- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-网络
本章节下载: 06-网络 (1.26 MB)
目 录
l 不同型号产品的特性功能支持情况略有不同,对于手册中标有“请以设备实际情况为准”的特性,请参见“01-导读”中的“产品支持特性差异”章节的介绍。
l 本手册致力于提供更加准确的描述和WEB页面截图,但由于产品型号的差异,请在实际使用中以设备实际显示的WEB页面为准。
l 页面上显示为灰色的功能或参数,表示设备不支持或者在当前配置下不可修改。
l 本手册中对于设备以太网口的描述请以设备实际情况为准。
l MAC地址模块中对于接口的相关配置,目前只能在二层以太网接口上进行。
l 本章节内容只涉及静态和动态地址表项的管理,不涉及组播MAC地址表项管理的内容。
为了转发报文,设备需要维护MAC地址表。MAC地址表的表项包含了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLAN ID。MAC地址表中的表项包括静态表项和动态表项,其中静态表项是由用户配置的;动态表项包括用户配置的以及设备学习得来的。静态表项不会被老化掉,而动态表项会被老化掉。
设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE)并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
在设备学习MAC地址时,用户手工配置的静态MAC地址表项不能被学习中获得的动态MAC地址覆盖,而动态MAC地址表项可以被静态MAC地址覆盖。
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
l 单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
l 广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。
图1-1 设备的MAC地址表项
MAC地址表管理主要包括MAC地址表项的配置和查看,以及MAC地址表项老化时间的配置。
在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,页面显示所有的MAC地址表项,如图1-2所示。单击<新建>按钮,进入新建MAC地址表项的配置页面,如图1-3所示。
图1-3 MAC地址创建
新建MAC地址表项的详细配置如表1-1所示。
表1-1 新建MAC地址表项的详细配置
|
配置项 |
说明 |
|
MAC地址 |
设置待添加的MAC地址 |
|
类型 |
设置该MAC地址表项的类型,包括: l static:表示该表项是静态MAC地址表项,没有老化时间 l dynamic:表示该表项是动态MAC地址表项,有老化时间 l blackhole:表示该表项是黑洞MAC地址表项,没有老化时间
在MAC地址表项显示页面的列表中共有如下几种类型: l Config static:表示该表项是用户手工配置的静态表项 l Config dynamic:表示该表项是用户手工配置的动态表项 l Blackhole:表示该表项是黑洞表项 l Learned:表示该表项是设备学习得来的动态表项 l Other:表示该表项为除上述状态外的其他类型 |
|
VLAN ID |
设置该MAC地址表项所属的VLAN |
|
端口 |
设置该MAC地址表项所属的端口,黑洞表项不需要设置所属端口 |
在导航栏中选择“网络 > MAC地址”,单击“设置”页签,进入MAC地址表项老化时间的配置页面,如图1-4所示。
MAC地址表项老化时间的详细配置如表1-2所示。
表1-2 增加MAC地址表项的详细配置
|
配置项 |
说明 |
|
不老化 |
设置MAC地址表项不会老化 |
|
老化时间 |
设置MAC地址表项的老化,并指定老化时间 |
用户通过Web网管设置MAC地址表功能。要求在VLAN1中的GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71。
# 创建静态MAC地址表项。
l 在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,单击<新建>按钮。在MAC地址创建页面进行如下配置,如图1-5所示。
图1-5 创建静态MAC地址表项
l 输入MAC地址为“00e0-fc35-dc71”。
l 选择类型为“static”。
l 选择VLAN ID为“1”。
l 选择端口为“GigabitEthernet1/0/1”。
l 单击<确定>按钮完成操作。
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virtual Local Area Network,虚拟局域网)技术,这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。这样,广播报文被限制在一个VLAN内,如图2-1所示。
图2-1 VLAN示意图
VLAN的划分不受物理位置的限制:不在同一物理位置范围的主机可以属于同一个VLAN;一个VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由器。
VLAN的优点如下:
l 限制广播域。广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
l 增强局域网的安全性。VLAN间的二层报文是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需通过路由器或三层交换机等三层设备。
l 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层,只能对报文的数据链路层封装进行识别。因此,如果添加识别字段,也需要添加到数据链路层封装中。
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN标识的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段,如图2-2所示。
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文所属协议类型。
IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
图2-3 VLAN Tag的组成字段
如图2-3所示,VLAN Tag包含四个字段,分别是TPID(Tag Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式指示位)和VLAN ID。
l TPID用来标识本数据帧是带有VLAN Tag的数据,长度为16bit,取值为0x8100。
l Priority表示报文的优先级,长度为3bit。
l CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。
l VLAN ID标识该报文所属VLAN的编号,长度为12bit,取值范围为0~4095。由于0和4095为协议保留取值,所以VLAN ID的取值范围为1~4094。
网络设备利用VLAN ID来识别报文所属的VLAN,根据报文是否携带VLAN Tag以及携带的VLAN Tag值,来对报文进行处理。
这里的帧格式以Ethernet II型封装为例,以太网还支持802.2 LLC、802.2 SNAP和802.3 raw封装格式。对于这些封装格式的报文,也会添加VLAN Tag字段,用来区分不同VLAN的报文。
Web界面目前只支持对基于端口的VLAN的配置,因此,本章中也只对基于端口的VLAN进行介绍。
基于端口划分VLAN是VLAN最简单、最有效的划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文。
根据端口在转发报文时对Tag标签的不同处理方式,可将端口的连接类型分为三种:
l Access类型:端口只能属于1个VLAN,一般用于连接用户设备。
l Trunk类型:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于网络设备之间的连接。
l Hybrid类型:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。
Trunk端口和Hybrid端口的不同之处在于:
l Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。
l Hybrid端口允许多个VLAN的报文发送时不带Tag标签。
除了可以设置端口允许通过的VLAN,还可以设置端口的缺省VLAN。在缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。
l Access端口的缺省VLAN就是它所属的VLAN,不能配置。
l Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置缺省VLAN。
在配置了端口连接类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况如表2-1所示。
|
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
|
接收的报文不带Tag时 |
接收的报文带Tag时 |
||
|
Access |
为报文打上缺省VLAN的Tag |
l 当VLAN ID与缺省VLAN相同时,接收该报文 l 当VLAN ID与缺省VLAN ID不同时,丢弃该报文 |
由于VLAN ID与缺省VLAN ID相同,去掉Tag,发送该报文 |
|
Trunk |
l 当缺省VLAN在端口允许通过的VLAN列表中时,接收该报文,为报文打上缺省VLAN的Tag l 当缺省VLAN不在端口允许通过的VLAN列表中时,丢弃该报文 |
l 当VLAN在端口允许通过的VLAN列表中时,接收该报文 l 当VLAN ID不在端口允许通过的VLAN列表中时,丢弃该报文 |
l 当VLAN ID与缺省VLAN ID相同时,去掉Tag,发送该报文 l 当VLAN ID与缺省VLAN ID不同,且在端口允许通过的VLAN列表中时,保持原有Tag,发送该报文 |
|
Hybrid |
当VLAN在端口允许通过的VLAN列表中时,发送该报文,是否去掉Tag可由用户手动配置 |
||
VLAN配置的推荐步骤如表2-2所示。
表2-2 VLAN配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建一个或多个VLAN |
|
|
2 |
二者至少选择其一 配置VLAN的Untagged、Tagged成员,或从VLAN中删除成员 |
|
|
3 |
