配置指南配置以太网业务.docx

配置指南配置以太网业务.docx

《配置指南配置以太网业务.docx》由会员分享，可在线阅读，更多相关《配置指南配置以太网业务.docx（25页珍藏版）》请在冰豆网上搜索。

配置指南配置以太网业务

1、IP地址配置

1.1、配置接口的从IP地址

ipadd10.1.1.2255.255.255.0sub从地址的好处是在一个VLAN能使用两个网段的地址，这个在网络IP地址切换时可实现无中断切换，在重庆公管中心遇到了这种情况。

2、ARP配置

2．1、配置静态ARP

1、为了将目的IP地址不在本网段的报文，穿过本网段的某个网关，使得到该IP地址的报文能通过该网关进行转发。

2、当用户需要过滤掉一些目的IP地址为非法的报文时，将这些非法的IP地址绑定到某个不存在的MAC地址。

配置普通静态ARP表项

在设备上同时配置静态ARP和VRRP时，不能将VLANIF接口下所配置的VRRP备份组的虚拟IP地址作为该静态ARP表项中的IP地址，否则会生成错误的主机路由，影响正常转发。

arpstaticip-addressmac-address

配置VLAN内的静态ARP表项

arpstaticip-addressmac-addressvidvlan-idinterfaceinterface-typeinterfacenumber

配置VPN实例内的静态ARP表项

arpstaticip-addressmac-addressvpn-instancevpn-instance-name

2.2、优化动态ARP

步骤1执行命令system-view，进入系统视图。

步骤2执行命令interfacevlanifvlan-id，进入VLANIF接口视图。

步骤3执行命令arpdetect-timesdetect-times，设置动态ARP表项的老化探测次数。

步骤4执行命令arpexpire-timeexpire-time，设置动态ARP表项的老化超时时间。

缺省情况下，动态ARP表项的老化探测次数为3，老化超时时间为1200秒，即20分钟。

步骤5执行命令arpdetect-modeunicast，设置接口以单播方式发送ARP老化探测报文。

缺省情况下，接口以广播方式发送ARP老化探测报文。

arp抑制功能

系统在同一时间内接收到大量源IP地址相同的ARP报文时，需要对ARP表项进行重复更新。

为了维护系统性能，可以启动ARP抑制功能，系统将对ARP报文只应答，不更新。

arp-suppressenabl

配置路由式Proxyarp

代理ARP的功能就是使IP地址属于同一网段却不属于同一物理网络的设备能够相互通信

一个企业的2个物理网络，属于同一IP网络的不同子网，中间使用交换机分隔。

为了使这两个物理网络实现互通，需要在交换机与物理网络连接的接口上启动ProxyARP功能。

各子网中的主机IP地址的网络号应一致，主机上不需要配置缺省网关。

"什么是代理ARP？

代理ARP就是通过使用一个主机（通常为router）,来作为指定的设备对另一设备的ARP请求作出应答。

"这个可以说是一个官方解释了。

大家可以用同一个拓扑来验证一下，在这里我们最常使用Router关闭路由功能来模拟成PC完成这个实验（左方PC为路由器模拟，在做此实验前请把前一实验的ARP信息清除，建议重启）：

PC上不配置默认网关，此时用PC去ping192.168.1.2和10.1.1.3。

会得到以下ARP表

由此可见，PC发出ARP请求10.1.1.3的MAC地址，R2以自己的FastEthernet0/0口地址代理R3去回应PC，告诉PC自己的FastEthernet0/0就是10.1.1.3的MAC地址。

结论：

有默认网关的的时候PC按默认网关走，没有默认网关的时候路由器通过代理ARP完成通信。

到目前为止一切都看起来那么的合理，那么的顺利。

这个实验是一些培训班常做的实验之一。

其实，错了！

问题出在哪里？

问题就出在我们是用一台路由器去模拟PC。

不管是否关闭路由功能，它始终不是PC，它处理数据的方式与PC也不一样。

请大家思考一下，如果是一台PC，在没有默认网关的情况下去ping一个非本网段地址，会出现什么情况？

在没有默认网关的情况下ping一个非本网段地址，显示目标网络不可达，然后直接丢包，根本不会发出ARP查询。

PC在什么时候会发出ARP查询呢？

ping一个本网段地址的时候（大家可以抓包来验证一下）。

其实就是思科文档的这种情况了：

看清楚了，PC-A的IP地址是/16位，PC-D的IP地址是/24位，所以当PC-A去pingPC-D的时候，PC-A认为是ping同一个网段，会发出ARP请求，这个时候ARP请求就到了路由器上了。

路由器如果开启了代理ARP功能，会代替PC-D给PC-A回应，告诉PC-A路由器的e0口MAC地址00-00-0c-94-36-ab就是PC-D的MAC地址，完成代理ARP操作，保护了PC-D的MAC地址隐私。

proxyARP有哪些优点?

