网络协议配置IP部分.docx
- 文档编号:30662654
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:52
- 大小:80.94KB
网络协议配置IP部分.docx
《网络协议配置IP部分.docx》由会员分享,可在线阅读,更多相关《网络协议配置IP部分.docx(52页珍藏版)》请在冰豆网上搜索。
网络协议配置IP部分
网络协议配置IP部分
目录
第1章配置IP寻址1
1.1IP寻址任务列表1
1.2IP寻址任务1
1.2.1在网络接口配置IP地址1
1.2.2配置地址解析3
1.2.3配置一个路由进程5
1.2.4配置广播报文处理5
1.2.5检测和维护IP寻址6
1.3IP寻址示例7
第2章配置NAT8
2.1NAT概述8
2.1.1NAT应用8
2.1.2NAT的优点8
2.1.3NAT术语9
2.1.4NAT规则匹配顺序9
2.2NAT配置任务表9
2.2.1翻译内部源地址10
2.2.2内部全局地址的重载12
2.2.3翻译重叠地址13
2.2.4提供TCP负载均衡14
2.2.5改变翻译超时及限制连接数目15
2.2.6监视和维护NAT16
2.3NAT配置示例16
2.3.1动态内部源转换示例16
2.3.2内部全局地址重载示例17
2.3.3转换重叠地址举例17
2.3.4TCP负载分配示例18
2.3.5翻译H323配置示例18
2.3.6网吧应用示例19
第3章配置DHCP22
3.1DHCP概述22
3.1.1DHCP应用22
3.1.2DHCP的优点22
3.1.3DHCP术语22
3.2配置DHCPClient23
3.2.1DHCPClient配置任务列表23
3.2.2DHCPClient配置任务23
3.2.3DHCPClient配置示例24
3.3配置DHCPServer25
3.3.1DHCP配置任务列表25
3.3.2DHCP配置任务25
3.3.3DHCPServer配置示例28
3.4配置DHCPRelay28
3.4.1DHCPRelay配置任务列表28
3.4.2DHCPRelay配置任务29
3.4.3DHCPRelay配置示例29
第4章配置IP服务30
4.1配置IP服务30
4.1.1管理IP连接30
4.1.2配置性能参数33
4.1.3在广域网上配置IP34
4.1.4检测和维护IP网络34
4.2配置访问列表35
4.2.1过滤IP报文35
4.2.2扩展访问列表示例37
配置IP寻址
IP寻址任务列表
配置IP的一个基本和必需的要求就是要在路由器的网络接口上配置IP地址。
这样才能激活这个接口,使它可以和其它系统用IP进行通信。
同时还要确定IP网络掩码。
为了配置IP寻址功能,需要完成下列各项任务,其中第一项任务是必需的,其它都是可选的。
在网络接口配置IP地址
配置地址解析
配置一个路由进程
配置广播报文处理
检测和维护IP寻址
IP寻址任务
在网络接口配置IP地址
IP地址确定了IP报文可以发送到的目的地址。
某些IP地址是有特殊的意义而被保留的,不能作为主机地址或者是网络地址使用。
表11列出了IP地址的范围,以及保留地址和可以使用的IP地址。
表11IP地址的范围
类别
地址或范围
状态
A
0.0.0.0
1.0.0.0to126.0.0.0
127.0.0.0
保留
可用
保留
B
128.0.0.0to191.254.0.0
191.255.0.0
可用
保留
C
192.0.0.0
192.0.1.0to223.255.254
223.255.255.0
保留
可用
保留
D
224.0.0.0to239.255.255.255
多目广播地址
E
240.0.0.0to255.255.255.254
255.255.255.255
保留
广播
有关IP地址的正式描述在RFC1166“Internet数字”中。
如果希望得到可用的网络地址,和Internet服务提供商联系。
一个接口只能拥有一个主IP地址。
要配置网络接口的主IP地址和网络掩码,在接口配置态使用下列命令:
命令
目的
ipaddressip-addressmask
配置接口的主IP地址。
掩码(mask)表示IP地址中的网络部分。
注意:
我们只支持按网络字节序从最高位开始连续置位的网络掩码。
其它附加、可选的IP寻址功能在下面介绍:
在网络接口配置多个IP地址
激活串口上的IP处理功能
在网络接口配置多个IP地址
每个接口可以拥有多个IP地址,包括一个主IP地址和任意个从属IP地址。
