本章节下载(2.64 MB)
1.2.2 配置接口借用IP地址(IP Address Unnumbered)
1.2.4 IP Address Unnumbered显示和调试
1.2.6 典型IP Address Unnumbered配置举例
8.2.1 配置以太网接口通过BOOTP协议获取IP地址..
9.2.5 DHCP 服务器支持BIMS option简介..
9.5.4 配置DHCP地址池中不参与自动分配的IP地址..
9.5.8 配置DHCP客户端的NetBIOS名字服务器的IP地址
9.9.5 3COM VCX请求option 184组网案例
9.9.6 DHCP Relay支持option 82典型组网举例
11.3.6 配置内网服务器组所属的MPLS VPN实例..
11.3.9 配置内部主机通过域名区分并访问其对应的内部服务器
11.5.2 使用loopback接口地址进行地址转换典型配置举例
11.5.5 内部服务器与IPSec VPN结合应用配置举例
11.5.6 内部主机通过域名区分并访问对应的内部服务器组网应用
13.2.2 定义route-policy的if-match子句..
13.2.3 定义route-policy的apply子句..
16.2.8 取消Netstream日志报文的日志头中的流方向标记
19.10.3 移动路由器的典型组网1(MR使用的外地代理转交地址)..
19.10.4 移动路由器的典型组网2(MR使用配置转交地址)
所谓IP地址,是指分配给连接在Internet上的主机的一个唯一的32比特标识符。IP地址一般由两部分组成:第一部分为网络号码,第二部分为主机号码。IP地址的结构使我们可以在Internet上方便地进行寻址。IP地址由美国国防数据网的网络信息中心(NIC)进行分配。
为了方便IP地址的管理以及组网,Internet的IP地址分成五类。如图1-1所示,IP地址由下列两个字段组成:
l 网络号码字段(net-id);网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
l 主机号码字段(host-id)。
D类地址是一种组播地址,主要是留给Internet体系结构委员会IAB(Internet Architecture Board)使用。E类地址保留在今后使用。目前大量使用中的IP地址属于A、B、C三种中的一种。
在使用IP地址时要知道一些IP地址是保留作为特殊用途的,一般不使用。下表列出用户可配置的IP地址范围。
表1-1 IP地址分类及范围
|
网络类型 |
地址范围 |
说明 |
|
A |
0.0.0.0~127.255.255.255 |
所有形如127.X.Y.Z的地址都保留作回路测试,发送到这个地址的分组不会输出到线路上,它们被内部处理并当作输入分组。 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
D类地址是一种组播地址。 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其它地址保留今后使用。 |
IP地址有一些重要的特点:
(1) IP地址是一种非等级的地址结构,和电话号码的结构不一样,也就是说,IP地址不能反映任何有关主机位置的地理信息。
(2) 当一个主机同时连接到两个网络上时(作路由器用的主机即为这种情况),该主机就必须同时具有两个相应的IP地址,其网络号码net-id是不同的,这种主机成为多地址主机(multihomed host)。
(3) 按照Internet的观点,用转发器或网桥连接起来的若干个局域网仍为一个网络,因此这些局域网都具有同样的网络号码net-id。
(4) 在IP地址中,所有分配到网络号码(net-id)的网络,不管是小的局域网还是很大的广域网,都是平等的。
从1985年起,为了使IP地址的使用更加灵活,只分配IP地址的网络号码net-id,而后面的主机号码host-id则是受本单位控制。即某个单位申请到IP地址时,实际上只是拿到了一个网络号码net-id,具体的各个主机号码host-id 则由该单位自行分配,只要做到在该单位管辖的范围内无重复的主机号码即可。当一个单位的主机很多而且分布在很大的地理范围时,为了便于管理,可将单位内部的主机号码再进一步划分为多个子网。需要注意的是,子网的划分由单位内部决定,在本单位以外看不到单位内部的子网。从外部看,这个单位只有一个网络号码。只有当外面的报文进入到本单位范围后,本单位的路由器才根据子网号码再进行选路,找到目的主机。
如图1-2所示,为一个B类IP地址划分子网情况,其中子网掩码由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码和子网号码字段,而“0”对应于主机号码字段。
图1-2 IP地址子网划分
多划分出一个子网号码字段是要付出代价的。举例来说,本来一个B类IP地址可以容纳65534个主机号码。但划分出6bit长的子网字段后,最多可有64个子网,每个子网有10bit的主机号码,即每个子网最多可有1022(210-2,去掉全1和全0的主机号码)个主机号码。因此主机号码的总数是64* 1022 = 65408个,比不划分子网时要少126个。
若一个单位不进行子网的划分,则其子网掩码即为默认值,此时子网掩码中“1”的长度就是网络号码的长度。因此,对于A,B和C类的IP地址,其对应子网掩码的默认值分别为255.0.0.0;255.255.0.0.和255.255.255.0。
一台路由器用来连接多个网络,具有多个网络的IP地址。上面讲的IP地址还不能直接用来进行通信。这是因为:
l IP地址只是主机在网络层中的地址,若要将网络层中传送的数据报交给目的主机,必须知道该主机的物理地址。因此必须将IP地址解析为物理地址。
l 用户平时不愿意使用难于记忆的IP地址,而是愿意使用易于记忆的主机名,因此也需要将主机名解析为IP地址。
下图表示了主机名、IP地址和物理地址之间的关系。
图1-3 主机名、IP地址和物理地址之间的关系
IP地址配置包括:
l 配置接口IP地址
l 配置接口借用IP地址
l IP地址的监控与维护
路由器的每个接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址。
IP地址的配置支持如下情况:
l 父接口和子接口之间不可以是同一网段。
l 兄弟接口之间不可以是同一网段。
l 主从地址可以是同一网段。
一个接口只能有一个主IP地址,用下面的命令可修改接口的主IP地址和网络的掩码。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
配置接口主IP地址 |
ip address ip-address net-mask |
通过掩码来标识IP地址包含的网号,例如:路由器以太网口的IP地址是129.9.30.42,掩码是255.255.0.0,将IP地址与掩码相“与”后,可知路由器以太网接口所在网段的地址为129.9.0.0。
当配置主IP地址时,如果接口上已经有主IP地址,则原主IP地址被删除,新配置的地址成为主IP地址。
缺省情况下,无主IP地址。
除了主IP地址外,一个接口上还可配置多个从IP地址。配置从IP地址的主要目的在于使同一接口能位于不同的子网上,从而产生以同一接口为输出端口的网络路由,这样通过同一接口实现与多个子网相连。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
配置接口从IP地址 |
ip address ip-address net-mask sub |
缺省情况下,无从IP地址。
一个接口所能配置的IP地址总数最多为32个,包括主IP地址和从IP地址。
注意:
当接口被配置为通过BOOTP、DHCP或PPP协商分配IP地址后,则不能再给该接口配置从IP地址。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
删除IP地址 |
undo ip address [ ip-address net-mask [ sub ] ] |
使用该命令时若不带任何参数,将删除该接口的所有IP地址。
undo ip address命令不带任何参数表示删除该接口的所有IP地址。undo ip address ip-address net-mask表示删除主IP地址,undo ip address ip-address net-mask sub表示删除从IP地址。在删除主IP地址前必须先删除完所有的从IP地址。
