- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-IP地址-IP性能操作
本章节下载 (249.34 KB)
目 录
连接到Internet上的设备接口必须有一个全球唯一的IP地址。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
l 网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
l 主机号码字段(Host-id):用于区分一个网络内的不同主机。
为了方便管理及组网,IP地址分成五类,如图1-1所示,其中蓝色部分为类别字段。
上述五类IP地址的地址范围如表1-1所示。目前大量使用的IP地址属于A、B、C三类。
|
地址类型 |
地址范围 |
说明 |
|
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址 127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
组播地址 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其他地址保留今后使用 |
下列IP地址具有特殊的用途,不能作为主机的IP地址。
l Net-id为全0的地址:表示本网络内的主机。例如,0.0.0.16表示本网络内Host-id为16的主机。
l Host-id为全0的地址:网络地址,用于标识一个网络。
l Host-id为全1的地址:网络广播地址。例如,目的地址为192.168.1.255的报文,将转发给192.168.1.0网络内所有的主机。
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
图1-2所示是一个B类地址划分子网的情况。
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
接口获取IP地址有以下几种方式:
l 通过手工指定IP地址
l 通过BOOTP分配得到IP地址
l 通过DHCP分配得到IP地址
这几种方式是互斥的,通过新的配置方式获取的IP地址会覆盖通过原有方式获取的IP地址。例如,首先通过手工指定了IP地址,然后使用BOOTP协议申请IP地址,那么手工指定的IP地址会被删除,接口的IP地址是通过BOOTP协议分配的。
& 说明:
本节只介绍通过手工指定IP地址的方式。其他两种方式请参见 “DHCP”部分。
在一般情况下,一个接口配置一个IP地址。为了使设备的一个接口与多个子网相连,可以为一个接口配置多个IP地址,其中一个为主IP地址,其余为从IP地址。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置接口的IP地址 |
ip address ip-address { mask | mask-length } [ sub ] |
必选 缺省情况下,没有为接口配置IP地址 |
注意:
l 一个接口只能有一个主IP地址。新配置的主IP地址将覆盖原有主IP地址。
l 当接口被配置为通过BOOTP、DHCP方式获取IP地址后,则不能再给该接口配置从IP地址。
l 同一接口的主、从IP地址可以在同一网段,但不同接口之间的IP地址不可以在同一网段。
Switch的端口(属于VLAN1)连接一个局域网,局域网中的计算机分别属于2个网段:172.16.1.0/24和172.16.2.0/24。要求这两个网段的主机都可以通过Switch与外部网络通信,且这两个网段中的主机能够互通。
针对上述的需求,如果在Switch的VLAN接口1上只配置一个IP地址,则只有一部分主机能够通过Switch与外部网络通信。为了使局域网内的所有主机都能够通过Switch访问外部网络,需要配置VLAN接口1的从IP地址。为了使两个网段中的主机能够互通,两个网段中的主机都需要将Switch设置为网关。
# 配置VLAN接口1的主IP地址和从IP地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 172.16.1.1 255.255.255.0
[Switch-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub
# 在172.16.1.0/24网段中的主机上配置网关为172.16.1.1;在172.16.2.0/24网段中的主机上配置网关为172.16.2.1。
# 使用ping命令检测Switch与网络172.16.1.0/24内主机的连通性。
<Switch> ping 172.16.1.2
PING 172.16.1.2: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=25 ms
Reply from 172.16.1.2: bytes=56 Sequence=2 ttl=255 time=27 ms
Reply from 172.16.1.2: bytes=56 Sequence=3 ttl=255 time=26 ms
Reply from 172.16.1.2: bytes=56 Sequence=4 ttl=255 time=26 ms
Reply from 172.16.1.2: bytes=56 Sequence=5 ttl=255 time=26 ms
--- 172.16.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 25/26/27 ms
显示信息表示Switch与网络172.16.1.0/24内的主机可以互通。
# 使用ping命令检测Switch与网络172.16.2.0/24内主机的连通性。
<Switch> ping 172.16.2.2
PING 172.16.2.2: 56 data bytes, press CTRL_C to break
Reply from 172.16.2.2: bytes=56 Sequence=1 ttl=255 time=25 ms
Reply from 172.16.2.2: bytes=56 Sequence=2 ttl=255 time=26 ms
Reply from 172.16.2.2: bytes=56 Sequence=3 ttl=255 time=26 ms