在以下几种情况下,需要配置从属IP地址:
当一个特定网段中没有足够的IP地址时。
例如,某个逻辑子网中最多只有254个有效IP地址,但是需要在实际的物理网络中连接300台主机。
在路由器或者是访问服务器上配置从属IP地址,可以使两个逻辑子网使用同一个物理子网。
许多较早期的网络是基于第二层网桥,而不是被划分成多个子网。
正确使用从属IP地址可以把这样的网络改造成基于路由的多个子网。
在网络中的路由器,通过配置的从属IP地址,可以了解同样连接在这个物理网络中的多个子网。
当一个网络的两个子网,被另一个网络在物理上分隔开。
这时,可以把这个网络的地址作为从属IP地址,从而可以把一个逻辑网络中的两个在物理上被分隔开的网络在逻辑上连接在一起。
注意:
如果一个网段上的任意一台路由器配置了一个从属地址,则相同网段上的所有其它路由器也需要配置同样网段的从属IP地址。
在网络接口配置多个地址,在接口配置态使用下列命令:
命令
目的
ipaddressip-addressmasksecondary
在网络接口上配置多个IP地址。
注意:
IP路由协议在发送路由更新信息时,可能会以不同的方式对待从属IP地址。
激活串口上的IP处理功能
你可能希望一个串口或者是一个隧道接口可以不配置IP地址就具备IP处理功能。
当这样的接口生成一个报文,例如路由更新报文时,它所使用的源地址是你所指定的该路由器的其它接口的有效IP地址,这样的接口被称为无编号(unnumbered)接口。
路由器还使用被指定接口的IP地址来确定哪些路由进程在无编号接口上发送更新报文。
下列是使用规则:
封装HDLC,SLIP,PPP,LAPB和帧中继的串口,还有隧道接口,都可以不配置IP地址就进行IP报文处理。
但是对于封装帧中继的串口,该串口必须是一个点到点的子接口。
对于封装X.25和SMDS的接口,不能使用这项功能。
这样的接口不能通过ping来确定是否正常,因为该接口没有IP地址。
可以使用SNMP来远程检测接口状态。
注意:
在不同主网之间的串行链路上使用这一配置,必须十分小心,任意运行在这条链路上的路由协议,都必须被配置成不广播任何有关子网的信息。
要在无编号串口上激活IP处理功能,在接口配置态使用下列命令:
命令
目的
ipunnumberedtypenumber
在串口或者是隧道接口上不配置IP地址就激活IP处理功能。
上述命令中指定的接口,必须是这个路由器的其它某个拥有IP地址的接口,而不可以也是一个无编号接口。
这个接口还必须是被激活的(在showinterfaces命令的显示中接口是“up”的)。
本章最后"串口配置示例"显示如何配置串口。
配置地址解析
IP实现允许在接口上控制IP地址解析和其它一些功能。
下面介绍如何配置地址解析:
建立地址解析
映射主机名称到IP地址
建立地址解析
一个IP设备可以同时有两个地址:
本地地址(在本地网段或者是LAN唯一标识这台设备)和网络地址(表示设备所属的网络)。
本地地址也就是通常所说的链路层地址,因为它是包含在链路层报文头部的,而且是由链路层设备读取、使用的。
专业人员通常称之为MAC地址,因为链路层中的介质访问控制(MAC)子层是用来处理地址的。
例如,如果要与以太网上的一台设备通信,必须首先知道它的48比特MAC或者是本地数据链路层地址。
从IP地址得到本地数据链路层地址的过程称为地址解析(ARP)。
从本地链路层地址得到IP地址的过程称为反向地址解析(reverseaddressresolution)。
本系统使用两种形式的地址解析:
地址解析协议(ARP)和代理ARP(proxyARP)。
ARP和代理ARP分别定义在RFC826和1027中。
ARP用于映射IP地址到介质或者说是MAC地址。
已知IP地址,ARP确定相应的MAC地址。
一旦MAC地址被确定,IP地址/MAC地址的关系就被保存在ARP缓存中以便快速取得。
然后IP报文就可以被封装在链路层报文中,被发送到网络上去。
设置地址解析包括下列任务:
定义一条静态ARP缓存
激活代理ARP
(1) 定义一条静态ARP缓存
ARP和其它的地址解析协议提供了在IP地址和介质地址之间的动态映射。
由于大多数主机都支持动态地址解析,所以一般不需要配置静态的ARP缓存项。
如果必须定义的话,可以在全局配置态定义,在ARP缓存中建立一个永久的表项。
系统将使用这一表项把32比特的IP地址翻译成为48比特的硬件地址。
另外,还可以指定路由器代替其它主机应答ARP请求。
