如封装PPP协议的接口,通过PPP协商获取对端的IP地址,这时可以不指定下一跳,只需指定出接口即可。

l              对于NBMA、P2MP等接口,它们支持点到多点网络,这时除了配置IP路由外,还需在链路层建立二次路由,即IP地址到链路层地址的映射。通常情况下,建议在配置出接口时,同时配置下一跳IP地址。

l              在配置静态路由时,建议不要直接指定广播类型接口作为出接口(如以太网接口、Virtual-Template、VLAN接口等)。因为广播类型的接口,会导致出现多个下一跳,无法唯一确定下一跳。在某些特殊应用中,如果必须配置广播接口为出接口,则必须同时指定其对应的下一跳。

 


7 DHCP

指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见“设备”分册的“接口管理”,本章不对DHCP客户端的配置进行介绍。

 

7.1  概述

7.1.1  DHCP简介

随着网络规模的不断扩大和网络复杂度的提高,计算机的数量经常超过可供分配的IP地址数量。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为满足这些需求而发展起来的。

DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。

在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图7-1所示。

图7-1 DHCP典型应用

 

DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。通过Web,可以对设备的DHCP中继功能进行配置,本文档将对此进行介绍。

7.1.2  DHCP的IP地址分配

1. IP地址分配策略

针对客户端的不同需求,DHCP提供三种IP地址分配策略:

l              手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址。可以通过将客户端的MAC地址与IP地址绑定的方式实现。当具有此MAC地址的客户端申请IP地址时,DHCP服务器将根据客户端的MAC地址查找到对应的IP地址,并分配给客户端。

l              自动分配地址:DHCP为客户端分配租期为无限长的IP地址。

l              动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。

2. IP地址动态获取过程

图7-2 IP地址动态获取过程

 

图7-2所示,DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:

(1)        发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。

(2)        提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。DHCP-OFFER报文的发送方式由DHCP-DISCOVER报文中的flag字段决定。

(3)        选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

(4)        确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认将地址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。

l          客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。

l          如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。

 

3. IP地址的租约更新

如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP地址租约。

在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。

如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。

7.1.3  DHCP报文格式

DHCP有8种类型的报文,每种报文的格式相同,只是某些字段的取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如图7-3所示(括号中的数字表示该字段所占的字节)。

图7-3 DHCP报文格式

 

各字段的解释如下:

l              op:报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。具体的报文类型在option字段中标识。

l              htype、hlen:DHCP客户端的硬件地址类型及长度。

l              hops:DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。

l              xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。

l              secs:DHCP客户端开始DHCP请求后所经过的时间。目前没有使用,固定为0。

l              flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播方式发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。

l              ciaddr:DHCP客户端的IP地址。

l              yiaddr:DHCP服务器分配给客户端的IP地址。

l              siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。

l              giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。

l              chaddr:DHCP客户端的硬件地址。

l              sname:DHCP客户端获取IP地址等信息的服务器名称。

l              file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。

l              option:可选变长选项字段,包含报文的类型、有效租期、DNS服务器的IP地址、WINS服务器的IP地址等配置信息。

7.1.4  DHCP选项

1. DHCP选项简介

为了与BOOTP(Bootstrap Protocol,自举协议)兼容,DHCP保留了BOOTP的消息格式。DHCP和BOOTP消息的不同主要体现在选项(Option)字段。DHCP在BOOTP基础上增加的功能,通过Option字段来实现。

DHCP利用Option字段传递控制信息和网络配置参数,实现地址的动态分配,为客户端提供更加丰富的网络配置信息。

DHCP选项的格式如图7-4所示。

图7-4 DHCP选项格式

 

2. DHCP常用选项介绍

常见的DHCP选项有:

l              Option 6:DNS服务器选项,用来指定为客户端分配的DNS服务器地址。

l              Option 51:IP地址租约选项。

l              Option 53:DHCP消息类型选项,标识DHCP消息的类型。

l              Option 55:请求参数列表选项。客户端利用该选项指明需要从服务器获取哪些网络配置参数。该选项内容为客户端请求的参数对应的选项值。

l              Option 66:TFTP服务器名选项,用来指定为客户端分配的TFTP服务器的域名。

l              Option 67:启动文件名选项,用来指定为客户端分配的启动文件名。

l              Option 150:TFTP服务器地址选项,用来指定为客户端分配的TFTP服务器的地址。

l              Option 121:无分类路由选项。该选项中包含一组无分类静态路由(即目的地址的掩码为任意值,可以通过掩码来划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。

l              Option 33:静态路由选项。该选项中包含一组有分类静态路由(即目的地址的掩码固定为自然掩码,不能划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。如果存在Option 121,则忽略该选项。

更多DHCP选项的介绍,请参见RFC 2132。

3. Option 82选项

有些选项的内容,RFC 2132中没有统一规定,例如Option 82选项

Option 82称为中继代理信息选项,该选项记录了DHCP客户端的位置信息。DHCP中继或DHCP Snooping设备接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option 82,并转发给DHCP服务器。

管理员可以从Option 82中获得DHCP客户端的位置信息,以便定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82的服务器还可以根据该选项的信息制定IP地址和其他参数的分配策略,提供更加灵活的地址分配方案。

Option 82最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:sub-option 1(Circuit ID,电路ID子选项)和sub-option 2(Remote ID,远程ID子选项)。

由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。设备上,采用默认的normal模式填充Option 82。normal填充模式中,子选项内容的填充格式可以是ASCII格式和HEX格式。子选项的内容如下:

l              sub-option 1的内容是接收到DHCP客户端请求报文的接口属于的VLAN ID以及接口编号。如图7-5所示,子选项类型值为1,电路ID类型值为0。

