目  录

第1章 IP地址配置... 1-1

1.1 IP地址简介.. 1-1

1.1.1 IP地址的分类和表示.. 1-1

1.1.2 子网和掩码.. 1-2

1.2 配置IP地址.. 1-3

1.2.1 配置接口IP地址.. 1-3

1.2.2 IP地址配置举例.. 1-4

1.3 IP地址的显示和维护.. 1-5

第2章 IP性能配置... 2-1

2.1 IP性能简介.. 2-1

2.2 配置允许接收和发送直连网段广播报文.. 2-1

2.2.1 配置允许接收直连网段广播报文.. 2-1

2.2.2 配置允许转发直连网段广播报文.. 2-2

2.2.3 允许接收和发送直连网段广播报文配置举例.. 2-2

2.3 配置TCP属性.. 2-3

2.4 配置ICMP差错报文发送功能.. 2-4

2.5 IP性能显示和维护.. 2-6

第1章  IP地址配置

1.1  IP地址简介

1.1.1  IP地址的分类和表示

连接到Internet上的设备接口必须有一个全球唯一的IP地址。IP地址长度为32比特，通常采用点分十进制方式表示，即每个IP地址被表示为以小数点隔开的4个十进制整数，每个整数对应一个字节，如10.1.1.1。

IP地址由两个字段组成：

l              网络号码字段（net-id）：用于区分不同的网络。网络号码字段的前几位称为类别字段（又称为类别比特），用来区分IP地址的类型。

l              主机号码字段（host-id）：用于区分一个网络内的不同主机。

为了方便IP地址的管理及组网，IP地址分成五类，如图1-1所示。

图1-1 五类IP地址

上述五类IP地址的地址范围如表1-1所示。目前大量使用的IP地址属于A、B、C三类地址。

表1-1 IP地址分类及范围

1.1.2  子网和掩码

随着Internet的快速发展，IP地址已近枯竭。为了充分利用已有的IP地址，可以使用子网掩码将网络划分为更小的部分（即子网）。通过从主机号码字段部分划出一些比特位作为子网号码字段，能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。

子网掩码是一个长度为32比特的数字，由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段，而“0”对应于主机号码字段。

子网的划分只在网络内部有效，从外部看，该网络只有一个网络号码。只有当外部的报文进入到网络内部后，网关设备才根据子网号码再进行选路，找到目的主机。

图1-2所示是一个B类IP地址划分子网的情况。

图1-2 IP地址子网划分

多划分出一个子网号码字段是要付出代价的。举例来说，本来一个B类IP地址可以容纳65534个主机号码。但划分出6比特长的子网字段后，最多可有64个子网，每个子网有10比特的主机号码，即每个子网最多可有1022（2¹⁰-2，去掉全1的广播地址和全0的网段地址）个主机号码。因此主机号码的总数是64*1022=65408个，比不划分子网时要少126个。

若不进行子网划分，则子网掩码为默认值，此时子网掩码中“1”的长度就是网络号码的长度，即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。

1.2  配置IP地址

接口获取IP地址有以下几种方式：

l              通过手工指定IP地址

l              通过BOOTP分配得到IP地址

l              通过DHCP分配得到IP地址

这几种方式是互斥的，通过新的配置方式获取的IP地址会覆盖通过原有方式获取的IP地址。例如，首先通过手工指定了IP地址，接着使用BOOTP协议申请IP地址，那么手工指定的IP地址会被删除，接口的IP地址是通过BOOTP协议分配到的。

&  说明：

本章只介绍通过手工指定IP地址的方式。另外两种获取IP地址的方式请参见 “DHCP”模块相关部分的介绍。

1.2.1  配置接口IP地址

在一般情况下，一个接口配置一个IP地址。为了使设备的一个接口与多个子网相连，可以为一个接口配置多个IP地址，其中一个为主IP地址，其余为从IP地址。

表1-2 配置接口IP地址

  注意：

l      一个接口只能有一个主IP地址，新配置的主IP地址将覆盖原有主IP地址。

l      当接口被配置为通过BOOTP、DHCP方式获取IP地址，则不能再给该接口配置从IP地址。

l      主、从IP地址可以在同一网段。

l      S5500-SI系列以太网交换机支持为VLAN接口和Loopback接口配置IP地址，在Loopback接口上只能配置32位的子网掩码。

1.2.2  IP地址配置举例

1. 组网需求

交换机的端口（属于VLAN 1）连接一个局域网，局域网中的计算机分别属于2个网段：172.16.1.0/24和172.16.2.0/24。要求外部网络中的主机能通过交换机分别与这两个网段互通，且这两个网段中的主机能够互通。

2. 组网图

图1-3 IP地址配置组网图

3. 配置步骤

针对上述的需求，如果在交换机的VLAN接口1上只配置一个IP地址，则通过交换机只能访问一部分主机。为了能够通过交换机访问网络内的所有主机，需要配置VLAN接口1的从IP地址。为了使两个网段中的主机能够互通，两个网段中的主机都需要将交换机设置为网关。

