配置指南-配置以太网业务[28页]

《配置指南-配置以太网业务[28页]》由会员分享，可在线阅读，更多相关《配置指南-配置以太网业务[28页]（28页珍藏版）》请在金锄头文库上搜索。

1、最新资料推荐1、 IP地址配置1.1、配置接口的从IP地址ip add 10.1.1.2 255.255.255.0 sub 从地址的好处是在一个VLAN能使用两个网段的地址，这个在网络IP地址切换时可实现无中断切换，在重庆公管中心遇到了这种情况。2、ARP配置21、配置静态ARP1、为了将目的IP 地址不在本网段的报文，穿过本网段的某个网关，使得到该IP 地址的报文能通过该网关进行转发。2、当用户需要过滤掉一些目的IP 地址为非法的报文时，将这些非法的IP 地址绑定到某个不存在的MAC 地址。配置普通静态ARP表项在设备上同时配置静态ARP 和VRRP 时，不能将VLANIF 接口下所配置的

2、VRRP 备份组的虚拟IP 地址作为该静态ARP 表项中的IP 地址，否则会生成错误的主机路由，影响正常转发。arp static ip-address mac-address 配置VLAN内的静态ARP表项arp static ip-address mac-address vid vlan-id interface interface-type interfacenumber 配置VPN实例内的静态ARP表项arp static ip-address mac-address vpn-instance vpn-instance-name2.2、优化动态ARP 步骤1 执行命令system-vi

3、ew，进入系统视图。步骤2 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。步骤3 执行命令arp detect-times detect-times，设置动态ARP 表项的老化探测次数。步骤4 执行命令arp expire-time expire-time，设置动态ARP 表项的老化超时时间。缺省情况下，动态ARP 表项的老化探测次数为3，老化超时时间为1200 秒，即20 分钟。步骤5 执行命令arp detect-mode unicast，设置接口以单播方式发送ARP 老化探测报文。缺省情况下，接口以广播方式发送ARP 老化探测报文。 arp抑制功能

4、系统在同一时间内接收到大量源IP 地址相同的ARP 报文时，需要对ARP 表项进行重复更新。为了维护系统性能，可以启动ARP 抑制功能，系统将对ARP 报文只应答，不更新。arp-suppress enabl配置路由式Proxy arp代理ARP 的功能就是使IP 地址属于同一网段却不属于同一物理网络的设备能够相互通信一个企业的2 个物理网络，属于同一IP 网络的不同子网，中间使用交换机分隔。为了使这两个物理网络实现互通，需要在交换机与物理网络连接的接口上启动Proxy ARP 功能。各子网中的主机IP 地址的网络号应一致，主机上不需要配置缺省网关。什么是代理ARP？代理ARP就是通过使用一个

5、主机(通常为router),来作为指定的设备对另一设备的ARP请求作出应答。这个可以说是一个官方解释了。大家可以用同一个拓扑来验证一下，在这里我们最常使用Router关闭路由功能来模拟成PC完成这个实验（左方PC为路由器模拟，在做此实验前请把前一实验的ARP信息清除，建议重启）：PC上不配置默认网关，此时用PC去ping 192.168.1.2和10.1.1.3。会得到以下ARP表由此可见，PC发出ARP请求10.1.1.3的MAC地址，R2以自己的FastEthernet0/0口地址代理R3去回应PC，告诉PC自己的FastEthernet0/0就是10.1.1.3的MAC地址。结论：有默认

6、网关的的时候PC按默认网关走，没有默认网关的时候路由器通过代理ARP完成通信。到目前为止一切都看起来那么的合理，那么的顺利。这个实验是一些培训班常做的实验之一。其实，错了！问题出在哪里？问题就出在我们是用一台路由器去模拟PC。不管是否关闭路由功能，它始终不是PC，它处理数据的方式与PC也不一样。请大家思考一下，如果是一台PC，在没有默认网关的情况下去ping一个非本网段地址，会出现什么情况？ 在没有默认网关的情况下ping一个非本网段地址，显示目标网络不可达，然后直接丢包，根本不会发出ARP查询。PC在什么时候会发出ARP查询呢？ping一个本网段地址的时候（大家可以抓包来验证一下）。其实就是

7、思科文档的这种情况了：看清楚了，PC-A的IP地址是/16位，PC-D的IP地址是/24位，所以当PC-A去ping PC-D的时候，PC-A认为是ping同一个网段，会发出ARP请求，这个时候ARP请求就到了路由器上了。路由器如果开启了代理ARP功能，会代替PC-D给PC-A回应，告诉PC-A路由器的e0口MAC地址00-00-0c-94-36-ab就是PC-D的MAC地址，完成代理ARP操作，保护了PC-D的MAC地址隐私。proxy ARP有哪些优点?最主要的一个优点就是能够在不影响其他router的路由表的情况下在网络上添加一个新的router,这样使得子网的变化对主机是透明的prox