图7-5 normal模式填充的sub-option 1

 

l              sub-option 2的内容是接收到DHCP客户端请求报文的接口MAC地址(DHCP中继)或设备的桥MAC地址(DHCP Snooping设备)。如图7-6所示,子选项类型值为2,远程ID类型值为0。

图7-6 normal模式填充的sub-option 2

 

7.1.5  协议规范

与DHCP相关的协议规范有:

l              RFC 2131:Dynamic Host Configuration Protocol

l              RFC 2132:DHCP Options and BOOTP Vendor Extensions

l              RFC 1542:Clarifications and Extensions for the Bootstrap Protocol

l              RFC 3046:DHCP Relay Agent Information Option

7.2  DHCP服务器

7.2.1  DHCP服务器的应用环境

在以下场合通常利用DHCP服务器来完成IP地址分配:

l              网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。

l              网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,大量用户必须动态获得自己的IP地址。

l              网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。

7.2.2  DHCP地址池

1. 地址池结构

DHCP服务器从地址池中为客户端选择并分配IP地址及其他相关参数。

DHCP服务器的地址池采用树状结构:树根是自然网段的地址池,分支是该网段的子网地址池,叶节点是手工绑定的客户端地址。同一级别地址池的顺序由配置的先后决定。这种树状结构实现了配置的继承性,即子网配置继承自然网段的配置,客户端的配置继承子网的配置。这样,对于一些通用参数(如DNS服务器地址),只需要在自然网段或者子网上配置即可。具体的继承情况如下:

(1)        在父子关系建立时,子地址池将会继承父地址池的已有配置。

(2)        在父子关系建立后,对父地址池进行的配置,子地址池是否会继承,则有下面两种情况:

l              如果子地址池没有该项配置,则继承父地址池的配置;

l              如果子地址池已有该项配置,则不会继承父地址池的配置。

IP地址的租用有效期限不具有继承关系。

 

2. 地址池的选取原则

DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:

(1)        如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址分配给客户端。

(2)        如果不存在静态绑定的地址池,则选择包含DHCP请求报文接收接口的IP地址(客户端与服务器在同一网段时)或DHCP请求报文中giaddr字段指定的IP地址(客户端与服务器不在同一网段,客户端通过DHCP中继获取IP地址时)、地址范围最小的地址池。如果该地址池中没有可供分配的IP地址,则服务器无法为客户端分配地址,服务器不会将父地址池中的IP地址分配给客户端。

例如,DHCP服务器上配置了两个地址池,动态分配的IP地址范围分别是1.1.1.0/24和1.1.1.0/25,如果接收DHCP请求报文的接口IP地址为1.1.1.1/25,服务器将从1.1.1.0/25地址池中选择IP地址分配给客户端,1.1.1.0/25地址池中如果没有可供分配的IP地址,则服务器无法为客户端分配地址;如果接收DHCP请求报文的接口IP地址为1.1.1.130/25,服务器将从1.1.1.0/24地址池中选择IP地址分配给客户端。

7.2.3  DHCP服务器分配IP地址的优先次序

DHCP服务器为客户端分配IP地址的优先次序如下:

(1)        DHCP服务器中与客户端MAC地址或客户端ID静态绑定的IP地址。

(2)        DHCP服务器记录的曾经分配给客户端的IP地址。

(3)        客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。

(4)        选择合适的地址池,从中顺序查找可供分配的IP地址,最先找到的IP地址。

(5)        如果未找到可用的IP地址,则依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。

7.2.4  配置DHCP服务器

1. 配置概述

DHC服务器配置的推荐步骤如表7-1所示。

表7-1 DHCP服务器配置步骤

步骤

配置任务

说明

1

2. 启动DHCP服务

必选

启动全局DHCP服务

缺省情况下,全局DHCP服务处于关闭状态

2

3. 配置DHCP服务器的静态地址池

二者至少选其一

l      DHCP服务器和客户端在同一个子网内,直接进行DHCP报文交互时,DHCP服务器上配置的地址池需要与DHCP服务器接口IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址

l      DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上配置的地址池需要与DHCP中继接口的IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址

4. 配置DHCP服务器的动态地址池

3

5. 配置接口工作在DHCP服务器模式

可选

配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址

缺省情况下,接口工作在DHCP服务器模式

l      同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准

l      DHCP服务器只在IP地址为手工配置的接口上起作用

 

2. 启动DHCP服务

在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-7所示。在页面最上方可以进行DHCP服务启动状态的配置。

图7-7 DHCP服务器

 

l              选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。

l              选中DHCP服务“关闭”前的单选按钮,即可关闭全局DHCP服务。

可点击返回“表7-1 DHCP服务器配置步骤”。

3. 配置DHCP服务器的静态地址池

在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-7所示。在“地址池”中选中“静态”前的单选按钮,显示的是所有静态地址池。单击<新建>按钮,进入新建静态地址池的配置页面,如图7-8所示。

图7-8 静态地址池创建

 

静态地址池的详细配置如表7-2所示。

表7-2 静态地址池的详细配置

配置项

说明

地址池名称

设置静态地址池的名称

IP地址

设置静态绑定的IP地址和子网掩码

静态绑定的IP地址不能是DHCP服务器的接口IP地址,否则会导致IP地址冲突,被绑定的客户端将无法正常获取到IP地址

掩码

客户端MAC地址

设置地址池中静态绑定的客户端MAC地址或客户端ID,二选一

静态绑定的客户端ID要与待绑定客户端的ID一致,否则客户端无法成功获取IP地址

客户端ID

客户端域名

设置DHCP地址池为DHCP客户端分配的域名后缀

为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端

网关地址

设置DHCP地址池为DHCP客户端分配的网关IP地址

DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端

最多可以配置8个网关地址,多个地址间用“,”隔开

DNS服务器地址

设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址

为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址

最多可以配置8个DNS服务器地址,多个地址间用“,”隔开

WINS服务器地址

设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址

为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则WINS服务器地址可以不配

最多可以配置8个WINS服务器地址,多个地址间用“,”隔开

NetBIOS节点类型

设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型

 