# 配置VLAN接口1的主IP地址和从IP地址。

<Sysname> system-view

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 172.16.1.1 255.255.255.0

[Sysname-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub

# 在172.16.1.0/24网段中的主机上配置网关为172.16.1.1；在172.16.2.0/24网段中的主机上配置网关为172.16.2.1。

# 从交换机上ping网络172.16.1.0/24内的主机，可以ping通。

<Sysname> ping 172.16.1.2

  PING 172.16.1.2: 56  data bytes, press CTRL_C to break

    Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=25 ms

    Reply from 172.16.1.2: bytes=56 Sequence=2 ttl=255 time=27 ms

    Reply from 172.16.1.2: bytes=56 Sequence=3 ttl=255 time=26 ms

    Reply from 172.16.1.2: bytes=56 Sequence=4 ttl=255 time=26 ms

    Reply from 172.16.1.2: bytes=56 Sequence=5 ttl=255 time=26 ms

  --- 172.16.1.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 25/26/27 ms

# 从交换机上ping网络172.16.2.0/24内的主机，可以ping通。

<Sysname> ping 172.16.2.2

  PING 172.16.2.2: 56  data bytes, press CTRL_C to break

    Reply from 172.16.2.2: bytes=56 Sequence=1 ttl=255 time=25 ms

    Reply from 172.16.2.2: bytes=56 Sequence=2 ttl=255 time=26 ms

    Reply from 172.16.2.2: bytes=56 Sequence=3 ttl=255 time=26 ms

    Reply from 172.16.2.2: bytes=56 Sequence=4 ttl=255 time=26 ms

    Reply from 172.16.2.2: bytes=56 Sequence=5 ttl=255 time=26 ms

  --- 172.16.2.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 25/25/26 ms

# 网络172.16.1.0/24和网络172.16.2.0/24内的主机可以互相ping通。

1.3  IP地址的显示和维护

在完成上述配置后，在任意视图下执行display命令，可以显示配置IP地址后的运行情况，通过查看显示信息验证配置的效果。

表1-3 IP地址的显示和维护

第2章  IP性能配置

2.1  IP性能简介

在一些特定的网络环境里，需要调整IP的参数，以便网络性能达到最佳。IP性能的配置包括：

l              配置允许接收和发送直连网段广播报文

l              配置TCP定时器

l              配置TCP连接的接收和发送缓冲区的大小

l              配置ICMP差错报文发送功能

2.2  配置允许接收和发送直连网段广播报文

直连网段广播报文包括：网络直连广播报文、子网直连广播报文和所有子网直连广播报文。如果允许设备接收并转发这一类报文，黑客就可以利用这样的报文来攻击网络系统，这就给网络的安全带来了很大的隐患。因此，缺省情况下，S5500-SI系列以太网交换机禁止接收和转发直连网段的广播报文。在需要转发直连网段广播报文的时候，用户可以通过命令配置设备允许接收和转发这类报文。

2.2.1  配置允许接收直连网段广播报文

如果允许设备接收直连网段广播报文，则由接口上的配置决定是否转发该报文；否则，直接丢弃直连网段广播报文。

表2-1 配置允许接收直连网段广播报文

2.2.2  配置允许转发直连网段广播报文

表2-2 配置允许转发直连网段广播报文

&  说明：

l      允许接口转发直连网段的广播报文时，如果配置了ACL规则，则在转发广播报文的同时还需要对报文进行过滤，不符合ACL规则的报文将被丢弃，只转发符合ACL规则的报文。

l      如果在同一接口下重复执行ip forward-broadcast acl命令，则后面配置的ACL会覆盖以前配置的ACL；如果后配置的命令不带acl acl-number，则以前配置中的ACL规则将被取消。

2.2.3  允许接收和发送直连网段广播报文配置举例

1. 组网需求

如图2-1所示，PC的接口和SwitchA的VLAN接口3处于同一个网段（1.1.1.0/24），SwitchA的VLAN接口2和SwitchB的VLAN接口2处于另外一个网段（2.2.2.0/24）。PC上配置默认网关为SwitchA的VLAN接口3的地址（1.1.1.2/24），SwitchB上配置静态路由使得PC与SwitchB之间路由可达。

2. 组网图

图2-1 配置直连广播抑制组网图

3. 配置步骤

(1)        配置SwitchA

# 配置允许SwitchA接收直连网段的广播报文。

<SwitchA> system-view

[SwitchA] ip forward-broadcast

# 配置VLAN接口3和VLAN接口2的IP地址。

[SwitchA] interface vlan-interface 3

[SwitchA-Vlan-interface3] ip address 1.1.1.2 24

[SwitchA-Vlan-interface3] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 2.2.2.2 24