在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,如图2-4所示。单击<新建>按钮,进入新建VLAN的配置页面,如图2-5所示。
新建VLAN的详细配置如表2-3所示。
表2-3 新建VLAN的详细配置
|
配置项 |
说明 |
|
VLAN ID |
设置要创建的VLAN ID |
在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,如图2-4所示。在VLAN列表中找到要修改VLAN,单击对应的“操作”列中的
图标,进入修改VLAN的配置页面,如图2-6所示。
VLAN中端口的详细配置如表2-4所示。
表2-4 VLAN中端口的详细配置
|
配置项 |
说明 |
|
|
ID |
显示要修改的VLAN的ID |
|
|
描述 |
设置VLAN的描述字符串 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,如“VLAN 0001” |
|
|
端口 |
Untagged成员端口 |
设置VLAN中要修改的端口成员类型 在端口列表中找到要加入或删除的端口,在端口对应的“Untagged成员端口”、“Tagged成员端口”和“非成员”列的单选按钮中进行选择: l Untagged:表示端口成员发送该VLAN报文时不带Tag标签 l Tagged:表示端口成员发送该VLAN报文时带Tag标签 l 非成员:表示从该VLAN中删除端口成员 |
|
Tagged成员端口 |
||
|
非成员 |
||
在导航栏中选择“网络 > VLAN”,单击“端口”页签,进入端口显示页面,如图2-7所示。在端口列表中找到要修改端口,单击对应的“操作”列中的图标,进入修改端口的配置页面,如图2-8所示。
端口所属VLAN的详细配置如表2-5所示。
表2-5 端口所属VLAN的详细配置
|
配置项 |
说明 |
|
|
端口 |
显示要修改所属VLAN的端口 |
|
|
Untagged成员VLAN |
显示该端口目前是哪个或哪些VLAN的Untagged成员 |
|
|
Tagged成员VLAN |
显示该端口目前是哪个或哪些VLAN的Tagged成员 |
|
|
成员类型 |
Untagged |
设置端口要修改为的成员类型 在“Untagged”、“Tagged”和“非成员”前的单选按钮中进行选择 l Untagged:表示端口成员发送该VLAN报文时不带Tag标签 l Tagged:表示端口成员发送该VLAN报文时带Tag标签 l 非成员:表示从该VLAN中删除端口成员 |
|
Tagged |
||
|
非成员 |
||
|
VLAN ID |
设置要修改端口成员的目的VLAN |
|
l AP与Switch使用GigabitEthernet1/0/1相连,GigabitEthernet1/0/1为Hybrid端口,缺省VLAN为VLAN1。
l 配置GigabitEthernet1/0/1,使该端口还可以允许VLAN 1、VLAN 2、VLAN 6到VLAN 50、VLAN 100的报文通过,且允许VLAN 1和VLAN 100的报文发送时不带Tag标签。
图2-9 VLAN配置组网图
(1) 配置AP
l 缺省情况下,GigabitEthernet1/0/1为Access端口,缺省VLAN ID为1。
l 执行下述的配置步骤时,如果颠倒配置端口GigabitEthernet1/0/1的Tagged成员和Untagged成员的先后顺序,则在配置Untagged成员时输入的VLAN ID必须为“1,100”,否则端口的缺省VLAN ID将变为100。
# 创建VLAN 2、VLAN 6到VLAN 50、VLAN 100。
l 在导航栏中选择“网络 > VLAN”,默认进入“VLAN”页签的页面,单击<新建>按钮,进行如下配置,如图2-10所示。
l 输入VLAN ID为“2,6-50,100”。
l 单击<确定>按钮完成操作。
# 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6到VLAN 50的Tagged成员。
l 在导航栏中选择“网络 > VLAN”,单击“端口”页签。
l
在端口列表中单击端口GigabitEthernet1/0/1对应的图标,进行如下配置,如图2-11所示。
图2-11 配置GigabitEthernet1/0/1的Tagged成员
l 选中“Tagged”成员类型前的单选按钮。
l 输入VLAN ID为“2,6-50”。
l 单击<确定>按钮,弹出如图2-12所示的对话框。
l 在对话框中单击<确定>完成操作。
# 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员。
l
再次在端口列表中单击端口GigabitEthernet1/0/1对应的的图标,进行如下配置,如图2-13所示。
图2-13 配置GigabitEthernet1/0/1的Untagged成员
l 选中“Untagged”成员类型前的单选按钮。
l 输入VLAN ID为“100”。
l 单击<确定>按钮完成操作。
(2) 配置Switch
与AP上的配置步骤相似,不再赘述。
配置VLAN时需要注意如下事项:
(1) VLAN1为系统缺省VLAN,用户不能手工创建和删除。
(2) 保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除。
(3) 在VLAN显示页面,如图2-4所示,在“VLAN范围”文本框中输入一个VLAN范围,单击<选择>按钮,则下面列表中将只显示符合该范围的所有VLAN的信息,对VLAN的查询也将在此范围中进行,这样可以在存在大量VLAN时方便用户的操作;单击<删除>按钮,则会将符合该范围的VLAN全部删除。
(4) 用户不能手工删除设备上动态学习到的VLAN。
设备对ARP管理的支持情况与设备的具体型号有关,使用中请以设备的实际情况为准。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
ARP报文分为ARP请求和ARP应答报文,报文格式如图3-1所示。
图3-1 ARP报文结构
l 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。
l 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
l 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。
l 操作类型(OP):1表示ARP请求,2表示ARP应答。
l 发送端MAC地址:发送方设备的硬件地址。
l 发送端IP地址:发送方设备的IP地址。
l 目标MAC地址:接收方设备的硬件地址。
l 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图3-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图3-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
静态ARP表项分为短静态ARP表项和长静态ARP表项。
l 在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。
l 在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN虚接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,之后就可以用于IP数据包的转发。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图3-3所示。页面显示所有ARP表项的信息。
在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图3-3所示。单击<新建>按钮,进入新建静态ARP表项的配置页面,选中“高级选项”前的复选框,可以展开静态ARP表项的高级配置项,如图3-4所示。
静态ARP表项的详细配置如表3-1所示。
表3-1 静态ARP表项的详细配置
|
配置项 |
说明 |
|
|
IP地址 |
设置静态ARP表项的IP地址 |
|
|
MAC地址 |
设置静态ARP表项的MAC地址 |
|
|
高级选项 |
VLAN ID |
设置静态ARP表项所属的VLAN和端口
指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLAN ID对应的VLAN虚接口必须已经创建 |
|
端口 |
||
l AP通过接口GigabitEthernet1/0/1连接Router。接口GigabitEthernet1/0/1属于VLAN 1。
l Router的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加AP和Router通信的安全性,可以在AP上配置静态ARP表项。
图3-5 静态ARP配置组网图
进行下面的配置前,假设接口Vlan-interface1已存在,管理员通过Vlan-interface1登录AP的Web页面进行配置。
# 配置静态ARP表项。
l 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,单击<新建>按钮。进行如下配置,如图3-6所示。
l 输入IP地址为“192.168.1.1”。
l 输入MAC地址为“00e0-fc01-0000”。
l 选中“高级选项”前的复选框。
l 输入VLAN ID为“1”。
l 选择端口为“GigabitEthernet1/0/1”。
l 单击<确定>按钮完成操作。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,发送者MAC地址是本机MAC地址,目标MAC地址是广播地址。
设备通过对外发送免费ARP报文,实现以下功能:
l 确定其它设备的IP地址是否与本机IP地址冲突。
l 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
设备通过学习免费ARP报文,实现以下功能:
对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到本地动态ARP映射表中。
在导航栏中选择“网络 > ARP管理”,单击“免费ARP”页签,进入如图3-7所示的页面。
免费ARP的详细配置如表3-2所示。
表3-2 免费ARP的详细配置
|
配置项 |
说明 |
|
关闭学习免费ARP报文 |
设置是否关闭免费ARP报文学习功能 缺省情况下,免费ARP报文学习功能处于开启状态 |
|
收到非同一网段ARP请求时发送免费ARP报文 |
设置使能收到非同一网段ARP请求时发送免费ARP报文功能 缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文 |