可点击返回“表7-1 DHCP服务器配置步骤”。

4. 配置DHCP服务器的动态地址池

在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-7所示。在“地址池”中选中“动态”前的单选按钮,显示的是所有动态地址池。单击<新建>按钮,进入新建动态地址池的配置页面,如图7-9所示。

图7-9 动态地址池创建

 

动态地址池的详细配置如表7-3所示。

表7-3 动态地址池的详细配置

配置项

说明

地址池名称

设置动态地址池的名称

IP地址

设置动态分配的IP地址范围,为一个IP网段

DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等)。否则,同一地址分配给两个客户端会造成IP地址冲突

掩码

租用期限

不限制

设置DHCP地址池中动态分配的IP地址的租用有效期限

选择“不限制”,表示不限制IP地址的租用期限

天/小时/分

客户端域名

设置DHCP地址池为DHCP客户端分配的域名后缀

为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端

网关地址

设置DHCP地址池为DHCP客户端分配的网关IP地址

DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端

最多可以配置8个网关地址,多个地址间用“,”隔开

DNS服务器地址

设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址

为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址

最多可以配置8个DNS服务器地址,多个地址间用“,”隔开

WINS服务器地址

设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址

为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则可以不配置WINS服务器地址

最多可以配置8个WINS服务器地址,多个地址间用“,”隔开

NetBIOS节点类型

设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型

 

可点击返回“表7-1 DHCP服务器配置步骤”。

5. 配置接口工作在DHCP服务器模式

在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图7-7所示。在“接口设置”中可以查看接口上DHCP服务器功能的状态。单击接口对应的图标,进入接口DHCP服务器功能的配置页面,如图7-10所示。

图7-10 DHCP服务器接口设置

 

接口工作在DHCP服务器模式的详细配置如表7-4所示。

表7-4 接口工作在DHCP服务器模式的详细配置

配置项

说明

接口名称

显示要配置的接口的名称

DHCP服务器

设置是否在接口上启动DHCP服务器功能

如果关闭DHCP服务器功能,则接口收到DHCP客户端发来的DHCP报文时,不会为其分配IP地址,也不会作为DHCP中继转发该报文

 

可点击返回“表7-1 DHCP服务器配置步骤”。

7.2.5  DHCP服务器典型配置举例

常见的DHCP组网方式可分为两类:一种是DHCP服务器和客户端在同一个子网内,直接进行DHCP报文的交互;第二种是DHCP服务器和客户端处于不同的子网中,必须通过DHCP中继代理实现IP地址的分配。无论哪种情况下,DHCP服务器的配置都是相同的。

1. 组网需求

l              配置AC作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址,AC上Vlan-interface2的IP地址为10.1.1.1/24。

l              10.1.1.0/24网段内的地址租用期限为10天12小时,网关的地址为10.1.1.1。

图7-11 DHCP配置组网图

 

2. 配置步骤

# 配置各接口的IP地址。(略)

# 启动DHCP服务。

l              在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,进行如下配置,如图7-12所示。

图7-12 启动DHCP服务

 

l              选中DHCP服务“启动”前的单选按钮,即可完成操作。

# 配置Vlan-interface2工作在DHCP服务器模式。(缺省情况下接口工作在DHCP服务器模式,此步骤可以省略)

# 配置DHCP服务器的动态地址池。

l              在“地址池”中默认选中的是“动态”前的单选按钮,单击<新建>按钮,进行如下配置,如图7-13所示。

图7-13 配置DHCP服务器的动态地址池

 

l              输入地址池名称为“test”。

l              输入IP地址为“10.1.1.0”。

l              选择掩码为“255.255.255.0”。

l              输入租用期限为“10”天“12”小时“0”分。

l              输入网关地址为“10.1.1.1”。

单击<确定>按钮完成操作。

7.3  DHCP中继配置

7.3.1  DHCP中继的应用环境

由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。

DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。

7.3.2  DHCP中继的基本原理

图7-14是DHCP中继的典型应用示意图。

图7-14 DHCP中继的典型组网应用

 

通过DHCP中继完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时的处理方式基本相同。下面只说明DHCP中继的转发过程,报文的具体交互过程请参见“7.1.2  DHCP的IP地址分配”中的“IP地址动态获取过程”。

图7-15 DHCP中继的工作过程

 

图7-15所示,DHCP中继的工作过程为:

(1)        具有DHCP中继功能的网络设备收到DHCP客户端以广播方式发送的DHCP-DISCOVER或DHCP-REQUEST报文后,将报文中的giaddr字段填充为DHCP中继的IP地址,并根据配置将报文单播转发给指定的DHCP服务器。

(2)        DHCP服务器根据giaddr字段为客户端分配IP地址等参数,并通过DHCP中继将配置信息转发给客户端,完成对客户端的动态配置。

7.3.3  配置DHCP中继

1. 配置概述

DHC中继配置的推荐步骤如表7-5所示。

表7-5 DHCP中继配置步骤

步骤

配置任务

说明

1

2. 配置DHCP服务和DHCP中继的高级参数

必选

使能全局DHCP服务,配置DHCP的高级参数

缺省情况下,全局DHCP服务处于关闭状态

2

3. 配置DHCP服务器组

必选

为了提高可靠性,可以在一个网络中设置多个DHCP服务器,构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将客户端发来的DHCP报文转发给服务器组中的所有服务器