静态ARP缓存的配置最多可以配置2000个,静态ARP缓存与动态ARP缓存共用同一个缓存表,所以静态ARP缓存加上动态ARP缓存不能超过2000。
如果不希望ARP表项永久存在的话,可以设置ARP表项的生存时间。
下面的两个表格列出了如何配置静态的IP地址/介质地址映射。
在全局配置态,使用下面的其中一条命令:
命令
目的
arpip-addresshardware-address
在ARP缓存中全局地映射一个IP地址到介质地址。
arpip-addresshardware-addressalias
指定路由器以自己的介质地址应答对指定IP地址的ARP请求。
在接口配置态使用下述命令:
命令
目的
arptimeoutseconds
设置ARP缓存项在ARP缓存中的超时时间。
要显示特定接口的ARP超时时间,使用showinterfaces命令。
使用showarp命令来检查ARP缓存中的内容。
使用cleararp-cache命令清除ARP缓存中所有的表项。
(2) 激活代理ARP
系统使用代理ARP(RFC1027定义)帮助没有相应路由的主机得到位于其它网络上的主机的介质地址。
例如,当路由器收到一个ARP请求,如果路由器发现它所请求的主机和发出ARP请求的主机不连在路由器的同一个接口上,而且路由器所有到目的主机的路由都是通过其他接口,而不是收到ARP请求的接口,则它将发出一个代理ARP应答,回答自己的本地链路层地址。
那台主机就会把报文发送给路由器,然后由路由器把它转发到目的主机。
代理ARP功能缺省是被激活的。
要激活代理ARP,在接口配置态使用下列命令:
命令
目的
ipproxy-arp
在接口上激活代理ARP。
映射主机名称到IP地址
任一IP地址都可以有一个主机名称与之对应。
系统保存了一个可以被telnet,ping等命令使用的主机名到地址的映射缓存。
要指定主机名到地址的映射,在全局配置态使用下列命令:
命令
目的
iphostnameaddress
静态地映射主机名到IP地址。
配置一个路由进程
配置到这里,用户可以根据各自网络的需要配置一个或者多个路由协议。
路由协议提供有关互联网络的拓扑结构信息。
配置IP路由协议,例如BGP,RIP,OSPF在后面的文档中介绍。
配置广播报文处理
广播报文的目的地址是某个物理网络上的所有主机。
网络主机通过特殊的地址识别广播报文。
某些协议频繁使用广播报文,其中包括一些重要的Internet协议。
控制广播报文是IP网络管理员的一项基本工作。
系统支持定向广播,也就是到特定网络的广播。
系统不支持到一个网络中所有子网的广播。
某些早期的IP实现使用的不是现在的广播地址标准,它们使用全“0”而不是全“1”表示广播地址。
因此,系统可以同时识别和接收这两种形式的报文。
允许从定向广播到物理广播的翻译
转发UDP广播报文和协议
允许从定向广播到物理广播的翻译
缺省情况下,IP定向广播报文都将被丢弃,而不被转发。
丢弃IP定向广播报文使路由器不易受到“拒绝服务”类型的攻击。
用户可以在定向广播转成物理广播的接口上激活IP定向广播的转发功能。
如果这一转发功能被激活,所有到这个接口所在网络的定向广播报文都将被转发到这个接口,然后作为物理广播报文发送。
用户可以指定一个访问表来控制广播报文的转发。
当指定了访问表以后,只有被访问表允许的IP报文才可以从定向广播转变到物理广播。
如果要激活IP定向广播的转发,在接口配置态使用下列命令:
命令
目的
ipdirected-broadcast [access-list-name]
在一个接口上允许从定向广播到物理广播的翻译。
转发UDP广播报文和协议
有时,网络主机使用UDP广播报文确定地址,配置和名称等信息。
如果该主机所在的网络上没有相应的服务器,而一般情况下这些UDP报文又不会被转发,则主机无法得到这些信息。
为解决这个问题,用户可以在相应的接口上配置把某些类型的广播报文转发到一个帮助地址。
一个接口可以配置多个帮助地址。
用户可以指定一个UDP目的端口来控制哪些UDP报文将被转发。
目前,系统缺省转发目的端口是NetBIOS名字服务(端口137)的UDP报文。
如果要允许转发并指定目的地址,在接口配置态使用下列命令:
命令
目的
iphelper-addressaddress
允许转发UDP广播报文并指定目的地址。
如果要指定转发哪些协议,在全局配置态使用下列命令:
命令
目的
ipforward-protocoludp[port]
指定哪些接口的UDP协议被转发。
检测和维护IP寻址