设备对IGMP Snooping的支持情况与设备的具体型号有关,请以设备的实际情况为准。
IGMP Snooping是Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组。
运行IGMP Snooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。
如图4-1所示,当二层设备没有运行IGMP Snooping时,组播数据在二层被广播;当二层设备运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。
如图4-2所示,Router 连接组播源,在Switch和AP上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。
结合图4-2,介绍一下IGMP Snooping相关的端口概念:
l 路由器端口(Router Port):交换机或AP设备上朝向三层组播设备(DR或IGMP查询器)一侧的端口,如Switch的Ethernet1/0端口和AP的Ethernet1/0/1端口。交换机和AP设备将本设备上的所有路由器端口都记录在路由器端口列表中。
l 成员端口(Member Port):又称组播组成员端口,表示交换机或AP设备上朝向组播组成员一侧的端口,如Switch 的Ethernet1/1端口,以及AP的WLAN-BSS1和WLAN-BSS2端口。交换机或AP设备将本设备上的所有成员端口都记录在IGMP Snooping转发表中。
l 本文中提到的路由器端口都是指交换机上朝向组播路由器的端口,而不是指路由器上的端口。
l 如没有特别说明,本文中提到的路由器/成员端口均包括动态和静态端口。
l 在运行了IGMP Snooping的交换机或AP设备上,所有收到源地址不为0.0.0.0的IGMP普遍组查询报文或PIM Hello报文的端口都将被视为动态路由器端口。
运行了IGMP Snooping的AP设备对不同IGMP动作的具体处理方式如下:
本节中所描述的增删端口动作均只针对动态端口。
IGMP查询器定期向本地网段内的所有主机与路由器(224.0.0.1)发送IGMP普遍组查询报文,以查询该网段有哪些组播组的成员。
在收到IGMP普遍组查询报文时,AP设备将其通过VLAN内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:
l 如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。
l 如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动其老化定时器。
以下情况,主机会向IGMP查询器发送IGMP成员关系报告报文:
l 当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。
l 如果主机要加入某个组播组,它会主动向IGMP查询器发送IGMP成员关系报告报文以声明加入该组播组。
在收到IGMP成员关系报告报文时,AP设备将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:
l 如果不存在该组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;
l 如果已存在该组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;
l 如果已存在该组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器。
AP设备不会将IGMP成员关系报告报文通过非路由器端口转发出去,因为根据主机上的IGMP成员关系报告抑制机制,如果非路由器端口下还有该组播组的成员主机,则这些主机在收到该报告报文后便抑制了自身的报告,从而使AP设备无法获知这些端口下还有该组播组的成员主机。
运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此AP设备无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的动态成员端口的老化定时器超时后,AP设备就会将该端口对应的转发表项从转发表中删除。
运行IGMPv2或IGMPv3的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。当AP设备从某动态成员端口上收到IGMP离开组报文时,首先判断要离开的组播组所对应的转发表项是否存在,以及该组播组所对应转发表项的出端口列表中是否包含该接收端口:
l 如果不存在该组播组对应的转发表项,或者该组播组对应转发表项的出端口列表中不包含该端口,AP设备不会向任何端口转发该报文,而将其直接丢弃;
l 如果存在该组播组对应的转发表项,且该组播组对应转发表项的出端口列表中包含该端口,AP设备会将该报文通过VLAN内的所有路由器端口转发出去。同时,由于并不知道该接收端口下是否还有该组播组的其它成员,所以AP设备不会立刻把该端口从该组播组所对应转发表项的出端口列表中删除,而是重置其老化定时器。
当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。AP设备在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。对于IGMP离开组报文的接收端口(假定为动态成员端口),AP设备在其老化时间内:
l 如果从该端口收到了主机响应该特定组查询的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置其老化定时器;
l 如果没有从该端口收到主机响应特定组查询的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在其老化时间超时后,将其从该组播组所对应转发表项的出端口列表中删除。
与IGMP Snooping相关的协议规范有:
l RFC 4541:Considerations for Internet Group Management Protocol (IGMP) and Multicast Listener Discovery (MLD) Snooping Switches
IGMP Snooping配置的推荐步骤如表4-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,全局IGMP Snooping处于禁止状态 |
|
|
2 |
必选 在VLAN内使能IGMP Snooping,配置IGMP Snooping版本、查询器等功能 缺省情况下,VLAN内的IGMP Snooping处于禁止状态
l 在VLAN内配置IGMP Snooping之前,必须先在全局使能IGMP Snooping l 在VLAN内使能IGMP Snooping之后,不允许在该VLAN所对应的VLAN接口上再使能IGMP和PIM,反之亦然 l 在VLAN内使能了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效 |
|
|
3 |
可选 在指定VLAN内容配置端口的最大组播组数和端口快速离开功能
l 在端口上配置IGMP Snooping之前,必须先全局使能组播路由或IGMP Snooping l 在VLAN内使能IGMP Snooping或者VLAN接口上使能IGMP的情况下,端口上的IGMP Snooping配置才生效 |
|
|
4 |
可选 |
在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图4-3所示。
全局使能IGMP Snooping的详细配置如表4-2所示。
|
配置项 |
说明 |
|
IGMP Snooping |
设置在全局使能或禁止IGMP Snooping |
可点击返回“表4-1 IGMP Snooping配置步骤”。
在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图4-3所示。在“VLAN配置”中单击要配置的VLAN对应的
图标,进入该VLAN的IGMP Snooping配置页面,如图4-4所示。
VLAN内IGMP Snooping的详细配置如表4-3所示。
表4-3 VLAN内IGMP Snooping的详细配置
|
配置项 |
说明 |
|
VLAN ID |
显示当前要配置的VLAN的ID |
|
IGMP Snooping |
设置在该VLAN内使能或禁止IGMP Snooping 只有在此项选择“Enable”时,才能进行后面配置项的设置 |
|
版本 |
设置IGMP Snooping的版本,即设置IGMP Snooping可以处理的IGMP报文的版本 l 当IGMP Snooping的版本为2时,IGMP Snooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播 l 当IGMP Snooping的版本为3时,IGMP Snooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理 |
|
丢弃未知组播数据报文 |
设置使能或禁止丢弃未知组播数据报文功能 未知组播数据报文是指在IGMP Snooping转发表中不存在对应转发表项的那些组播数据报文: l 当使能丢弃未知组播数据报文功能时,交换机将丢弃所有收到的未知组播数据报文 l 当禁止丢弃未知组播数据报文功能时,交换机将在未知组播数据报文所属的VLAN内广播该报文 |
|
查询器 |
设置使能或禁止IGMP Snooping查询器功能 在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据 |
|
查询间隔 |
设置发送IGMP普遍组查询报文的时间间隔 |
可点击返回“表4-1 IGMP Snooping配置步骤”。
在导航栏中选择“网络 > IGMP Snooping”,单击“高级配置”页签,进入如图4-5所示的页面。
IGMP Snooping高级参数的详细配置如表4-4所示。
表4-4 IGMP Snooping高级参数的详细配置
|
配置项 |
说明 |
|
端口名称 |
设置要进行IGMP Snooping高级配置的端口 选择一个端口后,页面下方的列表中显示该端口的高级配置信息 |
|
VLAN ID |
设置在指定VLAN内配置端口快速离开功能或配置允许端口加入的组播组最大数量 |
|
最大组播组数 |
设置允许端口加入的组播组最大数量 通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量
在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMP Snooping转发表中删除,该端口上的主机需要重新加入组播组 |
