05-网络协议操作(NE40).doc

Quidway NetEngine40系列通用交换路由器 操作手册 第一分册（网络协议）目 录目 录第1章 IP地址配置1-11.1 IP地址介绍1-11.2 IP地址的配置1-41.2.1 配置主机名和对应的IP地址1-41.2.2 配置接口IP地址1-51.3 IP地址显示和调试1-71.4 IP地址配置举例1-71.5 IP地址配置排错1-7第2章 IP性能配置2-12.1 配置最大传输单元（MTU）2-12.2 配置TCP属性2-12.3 IP性能显示和调试2-22.4 IP性能配置排错2-2第3章 ARP配置3-13.1 ARP协议简介3-13.2 VLAN的ARP配置3-13.2.1 配置VLAN的静态ARP映射项3-13.2.2 配置VLAN的ARP映射项老化时间3-23.2.3 配置VLAN的仿冒网关检测功能3-23.2.4 清除VLAN的ARP映射项3-33.3 普通ARP配置3-33.3.1 配置普通的静态ARP映射项3-33.3.2 配置普通的ARP映射项老化时间3-43.3.3 清除普通的ARP映射项3-43.4 ARP配置的显示和调试3-43.5 ARP配置示例3-53.6 ARP配置排错3-5第4章 DHCP Relay配置4-14.1 DHCP Relay简介4-14.2 DHCP Relay配置4-24.2.1 配置DHCP服务器组对应的DHCP Server的IP地址4-24.2.2 配置DHCP服务器组服务的VLAN范围4-24.2.3 删除整个DHCP服务器组的所有配置4-34.2.4 配置是否主动释放不在线用户申请的IP地址4-34.2.5 清除DHCP Relay的报文统计信息4-44.3 DHCP Relay显示和调试4-44.4 DHCP Relay配置示例4-44.5 DHCP Relay配置排错4-6第5章 DHCP Server配置5-15.1 NE40内置DHCP Server简介5-15.2 VLAN地址池配置5-15.2.1 将VLAN用户地址分配方式设置为内部分配5-15.2.2 配置某个VLAN的地址分配范围5-25.2.3 配置DNS服务器和WINS服务器地址5-35.2.4 对DHCP Server的统计信息的操作5-45.3 内置DHCP Server显示和调试5-45.4 内置DHCP Server配置示例5-55.5 配置排错5-65.6 全局地址池配置5-65.6.1 配置全局地址池的地址范围5-65.6.2 设置地址池的路由IP选项5-75.6.3 配置DNS服务器和WINS服务器5-85.7 全局地址池显示和调试5-85.8 全局地址池配置示例5-95.9 全局地址池配置排错5-10第6章 IP组播策略路由配置6-16.1 IP组播策略路由简介6-16.1.1 IP组播策略路由概述6-16.1.2 与IP组播策略路由相关的几个概念6-16.1.3 应用IP组播策略路由后的报文转发过程6-26.2 IP组播策略路由配置6-26.2.1 定义route-policy6-26.2.2 定义route-policy的if-match子句6-36.2.3 定义route-policy的apply子句6-36.2.4 在接口上使能IP组播策略路由6-46.3 IP组播策略路由显示和调试6-4iiQuidway NetEngine40系列通用交换路由器 操作手册 第一分册（网络协议）第1章 IP地址配置第1章 IP地址配置1.1 IP地址介绍在因特网上，每个主机系统必须具有地址，才能进行通信的定位。所谓IP地址，是指分配给连接在Internet上的主机接口的一个32位比特地址。1. IP地址结构IP地址由下列三段组成：类别段，又称类别比特，用来区分IP地址的类型网络号码段（net-id）主机号码段（host-id）当前将IP地址分为五类，下图是一个示意图。其中D类地址是一种组播地址，E类地址主要是留给Internet体系结构委员会IAB(Internet Architecture Board)使用。IP地址的结构使我们可以在Internet上方便地进行寻址。图1-1 五类IP地址IP地址由因特网网络信息中心NIC（Network Information Center）进行分配，目的是为了保证它们的全球唯一性。IP地址通常是采用以点隔开的4个十进制数的形式表示的，每个数代表地址中的一个8位二进制数。