要检测和维护网络,执行下列操作:
清除缓存,列表和数据库
显示系统和网络统计数据
清除缓存,列表和数据库
用户可以清除某个缓存、列表和数据库中的所有内容。
当你认为某个缓存、列表或者数据库中的内容无效时,就需要清除它。
下表中的操作与清除缓存、列表和数据库有关,在管理态使用下列命令:
命令
目的
cleararp-cache
清除IPARP缓存。
显示系统和网络统计数据
系统可以显示特定的统计数据,如IP路由表,缓存和数据库。
这些信息可以帮助确定系统资源使用情况,从而解决网络问题。
系统还可以显示端点的可到达性以及发出报文在网络中的行进路线。
这些操作都列在下面的表中。
这些命令的具体使用方法,请参见“IP寻径命令”一章。
在管理态使用下列命令:
命令
目的
showarp
显示ARP表中的内容。
showhosts
显示主机名-IP地址映射缓存表。
showipinterface[typenumber]
显示接口状态。
showiproute[protocol]
显示路由表的当前状态。
ping{host|address}
测试网络端点的可到达性。
IP寻址示例
在下面的例子中,串口(serial1/0)使用了ethernet1/1的地址。
interfaceethernet1/1
ipaddress202.96.2.3255.255.255.0
interfaceSerial1/0
ipunnumberedethernet1/1
配置NAT
Internet面临的两个关键问题是IP地址空间的缺乏和路由的度量。
网络地址翻译(NAT)是一种允许一个组织的IP网络从外部看上去使用不同的IP地址空间而不是它实际使用的地址空间的特性。
这样,通过将这些地址转换到全局可路由的地址空间,NAT允许一个具有非全局可路由地址的组织连接到Internet。
NAT也允许一个更好的重编码策略,为组织机构更改服务提供商或自动编码到CIDR块。
NAT也在RFC1631中讲述。
NAT概述
NAT应用
NAT的应用主要有以下几种:
需要连接到Internet网上,但是并非所有主机都有唯一的全局IP地址。
NAT使得使用非注册的IP地址的私有IP互联网络能够连接到互联网上。
NAT一般在单连接域(即内部网络)上和公共网络(即Internet)的边界路由器上配置。
在发送报文到外部网络之前,NAT将内部本地地址转换到全局唯一的IP地址。
必须改变内部地址。
可以通过使用NAT完成地址的转换,而无须改变它们,因为那将费时太多。
要实现基本的TCP传输负载均衡。
可以通过使用TCP负载分布特性将单个全局IP地址映射到多个本地IP地址。
作为连接问题的解决方案,只有在单连接的域中相对少的主机同时与域外通信时,NAT有实用价值。
此时,只有在需要和外部通信时,内部少量主机的IP才被转换成全局唯一的IP地址。
当不再使用时这些地址又可以被重新使用。
NAT的优点
NAT的一个明显的优点是,在不需要改变主机或路由器的情况下可以进行配置。
如上所述,如果在单连接域中的大量主机与域外通信,NAT可能是不实用的。
并且,某些使用嵌入式IP地址的应用,也不适用于NAT设备来进行翻译。
这些应用可能不会透明地工作或者完全(不经翻译的)通过一个NAT设备。
NAT也隐藏主机的标识,这可能是一个优点,也可能是一个缺点。
配置了NAT的router将至少有一个内部接口和一个外部接口。
在一个典型的环境中,NAT配置于单连接域和骨干域之间的出口router。
当一个报文离开该域时,NAT将本地有效源地址转换到全局唯一地址。
当报文进入到该域时,NAT将这个全局唯一目的地址转换到本地地址。
如果存在多个出口点,每一个NAT必须有相同的转换表。
如果地址用完了,软件不能分配一个地址,那么它就丢弃该报文,并发出一个主机不可达的ICMP报文。
配置了NAT的路由器不应该向外公布本地网络。
然而,NAT从外部收到的路由信息可以像通常那样在单域中公告。
NAT术语
如前所述,术语inside是指某一组织机构所拥有的和必须进行转换的那些网络。
在这个域中,主机将会有一个地址空间中的地址,而在域外,配置NAT时,它们会在另一个地址空间中拥有地址。
第一个地址空间指的是局部地址空间,而第二个地址空间是全局地址空间。
类似地,outside是指单连接网络所连接的那些网络,一般不在一个组织的控制内。
就像在后面将要讨论的那样,外部网络中的主机地址也可以/需要翻译为某个地址并且可能有局部地址和全局地址。
总之,NAT使用以下定义:
内部局部地址——在内部网络上一个主机分配到的IP地址。