3

4. 配置接口工作在DHCP中继模式

必选

配置接口工作在中继模式,并将接口与DHCP服务器组建立归属关系

缺省情况下,接口工作在DHCP服务器模式

l      同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准

l      以太网子接口支持DHCP中继时,以太网子接口接收到的客户端报文中必须包含VLAN Tag,且VLAN Tag与子接口的VLAN ID一致,否则客户端报文将被丢弃

l      DHCP中继只在IP地址为手工配置的接口上起作用

l      以太网子接口支持DHCP中继时,只能是子接口对子接口,也就是说客户端也必须使用子接口获取IP地址,此时如果是PC作为客户端则无法得到IP地址

4

5. 配置和查看用户地址表项

可选

配置静态用户地址表项,查看静态和动态用户地址表项信息

当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系,生成DHCP中继的动态用户地址表项。同时,为满足用户采用合法固定IP地址访问外部网络的需求,DHCP中继也支持静态用户地址表项配置,即在DHCP中继上手工配置IP地址与MAC地址的绑定关系

缺省情况下,没有配置DHCP中继的静态用户地址表项

 

2. 配置DHCP服务和DHCP中继的高级参数

在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,如图7-16所示。在“DHCP服务”中可以进行DHCP服务使能状态的配置;单击<显示高级配置>按钮,可以配置DHCP中继的高级参数。

图7-16 DHCP中继

 

DHCP服务和DHCP中继高级参数的详细配置如表7-6所示。

表7-6 DHCP服务和DHCP中继高级参数的详细配置

配置项

说明

DHCP服务

设置是否启动全局DHCP服务

伪服务器检测

设置是否启动DHCP中继伪服务器检测功能

如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器

启动伪DHCP服务器检测功能后,DHCP中继会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器

l      启动伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从日志信息中查找伪DHCP服务器

l      启动伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录

表项定时刷新

设置是否启动DHCP中继动态用户地址表项定时刷新功能和刷新的时间间隔

当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系。由于DHCP客户端释放该IP地址时,会给DHCP服务器发送单播DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的用户地址项不能被实时刷新。为了解决这个问题,可以启动表项定时刷新功能。这样,每隔指定时间,DHCP中继以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:

l      如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉

l      如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项

需要注意的是,当刷新时间间隔选择“Auto”时,表示根据表项的数目自动计算刷新时间间隔

刷新时间间隔

 

可点击返回“表7-5 DHCP中继配置步骤”。

3. 配置DHCP服务器组

在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,如图7-16所示。在“服务器组”中单击<新建>按钮,进入新建DHCP服务器组的配置页面,如图7-17所示。

图7-17 新建DHCP服务器组

 

DHCP服务器组的详细配置如表7-7所示。

表7-7 DHCP服务器组的详细配置

配置项

说明

服务器组ID

设置DHCP服务器组的ID

最多可以创建20个DHCP服务器组

IP地址

设置DHCP服务器组中服务器的IP地址

DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址

 

可点击返回“表7-5 DHCP中继配置步骤”。

4. 配置接口工作在DHCP中继模式

在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,如图7-16所示。在“接口设置”中可以查看接口上DHCP中继功能的状态。单击接口对应的图标,进入接口DHCP中继功能的配置页面,如图7-18所示。

图7-18 DHCP中继接口设置

 

接口工作在DHCP中继模式的详细配置如表7-8所示。

表7-8 接口工作在DHCP中继模式的详细配置

配置项

说明

接口名称

显示要配置的接口的名称

DHCP中继

设置是否在接口上启动DHCP中继功能

如果设置关闭DHCP中继功能,则接口将启动DHCP服务器功能

地址匹配检查

设置是否在接口上启动地址匹配检查功能

启动地址匹配检查功能后,如果在DHCP中继的用户地址表中(包括DHCP中继动态记录的表项以及手工配置的用户地址表项)没有与主机IP地址和主机MAC地址匹配的表项,则该主机将不能通过DHCP中继访问外部网络。这样,可以防止非法主机静态配置一个IP地址并访问其他网络

服务器组ID

设置将接口与DHCP服务器组建立归属关系,一个服务器组可以对应多个接口

 

可点击返回“表7-5 DHCP中继配置步骤”。

5. 配置和查看用户地址表项

在导航栏中选择“网络 > DHCP”,单击“DHCP中继”页签,进入如图7-16所示的页面。在“用户信息”中单击<用户信息>按钮,进入用户地址表项的显示页面,可以查看静态和动态用户地址表项,如图7-19所示。单击<新建>按钮,进入新建静态用户地址表项的配置页面,如图7-20所示。

图7-19 用户地址表项信息

 

图7-20 新建静态用户地址表项

 

静态用户地址表项的详细配置如表7-9所示。

表7-9 静态用户地址表项的详细配置

配置项

说明

IP地址

设置DHCP客户端的IP地址

MAC地址

设置DHCP客户端的MAC地址

接口名称

设置与DHCP客户端相连的三层接口

静态用户地址表项中的接口必须工作在DHCP中继模式,否则可能引起地址表项冲突

 

可点击返回“表7-5 DHCP中继配置步骤”。

7.3.4  DHCP中继典型配置举例

1. 组网需求

l              具有DHCP中继功能的AC通过端口(属于VLAN1)连接到DHCP客户端所在的网络

l              DHCP服务器的IP地址为10.1.1.1/24。

l              通过AC转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。

图7-21 DHCP中继组网图

 

2. 配置步骤

# 配置各接口的IP地址。(略)

# 使能DHCP服务。

l              在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面。进行如下配置,如图7-22所示。