Reply from 172.16.2.2: bytes=56 Sequence=4 ttl=255 time=26 ms
Reply from 172.16.2.2: bytes=56 Sequence=5 ttl=255 time=26 ms
--- 172.16.2.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 25/25/26 ms
显示信息表示Switch与网络172.16.2.0/24内的主机可以互通。
# 使用ping命令检测网络172.16.1.0/24和网络172.16.2.0/24内主机的连通性。在Host A上可以ping通Host B。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP地址的运行情况,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示三层接口的相关信息 |
display ip interface [ interface-type interface-number ] |
|
显示三层接口的IP基本配置信息 |
display ip interface brief [ interface-type interface-number ] |
在一些特定的网络环境里,需要调整IP的参数,以便网络性能达到最佳。IP性能的配置包括:
l 配置允许接收和发送定向广播报文
l 配置接口的TCP最大报文段长度
l 配置TCP定时器
l 配置TCP连接的接收和发送缓冲区的大小
l 配置ICMP差错报文发送功能
定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。
如果允许设备接收并转发目的地址为接口所在网络的定向广播报文,黑客就可以利用这样的报文来攻击网络系统,给网络的安全带来了很大的隐患。因此,缺省情况下,设备禁止接收和转发接口所在网络的定向广播报文。
l 使用UDP Helper功能,将广播报文转换为单播报文发送给指定的服务器。
l 使用Wake on LAN(网络唤醒)功能,发送定向广播报文唤醒远程网络中的计算机。
在上述情况下,用户可以通过命令配置设备允许接收和转发定向广播报文。
如果允许设备接收定向广播报文,则由接口上的配置决定是否转发该报文;否则,直接丢弃定向广播报文。
表2-1 配置允许接收定向广播报文
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置允许设备接收定向广播报文 |
ip forward-broadcast |
必选 缺省情况下,禁止设备接收定向广播报文 |
l 允许接口转发定向的广播报文时,如果配置了ACL规则,则在转发广播报文的同时还需要对报文进行过滤,不符合ACL规则的报文将被丢弃,只转发符合ACL规则的报文。
l 如果在同一接口下重复执行ip forward-broadcast acl命令,则后面配置的ACL会覆盖以前配置的ACL;如果后配置的命令不带acl acl-number,则以前配置中的ACL规则将被取消。
如图2-1所示,Host的接口和Switch A的VLAN接口3处于同一个网段(1.1.1.0/24),Switch A的VLAN接口2和Switch B的VLAN接口2处于另外一个网段(2.2.2.0/24)。Host上配置默认网关为Switch A的VLAN接口3的地址(1.1.1.2/24),Switch B上配置静态路由使得Host与Switch B之间路由可达。
图2-1 配置收发定向广播报文组网图
(1) 配置Switch A
# 配置允许Switch A接收定向的广播报文。
<SwitchA> system-view
[SwitchA] ip forward-broadcast
# 配置VLAN接口3和VLAN接口2的IP地址。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ip address 1.1.1.2 24
[SwitchA-Vlan-interface3] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 2.2.2.2 24
# 配置允许VLAN接口2转发定向广播报文。
[SwitchA-Vlan-interface2] ip forward-broadcast
(2) 配置Switch B
# 配置允许Switch B接收定向的广播报文。
<SwitchB> system-view
[SwitchB] ip forward-broadcast
# 配置Switch B到Host的静态路由。
[SwitchB] ip route-static 1.1.1.1 24 2.2.2.2
# 配置VLAN接口2的IP地址。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 2.2.2.1 24
配置完成以后,在Host上ping Switch A的VLAN接口2所在子网网段的广播地址(2.2.2.255)时,Switch B的VLAN接口2可以收到该报文。取消掉任何一个ip forward-broadcast的配置,Switch B的VLAN接口2都不能收到该报文。
可以配置的TCP可选参数包括:
l synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接建立不成功。
l finwait定时器:当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前没有收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。
l TCP连接的接收和发送缓冲区的大小。
表2-3 配置TCP属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置TCP的synwait定时器超时时间 |
tcp timer syn-timeout time-value |
可选 缺省情况下,synwait定时器超时时间为75秒 |
|
配置TCP的finwait定时器超时时间 |
tcp timer fin-timeout time-value |
可选 缺省情况下,finwait定时器超时时间为675秒 |
|