这个地址可能不是网络信息中心(NIC)或服务提供商所分配的合法IP地址。
内部全局地址——一个合法的IP地址(由NIC或服务供应商分配),向外部网络描述一个或多个本地IP地址。
外部局部地址——出现在内部网络的一个外部主机的IP地址。
不一定是合法地址,它可以在内部网络中从可路由的地址空间进行分配。
外部全局地址——主机的拥有者在外部网络上分配给主机的IP地址。
该地址可以从全局可路由地址或网络空间进行分配。
NAT规则匹配顺序
NAT在翻译报文时,首先要匹配已配置的NAT规则。
NAT的规则主要有三大类型:
内部源地址映射、外部源地址映射和内部目的地址映射,每一个大类型下又有子类型。
下面以内部源地址映射为例,介绍NAT匹配规则子类型的顺序如下:
(3)静态TCP/UDP端口映射规则。
(4)静态单个地址映射规则。
(5)静态网段映射规则。
(6)动态POOL地址映射规则。
(7)PAT映射规则。
对于同一大类型下的相同子类的规则,对于三大规则类型之间,则按添加的先后顺序匹配。
在showrunning时,NAT规则的显示顺序和实际匹配的顺序一样。
NAT配置任务表
在配置任何NAT翻译之前,必须知道内部局部地址范围和内部全局地址范围。
下一节将显示如何使用NAT执行以下可选任务:
翻译内部源地址
内部全局地址的重载
翻译重叠地址
提供TCP负载均衡
改变翻译超时及限制连接数目
监视和维护NAT
翻译内部源地址
与网络外部通信时,使用这个特性将自己的IP地址翻译到全局唯一的IP地址。
可按以下方式配置静态或动态内部源地址翻译:
静态翻译在内部本地地址和内部全局地址之间建立一对一的映射。
当一个内部主机必须被一个固定的外部地址访问时,静态转换是有用的。
动态翻译在一个内部本地地址和外部地址池之间建立一种映射。
下图表明一个路由器,它将一个网络内的源地址转换到网络外的源地址:
图21NAT内部源地址转换
以下步骤描述了内部源地址翻译,如上图所示。
(8)主机1.1.1.1的用户建立一个到主机B的连接。
(9)路由器接收的来自主机1.1.1.1的第一个数据包使路由器检查它的NAT表。
如果已配置一个静态翻译项,路由器转到第(3)步。
如果没有翻译项存在,路由器决定源地址(SA)1.1.1.1必须动态翻译,然后从动态地址池选择一个合法的、全局地址,最终产生一个翻译项。
该类型项称做简单项。
(10)路由器用转换项的全局地址替换主机1.1.1.1的内部本地源地址,并且转发该报文。
(11)主机B通过使用内部全局IP目的地址(DA)2.2.2.2接收报文并响应主机1.1.1.1。
(12)路由器收到内部全局IP地址的报文时,它将内部全局地址作为一个关键字执行NAT表的查询。
然后将地址翻译到主机1.1.1.1的内部本地地址,并向主机1.1.1.1转发报文。
主机1.1.1.1接收该报文并继续会话。
路由器为每一个报文执行第
(2)步到第(5)步。
配置静态转换
为了配置静态内部源地址转换,在全局配置方式下执行下列命令:
命令
目的
ipnatinsidesourcestaticlocal-ipglobal-ip
在内部局部地址和内部全局地址之间建立一个静态转换。
interfacetypenumber
指定内部接口。
ipnatinside
将接口标记为连接到内部网的。
interfacetypenumber
指定外部接口。
ipnatoutside
将接口标记为连接到外部网的。
以上是最小配置。
可以配置多个内部和外部接口。
配置动态转换
为配置动态内部源地址翻译,在全局配置方式下执行下列命令:
命令
目的
ipnatpoolnamestart-ipend-ipnetmask
按需要定义一个将要分配的全局地址池。
ipaccess-liststandardaccess-list-namepermitsource[source-mask]
定义一个标准的访问列表,允许哪些地址可以转换。
ipnatinsidesourcelistaccess-list-namepoolname
建立动态源地址转换,指定前一步定义的访问列表。
interfacetypenumber
指定内部接口。
ipnatinside
将接口标记为连接到内部网的。
interfacetypenumber
指定外部接口。
ipnatoutside
将接口标记为连接到外部网的。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 协议 配置 IP 部分