图7-22 使能DHCP服务

 

l              选中DHCP服务“启动”前的单选按钮。

l              单击<确定>按钮完成操作。

# 配置DHCP服务器组。

l              在“服务器组”中单击<新建>按钮,进行如下配置,如图7-23所示。

图7-23 新建服务器组

 

l              输入服务器组ID为“1”。

l              输入IP地址为“10.1.1.1”。

l              单击<确定>按钮完成操作。

# 配置接口Vlan-interface1工作在DHCP中继模式。

l              在“接口设置”中单击Vlan-interface1对应的图标,进行如下配置,如图7-24所示。

图7-24 DHCP中继接口设置

 

l              选中DHCP中继“启动”前的单选按钮。

l              选择服务器组ID为“1”。

l              单击<确定>按钮完成操作。

由于DHCP中继所在接口的IP地址与DHCP服务器的IP地址不在同一网段,因此需要在DHCP服务器上通过静态路由或动态路由协议保证两者之间路由可达。

 

7.4  DHCP Snooping

l          设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。

l          建议不要在同一台设备上同时配置DHCP客户端/BOOTP客户端和DHCP Snooping功能,否则可能无法生成DHCP Snooping表项,DHCP客户端/BOOTP客户端也可能申请不到IP地址。

 

7.4.1  DHCP Snooping作用

DHCP Snooping是DHCP的一种安全特性,具有如下功能:

(1)        记录DHCP客户端IP地址与MAC地址的对应关系;

(2)        保证客户端从合法的服务器获取IP地址。

1. 记录DHCP客户端IP地址与MAC地址的对应关系

出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。

DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP客户端的MAC地址以及获取到的IP地址。

2. 保证客户端从合法的服务器获取IP地址

在网络中如果有私自架设的DHCP服务器,则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:

l              信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。

l              不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。

7.4.2  信任端口的典型应用环境

1. 连接DHCP服务器

图7-25 信任端口和非信任端口

 

图7-25所示,连接DHCP服务器的端口需要配置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。

2. DHCP Snooping级联网络

在多个DHCP Snooping设备级联的网络中,与其他DHCP Snooping设备相连的端口需要配置为信任端口。

在这种网络环境中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址绑定,只需在与客户端直接相连的DHCP Snooping设备上记录绑定信息。通过将间接与DHCP客户端相连的信任端口配置为不记录IP地址和MAC地址绑定,可以实现该功能。如果DHCP客户端发送的请求报文从此类信任端口到达DHCP Snooping设备,DHCP Snooping设备不会记录客户端IP地址和MAC地址的绑定。

图7-26 DHCP Snooping级联组网图

 

图7-26中设备各端口的角色如表7-10所示。

表7-10 端口的角色

设备

不信任端口

不记录绑定信息的信任端口

记录绑定信息的信任端口

Switch A

Ethernet1/1

Ethernet1/3

Ethernet1/2

Switch B

Ethernet1/3和Ethernet1/4

Ethernet1/1

Ethernet1/2

Switch C

Ethernet1/1

Ethernet1/3和Ethernet1/4

Ethernet1/2

 

7.4.3  DHCP Snooping支持Option 82功能

Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“7.1.4  3. Option 82选项”。

如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式见表7-11

当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。

表7-11 DHCP Snooping支持Option 82的处理方式

收到DHCP请求报文

处理策略

DHCP Snooping对报文的处理

收到的报文中带有Option 82

Drop

丢弃报文

Keep

保持报文中的Option 82不变并进行转发

Replace

采用normal模式填充Option 82,替换报文中原有的Option 82并进行转发

收到的报文中不带有Option 82

-

采用normal模式填充Option 82并进行转发

 

7.4.4  配置DHCP Snooping

1. 配置概述

DHC Snooping配置的推荐步骤如表7-12所示。

表7-12 DHCP Snooping配置步骤

步骤

配置任务

说明

1

2. 使能DHCP Snooping

必选

缺省情况下,DHCP Snooping功能处于关闭状态

2

3. 配置接口的DHCP Snooping功能

必选

配置接口的信任属性和DHCP Snooping支持Option 82的相关参数

缺省情况下,在使能DHCP Snooping功能后,设备的所有接口的信任属性均为不信任;DHCP Snooping不支持Option 82功能

为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内

3

4. 查看DHCP Snooping用户信息

可选

查看DHCP Snooping记录的IP地址和MAC地址的绑定信息

 

2. 使能DHCP Snooping

在导航栏中选择“网络 > DHCP”,单击“DHCP Snooping”页签,进入如图7-27所示的页面。在“DHCP Snooping”中可以进行DHCP Snooping使能状态的配置。

图7-27 DHCP Snooping

 

l              选中DHCP Snooping“启动”前的单选按钮,即可使能DHCP Snooping功能。

l              选中DHCP Snooping“关闭”前的单选按钮,即可禁止DHCP Snooping功能。

可点击返回“表7-12 DHCP Snooping配置步骤”。

3. 配置接口的DHCP Snooping功能

在导航栏中选择“网络 > DHCP”,单击“DHCP Snooping”页签,进入如图7-27所示的页面。在“接口设置”中可以查看接口信任属性的信息。单击接口对应的图标,进入接口DHCP Snooping功能的配置页面,如图7-28所示。

图7-28 DHCP Snooping接口设置

 

接口DHCP Snooping功能的详细配置如表7-13所示。

表7-13 接口DHCP Snooping功能的详细配置

配置项

说明

接口名称

显示要配置的接口的名称

信任属性

设置接口的信任属性为信任或非信任

添加Option 82选项

设置DHCP Snooping是否支持Option 82功能

Option 82选项策略

设置DHCP Snooping对包含Option 82的请求报文的处理策略,包括:

l      Drop:如果报文中带有Option 82,则丢弃该报文

l      Keep:如果报文中带有Option 82,则保持该报文中的Option 82不变并进行转发

l      Replace:如果报文中带有Option 82,则采用normal模式填充Option 82,替换报文中原有的Option 82,并进行转发

 

