01-7 网络协议操作.doc

Tecal NX12操作指南表格目录目 录18 ARP配置18-118.1 ARP简介18-218.2 ARP配置18-218.2.1 手工添加/删除静态ARP映射项18-318.2.2 配置动态ARP老化定时器的时间18-318.3 ARP的显示和调试18-319 访问管理配置19-119.1 访问管理简介19-219.2 访问管理配置19-219.2.1 使能访问管理功能19-319.2.2 配置端口间的二层隔离19-319.2.3 开启/关闭告警开关19-319.3 访问管理显示和调试19-419.4 访问控制配置举例19-420 IP性能配置20-120.1 IP性能配置20-220.2 IP性能显示和调试20-2文档版本 03 (2007-05-25)华为技术有限公司v插图目录图19-1 典型的以太网接入组网图19-2表格目录表18-1 手工添加/删除静态ARP映射项18-3表18-2 动态ARP老化定时器的时间配置18-3表18-3 ARP的显示和调试18-4表19-1 使能/取消访问管理功能19-3表19-2 配置端口间的二层隔离19-3表19-3 开启/关闭访问管理告警开关19-3表19-4 显示访问控制的当前配置信息19-4表20-1 配置TCP属性20-2表20-2 IP性能显示和调试20-2Tecal NX12操作指南20 IP性能配置18 ARP配置关于本章本章描述内容如下表所示。标题内容18.1 ARP简介介绍ARP地址解析的必要性和实现过程。18.2 ARP配置介绍ARP静态和动态配置。18.3 ARP的显示和调试介绍ARP的显示和调试。18.1 ARP简介ARP（Address Resolution Protocol），用于将IP地址解析为MAC地址。ARP地址解析的必要性IP地址不能直接用来进行通信，因为网络设备只能识别MAC地址。IP地址只是主机在网络层中的地址，如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此必须将IP地址解析为MAC地址。ARP地址解析的实现过程以太网上的两台主机需要通信时，双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表，称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射。在主机启动时，ARP映射表为空；当一条动态ARP映射表项规定时间没有使用时，主机将其从ARP映射表中删除掉，以便节省内存空间和ARP映射表的查找时间。假设主机A和主机B在同一个网段，主机A的IP地址为IP_A，B的IP地址为IP_B，主机A要向主机B发送信息。主机A首先查看自己的ARP映射表，确定其中是否包含有IP_B对应的ARP映射表项。如果找到了对应的MAC地址，则主机A直接利用ARP映射表中的MAC地址，对IP数据包进行帧封装，并将数据发送给主机B；如果在ARP映射表中找不到对应的MAC地址，则主机A将该数据包放入ARP发送等待队列，然后创建一个ARP request，并以广播方式在以太网上发送。ARP request数据包中包含有主机B的IP地址，以及主机A的IP地址和MAC地址。由于ARP request数据包以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。主机B首先把ARP request数据包中的请求发起者（即主机A）的IP地址和MAC地址存入自己的ARP映射表中。然后主机B组织ARP响应数据包，在数据包中填入主机B的MAC地址，发送给主机A。这个响应不再以广播形式发送，而是直接发送给主机A。主机A收到响应数据包后，提取出主机B的IP地址及其对应的MAC地址，加入到自己的ARP映射表中，并把放在发送等待队列中的发往主机B的所有数据包都发送出去。一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。18.2 ARP配置ARP映射表既可以动态维护，也可以手工维护。通常将用户手工配置的IP地址到MAC地址的映射，称之为静态ARP。通过相关的手工维护命令，用户可以显示、增加、删除ARP映射表中的映射项。ARP配置包括：l 手工添加/删除静态ARP映射项。l 配置动态ARP老化定时器的时间。18.2.1 手工添加/删除静态ARP映射项请在系统视图下进行下列配置，如表18-1所示。表18-1 手工添加/删除静态ARP映射项操作命令手工添加静态ARP映射项arp static ip-address mac-address vlan-id interface_type interface_num | interface_name 手工删除静态ARP映射项undo arp ip-address缺省情况下，系统ARP映射表缺省为空，由动态ARP协议获取地址映射。l 静态ARP映射项在以太网交换机正常工作时间一直有效，但如果某ARP映射项所对应的VLAN被删除，则该ARP表项也被删除。动态ARP映射项的缺省有效时间为20分钟。l 参数vlan-id必须是用户已经创建好的VLAN的ID，且vlan-id参数后面指定的以太网端口必须属于这个VLAN。18.2.2 配置动态ARP老化定时器的时间为了方便用户灵活配置，系统提供以下命令允许用户指定动态ARP老化定时器的时间，当系统学习到一个动态ARP表项时，它的老化时间点以当前配置的老化时间计算。请在系统视图下进行下列配置，如表18-2所示。表18-2 动态ARP老化定时器的时间配置操作命令配置动态ARP老化定时器的时间arp timer aging aging-time恢复动态ARP老化定时器的时间为缺省值undo arp timer aging缺省情况下，动态ARP老化定时器为20分钟。18.3 ARP的显示和调试在完成上述配置后，在所有视图下执行display命令可以显示配置后ARP的运行情况，如表18-3所示。通过查看显示信息来验证配置的效果。在用户视图下，用户可以执行reset命令清除ARP映射项；执行debugging命令对ARP进行调试。表18-3 ARP的显示和调试操作命令查看ARP映射表display arp static | dynamic | ip-address 查看动态ARP老化定时器的时间display arp timer aging清除ARP映射项reset arp dynamic | static | interface interface_type interface_num | interface_name 打开ARP调试信息开关debugging arp packet关闭ARP调试信息开关undo debugging arp packet文档版本 03 (2007-05-25)华为技术有限公司20-319 访问管理配置关于本章本章描述内容如下表所示。