配置TCP连接的接收和发送缓冲区的大小 |
tcp window window-size |
可选 缺省情况下,TCP连接的接收和发送缓冲区大小为8KB |
注意:
finwait定时器的实际超时时间由如下公式决定:
finwait定时器的实际超时时间=(配置的finwait定时器超时时间-75)+配置的synwait定时器超时时间。
发送差错报文是ICMP(Internet Control Message Protocol,互联网控制报文协议)的主要功能之一。ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理。
重定向报文、超时报文、目的不可达报文是ICMP差错报文中的三种。下面分别介绍这三种差错报文发送的条件及作用。
(1) ICMP重定向报文发送功能
主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳路由器进行后续报文的发送。
在满足下列条件时,设备会发送ICMP重定向报文:
l 接收和转发数据报文的接口是同一接口;
l 被选择的路由本身没有被ICMP重定向报文创建或修改过;
l 被选择的路由不是设备的默认路由;
l 数据报文中没有源路由选项。
ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由。
(2) ICMP超时报文发送功能
ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。
设备在满足下列条件时会发送ICMP超时报文:
l 设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;
l 设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。
(3) ICMP目的不可达报文发送功能
ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。
设备在满足下列条件时会发送目的不可达报文:
l 设备在转发报文时,如果在路由表中没有找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
l 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;
l 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;
l 源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;
l 设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。
ICMP差错报文的发送虽然方便了网络的控制管理,但也存在一定的弊端:
l 由于发送大量的ICMP报文,增大了网络流量。
l 如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备会因为处理大量该类报文而导致性能降低。
l 由于重定向功能会在主机的路由表中增加主机路由,当增加的主机路由很多时,会降低主机性能。
l 由于ICMP目的不可达报文传递给用户进程的信息为不可达信息,如果有用户恶意攻击,可能会影响终端用户的正常使用。
为了避免上述现象发生,可以关闭设备的ICMP差错报文发送功能,从而减少网络流量、防止遭到恶意攻击。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭ICMP重定向报文发送功能 |
undo ip redirects |
必选 缺省情况下,ICMP重定向报文发送功能处于开启状态 |
|
关闭ICMP超时报文发送功能 |
undo ip ttl-expires |
必选 缺省情况下,ICMP超时报文发送功能处于开启状态 |
|
关闭ICMP目的不可达报文发送功能 |
undo ip unreachables |
必选 缺省情况下,ICMP目的不可达报文发送功能处于开启状态 |
& 说明:
l 关闭ICMP目的不可达报文发送功能后,设备不会再发送“网络不可达”和“源站路由失败”的ICMP差错报文,但其他目的不可达报文仍会正常发送。
l 关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。
在完成上述配置后,在任意视图下执行display命令可以显示配置IP性能后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除IP、TCP和UDP的流量统计信息。
|
操作 |
命令 |
|
显示所有TCP连接的状态 |
display tcp status |
|
显示TCP连接的流量统计信息 |
display tcp statistics |
|
显示UDP流量统计信息 |
display udp statistics |
|
显示IP报文统计信息 |
display ip statistics |
|
显示ICMP流量统计信息 |
display icmp statistics |
|
显示套接口信息 |
display ip socket [ socktype sock-type ] [ task-id socket-id ] |
|
显示FIB转发信息 |
display fib [ | { begin | include | exclude } string | acl acl-number | ip-prefix ip-prefix-name ] |
|
显示与指定目的IP地址匹配的FIB转发信息 |
display fib ip-address1 [ { mask1 | mask-length1 } [ ip-address2 { mask2 | mask-length2 } | longer ] | longer ] |
|
显示FIB表项的统计信息 |
display fib statistics |
|
清除IP报文统计信息 |
reset ip statistics |
|
清除TCP连接的流量统计信息 |
reset tcp statistics |
|
清除UDP流量统计信息 |
reset udp statistics |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