|
端口快速离开 |
设置在指定端口上使能或禁止快速离开功能 端口快速离开是指当交换机从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当交换机收到对该组播组的IGMP特定组查询报文时,交换机将不再向该端口转发。在交换机上,如果端口下只连接有一个接收者,则可以通过使能端口快速离开功能以节约带宽和资源
在使能了端口快速离开功能后,当端口下有多个用户时,一个用户的离开会导致该端口下属于同一组播组的其它用户无法收到组播数据 |
可点击返回“表4-1 IGMP Snooping配置步骤”。
在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图4-3所示。单击“显示表项”前的扩展按钮,可以查看IGMP Snooping组播表项的概要信息,如图4-6所示。单击要查看的表项对应的
图标,进入该IGMP Snooping组播表项详细信息的显示页面。
IGMP Snooping组播表项信息的详细说明如表4-5所示。
表4-5 IGMP Snooping组播表项信息的详细说明
|
标题项 |
说明 |
|
VLAN ID |
组播表项所属VLAN的ID |
|
源地址 |
组播源地址,0.0.0.0表示所有组播源 |
|
组地址 |
组播组地址 |
可点击返回“表4-1 IGMP Snooping配置步骤”。
l 本章所指的路由器代表了一般意义下的路由设备,以及配置了路由功能的无线接入点设备。为提高可读性,在手册的描述中将不另行说明。
l 设备对IPv6的支持情况与设备的型号有关,请以设备的实际情况为准。
在因特网中进行路由选择要使用路由器,路由器根据所收到的报文的目的地址选择一条合适的路由(通过某一网络),并将报文传送到下一个路由器。路径中最后的路由器负责将报文送交目的主机。
路由器转发报文的关键是路由表。每个路由器中都保存着一张路由表,表中每条路由项都指明了要到达某子网或某主机的报文应通过路由器的哪个接口发送,可到达该路径的下一跳,或者不需再经过别的路由器便可传送到直接相连的网络中的目的主机。
根据来源不同,路由表中的路由通常可分为以下三类:
l 链路层协议发现的路由(也称为接口路由或直连路由)
l 由网络管理员手工配置的静态路由
l 动态路由协议发现的路由
路由表中包含了下列关键项:
l 目的地址:用来标识IP数据报的目的主机地址或目的网络。
l 网络掩码(IPv4)/前缀长度(IPv6):与目的地址一起来标识目的主机或路由器所在网段。
l 出接口:指明IP报文将从该路由器哪个接口转发。
l 下一跳:更接近目的网络的下一个路由器的IP地址。如果只配置了出接口,则下一跳是出接口的IP地址。
l 本条路由加入IP路由表的优先级:对于同一目的地,可能存在若干条不同下一跳的路由。这些不同的路由可能是由不同的路由协议发现的,也可能是手工配置的静态路由。优先级高(即数值小)的路由将成为当前的最优路由。
静态路由是由管理员手工配置的路由。当组网结构比较简单网络中,只需配置静态路由就可以了。恰当地设置和使用静态路由可以改善网络的性能,并可为重要的网络应用保证带宽。
静态路由的缺点在于:不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,可能会出现路由不可达,导致网络中断,此时必须由网络管理员手工修改静态路由的配置。
配置静态路由时,可指定出接口,也可指定下一跳。指定出接口还是指定下一跳要视具体情况而定,下一跳不能为本地接口IP地址,否则路由不会生效。
实际上,所有的路由项都必须明确下一跳。在发送报文时,首先根据报文的目的地址寻找路由表中与之匹配的路由。只有指定了下一跳,链路层才能找到对应的链路层地址,并转发报文。
缺省路由是在路由器没有找到匹配的路由表入口项时才使用的路由:
l 如果报文的目的地址不能与路由表的任何入口项相匹配,那么该报文将选取缺省路由;
l 如果没有缺省路由且报文的目的地不在路由表中,那么该报文将被丢弃,并向源端返回一个目标网络不可达的ICMP报文。
缺省路由可以通过静态路由配置,也可以由某些动态路由协议生成。
l 在配置IPv4静态路由时,如果指定的目的IP地址为0.0.0.0(掩码也为0.0.0.0),则表示配置了一条IPv4缺省路由。
l 在配置IPv6静态路由时,如果指定的目的IP地址为::/0(前缀长度为0),则表示配置了一条IPv6缺省路由。
在导航栏中选择“网络 > IPv4路由”,默认进入“显示”页签的页面,如图5-1所示。
图5-1 IPv4路由显示
IPv4激活路由表的详细说明如表5-1所示。
表5-1 IPv4激活路由表的详细说明
|
标题项 |
说明 |
|
目的IP地址 |
IPv4路由的目的IP地址和子网掩码 |
|
掩码 |
|
|
协议 |
发现该IPv4路由的路由协议 |
|
优先级 |
该IPv4路由的优先级 数值越小,优先级越高 |
|
下一跳 |
该IPv4路由下一跳IP地址 |
|
接口 |
该IPv4路由的出接口,即到该目的网段的数据包将从此接口发出 |
在导航栏中选择“网络 > IPv4路由”,单击“创建”页签,进入IPv4静态路由配置页面,如图5-2所示。
图5-2 IPv4静态路由创建
IPv4静态路由的详细配置如表5-2所示。
表5-2 IPv4静态路由的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置IPv4数据报文的目的主机或目的网段,格式要求为点分十进制 |
|
掩码 |
设置目的主机或目的网段的掩码 下拉框中既给出了掩码长度(即掩码中连续“1”的位数),也给出了点分十进制的掩码 |
|
优先级 |
设置本条静态路由的优先级,数值越小优先级越高 配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份 |
|
下一跳 |
设置IPv4数据报文要经过的下一个设备的IP地址,格式要求为点分十进制 |
|
接口 |
设置IPv4数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
在导航栏中选择“网络 > IPv6路由”,默认进入“显示”页签的页面,如图5-3所示。
图5-3 IPv6路由显示
IPv6激活路由表的详细说明如表5-3所示。
表5-3 IPv6激活路由表的详细说明
|
标题项 |
说明 |
|
目的IP地址 |
IPv6路由的目的IP地址和前缀长度 |
|
前缀长度 |
|
|
协议 |
发现该IPv6路由的路由协议 |
|
优先级 |
该IPv6路由的优先级 数值越小,优先级越高 |
|
下一跳 |
该IPv6路由下一跳IP地址 |
|
接口 |
该IPv6路由的出接口,即到该目的网段的数据包将从此接口发出 |
在导航栏中选择“网络 > IPv6路由”,单击“创建”页签,进入IPv6静态路由配置页面,如图5-4所示。
图5-4 IPv6路由显示
IPv6静态路由的详细配置如表5-4所示。
表5-4 IPv6静态路由的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置IPv6数据报文的目的主机或目的网段,格式类似于X:X::X:X 目的IP地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
前缀长度 |
设置目的主机或目的网段的前缀长度 |
|
优先级 |
设置本条静态路由的优先级,数值越小优先级越高 配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份 |
|
下一跳 |
设置IPv6数据报文要经过的下一个设备的IP地址,格式要求和目的IP地址相同 |
|
接口 |
设置IPv6数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
Switch A、Switch B和AP各接口及主机的IP地址和掩码如图5-5所示。要求Switch A、Switch B和AP之间配置IPv4静态路由后,Host A和Host B之间能够互通。
图5-5 IPv4静态路由配置组网图
采用如下的思路配置IPv4静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和AP的静态路由。
(3) 在AP上配置一条到Switch B的缺省路由。
(1) 配置Host A的网关地址为1.1.2.3,配置Host B的网关地址为1.1.3.3
(2) 配置各接口的IP地址(略)
(3) 配置IPv4静态路由
# 在Switch A上配置一条下一跳为“1.1.4.2”的缺省路由。(略)
# 在Switch B上配置一条目的地址为“1.1.2.0/24”、下一跳为“1.1.4.1”的静态路由(略)
# 在AP上配置缺省路由。
l 在AP的导航栏中选择“网络 > IPv4路由”,单击“创建”页签,进入IPv4静态路由配置页面,进行如下配置,如图5-6所示。
图5-6 配置缺省路由
l 输入目的IP地址为“0.0.0.0”。
l 在“掩码”下拉框中选择“0 (0.0.0.0)”。
l 输入下一跳为“1.1.3.3”。
l 单击<应用>按钮完成操作。
# 查看激活路由列表。
分别进入Switch A、Switch B和AP的IPv4路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
# 使用ping命令验证。
在Host A上使用ping命令验证Host B是否可达(假定主机安装的操作系统为Windows XP)。
C:\Documents and Settings\Administrator>ping 1.1.3.2
Pinging 1.1.3.2 with 32 bytes of data:
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Ping statistics for 1.1.3.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Switch A、Switch B和AP各接口及主机的IP地址和掩码如图5-7所示。要求Switch A、Switch B和AP之间配置IPv6静态路由协议后,Host A和Host B之间能够互通。
图5-7 IPv6静态路由配置组网图
采用如下的思路配置IPv6静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和AP的静态路由。
(3) 在AP上配置一条到Switch B的缺省路由。
(1) 配置Host A的网关地址为1::1,配置Host B的网关地址为3::3
(2) 配置各接口的IPv6地址(略)
(3) 配置IPv6静态路由