若接口封装了PPP,本端接口还未配置IP地址而对端已有IP地址时,可为本端接口配置IP地址可协商属性,使本端接口接受PPP协商产生的由对端分配的IP地址。该配置主要用于在通过ISP访问Internet时,得到由ISP分配的IP地址。
请在接口视图下进行下列配置。
表1-5 设置接口IP地址可协商属性
|
操作 |
命令 |
|
设置接口IP地址可协商属性 |
ip address ppp-negotiate |
|
取消接口IP地址可协商属性 |
undo ip address ppp-negotiate |
系统缺省为不允许接口IP地址的协商。关于PPP接口地址协商的详细配置请参见链路层部分的PPP协议。
注意:
l 因PPP支持IP地址的协商,所以只有当接口封装了PPP时,才能设置接口IP地址的协商,当PPP协议down 时,协商产生的IP地址将被删除。
l 若接口原来配有地址,在配置接口IP地址协商后,原IP地址将被删除。
l 配置接口IP地址协商后,不需再给该接口配置IP地址,IP地址由协商获得。
l 配置接口IP地址协商后,再次配置该接口协商,原协商产生的IP地址将被删除,接口再次协商获得IP地址。
l 在协商地址被删除后,接口将处于无地址状态。
借用IP地址这种功能,其最主要的目的就是节省宝贵的IP地址资源。一个接口如果没有IP地址就无法生成路由,也就无法转发报文。所谓“借用IP地址”,其实质就是:一个接口上没有配置IP地址,但是还想使用该接口。就向其它有IP地址的接口借一个IP地址过来,以使该接口能够正常使用。如果被借用接口有多个IP地址,则只能借用主IP地址。如果被借用接口没有IP地址,则借用接口的IP地址为0.0.0.0。该功能通过ip address unnumbered命令来实现。
需要注意的是:
l 借用方不能为以太网接口。
l 被借用方接口的地址本身不能为借用地址。
l 被借用方的地址可以借给多个接口。
l Loopback的地址可被其它接口借用,但本身不能借用其它接口的地址。
由于借用方接口本身没有IP地址,无法进行路由,所以必须为其手工配置两条路由才能实现路由器间的连通。具体的配置步骤请参见配置举例。
注意:
在Tunnel接口配置地址借用后,必须手工配置到Tunnel对端接口的静态路由,且掩码必须为32位。
IP Address Unnumbered属性在接口视图下进行,封装了PPP、HDLC、帧中继、SLIP的串口以及Tunnel接口可借用以太网口或其它接口的IP地址。
IP Address Unnumbered配置任务列表如下:
l 激活和关闭IP Address Unnumbered
请在接口视图下进行下列配置。
表1-6 接口借用IP地址的配置
|
操作 |
命令 |
|
激活IP Address Unnumbered |
ip address unnumbered interface interface-type interface-number |
|
关闭IP Address Unnumbered |
undo ip address unnumbered |
缺省情况下,不借用其它接口的IP地址。
在完成上述配置后,在任意视图下执行display命令可以显示IP地址配置后的运行情况,通过查看显示信息验证配置的效果。
表1-7 IP地址显示和调试
|
操作 |
命令 |
|
显示接口IP信息 |
display ip interface [ interface-type interface-number ] |
|
显示接口IP摘要信息 |
display ip interface brief [ interface-type interface-number ] |
在完成上述配置后,在任意视图下执行display命令可以显示IP Address unnumbered配置后的运行情况,通过查看显示信息验证配置的效果。
表1-8 IP Address Unnumbered显示和调试
|
操作 |
命令 |
|
显示接口信息,其中包括IP Address Unnumbered信息 |
display interface [ interface-type [ interface-number ] ] |
为路由器串口Serial1/0/1配置IP地址,要求主IP地址为129.2.2.1,从地址为129.1.3.1。
# 配置路由器串口Serial0/1的主从IP地址。
[H3C] interface serial 1/0/1
[H3C-Serial1/0/1] ip address 129.2.2.1 255.255.255.0
[H3C-Serial1/0/1] ip address 129.1.3.1 255.255.255.0 sub
假设有一家公司,总部在北京,在深圳、上海各有一个分公司。在武汉有一个办事处。它的网络情况如下图。R是总部的路由器,它通过电话网(PSTN)与各个分公司、办事处的路由器R1、R2、R3相连。R、R1、R2、R3四台路由器都有一个串口用于拨号,一个以太网口用于连接本地的网络。
(1) 配置总部路由器R
[H3C-Ethernet1/0/0] ip address 172.16.10.1 255.255.255.0
# 借用以太网的IP地址。
[H3C-Serial2/0/0] ip address unnumbered interface ethernet 1/0/0
[H3C-Serial2/0/0] link-protocol ppp
# 配置到深圳路由器R1以太网网段的路由。
[H3C] ip route-static 172.16.20.0 255.255.255.0 172.16.20.1
# 配置到深圳路由器R1串口的接口路由。
[H3C] ip route-static 172.16.20.0 255.255.255.0 serial2/0/0
(2) 配置深圳分公司的路由器R1
[H3C-Ethernet1/0/0] ip address 172.16.20.1 255.255.255.0
# 借用以太网的IP地址。
[H3C-Serial2/0/0] ip address unnumbered interface ethernet 1/0/0
[H3C-Serial2/0/0] link-protocol ppp
# 配置到北京总部路由器R 以太网网段的路由,该路由为缺省路由:
[H3C] ip route-static 0.0.0.0 0.0.0.0 172.16.10.1
# 配置到北京路由器R串口的接口路由。
[H3C] ip route-static 172.16.10.1 255.255.255.255 serial2/0/0
路由器是网络互连设备,因而在给接口配置IP地址时,我们必须明白组网需求和子网的划分。一般应遵循如下原则:
l 路由器以太网接口IP地址必须与该以太网口所连的局域网在同一网段。
l 广域网两端的路由器的串口IP地址尽量在同一网段。
故障之一:从路由器ping局域网中某一主机不通。
故障排除:
l 首先检查路由器以太网口和局域网中主机的IP地址配置,是否位于同一网段。
l 如果配置正确,可以在路由器上打开arp调试开关,查看路由器是否正确地发送和接收arp报文,如果只有发送,没有接收到arp报文,则有可能以太网物理层有问题。
ARP即地址解析协议,主要用于从IP地址到以太网MAC地址的解析。一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
在Comware的实现中,如果收到的ARP报文满足以下任何一条条件,系统将创建或更新ARP表项:
l ARP报文的源IP地址与入接口IP地址在同一网段,不是广播地址,目的IP地址是本接口IP地址。
l ARP报文的源IP地址与入接口IP地址在同一网段,不是广播地址,目的IP地址是本接口的VRRP虚拟IP地址。
l ARP报文的目的IP地址属于入接口上的配置的NAT地址池。
如果收到的ARP报文的源IP地址在入接口的ARP表中已经存在对应表项,也将对ARP表项进行更新。
在某些情况下,如将目的地址不在本网段的报文,绑定到某个特定网卡,使得到该IP地址的报文能通过该网关进行转发;或是当用户需要过滤掉一些非法IP地址(如将这些非法地址绑定到某个不存在的MAC地址),就需要用户手工配置静态ARP表中的映射项。