　　最主要的一个优点就是能够在不影响其他router的路由表的情况下在网络上添加一个新的router,这样使得子网的变化对主机是透明的

　　proxyARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上

　　proxyARP带来的哪些负面影响?

　　1.增加了某一网段上ARP流量

　　2.主机需要更大的ARPtable来处理IP地址到MAC地址的映射

　　3.安全问题,比如ARP欺骗（spoofing）

　　4.不会为不使用ARP来解析地址的网络工作

　　5.不能够概括和推广网络拓扑

思科默认开启arp-proxy

华为配置

intvlan2

arp-proxyenable

ipadd172.16.23.11424

聚合VLAN内的proxyarp

在聚合vlan网关下配置

intvlan2

arp-proxyinner-sub-vlan-proxyenable

使能二层拓扑探测功能

使能二层拓扑探测功能后，当二层接口状态由Down变为Up时，系统更新所有该二层口所属VLAN对应的ARP表项。

l2-topologydetectenable，

3、DHCP配置

3.1配置接口工作在全局地址池模式

intvlan1

ipadd10.1.2.224

dhcpseletcglobal

3.2配置全局地址池

ippoolcisco

network

lease

excluded-ip-address

gateway-list

dns-list

3.3防止IP地址重复分配功能

地址探测是通过dhcpserverping命令实现的，检测是否能在指定时间内得到Ping应答。

如果在最长等待Ping响应的时间内没有得到应答，则继续发送Ping报文，直到发送Ping包数量达到最大值，如果仍然没有收到应答，则认为本网段内没有设备使用该IP地址，从而确保客户端被分得的IP地址是唯一的。

dhcpserverping5

dhcpserverpingtimeout500（单位是毫秒）

3.4DHCP数据保存功能

将当前的DHCP用户信息保存到S5700的存储设备上，当S5700发生故障时可以从存储设备中及时恢复数据。

dhcpserverdatabaseenable

执行本命令后，系统将生成lease.txt和conflict.txt两个文件，存放在Flash的DHCP文件夹中，分别保存正常的地址租借信息和地址冲突信息

dhcpserverdatabasewrite-delayinterval

配置数据保存时间间隔

缺省情况下，未使能DHCP数据保存到Flash的功能。

如果使能此功能，缺省情况下，每隔7200秒保存一次当前的DHCP数据，并覆盖之前的数据文件

dhcpserverdatabaserecover

使能DHCP数据恢复功能后，系统重启时将从Flash的文件中恢复DHCP数据。

3.5配置接口地址池的地址分配方式

intvlan1

ipadd10.1.1.124

dhcpselectinterface

dhcpserverlease//配置租期

dhcpserverexcluded-ip-addess

dhcpserverstatic-bindip-address10.1.1.2mac-address2342-2323-3523

dhcpserverdns-list

3.6配置DHCP中继

1、启用中继服务

interfacevlan4

ipaddress10.1.1.224

dhcpselectrelay

2、指定DHCP服务器，有两种方法，一种是在接口下直接指定，另一种配置DHCP服务器组，之后在接口下绑定

接口下直接指定

intvlan4

dhcprelayserver-ip10.1.1.1

配置DHCP服务器组

dhcpservergroupcisco

dhcp-server10.1.1.1

intvlan1

dhcprelayserver-selectcisco

3.7配置DHCP/BOOTP客户端

intvlan3

dhcpclienthostnamecisco

dchpclientclass-idcisco

ipaddressdhcp-alloc

ipaddressboot-alloc

4、UDPHelper配置

网络中的主机有时需要通过发送广播报文来获得网络配置或查询网络中其他设备的名称。

但是，当主机与服务器或待查询的设备不在同一个广播域时，主机就无法获得所需要的信息。

为解决上述问题，设备提供了UDPHelper功能。

通过该功能可以实现对指定UDP端口的IP广播报文进行中继转发，即将指定UDP端口的广播报文转换为单播报文发送给指定的目的服务器或将一个子网的广播报文转发给另外的子网，起到中继的作用。