# 在Switch A上配置一条下一跳为“4::2”的缺省路由。(略)
# 在Switch B上配置一条目的地址为“1::/64”、下一跳为“4::1”的静态路由。(略)
# 在AP上配置缺省路由。
l 在AP的导航栏中选择“网络 > IPv6路由”,单击“创建”页签,进入IPv6静态路由配置页面,进行如下配置,如图5-8所示。
图5-8 配置缺省路由
l 输入目的IP地址为“::”。
l 在“前缀长度”下拉框中选择“0”。
l 输入下一跳为“3::3”。
l 单击<应用>按钮完成操作。
# 查看激活路由列表。
分别进入Switch A、Switch B和AP的IPv6路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
# 使用ping进行验证。
在Switch A上使用ping命令验证Host B是否可达。
<SwitchA> system-view
[SwitchA] ping ipv6 3::2
PING 3::2 : 56 data bytes, press CTRL_C to break
Reply from 3::2
bytes=56 Sequence=1 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=2 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=3 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=4 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=5 hop limit=254 time = 63 ms
--- 3::2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/62/63 ms
配置静态路由时需要注意如下事项:
(1) 如果在配置静态路由时没有指定优先级,就会使用缺省优先级。重新设置缺省优先级后,新设置的缺省优先级仅对新增的静态路由有效。Web界面目前不支持对缺省优先级的配置。
(2) 在配置静态路由时,如果先指定下一跳,然后再将该下一跳的地址配置为本地接口(如以太网接口、VLAN接口等)的IP地址,则该条静态路由不会生效。
(3) 在指定出接口时要注意:
l 对于NULL0和Loopback接口,配置了出接口就不再配置下一跳。
l 对于点到点接口,即使不知道对端地址,也可以在路由器配置时指定出接口。这样,即使对端地址发生了改变也无须改变该路由器的配置。如封装PPP协议的接口,通过PPP协商获取对端的IP地址,这时可以不指定下一跳,只需指定出接口即可。
l 对于NBMA、P2MP等接口,它们支持点到多点网络,这时除了配置IP路由外,还需在链路层建立二次路由,即IP地址到链路层地址的映射。通常情况下,建议在配置出接口时,同时配置下一跳IP地址。
l 在配置静态路由时,建议不要直接指定广播类型接口作为出接口(如以太网接口、Virtual-Template、VLAN接口等)。因为广播类型的接口,会导致出现多个下一跳,无法唯一确定下一跳。在某些特殊应用中,如果必须配置广播接口为出接口,则必须同时指定其对应的下一跳。
l 设备对DHCP的支持情况与设备的具体型号有关,请以设备的实际情况为准。
l 指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见“设备”模块的接口管理,本章不对DHCP客户端的配置进行介绍。
随着网络规模的不断扩大和网络复杂度的提高,计算机的数量经常超过可供分配的IP地址数量。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为满足这些需求而发展起来的。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图6-1所示。
图6-1 DHCP典型应用
针对客户端的不同需求,DHCP提供三种IP地址分配策略:
l 手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址。可以通过将客户端的MAC地址与IP地址绑定的方式实现。当具有此MAC地址的客户端申请IP地址时,DHCP服务器将根据客户端的MAC地址查找到对应的IP地址,并分配给客户端。
l 自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
l 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
图6-2 IP地址动态获取过程
如图6-2所示,DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:
(1) 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。
(2) 提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。DHCP-OFFER报文的发送方式由DHCP-DISCOVER报文中的flag字段决定。
(3) 选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
(4) 确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认将地址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。
l 客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。
l 如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。
如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP地址租约。
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。
DHCP有8种类型的报文,每种报文的格式相同,只是某些字段的取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如图6-3所示(括号中的数字表示该字段所占的字节)。
图6-3 DHCP报文格式
各字段的解释如下:
l op:报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。具体的报文类型在option字段中标识。
l htype、hlen:DHCP客户端的硬件地址类型及长度。
l hops:DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。
l xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
l secs:DHCP客户端开始DHCP请求后所经过的时间。目前没有使用,固定为0。
l flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播方式发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。
l ciaddr:DHCP客户端的IP地址。
l yiaddr:DHCP服务器分配给客户端的IP地址。
l siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。
l giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。
l chaddr:DHCP客户端的硬件地址。
l sname:DHCP客户端获取IP地址等信息的服务器名称。
l file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。
l option:可选变长选项字段,包含报文的类型、有效租期、DNS服务器的IP地址、WINS服务器的IP地址等配置信息。
为了与BOOTP(Bootstrap Protocol,自举协议)兼容,DHCP保留了BOOTP的消息格式。DHCP和BOOTP消息的不同主要体现在选项(Option)字段。DHCP在BOOTP基础上增加的功能,通过Option字段来实现。
DHCP利用Option字段传递控制信息和网络配置参数,实现地址的动态分配,为客户端提供更加丰富的网络配置信息。
DHCP选项的格式如图6-4所示。
图6-4 DHCP选项格式
常见的DHCP选项有:
l Option 3:路由器选项,用来指定为客户端分配的网关地址。
l Option 6:DNS服务器选项,用来指定为客户端分配的DNS服务器地址。
l Option 51:IP地址租约选项。
l Option 53:DHCP消息类型选项,标识DHCP消息的类型。
l Option 55:请求参数列表选项。客户端利用该选项指明需要从服务器获取哪些网络配置参数。该选项内容为客户端请求的参数对应的选项值。
l Option 66:TFTP服务器名选项,用来指定为客户端分配的TFTP服务器的域名。
l Option 67:启动文件名选项,用来指定为客户端分配的启动文件名。
l Option 150:TFTP服务器地址选项,用来指定为客户端分配的TFTP服务器的地址。
l Option 121:无分类路由选项。该选项中包含一组无分类静态路由(即目的地址的掩码为任意值,可以通过掩码来划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。
l Option 33:静态路由选项。该选项中包含一组有分类静态路由(即目的地址的掩码固定为自然掩码,不能划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。如果存在Option 121,则忽略该选项。
更多DHCP选项的介绍,请参见RFC 2132。
有些选项的内容,RFC 2132中没有统一规定,例如Option 82选项。
Option 82称为中继代理信息选项,该选项记录了DHCP客户端的位置信息。DHCP中继或DHCP Snooping设备接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option 82,并转发给DHCP服务器。
管理员可以从Option 82中获得DHCP客户端的位置信息,以便定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82的服务器还可以根据该选项的信息制定IP地址和其他参数的分配策略,提供更加灵活的地址分配方案。
Option 82最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:sub-option 1(Circuit ID,电路ID子选项)和sub-option 2(Remote ID,远程ID子选项)。