静态ARP配置包括:
l 手工添加/删除静态ARP映射项
请在系统视图下进行下列配置。
表2-1 手工添加/删除静态ARP映射项
|
操作 |
命令 |
|
手工添加静态ARP映射项 |
arp static ip-address mac-address [ vpn-instance-name ] |
|
手工删除静态ARP映射项 |
undo arp ip-address [ vpn-instance-name ] |
静态ARP映射项在路由器正常工作时间一直有效,而动态ARP映射项的有效时间为20分钟。
缺省情况下,由动态ARP协议获取地址映射。
系统最多可以配置2048条静态ARP映射项。
可以使用下面的命令控制设备是否学习MAC地址为组播MAC的ARP表项。
请在系统视图下进行下列配置。
表2-2 使能/关闭ARP表项的检查功能
|
操作 |
命令 |
|
使能ARP表项的检查功能,即不学习MAC地址为组播MAC的ARP表项 |
arp check enable |
|
关闭ARP表项的检查功能,即学习MAC地址为组播MAC的ARP表项 |
undo arp check enable |
缺省情况下,使能ARP表项的检查功能,即不学习MAC地址为组播MAC的ARP表项。
可以使用下面的命令控制设备是否支持自然网段的ARP请求。
请在系统视图下进行下列配置。
表2-3 使能/关闭支持自然网段的ARP请求
|
操作 |
命令 |
|
使能支持自然网段的ARP请求 |
naturemask-arp enable |
|
不支持自然网段的ARP请求 |
undo naturemask-arp enable |
缺省情况下,不支持自然网段的ARP请求。
请在系统视图下进行下列配置。
表2-4 配置动态ARP表项的超时时间
|
操作 |
命令 |
|
配置动态ARP表项的超时时间 |
arp timer aging minutes |
|
恢复动态ARP表项的超时时间为缺省值 |
undo arp timer aging minutes |
缺省情况下,动态ARP表项的超时时间为20分钟。
在完成上述配置后,在任意视图下执行display命令可以显示ARP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除该运行情况,执行debugging命令可以对ARP进行调试。
表2-5 ARP显示和调试
|
操作 |
命令 |
|
显示ARP映射表 |
display arp [ static | dynamic | all ] |
|
显示动态ARP表项超时时间(仅AR46系列路由器支持) |
display arp timer aging |
|
清除ARP映射表中的ARP项 |
reset arp [ all | dynamic | static | interface interface-type interface-number ] |
|
打开ARP调试信息开关 |
debugging arp packet |
|
关闭ARP调试信息开关 |
undo debugging arp packet |
代理ARP的主要功能就是将处在同一网段(IP地址在同一网段),却在不同的物理网络上的计算机或路由器连接起来,使它们互相通信,就好象在同一个物理网络上。
在80年代中后期,随着网络应用的发展,局域网的规模越来越大。一所大学的以太网中主机数目可以达到上百台,在这种情况下以太网中的碰撞和冲突的次数已经相当多了。此时新的应用需要继续扩大局域网的规模,若采用中继器的方式将新增的计算机连入局域网,将会使局域网过载,产生的碰撞和冲突将严重降低以太网的性能。为解决这一问题,提出了代理ARP解决方案。
代理ARP主要是为连接两个在同一IP网段但位于不同物理位置上的网络。
图2-1 代理ARP的应用环境
两个局域网分别与两台路由器的以太网口相连。两个局域网中的主机都在192.38.0.0网段上。实际上,局域网A占用了192.38.160.0这一子网段。局域网B占用了192.38.162.0这一子网段。但是两个局域网中主机的掩码一定是16位,即:只包括网络号(192.38.0.0),而不包括子网号(192.38.160.0或192.38.162.0)。两台路由器的以太网口都配置成192.38.0.0网段,并使能代理ARP。两台路由器通过PSTN相连。在两台路由器上分别配置一条到对端局域网网段的静态路由。
当局域网A中的主机想访问局域网B中的主机,例如:IP地址为192.38.160.2的主机(以下简称主机A)想访问192.38.162.2的主机(以下简称主机B)。其访问过程如下:
(1) 主机A发出对主机B的ARP请求报文。
(2) 路由器A收到该请求报文,查找路由表。若发现一条到主机B的路由项(192.38.162.0),就将自己的MAC地址添入ARP应答报文中,发送给主机A。
(3) 主机A收到ARP应答报文后,就将IP报文发送给路由器A。
(4) 路由器A接收到IP报文后,再查找路由表,将报文转发给路由器B。
(5) 路由器B将接收到的IP报文转发给主机B。
(6) 当主机B向主机A发送应答报文时,也将经过相同的过程。这样,两台处于不同物理网络上的主机相互访问,就好象处于同一物理网络上。
请在以太网接口视图下进行下面配置。
|
操作 |
命令 |
|
配置代理ARP |
arp-proxy enable |
|
禁用代理ARP功能。 |
undo arp-proxy enable |
缺省情况下,禁用代理ARP功能。
免费ARP是指设备通过对外发送免费ARP报文,来实现以下功能:
网络中的设备可以通过发送免费ARP报文来确定其它设备的IP地址是否与自己冲突。
如果发送免费ARP报文的设备正好改变了硬件地址(很可能是设备关机了,并换了一块接口卡,然后重新启动),那么这个报文就可以使其他设备高速缓存中旧的硬件地址进行相应的更新。例如:设备收到某个IP地址的免费ARP请求,但在此设备的高速缓存中已经存在这个IP地址的ARP表项,那么就要用免费ARP请求中的发送端硬件地址(如以太网地址)对高速缓存中相应的内容进行更新。设备接收到任何ARP请求都要完成这个操作(ARP请求是在网上广播的,因此每次发送ARP请求时网络上的所有主机都要这样做)。
免费ARP报文的特点:
报文的源和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址
当其他设备收到免费ARP报文后,如果发现免费ARP报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答。
请在系统视图下进行下列配置。
表2-7 使能免费ARP报文学习功能
|
操作 |
命令 |
|
启用免费ARP报文的学习功能 |
gratuitous-arp-learning enable |
|
关闭免费ARP报文的学习功能 |
undo gratuitous-arp-learning enable |
缺省情况下,关闭免费ARP报文学习功能。
请在系统视图下进行下列配置。
表2-8 使能应答不同网段ARP请求报文的功能
|
操作 |
命令 |
|
使能应答不同网段ARP请求报文的功能 |
gratuitous-arp-sending enable |
|
关闭应答不同网段ARP请求报文的功能 |
undo gratuitous-arp-sending enable |
缺省情况下,关闭应答不同网段ARP请求报文的功能。
请在以太网接口视图、以太网子接口视图、千兆以太网接口视图、千兆以太网子接口视图、桥模板视图、VLAN接口视图或虚拟以太网接口视图下进行下列配置。
表2-9 使能周期性发送免费ARP报文的功能并设置发送周期
|
操作 |
命令 |
|
使能周期性发送免费ARP报文功能并设置发送周期 |
arp send-gratuitous-arp seconds |
|
关闭周期性发送免费ARP报文的功能 |
undo arp-gratuitous-arp |
缺省情况下,接口不会周期性发送免费ARP报文。
在路由器中,除了维护以太网口IP地址到MAC地址的映射外,还需维护广域网口IP地址与链路层协议地址的映射,有以下两类:
l 在封装X.25接口上,IP地址与X.121地址的映射,由x25 map ip命令维护。
l 在封装帧中继接口上,IP地址与虚电路号(DLCI)的映射,由fr map ip命令来维护。