8、y ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上proxy ARP带来的哪些负面影响?1.增加了某一网段上ARP流量2.主机需要更大的ARP table来处理IP地址到MAC地址的映射3.安全问题,比如ARP欺骗(spoofing)4.不会为不使用ARP来解析地址的网络工作5.不能够概括和推广网络拓扑思科默认开启arp-proxy华为配置int vlan 2arp-proxy enableip add 172.16.23.114 24聚合VLAN内的proxy arp 在聚合vlan 网关下配置 int vlan 2 arp-proxy inner-sub-vlan-prox

9、y enable使能二层拓扑探测功能使能二层拓扑探测功能后，当二层接口状态由Down 变为Up 时，系统更新所有该二层口所属VLAN 对应的ARP 表项。l2-topology detect enable，3、 DHCP配置3.1配置接口工作在全局地址池模式 int vlan 1 ip add 10.1.2.2 24 dhcp seletc global3.2配置全局地址池 ip pool cisco network lease excluded-ip-address gateway-list dns-list3.3 防止IP地址重复分配功能地址探测是通过dhcp server ping 命令

10、实现的，检测是否能在指定时间内得到Ping 应答。如果在最长等待Ping 响应的时间内没有得到应答，则继续发送Ping 报文，直到发送Ping 包数量达到最大值，如果仍然没有收到应答，则认为本网段内没有设备使用该IP 地址，从而确保客户端被分得的IP 地址是唯一的。dhcp server ping 5dhcp server ping timeout 500 (单位是毫秒)3.4 DHCP 数据保存功能将当前的DHCP 用户信息保存到S5700 的存储设备上，当S5700 发生故障时可以从存储设备中及时恢复数据。 dhcp server database enable 执行本命令后，系统将生成l

11、ease.txt 和conflict.txt 两个文件，存放在Flash 的DHCP 文件夹中，分别保存正常的地址租借信息和地址冲突信息dhcp server database write-delay interval配置数据保存时间间隔缺省情况下，未使能DHCP 数据保存到Flash 的功能。如果使能此功能，缺省情况下，每隔7200 秒保存一次当前的DHCP 数据，并覆盖之前的数据文件dhcp server database recover使能DHCP 数据恢复功能后，系统重启时将从Flash 的文件中恢复DHCP 数据。3.5配置接口地址池的地址分配方式int vlan 1 ip add

12、10.1.1.1 24 dhcp select interface dhcp server lease /配置租期 dhcp server excluded-ip-addess dhcp server static-bind ip-address 10.1.1.2 mac-address 2342-2323-3523 dhcp server dns-list3.6配置DHCP中继 1、启用中继服务interface vlan 4 ip address 10.1.1.2 24 dhcp select relay2、指定DHCP服务器，有两种方法，一种是在接口下直接指定，另一种配置DHCP服务器组

13、，之后在接口下绑定 接口下直接指定 int vlan 4 dhcp relay server-ip 10.1.1.1 配置DHCP服务器组 dhcp server group cisco dhcp-server 10.1.1.1 int vlan 1 dhcp relay server-select cisco3.7 配置DHCP/BOOTP客户端 int vlan 3 dhcp client hostname cisco dchp client class-id cisco ip address dhcp-alloc ip address boot-alloc4、 UDP Helper配置网

14、络中的主机有时需要通过发送广播报文来获得网络配置或查询网络中其他设备的名称。但是，当主机与服务器或待查询的设备不在同一个广播域时，主机就无法获得所需要的信息。为解决上述问题，设备提供了UDP Helper 功能。通过该功能可以实现对指定UDP 端口的IP 广播报文进行中继转发，即将指定UDP 端口的广播报文转换为单播报文发送给指定的目的服务器或将一个子网的广播报文转发给另外的子网，起到中继的作用。S5700 在使能UDP Helper 功能后，默认对6 个UDP 端口的广播报文进行中继转发，将这些默认UDP 端口的广播报文单播转发到相应的目的服务器。其他UDP 端口必须要在使能UDP Helper 功能后手动配置。 UDP Helper 功能不支持对DHCP 报文的中继，即中继转发的UDP 端口不能配置为67 和68。S5700EI 和S5700SI 不支持UDP Helper 的功能。如果要中继DHCP 报文，需要使能DHCP Relay 特性。udp-helper port port-number | dns | netbios-ds | netbios-ns | tacacs | tftp |time int vlan 5