可点击返回“表7-12 DHCP Snooping配置步骤”。

4. 查看DHCP Snooping用户信息

在导航栏中选择“网络 > DHCP”,单击“DHCP Snooping”页签,进入如图7-27所示的页面。在“用户信息”中单击<用户信息>按钮,进入DHCP Snooping用户信息的显示页面,可以查看DHCP Snooping记录的IP地址和MAC地址的绑定信息,如图7-29所示。

图7-29 DHCP Snooping用户信息

 

DHCP Snooping用户信息的详细说明如表7-14所示。

表7-14 DHCP Snooping用户信息的详细说明

配置项

说明

IP地址

DHCP服务器为DHCP客户端分配的IP地址

MAC地址

DHCP客户端的MAC地址

类型

绑定类型,取值包括:

l      Dynamic:表示动态生成的IP地址和MAC地址绑定

l      Static:表示静态配置的IP地址和MAC地址绑定,目前不支持静态配置

接口名称

与DHCP客户端连接的设备端口

VLAN

与DHCP客户端连接的设备端口所属的VLAN

租约剩余时间

绑定的租约剩余时间

 

可点击返回“表7-12 DHCP Snooping配置步骤”。

7.4.5  DHCP Snooping典型配置举例

1. 组网需求

AC通过以太网端口GigabitEthernet1/0/2连接到DHCP服务器。要求:

l              AC上使能DHCP Snooping功能,并支持Option 82功能;对包含Option 82的请求报文的处理策略为“Replace”。

l              与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。

l              记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。

图7-30 DHCP Snooping组网图

 

2. 配置步骤

# 使能DHCP Snooping。

l              在导航栏中选择“网络 > DHCP”,单击“DHCP Snooping”页签。进行如下配置,如图7-31所示。

图7-31 使能DHCP Snooping

 

l              选中DHCP Snooping“启动”前的单选按钮,即可完成操作。

# 配置接口GigabitEthernet1/0/2的DHCP Snooping功能。

l              在“接口设置”中单击GigabitEthernet1/0/2对应的图标。在DHCP Snooping接口设置的页面进行如下配置,如图7-32所示。

图7-32 配置接口GigabitEthernet1/0/2的DHCP Snooping功能

 

l              选中信任属性“信任”前的单选按钮。

l              单击<确定>按钮完成操作。

# 配置接口GigabitEthernet1/0/1的DHCP Snooping功能。

l              在“接口设置”中单击GigabitEthernet1/0/1对应的图标。在DHCP Snooping接口设置的页面进行如下配置,如图7-33所示。

图7-33 配置接口GigabitEthernet1/0/1的DHCP Snooping功能

 

l              选中信任属性“非信任”前的单选按钮。

l              选中添加Option 82选项“使能”前的单选按钮。

l              选择Option 82选项策略为“Replace”。

l              单击<确定>按钮完成操作。

 


8 DNS

8.1  概述

域名系统(DNS,Domain Name System)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的、有意义的域名,而由网络中的域名解析服务器将域名解析为正确的IP地址。

域名解析分为静态域名解析和动态域名解析,二者可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析可能会花费一定的时间,且需要域名服务器的配合,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。

8.1.1  静态域名解析

静态域名解析就是手工建立域名和IP地址之间的对应关系。当用户使用域名进行某些应用(如telnet应用)时,系统查找静态域名解析表,从中获取指定域名对应的IP地址。

8.1.2  动态域名解析

1. 解析过程

动态域名解析是通过对域名服务器的查询完成的。解析过程如下:

(1)        当用户使用域名进行某些应用时,用户程序首先向DNS客户端中的解析器发出请求。

(2)        DNS客户端收到请求后,首先查询本地的域名缓存。如果存在已解析成功的映射项,就将域名对应的IP地址返回给用户程序;如果没有发现所要查找的映射项,就向域名服务器(DNS Server)发送查询请求。

(3)        域名服务器首先从自己的数据库中查找域名对应的IP地址。如果判断该域名不属于本域范围之内,就将请求交给上一级的域名解析服务器处理,直到完成解析,并将解析的结果返回给DNS客户端。

(4)        DNS客户端收到域名服务器的响应报文后,将解析结果返回给应用程序。

图8-1 动态DNS

 

用户程序、DNS客户端及域名服务器的关系如上图所示,其中解析器和缓存构成DNS客户端。用户程序、DNS客户端在同一台设备上,而DNS客户端和服务器一般分布在两台设备上。

动态域名解析支持缓存功能。每次动态解析成功的域名与IP地址的映射均存放在动态域名缓存区中,当下一次查询相同域名的时候,就可以直接从缓存区中读取,不用再向域名服务器进行请求。缓存区中的映射在一段时间后会被老化删除,以保证及时从域名服务器得到最新的内容。老化时间由域名服务器设置,DNS客户端从协议报文中获得老化时间。

2. 域名后缀列表功能

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。举例说明,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:

l              如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。

l              如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。

l              如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查找终止符。

8.1.3  DNS代理

1. DNS代理简介

DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文,代替DNS client进行域名解析。

局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。

使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。

DNS proxy的典型应用环境如图8-2所示。

图8-2 DNS代理典型组网应用

 

2. DNS代理的工作机制

DNS代理的工作过程如下:

(1)        DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy,即请求报文的目的地址为DNS proxy的IP地址。

(2)        DNS proxy收到请求报文后,首先查找本地的静态域名解析表,如果静态域名解析表中存在请求的信息,则DNS proxy直接通过DNS应答报文,将域名解析结果返回给DNS client。

(3)        如果静态域名解析表中没有请求的信息,则DNS proxy将报文转发给DNS server,通过DNS server进行域名解析。

(4)        DNS proxy收到DNS server的应答报文后,将报文转发给DNS client。DNS client利用域名解析的结果进行相应的处理。