上述映射,又可称为二次路由,它们的正确配置,是保证路由器正常工作的关键。详细介绍请参见相关章节。
所谓授权ARP(Authorized Address Resolution Protocol),即由DHCP Server或其他模块根据某种约定,自动在ARP表中添加的ARP表项。授权ARP可以阻止DHCP Server对非法ARP应答进行动态学习,即只有通过DHCP Server分配了IP地址的客户端能够依据ARP应答报文自动添加ARP表项(静态ARP表项不受影响),从而阻止非法用户上网。同时授权ARP提供了ARP Ping的探测机制,来确认DHCP客户端是否已下线并通知DHCP Server该用户已下线。因此授权ARP特性的引入增强了网络安全性并实现了快速发现用户下线的功能。
& 说明:
l 授权ARP特性目前只在启用了DHCP Server功能的路由器上实现。
l 授权ARP特性目前只支持DHCP Server与DHCP Client在同一网段的情况。
每一个主机上都有一个ARP高速缓存,称为ARP cache。ARP cache存放了最近学习到的IP地址到硬件地址之间的映射记录。缺省情况下,高速缓存中每一项的生存时间为20分钟。通常在进行ARP转换时先搜索ARP cache,如果没有匹配成功再检查ARP表。
ARP表就是记录IP地址转与物理地址对应关系的映射表。每一个设备上都维护着一张ARP表,表中有通过动态、静态或其他方式生成的ARP映射。表项中包括了接口索引、物理地址、IP地址以及类型。
授权ARP的老化是通过被称为ARP ping的机制来实现的。ARP ping通过定期向授权表项中记录的客户端IP地址发送ARP请求报文来判断用户是否已经下线:当收到ARP回应报文(不论是否是ARP ping所触发)时,授权ARP将刷新自己的老化时间。ARP ping为DHCP Server增加了主动询问客户端状态的机制,这样做的好处是使得DHCP Server得以在较短的时间内发现客户端离线并释放资源。
授权ARP表项是一类特殊的表项,也是添加在设备端的ARP表中的,授权ARP同时具有静态ARP和动态ARP两者的特征。授权ARP具有较高的优先级,新添加的授权ARP表项可以覆盖相同的动态ARP表项而同时不被新添加的相同动态ARP所覆盖;但同时其优先级低于静态ARP,其添加动作不可以覆盖相同的静态ARP表项而同时可以被相同的静态ARP表项所覆盖。
授权ARP具有类似于动态ARP的老化机制——通过记录和刷新每个表项的老化时间来判断该表项是否需要老化。授权ARP表项的老化时间是由ARP Ping来实现的,独立于动态ARP表项的老化。缺省的授权ARP表项老化时间为连续进行三次ARP Ping后没有收到回应后的时间。ARP Ping的时间间隔为30秒,所以授权ARP表项的缺省老化时间为90秒,即如果在90秒内没有收到任何对应于授权ARP表项的报文并且也没有被DHCP Server刷新该表项(当DHCP Server重新添加授权ARP时就认为是刷新该表项),则老化该表项并通知DHCP Server。
授权ARP表项可以被手工删除或通过DHCP服务器的删除表项来删除。
出于安全性的考虑,授权ARP提供了禁止动态学习ARP(ARP security)的功能,当该功能启动时,只有静态ARP表项和授权ARP表项被允许添加,动态ARP的学习将被禁止。禁止动态学习ARP与授权ARP之间并不互相依赖,可以独立使用。
ARP报文分为ARP请求和ARP应答报文,ARP请求和应答报文的格式如下图所示,当一个ARP请求发出时,除了接收端硬件地址(正是请求方想要获取的地址)域为空外,其他所有的域都被使用。ARP应答报文使用了所有的域。
图2-2 ARP请求和应答报文格式
l 硬件类型
识别硬件接口的类型,合法的值为:
|
类型 |
描述 |
|
1 |
以太网 |
|
2 |
实验以太网 |
|
3 |
X.25 |
|
4 |
Proteon ProNET(令牌环) |
|
5 |
混沌网(chaos) |
|
6 |
IEEE802.X |
|
7 |
ARC网络 |
l 协议类型
协议类型标识发送设备所使用的协议类型,TCP/IP中,这些协议通常是EtherType。
l 硬件地址长度:数据报文中硬件地址以字节为单位的长度。
l 协议地址长度:数据报文中所有协议地址以字节为单位的长度。
l 操作码:指明数据报是ARP请求还是ARP应答,假如是ARP请求,此值为1;假如是ARP应答,此值为2;RARP请求,此值为3;RARP应答,此值为4。
l 发送方硬件地址:发送方设备的硬件地址。
l 发送方IP地址:发送方设备的IP地址
l 接收方硬件地址:接收方设备的硬件地址。在ARP请求报文中这个域为空,在ARP应答报文中这个域为返回的接收方的硬件地址。
l 接收方IP地址:接收方设备的IP地址。
IF索引:记录拥有表项中物理地址和IP地址的设备的物理接口或端口。
物理地址:设备的物理地址,即MAC地址。
IP地址:设备的IP地址。
类型:该表项的类型。类型有四种可能的值。值2表示该表项是无效的,值3表示该表项是动态学习获得的,值4表示该表项是静态配置的,值1表示不是上面的任何一种情况。
授权ARP的工作机制是ARP的工作机制和DHCP的工作机制的结合,由于目前授权ARP还不支持DHCP中继,下面将介绍DHCP客户端和DHCP服务器在同一网段的情况授权ARP的工作机制,具体如下:
(1) DHCP客户端广播DHCP_DISCOVER报文,DHCP服务器收到广播报文后回应DHCP_OFFER报文,同时在报文中携带了DHCP客户端的配置参数。
(2) 当网络中有多个DHCP服务器回应DHCP_OFFER报文,则DHCP客户端会接受最先到达的DHCP服务器的配置参数并向网络广播DHCP_REQUEST报文,该报文中携带了DHCP客户端的MAC地址和准备使用的IP地址。
(3) DHCP服务器收到客户端的DHCP_REQUEST报文后,给DHCP客户端回应DHCP_ACK报文。同时DHCP服务器会在本地ARP表中添加一条包含了客户端MAC地址、IP地址以及所在接口索引的授权ARP表项。
(4) 当DHCP服务器的ARP表中添加了授权ARP表项后,则通过ARP Ping机制来实现授权ARP表项的老化,即ARP Ping通过定期向授权ARP表项中记录的客户端IP地址发送ARP请求报文来判断该客户端是否已经下线,如果ARP Ping发送三次ARP请求报文都没有收到回应,则认为该客户端已经下线,将在ARP表中删除该授权表项。
(5) 为了提高安全性,授权ARP还提供了禁止动态学习ARP(ARP Security)功能。当启动禁止动态学习ARP功能时,只有静态ARP表项和授权ARP表项可以在DHCP服务器的ARP表中被添加,动态学习的ARP表项不会被添加。因此,如果DHCP服务器同时作为代理上网的网关时,非法的固定IP用户就无法上网。
配置授权ARP前需要完成下列配置:
l 作为DHCP服务器的路由器已经启动了DHCP Server功能,并配置了地址池等相关的DHCP服务器参数。
l 客户端的设备配置为通过DHCP获取IP地址。
授权ARP的配置包括了DHCP服务器配置、ARP的使能以及授权ARP表项老化时间的配置,以下的配置均在DHCP服务器端进行。
(1) 在系统视图下使能授权ARP
表2-11 针对DHCP接口地址池使能授权ARP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置接口工作在DHCP服务器模式,并从接口地址池分配地址 |
dhcp select interface { interface interface-type interface-number [ to interface-type interface-number ] | all } |
必选 |
|
针对DHCP接口地址池使能授权ARP |
dhcp server synchronize arp { interface interface-type interface-number [ to interface-type interface-number | all } |
必选 缺省情况下,禁止使能授权ARP |
|
进入接口视图 |
interface interface-type interface-number |
应对上面命令涉及的接口配置IP地址,才能创建接口地址池 |
|
配置接口IP地址 |
ip address ip-address net-mask |
|
|
配置禁止动态学习ARP |