由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。设备上,采用默认的normal模式填充Option 82。normal填充模式中,子选项内容的填充格式可以是ASCII格式和HEX格式。子选项的内容如下:
l sub-option 1的内容是接收到DHCP客户端请求报文的接口属于的VLAN ID以及接口编号。如图6-5所示,子选项类型值为1,电路ID类型值为0。
图6-5 normal模式填充的sub-option 1
l sub-option 2的内容是接收到DHCP客户端请求报文的接口MAC地址(DHCP中继)或设备的桥MAC地址(DHCP Snooping设备)。如图6-6所示,子选项类型值为2,远程ID类型值为0。
图6-6 normal模式填充的sub-option 2
与DHCP相关的协议规范有:
l RFC 2131:Dynamic Host Configuration Protocol
l RFC 2132:DHCP Options and BOOTP Vendor Extensions
l RFC 1542:Clarifications and Extensions for the Bootstrap Protocol
l RFC 3046:DHCP Relay Agent Information Option
在以下场合通常利用DHCP服务器来完成IP地址分配:
l 网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
l 网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,大量用户必须动态获得自己的IP地址。
l 网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
DHCP服务器从地址池中为客户端选择并分配IP地址及其他相关参数。
DHCP服务器的地址池采用树状结构:树根是自然网段的地址池,分支是该网段的子网地址池,叶节点是手工绑定的客户端地址。同一级别地址池的顺序由配置的先后决定。这种树状结构实现了配置的继承性,即子网配置继承自然网段的配置,客户端的配置继承子网的配置。这样,对于一些通用参数(如DNS服务器地址),只需要在自然网段或者子网上配置即可。具体的继承情况如下:
(1) 在父子关系建立时,子地址池将会继承父地址池的已有配置。
(2) 在父子关系建立后,对父地址池进行的配置,子地址池是否会继承,则有下面两种情况:
l 如果子地址池没有该项配置,则继承父地址池的配置;
l 如果子地址池已有该项配置,则不会继承父地址池的配置。
IP地址的租用有效期限不具有继承关系。
DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:
(1) 如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址分配给客户端。
(2) 如果不存在静态绑定的地址池,则选择包含DHCP请求报文接收接口的IP地址(客户端与服务器在同一网段时)或DHCP请求报文中giaddr字段指定的IP地址(客户端与服务器不在同一网段,客户端通过DHCP中继获取IP地址时)、地址范围最小的地址池。如果该地址池中没有可供分配的IP地址,则服务器无法为客户端分配地址,服务器不会将父地址池中的IP地址分配给客户端。
例如,DHCP服务器上配置了两个地址池,动态分配的IP地址范围分别是1.1.1.0/24和1.1.1.0/25,如果接收DHCP请求报文的接口IP地址为1.1.1.1/25,服务器将从1.1.1.0/25地址池中选择IP地址分配给客户端,1.1.1.0/25地址池中如果没有可供分配的IP地址,则服务器无法为客户端分配地址;如果接收DHCP请求报文的接口IP地址为1.1.1.130/25,服务器将从1.1.1.0/24地址池中选择IP地址分配给客户端。
DHCP服务器为客户端分配IP地址的优先次序如下:
(1) DHCP服务器中与客户端MAC地址或客户端ID静态绑定的IP地址。
(2) DHCP服务器记录的曾经分配给客户端的IP地址。
(3) 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。
(4) 选择合适的地址池,从中顺序查找可供分配的IP地址,最先找到的IP地址。
(5) 如果未找到可用的IP地址,则依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
DHCP服务器配置的推荐步骤如图6-7所示。
表6-1 DHCP服务器配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 启动全局DHCP服务 缺省情况下,全局DHCP服务处于关闭状态 |
|
|
2 |
二者至少选其一
l DHCP服务器和客户端在同一个子网内,直接进行DHCP报文交互时,DHCP服务器上配置的地址池需要与DHCP服务器接口IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 l DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上配置的地址池需要与DHCP中继接口的IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 |
|
|
3 |
可选 配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址 缺省情况下,接口工作在DHCP服务器模式
l 同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 l DHCP服务器只在IP地址为手工配置的接口上起作用 |
在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图6-7所示。在页面最上方可以进行DHCP服务启动状态的配置。
图6-7 DHCP服务器
l 选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
l 选中DHCP服务“关闭”前的单选按钮,即可关闭全局DHCP服务。
可点击返回“表6-1 DHCP服务器配置步骤”。
在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图6-7所示。在“地址池”中选中“静态”前的单选按钮,显示的是所有静态地址池。单击<新建>按钮,进入新建静态地址池的配置页面,如图6-8所示。
静态地址池的详细配置如表6-2所示。
|
配置项 |
说明 |
|
地址池名称 |
设置静态地址池的名称 |
|
IP地址 |
设置静态绑定的IP地址和子网掩码 静态绑定的IP地址不能是DHCP服务器的接口IP地址,否则会导致IP地址冲突,被绑定的客户端将无法正常获取到IP地址 |
|
掩码 |
|
|
客户端MAC地址 |
设置地址池中静态绑定的客户端MAC地址或客户端ID,二选一
静态绑定的客户端ID要与待绑定客户端的ID一致,否则客户端无法成功获取IP地址 |
|
客户端ID |
|
|
客户端域名 |
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
网关地址 |
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则WINS服务器地址可以不配 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
可点击返回“表6-1 DHCP服务器配置步骤”。
在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图6-7所示。在“地址池”中选中“动态”前的单选按钮,显示的是所有动态地址池。单击<新建>按钮,进入新建动态地址池的配置页面,如图6-9所示。
动态地址池的详细配置如表6-3所示。
|
配置项 |
说明 |
|
|
地址池名称 |
设置动态地址池的名称 |
|
|
IP地址 |
设置动态分配的IP地址范围,为一个IP网段 DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等)。否则,同一地址分配给两个客户端会造成IP地址冲突 |
|
|
掩码 |
||
|
租用期限 |
不限制 |
设置DHCP地址池中动态分配的IP地址的租用有效期限 选择“不限制”,表示不限制IP地址的租用期限 |
|
天/小时/分 |
||
|
客户端域名 |
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
|
网关地址 |
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则可以不配置WINS服务器地址 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
|
可点击返回“表6-1 DHCP服务器配置步骤”。
在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图6-7所示。在“接口设置”中可以查看接口上DHCP服务器功能的状态。单击接口对应的
图标,进入接口DHCP服务器功能的配置页面,如图6-10所示。
图6-10 DHCP服务器接口设置
接口工作在DHCP服务器模式的详细配置如表6-4所示。
表6-4 接口工作在DHCP服务器模式的详细配置
|
配置项 |
说明 |
|
接口名称 |
显示要配置的接口的名称 |
|
DHCP服务器 |
设置是否在接口上启动DHCP服务器功能 如果关闭DHCP服务器功能,则接口收到DHCP客户端发来的DHCP报文时,不会为其分配IP地址,也不会作为DHCP中继转发该报文 |
可点击返回“表6-1 DHCP服务器配置步骤”。
l 配置AP作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址,AP上Vlan-interface1的IP地址分别为10.1.1.1/24。
l 10.1.1.0/24网段内的地址租用期限为10天12小时,网关的地址为10.1.1.2。
图6-11 DHCP服务器配置组网图
# 配置各接口的IP地址。(略)
# 启动DHCP服务。
l 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,进行如下配置,如图6-12所示。
l 选中DHCP服务“启动”前的单选按钮,即可完成操作。
# 配置Vlan-interface1工作在DHCP服务器模式。(缺省情况下接口工作在DHCP服务器模式,此步骤可以省略)
# 配置DHCP服务器的动态地址池。
l 在“地址池”中默认选中的是“动态”前的单选按钮,单击<新建>按钮,进行如下配置,如图6-13所示。