S5700在使能UDPHelper功能后，默认对6个UDP端口的广播报文进行中继转发，将这些默认UDP端口的广播报文单播转发到相应的目的服务器。

其他UDP端口必须要在使能UDPHelper功能后手动配置。

UDPHelper功能不支持对DHCP报文的中继，即中继转发的UDP端口不能配置为67和68。

S5700EI和S5700SI不支持UDPHelper的功能。

如果要中继DHCP报文，需要使能DHCPRelay特性。

udp-helperport{port-number|dns|netbios-ds|netbios-ns|tacacs|tftp|time}

intvlan5

ipadd10.1.1.224

udp-helperserver10.2.42.1

5、DNS配置

静态DNS表项

iphosterp10.1.1.2

动态DNS配置

dnsresolve使能动态域名解析功能

dnsserver10.1.1.1

dnsserversource-ip10.1.1.3，指定本端交换机的IP地址。

指定本端交换机的IP地址，以指定的IP地址与DNS服务器端通信，从而保证通信的安全。

6、IPV6配置

地址表示方式

IPv6的128位IP地址有以下两种表示形式。

●X:

X:

X:

X:

X:

X:

X:

X

在这种形式中，128位的IP地址被分为8组，每组的16位用4个十六进制字符（0～9，A～F）来表示，组和组之间用冒号（:

）隔开。

其中每个“X”代表一组十六进制数值。

●X:

X:

X:

X:

X:

X:

d.d.d.d

分为如下两种类型

–IPv4兼容IPv6地址

–IPv4映射IPv6地址

其中IPv4兼容IPv6地址用于配置IPv6overIPv4隧道。

在这种形式中，“X”代表高阶的六组数字，用十六进制数来表示每组的16比特。

“d”代表低阶的四组数字，用十进制数表示每组的8比特。

后边的部分（d.d.d.d）

其实就是一个标准的IPv4地址。

一个IPv6地址可以分为如下两部分：

●网络前缀：

n比特，相当于IPv4地址中的网络ID。

●接口标识：

128-n比特，相当于IPv4地址中的主机ID。

接口地址配置

接口标识可通过三种方法生成：

手工配置、系统通过软件自动生成或IEEEEUI-64规范生成。

其中，EUI-64规范自动生成最为常用。

IEEEEUI-64

IEEEEUI-64规范是将接口的MAC地址转换为IPv6接口标识的过程。

如图1所示，MAC地址的前24位（用c表示的部分）为公司标识，后24位（用m表示的部分）为扩展标识符。

高7位是0表示了MAC地址本地唯一。

转换的第一步将FFFE插入MAC地址的公司标识和扩展标识符之间，第二步将高7位的0改为1表示此接口标识全球唯一。

图1 EUI-64规范示意图 

例如：

MAC地址：

000E-0C82-C4D4；转换后：

020E:

0CFF:

FE82:

C4D4。

这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量，尤其是当采用无状态地址自动配置时，只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。

但是使用这种方式最大的缺点是任何人都可以通过二层MAC地址推算出三层IPv6地址。

IP地址分类

IPv6地址分为单播地址、任播地址（AnycastAddress）、组播地址三种类型。

和IPv4相比，取消了广播地址类型，以更丰富的组播地址代替，同时增加了任播地址类型。

IPv6单播地址

IPv6单播地址标识了一个接口，由于每个接口属于一个节点，因此每个节点的任何接口上的单播地址都可以标识这个节点。

发往单播地址的报文，由此地址标识的接口接收。

IPv6定义了多种单播地址，目前常用的单播地址有：

未指定地址、环回地址、全球单播地址、链路本地地址、唯一本地地址ULA（UniqueLocalAddress）。

∙未指定地址

IPv6中的未指定地址即0:

0:

0:

0:

0:

0:

0:

0/128或者:

:

/128。

该地址可以表示某个接口或者节点还没有IP地址，可以作为某些报文的源IP地址（例如在NS报文的重复地址检测中会出现）。

源IP地址是:

:

的报文不会被路由设备转发。

∙环回地址

IPv6中的环回地址即0:

0:

0:

0:

0:

0:

0:

1/128或者:

:

1/128。

环回与IPv4中的127.0.0.1作用相同，主要用于设备给自己发送报文。

该地址通常用来作为一个虚接口的地址（如Loopback接口）。

实际发送的数据包中不能使用环回地址作为源IP地址或者目的IP地址。

∙全球单播地址

全球单播地址是带有全球单播前缀的IPv6地址，其作用类似于IPv4中的公网地址。

这种类型的地址允许路由前缀的聚合，从而限制了全球路由表项的数量。

全球单播地址由全球路由前缀（Globalroutingprefix）、子网ID（subnetID）和接口标识（InterfaceID）组成，其格式如图2所示：

图2 全球单播地址格式 

Globalroutingprefix：

全球路由前缀。

由提供商（Provider）指定给一个组织机构，通常全球路由前缀至少为48位。

目前已经分配的全球路由前缀的前3bit均为001。

SubnetID：

子网ID。

组织机构可以用子网ID来构建本地网络（Site）。

子网ID通常最多分配到第64位。

子网ID和IPv4中的子网号作用相似。

InterfaceID：

接口标识。

用来标识一个设备（Host）。

∙链路本地地址

链路本地地址是IPv6中的应用范围受限制的地址类型，只能在连接到同一本地链路的节点之间使用。

它使用了特定的本地链路前缀FE80:

:

/10（最高10位值为1111111010），同时将接口标识添加在后面作为地址的低64比特。

当一个节点启动IPv6协议栈时，启动时节点的每个接口会自动配置一个链路本地地址（其固定的前缀+EUI-64规则形成的接口标识）。

这种机制使得两个连接到同一链路的IPv6节点不需要做任何配置就可以通信。

所以链路本地地址广泛应用于邻居发现，无状态地址配置等应用。

以链路本地地址为源地址或目的地址的IPv6报文不会被路由设备转发到其他链路。

链路本地地址的格式如图3所示：

图3 链路本地地址格式 

∙唯一本地地址

唯一本地地址是另一种应用范围受限的地址，它仅能在一个站点内使用。

由于本地站点地址的废除（RFC3879），唯一本地地址被用来代替本地站点地址（RFC4193）。

唯一本地地址的作用类似于IPv4中的私网地址，任何没有申请到提供商分配的全球单播地址的组织机构都可以使用唯一本地地址。

唯一本地地址只能在本地网络内部被路由转发而不会在全球网络中被路由转发。

唯一本地地址格式如图4所示：

图4 唯一本地地址格式 

Prefix：

前缀；固定为FC00:

:

/7。

L：

L标志位；值为1代表该地址为在本地网络范围内使用的地址；值为0被保留，用于以后扩展。

GlobalID：

全球唯一前缀；通过伪随机方式产生（RFC4193）。

SubnetID：

子网ID；划分子网使用。

InterfaceID：

接口标识。

唯一本地地址具有如下特点：

▪具有全球唯一的前缀（虽然随机方式产生，但是冲突概率很低）。

▪可以进行网络之间的私有连接，而不必担心地址冲突等问题。

▪具有知名前缀（FC00:

:

/7），方便边缘路由器进行路由过滤。

▪如果出现路由泄漏，该地址不会和其他地址冲突，不会造成Internet路由冲突。

▪应用中，上层应用程序将这些地址看作全球单播地址对待。

▪独立于互联网服务提供商ISP（InternetServiceProvider）。

IPv6组播地址

IPv6的组播与IPv4相同，用来标识一组接口，一般这些接口属于不同的节点。

一个节点可能属于0到多个组播组。

发往组播地址的报文被组播地址标识的所有接口接收。

一个IPv6组播地址由前缀，标志（Flag）字段、范围（Scope）字段以及组播组ID（GlobalID）4个部分组成：

∙前缀：

IPv6组播地址的前缀是FF00:

:

/8（11111111）。

∙标志字段（Flag）：

长度4bit，目前只使用了最后一个比特（前三位必须置0），当该位值为0时，表示当前的组播地址是由IANA所分配的一个永久分配地址；当该值为1时，表示当前的组播地址是一个临时组播地址（非永久分配地址）。