arp security |
可选 缺省情况使能动态学习ARP |
|
配置授权ARP表项老化时间 |
arp security time-out seconds |
可选 缺省情况下授权ARP表项老化时间为90秒 |
& 说明:
该方式适用于从接口地址池中给客户端分配IP地址的情况。
这种配置方式可以配置接口范围,所以可以同时在多个接口上配置DHCP支持授权ARP功能。
(2) 在接口视图下使能授权ARP
表2-12 针对DHCP接口地址池使能授权ARP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置接口IP地址 |
ip address ip-address net-mask |
- |
|
配置接口工作在DHCP服务器模式,并从接口地址池分配地址 |
dhcp select interface |
必选 |
|
针对DHCP接口地址池使能授权ARP |
dhcp server synchronize arp |
必选 缺省情况下,禁止使能授权ARP |
|
配置禁止动态学习ARP |
arp security |
可选 缺省情况使能动态学习ARP |
|
配置授权ARP表项老化时间 |
arp security time-out seconds |
可选 缺省情况下授权ARP表项老化时间为90秒 |
& 说明:
该方式适用于从接口地址池中给客户端分配IP地址的情况。
这种配置方式是在接口视图下配置DHCP支持授权ARP功能的,适用于配置单个接口支持授权ARP功能。
(3) 在DHCP全局地址池视图下使能授权ARP
表2-13 针对DHCP全局地址池使能授权ARP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置接口工作在DHCP服务器模式,并从全局地址池分配地址 |
dhcp select global [ subaddress ] | interface interface-type interface-number [ to interface-type interface-number ] | all } |
必选 |
|
进入DHCP地址池视图 |
dhcp server ip-pool pool-name |
必选 |
|
针对DHCP全局地址池使能授权ARP |
synchronize arp |
必选 缺省情况下,禁止使能授权ARP |
|
退回到系统视图 |
quit |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置禁止动态学习ARP |
arp security |
可选 缺省情况使能动态学习ARP |
|
配置授权ARP表项老化时间 |
arp security time-out seconds |
可选 缺省情况下授权ARP表项老化时间为90秒 |
& 说明:
该方式适用于从DHCP全局地址池中给客户端分配IP地址的情况。
注意:
l 只有配置了禁止动态学习ARP功能后,ARP Ping机制才会启动。若ARP Ping机制没有启动,即使授权ARP表项已老化超时,也不会老化授权ARP表项。
l 当ARP表中已添加了一些授权ARP表项后才启动arp security,则已存在的授权ARP表项的老化时间将被刷新。
l 若没有配置arp security命令而直接配置arp security time-out,则会在配置信息中保存老化时间配置,但该老化时间并不会真正起作用。
l DHCP客户端通过DHCP服务器获得IP地址
l 配置了DHCP服务器功能的路由器支持授权ARP,授权ARP表项的老化时间为120秒。
l DHCP服务器与客户端相连的以太网口Ethernet1/0/0的IP地址为10.1.1.1/24,代理上网的以太网口Ethernet1/0/1的IP地址为10.1.2.1/24。DHCP服务器全局地址池为10.1.1.0/24。
l DHCP服务器同时作为代理网关服务器代理客户端访问Internet。
图2-4 ARP授权组网图
# 启动DHCP服务。
[H3C] dhcp enable
# 配置接口工作在DHCP服务器模式下,并从全局地址池中分配IP地址。
[H3C] dhcp select global interface ethernet 1/0/0 to ethernet 1/0/1
# 配置DHCP服务器网络参数和地址池。
<H3C> system-view
[H3C] interface ethernet 1/0/0
[H3C-Ethernet1/0/0] ip address 10.1.1.1 255.255.255.0
[H3C-Ethernet1/0/0] quit
[H3C] interface ethernet 1/0/1
[H3C-Ethernet1/0/1] ip address 10.1.2.1 255.255.255.0
[H3C-Ethernet1/0/1] quit
[H3C] dhcp server ip-pool 0
[H3C-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
# 针对DHCP全局地址池使能授权ARP。
[H3C-dhcp-pool-0] synchronize arp
[H3C-dhcp-pool-0] quit
# 禁止动态ARP学习,配置授权ARP表项的老化时间为120秒。
[H3C] interface ethernet 1/0/0
[H3C-Ethernet1/0/0] arp security
[H3C-Ethernet1/0/0] arp security time-out 120
[H3C-Ethernet1/0/0] quit
ARP攻击是局域网中导致瞬间掉线和大面积断网的罪魁祸首。目前很多带有ARP欺骗功能的攻击软件可以伪造ARP报文,使用伪造的MAC地址与局域网内的IP地址对应,这样就修改了其他设备中的ARP缓存,导致网络通讯中断。
动态ARP固化功能可将将动态ARP转换为固化ARP,防止非法用户对路由器进行ARP攻击。在网络正常时,启用动态ARP固化功能,将动态ARP转换为固化ARP,这样就将局域网内每一台电脑的MAC与内网IP建立一一对应的关系,此后,路由器即使受到ARP攻击也不能修改ARP缓存表。
请在系统视图下进行下列配置。
表2-14 配置动态ARP固化功能
|
配置步骤 |
命令 |
说明 |
|
配置动态ARP固化功能 |
arp fixup |
必选 |
请在接口视图下进行下列配置。
表2-15 接口视图下动态ARP固化功能配置过程
|
配置步骤 |
命令 |
说明 |
|
配置动态ARP固化功能 |
arp fixup |
必选 |
请在系统视图下进行下列配置。
表2-16 添加指定固化ARP表项功能配置过程
|
配置步骤 |
命令 |
说明 |
|
添加指定固化ARP表项 |
arp fixed ip-address mac-address [ vpn-instance-name ] |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示固化ARP表项的配置信息,在用户视图下执行reset命令可以清除固化ARP表项。
表2-17 固化ARP表项的显示和维护
|
配置步骤 |
命令 |
|
显示固化ARP表项 |
display arp fixed |
|
清除固化ARP表项 |
reset arp fixed |
TCP/IP不仅提供了IP地址来确定设备,而且还专门设计了一种字符串形式的主机命名机制,这就是所谓的域名系统。此系统使用一种有层次的命名方式,为网间网上的设备指定一个有意义的名字,并且在网络上设有域名解析服务器,完成域名与IP地址的对应关系。这样一来用户就可以使用便于记忆的、有意义的域名,而不必去记忆晦涩难懂的IP地址。
域名解析分为动态解析和静态解析,二者可以相辅相成,在解析域名时,可以首先采用静态解析的方法,如果静态解析不成功,再采用动态解析的方法。可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
l 动态解析有专用的域名解析服务器,负责接受客户提出的域名解析请求。服务器首先在本机数据库内部解析,如果判断不属于本域范围之内,就将请求交给上一级的域名解析服务器,直到完成解析,解析的结果或者为IP地址,或者域名不存在,并将解析的结果反馈给客户机。