图6-13 配置DHCP服务器的动态地址池
l 输入地址池名称为“test”。
l 输入IP地址为“10.1.1.0”。
l 选择掩码为“255.255.255.0”。
l 输入租用期限为“10”天“12”小时“0”分。
l 输入网关地址为“10.1.1.2”。
l 单击<确定>按钮完成操作。
设备对DNS的支持情况与设备的具体型号有关,请以设备的实际情况为准。
域名系统(DNS,Domain Name System)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的、有意义的域名,而由网络中的域名解析服务器将域名解析为正确的IP地址。
域名解析分为静态域名解析和动态域名解析,二者可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析可能会花费一定的时间,且需要域名服务器的配合,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
静态域名解析就是手工建立域名和IP地址之间的对应关系。当用户使用域名进行某些应用(如telnet应用)时,系统查找静态域名解析表,从中获取指定域名对应的IP地址。
动态域名解析是通过对域名服务器的查询完成的。解析过程如下:
(1) 当用户使用域名进行某些应用时,用户程序首先向DNS客户端中的解析器发出请求。
(2) DNS客户端收到请求后,首先查询本地的域名缓存。如果存在已解析成功的映射项,就将域名对应的IP地址返回给用户程序;如果没有发现所要查找的映射项,就向域名服务器(DNS Server)发送查询请求。
(3) 域名服务器首先从自己的数据库中查找域名对应的IP地址。如果判断该域名不属于本域范围之内,就将请求交给上一级的域名解析服务器处理,直到完成解析,并将解析的结果返回给DNS客户端。
(4) DNS客户端收到域名服务器的响应报文后,将解析结果返回给应用程序。
用户程序、DNS客户端及域名服务器的关系如上图所示,其中解析器和缓存构成DNS客户端。用户程序、DNS客户端在同一台设备上,而DNS客户端和服务器一般分布在两台设备上。
动态域名解析支持缓存功能。每次动态解析成功的域名与IP地址的映射均存放在动态域名缓存区中,当下一次查询相同域名的时候,就可以直接从缓存区中读取,不用再向域名服务器进行请求。缓存区中的映射在一段时间后会被老化删除,以保证及时从域名服务器得到最新的内容。老化时间由域名服务器设置,DNS客户端从协议报文中获得老化时间。
动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。举例说明,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
l 如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。
l 如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
l 如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查找终止符。
DNS模块可以配置以下功能:静态域名解析表、动态域名解析。
l 静态域名解析表:为设备创建静态域名解析表,之后设备查找该表进行域名解析。
l 动态域名解析:设备通过DNS server进行域名解析。
如果同时配置了静态域名解析表和动态域名解析,设备先查找静态域名解析表,如果未找到符合的IP或域名,再进行动态域名解析。
静态域名解析配置的推荐步骤如表7-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,静态域名解析表中没有主机名及其IP地址的对应关系 |
动态域名解析配置的推荐步骤如表7-2所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 启用设备的动态域名解析功能 缺省情况下,动态域名解析功能处于关闭状态 |
|
|
2 |
必选 缺省情况下,没有配置DNS服务器的IP地址 |
|
|
3 |
可选 缺省情况下,没有配置域名后缀 |
在导航栏中选择“网络> DNS”,默认进入“静态域名解析”页签的页面,如图7-2所示。单击<新建>按钮,进入新建静态域名解析表项的配置页面,如图7-3所示。
静态域名解析表的详细配置如表7-3所示。
表7-3 静态域名解析表的详细配置信息
|
配置项 |
说明 |
|
主机名 |
设置静态域名解析表中主机名和主机IP地址的对应关系 每个主机名只能对应一个IP地址,当对同一主机名进行多次配置时,最后配置的IP地址有效 最多可配置50条静态域名解析信息 |
|
主机IP地址 |
可点击返回“表7-1 静态域名解析表的配置步骤”。
在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图7-4所示的页面。
动态域名解析的详细配置如表7-4所示。
|
配置项 |
说明 |
|
动态域名解析 |
设置启动或关闭设备的动态域名解析功能 |
|
清空动态域名缓存区 |
设置是否清除动态域名缓存区的所有信息 |
可点击返回“表7-2 动态域名解析配置步骤”。
在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图7-4所示的页面。单击<添加IP地址>按钮,进入新建DNS服务器IP地址的页面,如图7-5所示。
图7-5 新建DNS服务器IP地址
域名服务IP地址参数详细信息如表7-5所示。
表7-5 配置域名服务器IP地址参数详细信息
|
配置项 |
说明 |
|
DNS服务器IP地址 |
设置DNS服务器的IP地址 最多可配置6个DNS服务器 |
可点击返回“表7-2 动态域名解析配置步骤”。
在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进入如图7-4所示的页面。单击<添加域名后缀>按钮,进入新建DNS域名后缀的页面,如图7-6所示。
图7-6 新建DNS域名后缀
DNS域名后缀的详细配置如表7-6所示。
|
配置项 |
说明 |
|
DNS域名后缀 |
设置DNS域名后缀 最多可配置10个DNS域名后缀 |
可点击返回“表7-2 动态域名解析配置步骤”。
l DNS服务器的IP地址是2.1.1.2/16,配置域名后缀为com。
l 配置AP作为DNS客户端,使用动态域名解析和域名后缀列表功能,实现通过输入host来访问域名为host.com、IP地址为3.1.1.1/16的主机Host。
图7-7 DNS配置组网图
在开始下面的配置之前,假设AP与主机之间的路由可达,AP和主机都已经配置完毕,接口IP地址如图7-7所示。并且在域名服务器上有域名为host.com、IP地址为3.1.1.1/16的映射项,域名服务器工作正常。
# 使能动态域名解析功能。
l 在导航栏中选择“网络 > DNS”,单击“动态域名解析”页签,进行如下配置,如图7-8所示。
l 选择动态DNS解析“启动”前的单选按钮。
l 单击<确定>按钮完成操作。
# 配置DNS服务器IP地址。
l 如图7-9所示,在“动态域名解析”页签的页面单击<添加IP地址>按钮。在新建DNS服务器IP地址的页面,进行如下配置,如图7-10所示。
图7-9 单击<添加IP地址>按钮
图7-10 新建DNS服务器IP地址
l 输入DNS服务器IP地址为“2.1.1.2”。
l 单击<确定>按钮完成操作。
# 配置域名后缀。
l 如图7-11所示,在“动态域名解析”页签的页面单击<添加域名后缀>按钮。在新建DNS域名后缀的页面,进行如下配置,如图7-12所示。
图7-11 单击<添加域名后缀>按钮
图7-12 新建DNS域名后缀
l 输入DNS域名后缀为“com”。
单击<确定>按钮完成操作。
设备对PPPoE的支持情况与设备的具体型号有关,请以设备的实际情况为准。
PPPoE是Point-to-Point Protocol over Ethernet的简称。PPPoE协议采用Client/Server方式,它将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
AP设备上运行了PPPoE Client功能后,可以通过一个远端接入设备连入因特网,并可以实现对接入的每个AP设备进行控制、计费等。
PPPoE有两个阶段:Discovery阶段和PPP Session阶段,具体如下:
l Discovery阶段
当一个客户端想开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SESSION ID。这就是Discovery阶段的目的。
l PPP Session阶段
当PPPoE进入Session阶段后PPP报文就可以作为PPPoE帧的净荷封装在以太网帧发到对端,SESSION ID必须是Discovery阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从Protocol ID开始。在Session阶段,客户端或服务器任何一方都可发PADT(PPPoE Active Discovery Terminate)报文通知对方结束本Session。
关于PPPoE的详细介绍,可以参考RFC2516。
图8-1 PPPoE组网图
PPPoE Client配置的推荐步骤如表8-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建PPPoE Client,并配置PPPoE Client的相关参数 |
|
|
2 |
可选 查看PPPoE Client的会话概要信息和会话统计信息 |
在导航栏中选择“网络 > PPPoE”,默认进入“Client信息”页签的页面,如图8-2所示。单击<新建>按钮,进入新建PPPoE Client页面,如图8-3所示。
新建PPPoE Client的详细配置如表8-2所示。
表8-2 新建PPPoE Client的详细配置
|
配置项 |
说明 |
|
Dialer接口 |
设置Dialer接口号 |
|
用户名 |
设置PPPoE Client认证使用的用户名和密码 用户名和密码必须同时配置或者同时不配置 |
|
密码 |
|
|
IP配置 |
设置接口配置或获取IP地址的方式 l 无IP配置:不配置IP地址 l 静态地址:静态配置接口的IP地址和掩码 l PPP协商:通过PPP协商获得IP地址 l 借用地址:借用同一设备上其他接口的IP地址 |
|
IP地址 |
设置接口的IP地址和掩码 当IP配置选择“静态地址”时,需配置此两项 |
|
网络掩码 |
|
|
其他接口 |
设置被借用IP地址的接口 当IP配置选择“借用地址”时,需配置此项 |
|
绑定接口 |
设置PPPoE Client绑定的接口 |
|
连接方式 |