8.2  配置DNS

8.2.1  配置概述

DNS模块可以配置三个功能:静态域名解析表、动态域名解析和DNS代理。

l              静态域名解析表:为设备创建静态域名解析表,之后设备查找该表进行域名解析。

l              动态域名解析:设备通过DNS server进行域名解析。

l              DNS代理:将设备配置为DNS代理。

如果同时配置了静态域名解析表和动态域名解析,设备先查找静态域名解析表,如果未找到符合的IP或域名,再进行动态域名解析。

 

1. 配置静态域名解析表

静态域名解析配置的推荐步骤如表8-1所示。

表8-1 静态域名解析表的配置步骤

步骤

配置任务

说明

1

8.2.2  配置静态域名解析表

必选

缺省情况下,静态域名解析表中没有主机名及其IP地址的对应关系

 

2. 配置动态域名解析

动态域名解析配置的推荐步骤如表8-2所示。

表8-2 动态域名解析配置步骤

步骤

配置任务

说明

1

8.2.3  配置动态域名解析

必选

启用设备的动态域名解析功能

缺省情况下,动态域名解析功能处于关闭状态

2

8.2.5  配置DNS服务器的IP地址

必选

缺省情况下,没有配置DNS服务器的IP地址

3

8.2.6  配置域名后缀

可选

缺省情况下,没有配置域名后缀

 

3. 配置设备为DNS代理

配置设备为DNS代理的推荐步骤如表8-3所示。

表8-3 配置设备为DNS代理的步骤

步骤

配置任务

说明

1

8.2.4  配置设备为DNS代理

必选

将设备配置为DNS代理

缺省情况下,设备不是DNS代理

2

8.2.5  配置DNS服务器的IP地址

必选

缺省情况下,没有配置域名服务器的IP地址

 

8.2.2  配置静态域名解析表

在导航栏中选择“网络> DNS”,默认进入“静态域名解析”页签的页面,如图8-3所示。单击<新建>按钮,进入新建静态域名解析表项的配置页面,如图8-4所示。

图8-3 静态域名解析

 

图8-4 新建静态域名解析

 

静态域名解析表的详细配置如表8-4所示。

表8-4 静态域名解析表的详细配置信息

配置项

说明

主机名

设置静态域名解析表中主机名和主机IP地址的对应关系

每个主机名只能对应一个IP地址,当对同一主机名进行多次配置时,最后配置的IP地址有效

最多可配置50条静态域名解析信息

主机IP地址

 

可点击返回“表8-1 静态域名解析表的配置步骤”。

8.2.3  配置动态域名解析

在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图8-5所示的页面。

图8-5 动态域名解析

 

动态域名解析的详细配置如表8-5所示。

表8-5 动态域名解析的详细配置

配置项

说明

动态域名解析

设置启动或关闭设备的动态域名解析功能

清空动态域名缓存区

设置是否清除动态域名缓存区的所有信息

 

可点击返回“表8-2 动态域名解析配置步骤”。

8.2.4  配置设备为DNS代理

在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图8-5所示的页面。

DNS代理的详细配置如表8-6所示。

表8-6 DNS代理的详细配置

配置项

说明

DNS代理

设置启动或关闭设备的DNS代理功能

 

可点击返回“表8-3 配置设备为DNS代理的步骤”。

8.2.5  配置DNS服务器的IP地址

在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图8-5所示的页面。单击<添加IP地址>按钮,进入新建DNS服务器IP地址的页面,如图8-6所示。

图8-6 新建DNS服务器IP地址

 

域名服务IP地址参数详细信息如表8-7所示。

表8-7 配置域名服务器IP地址参数详细信息

配置项

说明

DNS服务器IP地址

设置DNS服务器的IP地址

最多可配置6个DNS服务器

 

可点击返回“表8-2 动态域名解析配置步骤”。

可点击返回“表8-3 配置设备为DNS代理的步骤”。

8.2.6  配置域名后缀

在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图8-5所示的页面。单击<添加域名后缀>按钮,进入新建DNS域名后缀的页面,如图8-7所示。

图8-7 新建DNS域名后缀

 

DNS域名后缀的详细配置如表8-8所示。

表8-8 域名后缀的详细配置

配置项

说明

DNS域名后缀

设置DNS域名后缀

最多可配置10个DNS域名后缀

 

可点击返回“表8-2 动态域名解析配置步骤”。

8.3  DNS典型配置举例

1. 组网需求

l              DNS服务器的IP地址是2.1.1.2/16,配置域名后缀为com。

l              配置AC作为DNS客户端,使用动态域名解析和域名后缀列表功能,实现通过输入host来访问域名为host.com、IP地址为3.1.1.1/16的主机Host。

图8-8 DNS配置组网图

 

2. 配置步骤

在开始下面的配置之前,假设AC与主机之间的路由可达,AC和主机都已经配置完毕,接口IP地址如图8-8所示。并且在域名服务器上有域名为host.com、IP地址为3.1.1.1/16的映射项,域名服务器工作正常。

 

# 使能动态域名解析功能。

l              在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进行如下配置,如图8-9所示。

图8-9 使能动态域名解析功能

 

l              选择动态DNS解析“启动”前的单选按钮。

l              选择DNS代理“关闭”前的单选按钮。

l              单击<确定>按钮完成操作。

# 配置DNS服务器IP地址。

l              图8-10所示,在“动态域名解析”页签的页面单击<添加IP地址>按钮。在新建DNS服务器IP地址的页面,进行如下配置,如图8-11所示。

图8-10 单击<添加IP地址>按钮

 

图8-11 新建DNS服务器IP地址

 

l              输入DNS服务器IP地址为“2.1.1.2”。

l              单击<确定>按钮完成操作。

# 配置域名后缀。

l              图8-12所示,在“动态域名解析”页签的页面单击<添加域名后缀>按钮。在新建DNS域名后缀的页面,进行如下配置,如图8-13所示。

图8-12 单击<添加域名后缀>按钮

 