l 静态解析即手动建立域名和IP地址之间的对应关系。当客户机需要域名所对应的IP地址,即到静态域名解析表中去查找指定的域名,然后获得所对应的IP地址。
静态域名解析是通过静态域名解析表进行的,静态域名解析表类似于Windows 9X操作系统之下的hosts文件,路由器可以通过查询此表而获取常见域名的IP地址,同时用户可以使用便于记忆的主机名而不是抽象的IP地址来访问相应的设备。
请在系统视图下进行下列操作。
|
操作 |
命令 |
|
配置主机名和对应IP地址 |
ip host hostname ip-address [ port ] |
|
取消主机名和对应的IP地址 |
undo ip host hostname [ ip-address ] |
每个主机名只能对应一个IP地址和一个端口号,当对同一主机名进行多次配置时,后配置的IP地址生效。
& 说明:
该命令中指定的端口号仅用于反向TELNET功能。
表3-2 域名解析表显示和调试
|
操作 |
命令 |
|
显示静态域名解析表 |
display ip host |
由于Internet协议(IP)地址结构由32位组成不便于记忆(比如点分式表示的202.112.131.109),所以大多数组织采用缩写词或有意义的名字(称为域名,如www.sina.com.cn)来表示地址,而不是使用IP地址。但是,如何让非IP标识的域名映射为IP地址呢?IP地址与其域名之间的映射是依靠解析器及域名服务器来完成的。
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换及电子邮件的选路信息。从应用上来讲,对DNS Server的访问是通过一个地址解析器(Resolver)来完成的。DNS Client主要完成Resolver的功能,它的主要功能是完成IP地址和主机的域名之间的转换。
一般一个DNS系统的工作过程为应用程序首先向DNS Client发出请求,DNS Client收到请求后,首先查询本地数据库,如果发现没有,就向域名服务器发送查询报文,收到响应后再解析域名服务器发回来的响应报文,并根据响应报文的内容决定下一步的操作。
图3-1 DNS系统组成框图
用户程序(User Program)依照自己的需要(需要域名或IP地址)向解析器(Resolver)发出询问,解析器首先查询本地缓冲区(Cache),如果在缓冲区中查到该映射项,则直接回复用户的请求。如果缓冲区中没有,它将根据查询的类型(需要IP地址还是需要域名)组织查询报文,该报文可以采用TCP或UDP格式(本程序中采用UDP),然后根据本机上的DNS配置向缺省的域名服务器发出UDP(或TCP)查询报文(域名服务器的端口号为53),获得服务器的响应后,解析该响应报文并回答用户的请求。
应用程序、解析器和域名服务器以及解析器上的缓冲区关系如上图所示,其中,解析器和缓冲区集成在一起构成DNS Client,它的作用是接受应用程序的DNS咨询,并对其作出应答。一般来说,“应用程序”和“域名解析器”是在同一台主机上,“域名服务器”可以和它们在同一台主机上,也可以在不同的主机上(一般情况下是在不同的主机上)。
DNS Client 的配置包括下面几个配置:
l 启动DNS解析
l 配置DNS服务器的IP地址
l 配置域名后缀搜索列表
其中必须的配置是启动DNS解析与配置DNS服务器的IP地址,如果设备上的接口使用DHCP客户端来分配IP地址,且DHCP服务器下发的给设备的信息中包括了DNS服务器的地址和域后缀搜索列表,那么只需要启动域名解析即可。
要使用DNS Client功能,需要在设备上打开DNS解析的开关,使用下面的命令可以启动/关闭DNS解析。
请在系统视图下进行下面配置。
表3-3 启动/关闭DNS域名解析功能
|
操作 |
命令 |
|
启动DNS域名解析功能 |
dns resolve |
|
关闭DNS域名解析功能 |
undo dns resolve |
缺省情况下,关闭DNS域名解析功能。
要进行DNS域名解析,需要知道域名服务器的地址,这样才能把查询请求报文发送到正确的服务器进行解析,使用下面的命令可以配置/删除DNS服务器的IP地址。
请在系统视图下进行下面配置。
表3-4 配置DNS服务器的IP地址
|
操作 |
命令 |
|
配置DNS服务器的IP地址 |
dns server ip-address |
|
删除DNS服务器的IP地址 |
undo dns server [ ip-address ] |
缺省情况下,未配置DNS服务器的IP地址。
用户在访问一些网站的时候,后缀往往都是相同的。如sina.com.cn、h3c.com.cn、sohu.com.cn等。
为了方便用户使用,可以设定一个domain为com.cn,这样在用户敲入命令“ping sina”的时候,DNS解析时会先查找字符串“sina.com.cn”对应的IP 地址,如果没有得到回应,就发送“sina”进行解析,查找“sina”对应的IP地址。重复使用下面的命令可以配置域后缀搜索列表。
请在系统视图下进行下面配置。
表3-5 配置DNS域搜索后缀
|
操作 |
命令 |
|
配置DNS域搜索后缀 |
dns domain domain-name |
|
删除DNS域搜索后缀 |
undo dns domain [ domain-name ] |
& 说明:
根据RFC1034的规定如果用户输入“ping sina.”,那么将会先查找“sina”对应的IP地址,如果没有回应,则会发送“sina.com.cn”对应的IP地址解析请求报文。
请在任意视图下进行下列操作。
|
操作 |
命令 |
|
查看DNS解析功能是否启动 |
display current-configuration |
|
显示DNS服务器的配置 |
display dns server [dynamic] |
|
显示DNS域后缀搜索列表的配置 |
display dns domain [dynamic] |
|
显示动态的域名缓存的内容 |
display dns dynamic-host |
|
显示DNS解析结果 |
nslookup type { ptr ip-address | a domain-name } |
& 说明:
如果使用dynamic参数,则显示的域名服务器是通过DHCP或者其它方式动态获取到的域名服务器的地址。
在一次成功的域名解析之后,DNS Client会把解析的结果放到缓存中。如果再有相同的域名解析请求,那么DNS Client会首先在缓存中查找,如果没有,再向DNS服务器发送域名解析请求。使用下面的命令可以清空当前缓存中的内容。
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
清空动态的域名缓存的内容 |
reset dns dynamic-host |
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
打开DNS Client调试开关 |
debugging dns |
|
关闭DNS Client调试开关 |
undo debugging dns |
缺省情况下,DNS Client调试开关关闭。
在路由器上使用域名解析功能。路由器的IP地址是10.110.10.1,DNS服务器的IP地址是10.110.66.66。
# 启动DNS 域名解析功能。
[H3C] dns resolve
# 配置DNS 服务器IP地址。
# 配置Serial0/0/0的IP地址。
[H3C] interface serial 0/0/0
[H3C-Serial0/0/0] ip address 10.110.10.1 255.255.255.0
[H3C-Serial0/0/0] quit
# 配置到DNS服务器的静态路由。
[H3C] ip route-static 10.110.66.66 serial 0/0/0
一般情况下域名解析失败的原因有如下几个:
(1) 软件原因
l 域名服务器的IP地址配置错误。
l 设备到域名服务器没有正确的路由
l 没有打开域名解析的开关
(2) 硬件原因
网络连接故障,如网线折断,接口松动。
DNS Proxy是指在作为代理网关的路由器上启动DNS代理功能,这样在局域网内部没有DNS服务器时,局域网内部客户端可以通过网关路由器连接到外部DNS服务器,进行正确的DNS解析后,可以访问Internet。