设置PPPoE Client的连接方式为永久在线方式或非永久在线方式 l 永久在线方式是指,当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在 l 非永久在线方式是指,当物理线路up后,设备不立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户指定的超时时间,设备会自动中止此PPPoE会话。选择此方式时需配置超时时间 |
|
超时时间 |
设置PPPoE链路的空闲超时时间 当连接方式选择“非永久在线”时,需配置此项 |
可点击返回“表8-1 PPPoE Client配置步骤”。
在导航栏中选择“网络 > PPPoE”,单击“会话信息”页签,进入会话信息察看页面。会话信息查看类型分别为:统计信息、概要信息,分别如图8-4、图8-5所示。
图8-4 会话信息(统计信息)
PPPoE Client会话统计信息的详细说明如表8-3所示。
表8-3 PPPoE Client会话统计信息的详细说明
|
标题项 |
说明 |
|
接口 |
PPPoE会话所属的以太网接口 PPPoE Client绑定的是VLAN接口时,此处显示空 |
|
会话编号 |
Session ID,PPPoE会话的编号 |
|
接收报文数 |
PPPoE Client会话的接收报文数 |
|
接收字节数 |
PPPoE Client会话的接收字节数 |
|
丢弃报文数(接收) |
PPPoE Client会话的丢弃报文数(接收方向) |
|
发送报文数 |
PPPoE Client会话的发送报文数 |
|
发送字节数 |
PPPoE Client会话的发送字节数 |
|
丢弃报文数(发送) |
PPPoE Client会话的丢弃报文数(发送方向) |
PPPoE Client会话的概要信息如表8-4所示。
表8-4 PPPoE Client会话概要信息的详细说明
|
标题项 |
说明 |
|
会话编号 |
Session ID,PPPoE会话的编号 |
|
Dialer接口号 |
PPPoE会话所对应的Dialer接口号 |
|
接口 |
PPPoE会话所属的以太网接口 PPPoE Client绑定的是VLAN接口时,此处显示空 |
|
Client-MAC |
PPPoE Client的MAC地址 |
|
Server-MAC |
PPPoE Server的MAC地址 |
|
状态 |
PPPoE会话所处的状态 l IDLE:没有进行PPPoE Client协商 l PADI:发送PADI报文,等待PADO应答 l PADR:发送PADR报文,等待PADS应答 l PPPNEG:开始进行PPP协商 l PPPUP:PPP协商完成 |
可点击返回“表8-1 PPPoE Client配置步骤”。
如图8-6所示,配置AP实现PPPoE Client的功能,能够与PPPoE Server建立PPPoE互通。
图8-6 PPPoE Client配置组网图
(1) 配置PPPoE Client
# 新建PPPoE Client。
l 在导航栏中选择“网络 > PPPoE”,默认进入“Client信息”页签的页面,单击<新建>按钮,进行如下配置,如图8-7所示。
图8-7 新建PPPoE Client
l 输入Dialer 接口为“1”。
l 输入用户名为“user1”。
l 输入密码为“hello”。
l 选择IP配置为“PPP协商”。
l 选择绑定接口为“Vlan-interface1”。
l 选择连接方式为“永久在线”。
l 单击<确定>按钮完成操作。
(2) 配置PPPoE Server
PPPoE Server上需要启用PPPoE协议、配置与Client上的配置相同的PPPoE用户和密码、为PPP对端分配的IP地址等,详细配置略。
# 查看PPPoE Client会话的概要信息。
l 单击“会话信息”页签。
l 选择会话信息查看类型为“概要信息”,页面如图8-8所示,可以看到PPP协商已完成。
图8-8 查看PPPoE Client会话的概要信息
配置PPPoE Client时需要注意如下事项:
在“设备 > 接口管理”中创建的Dialer接口也可以在PPPoE Client的显示页面中显示出来,并且可以修改和删除,但是无法建立PPPoE Client会话。
l 设备对服务管理的支持情况与设备的具体型号有关,请以设备的实际情况为准。
l SSH、SFTP和HTTPS服务的支持情况与设备的具体型号有关,请以设备的实际情况为准。
服务管理模块提供了Telnet、SSH、SFTP、HTTP和HTTPS服务的使能管理功能,可以使用户只在需要使用相应的服务时使能服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。
Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
l 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
l 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
l 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
在导航栏中选择“网络 > 服务管理”,进入服务管理的配置页面,如图9-1所示。
服务管理的详细配置如表9-1所示。
|
配置项 |
说明 |
|
|
Telnet服务 |
启用Telnet服务 |
设置是否在设备上启用Telnet服务 缺省情况下,Telnet服务处于关闭状态 |
|
SSH服务 |
启用SSH服务 |
设置是否在设备上启用SSH服务 缺省情况下,SSH服务处于关闭状态 |
|
SFTP服务 |
启用SFTP服务 |
设置是否在设备上启用SFTP服务 缺省情况下,SFTP服务处于关闭状态
启用SFTP服务的同时必须启用SSH服务 |
|
HTTP服务 |
启用HTTP服务 |
设置是否在设备上启用HTTP服务 缺省情况下,HTTP服务处于启用状态 |
|
端口号 |
设置HTTP服务的端口号 单击“HTTP服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务 单击“HTTP服务”前的扩展按钮可以显示此配置项 |
|
|
HTTPS服务 |
启用HTTPS服务 |
设置是否在设备上启用HTTPS服务 缺省情况下,HTTPS服务处于关闭状态 |
|
端口号 |
设置HTTPS服务的端口号 单击“HTTPS服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务 单击“HTTPS服务”前的扩展按钮可以显示此配置项 |
|
|
PKI域 |
设置HTTPS服务所使用的PKI域 可选的PKI域在“认证 > PKI”中配置,详细配置请参见“认证”模块中的“PKI” |
|
设备对诊断工具的支持情况与设备的具体型号有关,请以设备的实际情况为准。
通过使用Ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障。
Ping的成功执行过程为:
(1) 源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文。
(2) 目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文。
(3) 源设备在收到该应答报文后,显示相关的统计信息。
Ping的输出信息分为以下几种情况:
l Ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
l 如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和Ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(Time To Live,生存时间)、响应时间和Ping过程报文的统计信息。
Ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值。
通过使用Trace Route工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备。当网络出现故障时,用户可以使用该命令分析出现故障的网络节点。
Trace Route的执行过程为:
(1) 源设备发送一个TTL为1的报文给目的设备。
(2) 第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址。
(3) 源设备重新发送一个TTL为2的报文给目的设备。
(4) 第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址。
(5) 以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址。
Trace Route的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
IPv6 Ping操作的支持情况与设备的型号有关,请以设备的实际情况为准。
在导航栏中选择“网络 > 诊断工具”,默认进入“IPv4 Ping”页签的页面。单击<显示高级>按钮,可以展开IPv4 Ping操作高级参数的配置内容,如图10-1所示。
在“目的IP地址或主机名”文本框中输入目标设备的IPv4地址或者主机名,根据具体需要设置IPv4 Ping操作的高级参数,单击<开始>按钮开始执行Ping操作,在“概要信息”框中会显示Ping操作的输出结果,如图10-2所示。
图10-2 IPv4 Ping操作结果
在导航栏中选择“网络 > 诊断工具”,默认进入“IPv6 Ping”页签的页面。单击<显示高级>按钮,可以展开IPv6 Ping操作高级参数的配置内容,如图10-3所示。
在“目的IPv6地址或主机名”文本框中输入目标设备的IPv6地址或者主机名,根据具体需要设置IPv6 Ping操作的高级参数,单击<开始>按钮开始执行Ping操作,在“概要信息”框中会显示Ping操作的输出结果,如图10-4所示。
图10-4 IPv6 Ping操作结果
l Web目前不支持对IPv6地址进行Trace Route操作。
l 进行Trace Route操作前,需要先在中间设备上执行ip ttl-expires enable命令开启ICMP超时报文的发送功能,并且在目的设备上执行ip unreachables enable命令来开启设备的ICMP目的不可达报文发送功能。
在导航栏中选择“网络 > 诊断工具”,单击“Trace Route”页签,进入如图10-5所示的页面。
在文本框中输入Trace Route操作的目的IP地址或者主机名,单击<开始>按钮开始执行Trace Route操作,在“结果”框中会显示Trace Route操作的输出结果,如图10-6所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