图8-13 新建DNS域名后缀

 

 

l              输入DNS域名后缀为“com”。

l              单击<确定>按钮完成操作。

 


9 服务管理

9.1  概述

服务管理模块提供了FTP、Telnet、SSH、SFTP、HTTP和HTTPS服务的使能管理功能,可以使用户只在需要使用相应的服务时使能服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。

服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将FTP、HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。

1. FTP服务

FTP(File Transfer Protocol,文件传输协议)协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,是IP网络上传输文件的通用协议。

2. Telnet服务

Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。

3. SSH服务

SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

4. SFTP服务

SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。

5. HTTP服务

HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。

在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。

6. HTTPS服务

HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。

HTTPS通过SSL协议,从以下几方面提高了设备的安全性:

l              通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;

l              客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;

l              为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。

9.2  配置服务管理

在导航栏中选择“网络 > 服务管理”,进入服务管理的配置页面,如图9-1所示。

图9-1 服务管理

 

服务管理的详细配置如表9-1所示。

表9-1 服务管理的详细配置

配置项

说明

FTP服务

启用FTP服务

设置是否在设备上启用FTP服务

缺省情况下,FTP服务处于关闭状态

ACL

设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务

单击“FTP服务”前的扩展按钮可以显示此配置项

Telnet服务

启用Telnet服务

设置是否在设备上启用Telnet服务

缺省情况下,Telnet服务处于关闭状态

SSH服务

启用SSH服务

设置是否在设备上启用SSH服务

缺省情况下,SSH服务处于关闭状态

SFTP服务

启用SFTP服务

设置是否在设备上启用SFTP服务

缺省情况下,SFTP服务处于关闭状态

启用SFTP服务的同时必须启用SSH服务

HTTP服务

启用HTTP服务

设置是否在设备上启用HTTP服务

缺省情况下,HTTP服务处于启用状态

端口号

设置HTTP服务的端口号

单击“HTTP服务”前的扩展按钮可以显示此配置项

修改端口时必须保证该端口没有被其他服务使用

ACL

设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务

单击“HTTP服务”前的扩展按钮可以显示此配置项

HTTPS服务

启用HTTPS服务

设置是否在设备上启用HTTPS服务

缺省情况下,HTTPS服务处于关闭状态

端口号

设置HTTPS服务的端口号

单击“HTTPS服务”前的扩展按钮可以显示此配置项

修改端口时必须保证该端口没有被其他服务使用

ACL

设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务

单击“HTTPS服务”前的扩展按钮可以显示此配置项

PKI域

设置HTTPS服务所使用的PKI域

可选的PKI域在“认证 > PKI”中配置,详细配置请参见“PKI”

服务管理、Portal认证、本地EAP服务三个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外两个模块中引用的PKI域也会随之改变

 


10 诊断工具

10.1  概述

10.1.1  Ping

通过使用Ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障。

Ping的成功执行过程为:

(1)        源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文。

(2)        目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文。

(3)        源设备在收到该应答报文后,显示相关的统计信息。

Ping的输出信息分为以下几种情况:

l              Ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。

l              如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和Ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(Time To Live,生存时间)、响应时间和Ping过程报文的统计信息。

Ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值。

10.1.2  Trace Route

通过使用Trace Route工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备。当网络出现故障时,用户可以使用该命令分析出现故障的网络节点。

Trace Route的执行过程为:

(1)        源设备发送一个TTL为1的报文给目的设备。

(2)        第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址。

(3)        源设备重新发送一个TTL为2的报文给目的设备。

(4)        第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址。

(5)        以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址。

Trace Route的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。

10.2  诊断工具操作

10.2.1  Ping操作

IPv6 Ping操作的支持情况与设备的型号有关,各产品的支持情况请参见“特型性差异化列表”,实际使用中请以设备实际情况为准。

 

1. IPv4 Ping

在导航栏中选择“网络 > 诊断工具”,默认进入“IPv4 Ping”页签的页面。单击<显示高级>按钮,可以展开IPv4 Ping操作高级参数的配置内容,如图10-1所示。

图10-1 IPv4 Ping

 

在“目的IP地址或主机名”文本框中输入目标设备的IPv4地址或者主机名,根据具体需要设置IPv4 Ping操作的高级参数,单击<开始>按钮开始执行Ping操作,在“概要信息”框中会显示Ping操作的输出结果,如图10-2所示。

图10-2 IPv4 Ping操作结果

 

2. IPv6 Ping

在导航栏中选择“网络 > 诊断工具”,默认进入“IPv6 Ping”页签的页面。单击<显示高级>按钮,可以展开IPv6 Ping操作高级参数的配置内容,如图10-3所示。

图10-3 IPv6 Ping

 

在“目的IPv6地址或主机名”文本框中输入目标设备的IPv6地址或者主机名,根据具体需要设置IPv6 Ping操作的高级参数,单击<开始>按钮开始执行Ping操作,在“概要信息”框中会显示Ping操作的输出结果,如图10-4所示。

图10-4 IPv6 Ping操作结果

 

10.2.2  Trace Route操作

l          Web目前不支持对IPv6地址进行Trace Route操作。

l          进行Trace Route操作前,需要先在设备上执行ip ttl-expires enableip unreachables enable命令来开启设备的ICMP超时报文的发送功能和ICMP目的不可达报文发送功能。

 

在导航栏中选择“网络 > 诊断工具”,单击“Trace Route”页签,进入如图10-5所示的页面。

图10-5 Trace Route

 

在文本框中输入Trace Route操作的目的IP地址或者主机名,单击<开始>按钮开始执行Trace Route操作,在“结果”框中会显示Trace Route操作的输出结果,如图10-6所示。

图10-6 Trace Route操作结果

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!