# 配置允许VLAN接口2转发直连网段广播报文。

[SwitchA-Vlan-interface2] ip forward-broadcast

(2)        配置SwitchB

# 配置允许SwitchB接收直连网段的广播报文。

<SwitchB> system-view

[SwitchB] ip forward-broadcast

# 配置SwitchB到PC的静态路由。

[SwitchB] ip route-static 1.1.1.1 24 2.2.2.2

# 配置VLAN接口2的IP地址。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 2.2.2.1 24

配置完成以后，在PC上ping SwtichA的VLAN接口2所在子网网段的广播地址（2.2.2.255）时，SwitchB的VLAN接口2可以收到该ping的报文，如果取消掉ip forward-broadcast的配置，则SwitchB的VLAN接口2上不能收到该报文。

2.3  配置TCP属性

可以配置的TCP属性包括：

l              synwait定时器：当发送SYN报文时，TCP启动synwait定时器，如果synwait超时前未收到回应报文，则TCP连接建立不成功。

l              finwait定时器：当TCP的连接状态为FIN_WAIT_2时，启动finwait定时器，如果在定时器超时前没有收到报文，则TCP连接终止；如果收到FIN报文，则TCP连接状态变为TIME_WAIT状态；如果收到非FIN报文，则从收到的最后一个非FIN报文开始重新计时，在超时后中止连接。

l              TCP连接的接收和发送缓冲区的大小。

表2-3 配置TCP属性

2.4  配置ICMP差错报文发送功能

传递差错报文是ICMP（Internet Control Message Protocol，互联网控制报文协议）的主要功能之一。ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备，从而便于进行控制管理。

1. ICMP差错报文发送功能的作用

重定向报文、超时报文、目的不可达报文是ICMP差错报文中的三种。下面分别介绍这三种差错报文发送的条件及作用。

(1)        ICMP重定向报文发送功能

主机启动时，它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时，缺省网关会向源主机发送ICMP重定向报文，通知主机重新选择正确的下一跳路由器进行后续报文的发送。

设备在满足下列条件时会发送对主机重定向的ICMP重定向报文：

l              接收和转发数据报文的接口是同一接口；

l              被选择的路由本身没有被ICMP重定向报文创建或修改过；

l              被选择的路由不是设备的默认路由；

l              数据报文中没有源路由选项。

ICMP重定向报文发送功能可以简化主机的管理，使具有很少选路信息的主机逐渐建立较完善的路由表，从而找到最佳路由。

(2)        ICMP超时报文发送功能

ICMP超时报文发送功能是在设备收到IP数据报文后，如果发生超时差错，则将报文丢弃并给源端发送ICMP超时差错报文。

设备在满足下列条件时会发送ICMP超时报文：

l              设备收到IP数据报文后，如果报文的目的地不是本地且报文的TTL字段是1，则发送“TTL超时”ICMP差错报文；

l              设备收到目的地址为本地的IP数据报文的第一个分片后，启动定时器，如果所有分片报文到达之前定时器超时，则会发送“重组超时”ICMP差错报文。

(3)        ICMP目的不可达报文发送功能

ICMP目的不可达报文发送功能是在设备收到IP数据报文后，如果发生目的不可达的差错，则将报文丢弃并给源端发送ICMP目的不可达差错报文。

设备在满足下列条件时会发送目的不可达报文：

l              设备在转发报文时，如果在路由表中没有找到对应的转发路由，且路由表中没有缺省路由，则给源端发送“网络不可达”ICMP差错报文；

l              设备收到目的地址为本地的数据报文时，如果设备不支持数据报文采用的传输层协议，则给源端发送“协议不可达”ICMP差错报文；

l              设备收到目的地址为本地、传输层协议为UDP的数据报文时，如果报文的端口号与正在使用的进程不匹配，则给源端发送“端口不可达”ICMP差错报文；

l              源端如果采用“严格的源路由选择”发送报文，当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上，则给源端发送“源站路由失败”的ICMP差错报文；

l              设备在转发报文时，如果转发接口的MTU小于报文的长度，但报文被设置了不可分片，则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。

2. ICMP差错报文发送功能的弊端

ICMP差错报文的发送虽然便于控制管理，但也存在一定的弊端：

l              由于发送大量的ICMP报文，从而增大了网络流量。

l              如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文，设备会因为处理大量该类报文而导致性能降低。

l              由于重定向功能会在主机的路由表中增加主机路由，当增加的主机路由很多时，会降低主机性能。

l              由于ICMP目的不可达报文传递给用户进程的信息为不可达信息，如果有用户恶意攻击，则可能影响终端用户的正常使用。

为了避免上述现象发生，可以关闭设备的ICMP差错报文发送功能，从而减小网络流量负担、防止遭到恶意攻击。

表2-4 配置ICMP差错报文发送功能

&  说明：

l      关闭ICMP目的不可达报文发送功能后，设备不会再发送“网络不可达”和“源站路由失败”的ICMP差错报文，但其他目的不可达报文仍会正常发送。

l      关闭ICMP超时报文发送功能后，设备不会再发送“TTL超时”ICMP差错报文，但“重组超时”ICMP差错报文仍会正常发送。

2.5  IP性能显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后IP性能的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，用户可以执行reset命令清除IP、TCP和UDP的流量统计信息。

表2-5 IP性能显示和维护