(1) DNS客户端将DNS请求报文发送给DNS Proxy,此时请求报文的目的地址为DNS Proxy的IP地址;
(2) DNS Proxy收到请求报文后,将报文中的目的地址替换为DNS服务器的IP地址,然后根据已配置的DNS服务器的地址将报文转发给DNS服务器。若在DNS Proxy上配置了多个DNS服务器的地址,则DNS Proxy先向第一个DNS服务器上发送请求,若第一个DNS服务器没有响应,则DNS客户端等待超时后会重新发送DNS请求报文,DNS Proxy收到请求报文后向第二个DNS服务器转发,以此类推,直到DNS服务器发送响应报文为止。
(3) DNS服务器的响应报文返回给DNS Proxy后,DNS Proxy将报文中的源IP地址替换为DNS Proxy的IP地址后转发给DNS客户端。这时,DNS客户端就可以使用DNS解析到的IP地址上网了。
在配置DNS Proxy功能前需要先进行如下配置:
l 在DNS Proxy上配置真实的DNS服务器的地址
l 在PC上指定DNS Server为使能了DNS Proxy的网关的IP地址
l 保证DNS Proxy与DNS Client及DNS服务器网络可达
DNS Proxy功能是在作为网关的路由器上配置的。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动DNS代理功能 |
dns-proxy enable |
必选 |
局域网内没有DNS服务器,要求内部10.1.1.0/24网段的PC可以通过外网的DNS服务器来解析域名。要求:
l 网关路由器支持DNS Proxy;
l 外网DNS服务器IP地址为10.72.66.36/24。
图3-3 DNS Proxy典型配置举例
(1) 配置路由器
# 配置Ethernet 1/0/0的IP地址。
[H3C] interface ethernet 1/0/0
[H3C-Ethernet 1/0/0] ip address 10.1.1.1 255.255.255.0
# 配置NAT服务,使客户端可以通过DNS Proxy访问Internet。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source 10.1.1.0 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface ethernet 1/0/1
[H3C-Ethernet1/0/1] ip address 10.1.2.1 255.255.255.0
[H3C-Ethernet1/0/1] nat outbound 2000
[H3C-Ethernet1/0/1] quit
# 启动DNS Proxy功能。
[H3C] dns-proxy enable
# 配置DNS服务器地址。
[H3C] dns server 10.72.66.36
# 配置路由,保证DNS客户端与服务器路由可达(具体配置略)。
(2) 配置PC
将网关及DNS服务器指定为10.1.1.1。
DDNS(Dynamic Domain Name Service,动态域名服务)是建立静态域名和该域名对应主机的动态IP地址之间的绑定关系。
如图图4-1所示,服务器ServerA提供HTTP服务或者FTP服务,该服务器通过路由器连接到Internet上。当服务器ServerA是通过DHCP获取IP地址,或者该服务器通过PPPoE、PPTP或L2TP连接到Internet上时,该服务器的IP地址就是动态的,在每一次初始化连接的时候该设备的IP地址都可能改变。
因为DNS服务器提供的域名和IP地址的对应关系是静态的,不会随着服务器IP地址的更新而动态更新该对应关系,这样当ServerA的IP地址发生变化时,Internet上的用户就不能通过域名访问到该服务器。
DDNS(动态域名服务)能够建立静态域名和分配给该服务器的动态IP地址之间的绑定关系,Internet上的用户只要知道域名就能够访问服务器了。
图4-1 DDNS应用示意图
DDNS分为如下两个方面:
l DDNS用户侧
提供HTTP服务或者FTP服务的服务器作为DDNS用户侧,当DDNS用户侧的IP地址改变后,用户侧需要通过客户端程序或登录某个HTTP页面,通知DDNS服务提供商该服务器的域名和IP地址的对应关系已经改变。
用户一般使用DDNS服务提供商专门提供的客户端程序或登录某个特定的HTTP页面完成更新请求。更新的过程没有专门的协议,需要根据不同的DDNS服务提供商定制。
l DDNS服务提供商
DDNS服务提供商根据用户的IP地址更新请求,通知DNS服务器更新用户域名对应的IP地址。
H3C路由器实现了DDNS用户侧的需求,支持www.3322.org DDNS服务提供商,当用户的IP地址改变后通知3322.org,3322.org会通知相应的DNS服务器更新用户的域名与IP地址的对应关系。
因为路由器需要访问DDNS服务提供商,需要根据域名www.3322.org 来查找对应的IP地址,所以路由器需要获得DNS解析服务,并且确保在DNS上已经建立了域名与IP地址的对应关系。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
选择不同的DDNS服务商(目前只有3322.org一个服务商),并进入该DDNS服务商配置模式 |
ddns-server 3322.org |
- |
|
配置访问DDNS服务提供商的参数 |
请参见“4.2.3 配置访问DDNS服务提供商的参数” |
必选 |
|
配置访问DDNS服务提供商所要更新的域名 |
ddns domainname name |
必选 |
|
向DDNS服务提供商发送消息,通知IP地址和域名的对应关系已经改变 |
ddns refresh |
必选 |
表4-2 配置访问DDNS服务提供商的参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
选择不同的DDNS服务商(目前只有3322.org一个服务商),并进入该DDNS服务商配置模式 |
ddns-server 3322.org |
- |
|
配置访问DDNS服务提供商所使用的用户名 |
ddns username name |
必选 |
|
配置访问DDNS服务提供商使用的密码 |
ddns password password |
必选 |
|
配置访问DDNS服务提供商所使用的接口 |
ddns source-interface interface-type interface-number |
必选 |
Server A通过Router A上提供的DHCP服务动态获得IP地址。ServerA为Internet上的用户提供WWW服务,使用的域名为www.abc123.com,Internet上的用户通过该域名进行访问。
图4-2 DDNS典型应用组网图
# 进入系统视图。
<H3C> system-view
# 选择不同的DDNS服务商(目前只有3322.org一个服务商),并进入该DDNS服务商配置模式。
[H3C] ddns-server 3322.org
# 配置访问DDNS服务提供商所使用的用户名为user。
[H3C-ddns-3322.org] ddns username user
# 配置访问DDNS服务提供商使用的密码为pass。
[H3C-ddns-3322.org] ddns password pass
# 配置访问DDNS服务提供商所使用的接口为Ethernet 1/0/0。
[H3C-ddns-3322.org] ddns source-interface ethernet 1/0/0
# 配置访问DDNS服务提供商所要更新的域名为www.abc123.com。
[H3C-ddns-3322.org] ddns domainname www.abc123.com
# 向DDNS服务提供商发送消息,通知IP地址和域名的对应关系已经改变。
[H3C-ddns-3322.org] ddns refresh
URPF(Unicast Reverse Path Forwarding,单播反向路径查找),主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
一般的URPF检查有严格(Strict)型和 松散(Loose)型两种,此外,还可以支持ACL与缺省路由的检查。