标题内容19.1 访问管理简介介绍一种典型的通过以太网交换机接入外部网络的以太网接入组网方案。19.2 访问管理配置介绍三种访问管理配置。19.3 访问管理显示和调试介绍访问管理显示和调试操作。19.4 访问控制配置举例介绍控制配置操作步骤。19.1 访问管理简介用户通过以太网交换机接入外部网络是一种典型的以太网接入组网方案外部网络与以太网交换机相连，以太网交换机与HUB相连，HUB汇集数量不等的PC。组网示意图如图19-1所示。图19-1 典型的以太网接入组网图当以太网交换机接入的用户数量不多时，从成本和安全方面的综合考虑，分配给不同企业的端口要求属于同一个VLAN，且不同企业之间不能互通。利用以太网交换机提供的端口间二层隔离功能可以实现这些需求。下面将结合图19-1用一个实例来具体说明。由于两个机构的网络设备处在同一个VLAN中，如果不采用有效的隔离措施，机构1内的PC将有可能和机构2中的PC实现互通。通过在以太网交换机的端口上配置二层隔离功能，可以控制从端口1发出的报文不被端口2接收，端口2发出的报文不被端口1接收，从而将端口1与端口2隔离开来，保证了各机构的PC只能与机构内的其他PC正常通信。19.2 访问管理配置访问管理的主要配置包括：l 使能访问管理功能。l 配置端口间的二层隔离。l 开启/关闭访问管理告警开关。19.2.1 使能访问管理功能可以通过下面的命令使能访问管理功能。只有使能访问管理功能，在各端口下配置的控制三层转发的IP地址池和二层隔离端口才会生效。请在系统视图下进行下列配置，如表19-1所示。表19-1 使能/取消访问管理功能操作命令使能访问管理功能am enable关闭访问管理功能undo am enable缺省情况下，访问管理功能处于关闭状态。19.2.2 配置端口间的二层隔离可以通过下面的命令设置端口的二层隔离，以使该端口与某个（或某组）端口间不能进行二层转发。请在以太网端口视图下进行下列配置，如表19-2所示。表19-2 配置端口间的二层隔离操作命令设置端口的二层隔离am isolate interface-list取消对指定端口的二层隔离undo am isolate interface-list缺省情况下，隔离端口池为空，允许该端口与所有端口进行二层转发。19.2.3 开启/关闭告警开关可以通过下面的命令开启访问管理告警功能。请在系统视图下进行下列配置，如表19-3所示。表19-3 开启/关闭访问管理告警开关操作命令开启访问管理告警功能am trap enable关闭访问管理告警功能undo am trap enable缺省情况下，关闭访问控制告警功能。19.3 访问管理显示和调试在完成上述配置后，在所有视图下执行display命令可以显示端口的访问控制的当前配置信息，如表19-4所示。通过查看显示信息来验证配置的效果。表19-4 显示访问控制的当前配置信息操作命令显示当前的端口访问控制配置信息display am interface-list 19.4 访问控制配置举例组网需求机构1连接到以太网交换机的端口1，机构2连接到以太网交换机的端口2。端口1和端口2属于同一个VLAN，机构1和机构2的设备不能互通。组网图如图19-1所示。配置步骤步骤 1 全局开启访问管理功能。Baseam enable步骤 2 设置端口1与端口2二层隔离。Base-GigabitEthernet0/1am isolate gigabitethernet0/2-结束20 IP性能配置关于本章本章描述内容如下表所示。标题内容20.1 IP性能配置介绍IP性能配置操作。20.2 IP性能显示和调试介绍IP性能显示和调试。20.1 IP性能配置IP性能的主要配置是配置TCP属性。可以配置的TCP属性包括：l synwait定时器：当发送SYN报文时，TCP启动synwait定时器，如果synwait超时前未收到回应报文，则TCP连接将被终止。synwait定时器的超时时间取值范围为2600秒，缺省值为75秒。l finwait定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动finwait定时器，如果finwait定时器超时前仍未收到FIN报文，则TCP连接被终止。finwait的取值范围为763600秒，finwait的缺省值为675秒。l 面向连接Socket的接收和发送缓冲区的大小：范围为132K字节，缺省值为4K字节。请在系统视图下进行下列配置，如表20-1所示。表20-1 配置TCP属性操作命令配置TCP连接建立synwait定时器时间tcp timer syn-timeout time-value恢复TCP连接建立synwait定时器时间为缺省值undo tcp timer syn-timeout配置TCP的FIN_WAIT_2定时器时间tcp timer fin-timeout time-value恢复TCP的FIN_WAIT_2定时器时间为缺省值undo tcp timer fin-timeout配置TCP的Socket接收和发送缓冲区的大小tcp window window-size恢复TCP的Socket接收和发送缓冲区的大小为缺省值undo tcp window20.2 IP性能显示和调试在完成上述配置后，在所有视图下执行display命令可以显示配置后IP性能的运行情况，如表20-2所示。通过查看显示信息来验证配置的效果。在用户视图下，用户可以执行reset命令清除IP和TCP的流量统计信息；执行debugging命令对IP性能进行调试。表20-2 IP性能显示和调试操作命令显示TCP连接状态display tcp status显示TCP连接统计数据display tcp statistics查看IP流量统计信息display ip statistics查看系统当前套接口信息display ip socket socktype sock-type task-id socket-id 查看FIB转发信息表项display fib清除IP流量统计信息reset ip statistics清除TCP流量统计信息reset tcp statistics打开IP调试信息开关debugging ip packet acl acl-number 关闭IP调试信息开关undo debugging ip packet打开ICMP调试信息开关debugging ip icmp关闭ICMP调试信息开关undo debugging ip icmp打开UDP连接的调试信息debugging