∙范围字段（Scop）：

长度4bit，用来限制组播数据流在网络中发送的范围，该字段取值和含义的对应关系如图5所示。

∙组播组ID（GlobalID）：

长度112bit，用以标识组播组。

目前，RFC2373并没有将所有的112位都定义成组标识，而是建议仅使用该112位的最低32位作为组播组ID，将剩余的80位都置0。

这样每个组播组ID都映射到一个唯一的以太网组播MAC地址（RFC2464）。

IPv6组播地址格式如图5所示：

图5 IPv6组播地址格式 

∙被请求节点组播地址

被请求节点组播地址通过节点的单播或任播地址生成。

当一个节点具有了单播或任播地址，就会对应生成一个被请求节点组播地址，并且加入这个组播组。

一个单播地址或任播地址对应一个被请求节点组播地址。

该地址主要用于邻居发现机制和地址重复检测功能。

IPv6中没有广播地址，也不使用ARP。

但是仍然需要从IP地址解析到MAC地址的功能。

在IPv6中，这个功能通过邻居请求NS（NeighborSolicitation）报文完成。

当一个节点需要解析某个IPv6地址对应的MAC地址时，会发送NS报文，该报文的目的IP就是需要解析的IPv6地址对应的被请求节点组播地址；只有具有该组播地址的节点会检查处理。

被请求节点组播地址由前缀FF02:

:

1:

FF00:

0/104和单播地址的最后24位组成。

IPv6任播地址

任播地址标识一组网络接口（通常属于不同的节点）。

目标地址是任播地址的数据包将发送给其中路由意义上最近的一个网络接口。

任播地址设计用来在给多个主机或者节点提供相同服务时提供冗余功能和负载分担功能。

目前，任播地址的使用通过共享单播地址方式来完成。

将一个单播地址分配给多个节点或者主机，这样在网络中如果存在多条该地址路由，当发送者发送以任播地址为目的IP的数据报文时，发送者无法控制哪台设备能够收到，这取决于整个网络中路由协议计算的结果。

这种方式可以适用于一些无状态的应用，例如DNS等。

IPv6中没有为任播规定单独的地址空间，任播地址和单播地址使用相同的地址空间。

目前IPv6中任播主要应用于移动IPv6。

在6to4中继中也使用了任播前缀（2002:

c058:

6301:

:

）。

 说明：

IPv6任播地址仅可用被分配给路由设备，不能应用于主机。

任播地址不能作为IPv6报文的源地址。

∙子网路由器任播地址

子网路由器任播地址是已经定义好的一种任播地址（RFC3513）。

发送到子网路由器任播地址的报文会被发送到该地址标识的子网中路由意义上最近的一个路由器。

所有路由器都必须支持子网任播地址。

子网路由器任播地址用于节点需要和远端子网上所有路由器中的一个（不关心具体是哪一个）通信时使用。

例如，一个移动节点需要和它的“家乡”子网上的所有移动代理中的一个进行通信。

子网路由器任播地址由nbit子网前缀标识子网，其余用0填充。

格式如图6所示：

图6 子网路由器任播地址格式 

配置的接口地址

ipv6enable

intvlan4

ipv6enable

ipv6addreautolink-local//自动配置本地链路地址

ipv6addreipve-addresslink-local//手动配置本地链路地址

ipv6addre{ipv6-addressprefix-length|ipv6-address/prefix-length}//全球单播地址

ipv6addre{ipv6-addressprefix-length|ipv6-address/prefix-length}eui-64//配置接口eui全球单播地址

ipv6address{ipv6-addressprefix-length|ipv6-address/prefix-length}anycast，配置接口的任播IPv6地址

邻居发现

概况

邻居发现ND（NeighborDiscovery）是IPv6协议体系中一个重要的基础协议。

邻居发现协议替代了IPv4的ARP（AddressResolutionProtocol）和ICMP路由器发现（RouterDiscovery），它定义了使用ICMPv6报文实现地址解析，跟踪邻居状态，重复地址检测，路由器发现以及重定向等功能。

ND被看做是3层协议，3层解析的好处是：

地址解析在三层完成，不同的二层介质可以采用相同的地址解析协议。

可以使用三层的安全机