(1) 如果找到的转发项是缺省路由,则必须配置了allow-default,报文才能通过,否则进入ACL检查流程。
(2) 如果找到的转发项不是缺省路由,则通过URPF检查,报文通过。
(1) 对于strict型检查,直接进入ACL检查流程。
(2) 对于loose型检查,处理过程同2. 。
(1) 如果配置了ACL,则进行ACL过滤:
l ACL允许通过,则报文可以通过
l ACL不允许通过,则丢弃报文
(2) 如果没有配置ACL,则直接丢弃报文。
& 说明:
URPF不支持快转,即在已经建立快转表的情况下,URPF检查结果不生效,反向检查失败的报文仍然能够进行转发。
请在接口视图下进行下列配置。
表5-1 使能或关闭URPF检查
|
操作 |
命令 |
|
使能URPF检查 |
ip urpf { strict | loose } [ allow-default-route ] [ acl acl-number ] |
|
关闭URPF检查 |
undo ip urpf |
缺省为关闭URPF检查。
请在用户视图下进行下列配置。
表5-2 显示URPF的丢包情况
|
操作 |
命令 |
|
打开URPF的丢包调试开关 |
debugging ip urpf discards [ interface interface-type interface-num ] |
|
关闭URPF的丢包调试开关 |
undo debugging ip urpf discards [ interface interface-type interface-num ] |
IP Accounting特性实现了对进出路由器的IP报文进行统计的功能,统计对象包括路由器自身发送和正常转发的IP报文,也包括被防火墙拒绝的IP报文,统计信息包括源IP地址和目的IP地址、协议号、报文个数和字节总数。根据IP报文是否通过防火墙、是否匹配用户配置的规则,将统计结果进行分类存储和显示。
用户配置的规则由一个IP地址和相应的掩码组成,规则表中记录的是IP地址和其掩码相“与”的结果,即网段的地址。IP报文的源IP地址或目的IP地址中只要有一个匹配规则中的网段地址,就将该报文信息记录在“符合规则的合法报文(合法报文为未被防火墙过滤的报文)统计表(interior hash table)”中,否则就记录在“不符合规则的合法报文统计表(exterior hash table)”中;如果该IP报文在进出路由器接口时被此接口上配置的防火墙过滤掉了,那么就将其信息记录在“被防火墙拒绝的非法报文统计表(firewall-denied hash table)”中。
配置IP Accounting特性,首先需要配置启动该功能,然后在接口上使能统计报文的类型,这样,路由器就开始统计经过自身的IP报文了。
需要使能统计报文的接口上已经正确配置了IP地址和掩码以及相应的防火墙。
IP Accounting配置过程如下:
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动IP Count报文统计功能 |
ip count enable |
必选 |
|
设置老化时间 |
ip count timeout minutes |
可选 缺省720分钟 |
|
设置匹配规则的统计表的表长 |
ip count interior-threshold number |
可选 缺省512 |
|
设置不匹配规则的统计表的表长 |
ip count exterior-threshold number |
可选 缺省为0 |
|
添加匹配规则 |
ip count rule ip-address net-mask |
必选 如果不配置规则,则认为任何报文都是不匹配规则的 |
|
进入接口视图 |
interface interface-type interface-number |
必选 |
|
配置接口统计报文的类型 |
ip count [ firewall-denied ] { inbound-packets | outbound-packets } |
必选 |
|
显示配置的规则信息 |
display ip count rule |
display命令可以在任意视图下执行 |
|
显示统计信息 |
display ip count { inbound-packets | outbound-packets } { interior | exterior | firewall-denied } |
display命令可以在任意视图下执行 |
注意:
l 在接口配置了统计功能而不配置任何规则的情况下,若要统计经过路由器的IP报文信息,则必须设置“不符合规则的IP报文统计信息表(exterior)”的表长为一大于零的整数。例如,如果输入命令ip count exterior-threshold 50,则可以统计至多50个不同的源地址和目的地址组合的IP报文信息。
l 只有源地址和目的地址都相同的IP报文才统计在一个表项里面,对于合法的IP报文,这个表项下面再根据不同协议号进行细致的区分和存储,而对于非法的IP报文(即被防火墙拒绝的IP报文),则不再进行细致区分,忽略其协议信息,只记录报文个数和字节总数。
l IP Accounting配置规则时最多可以配置32条。
路由器分别和两台主机通过以太网口连接起来,如下图所示,要求统计PC1到PC2的IP报文信息并且统计信息每24小时老化一次。
# 启动 IP Accounting 统计功能。
[H3C] ip count enable
# 进入系统视图,配置一条匹配规则。
[H3C] ip count rule 1.1.1.1 24
# 配置老化时间为1440分钟(24小时)。
[H3C] ip count timeout 1440
# 配置符合规则的统计信息表长为100。
[H3C] ip count interior-threshold 100
# 配置不符合规则的统计信息表长为20。
[H3C] ip count exterior-threshold 20
# 进入以太网口0/0/0,配置IP地址,配置接口标志位,以统计进出的IP报文信息。
[H3C] interface ethernet 0/0/0
[H3C-Ethernet0/0/0] ip address 1.1.1.2 24
[H3C-Ethernet0/0/0] ip count inbound-packets
[H3C-Ethernet0/0/0] ip count outbound-packets
[H3C-Ethernet0/0/0] quit
# 进入以太网口0/0/1,配置IP地址。
[H3C] interface ethernet 0/0/1
[H3C-Ethernet0/0/1] ip address 2.2.2.1 24
# 在PC1和PC2分别配置到对方的静态路由,并在PC1上执行ping PC2的操作。
# 显示统计信息。
[H3C] display ip count inbound-packets interior
Inbound packets information in interior list:
SrcIP DstIP Protocol Pkts Bytes
1.1.1.1 2.2.2.2 ICMP 4 240
[H3C] display ip count outbound-packets interior
Outbound packets information in interior list:
SrcIP DstIP Protocol Pkts Bytes
2.2.2.2 1.1.1.1 ICMP 4 240
& 说明:
可以使用路由器等其他网络设备来代替两台主机。
通过display命令对IP Accounting配置进行显示,display命令可以在任意视图下执行。
表6-2 IP Accounting配置显示和维护
|
配置 |
命令 |
说明 |
|
显示配置的信息 |
display this |
该命令在系统视图和接口视图执行,可以看到用户配置的命令 |
|
显示用户配置的规则 |
display ip count rule |
该命令可以在任意视图执行 |
|
显示统计信息 |
display ip count { inbound-packets | outbound-packets } { interior | exterior | firewall-denied } |
该命令可以在任意视 |