从1985年起，为了使IP地址的使用更加灵活，只分配IP地址的网络号码net-id，而后面的主机号码host-id则是受本单位控制。即某个单位申请到IP地址时，实际上只是拿到了一个网络号码net-id，具体的各个主机号码host-id则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号码即可。网络内主机编号的唯一性与网络编号的唯一性结合到一起，就确保了主机地址的全球唯一性。2. 子网划分、超网化及CIDR传统的A、B、C类地址分配方式存在着不足如果某个网络只有几个主机，将会造成地址空间的浪费，同时也让需要更多地址空间的大型网络面临着地址的匮乏。为解决这个问题，引入了子网划分技术。在申请到网络号码 net-id后，当一个单位的主机很多而且地理分布比较复杂时，可以依据主机分布及网络拓扑结构的具体情况，将单位内部的主机号码用掩码再进一步划分为多个子网。其中掩码由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码和子网号码字段，而“0”对应于主机号码字段，通常将掩码中一串连续的“1”的个数称为掩码长度。图1-2为一个B类IP地址划分子网情况。图1-2 IP地址子网划分按规定，主机位不能全为1或0。举例来说，一个B类IP地址可以容纳65534个主机号码。划分出6bit长的子网字段后，最多可有64个子网，每个子网有10bit的主机号码，即每个子网最多可有1022个主机号码（去掉全1和全0的主机号码）。早期的子网划分，掩码是定长的，称为定长子网掩码划分规则（FLSM）。随着子网划分技术的发展，出现了可变长子网掩码划分技术（VLSM）。VLSM可以将特定的子网用更长的掩码再划分子网，更长的子网掩码将产生更多的子网，但每个子网可容纳的主机数更少。只要允许，子网划分操作可以多次进行。VLSM提高了子网划分的灵活性，更能适应单位内部复杂的网络拓扑情况。与VLSM同时出现的是超网化（Supernetting）编址技术，它是子网划分的相反过程。如果多个子网的网络号与其掩码相“与”，所得的值的前缀相同，那么，超网化编址可以用一个最长前缀地址（网络号/掩码）代表这几个子网。例如：172.16.60.0/24、172.16.61.0/24、172.16.62.0/24可以用172.16.60/22表示。超网编址技术用于路由汇总：一个划分了众多子网的网络区域在通过边界路由器向外界通告路由时，只通告超网前缀这样就减少了路由更新报文的大小，并能减小核心层路由表的大小及其占用的内存。当分组从外部进入该网络区域时，再依据最长（地址前缀）匹配原则进行选路，进入相应子网。这种支持子网和超网编址的路由发布和寻径技术，就是无类地址域间路由（CIDR）。不象电话号码，IP地址其结构本身不包含任何物理位置信息。在规划网络时，可以通过设计一个多级分层、可扩展的拓扑结构及制定一个适当的地址分配策略，让这些IP址能蕴涵一定的拓扑位置信息。利用子网、超网和CIDR技术，一个好的网络设计可以做到：子网的划分纯属本单位内部的事，在本单位以外是看不见子网划分的操作从外部看，这个单位只有一个网络号码。只有当外面的报文进入到本单位范围后，本单位的路由器才根据子网号码再进行选路，找到目的主机。3. 特殊用途地址在使用IP地址时，要知道一些IP地址的特殊用途。特殊地址“0.0.0.0”表示“本网络的本主机”，它只用作一个源地址使用，如在使用DHCP机制申请分配地址的场合，作为主机启动时的初始地址。“255.255.255.255”是“有限广播”（limited broadcast）地址，它只作为目的地址使用，用来向本地局域网上的所有主机发送分组。前面讲过，网络的主机位为全“1”不能用作主机地址，它有特殊用途。主机位为全“1”的地址表示“直接广播”（directed broadcast）地址，用来向相应的网络的所有主机进行广播。A类网络127.x.x.x 地址用作本地环路（loopback）地址，发往该地址的分组不会传出主机。4. 保留地址以下IP地址范围保留作为内部使用，不可在因特网上公开使用。10.0.0.010.255.255.255172.16.0.0172.31.255.255192.168.0.0192.168.255.2555. IP地址分类及范围表1-1 IP地址分类及范围地址类别地址或范围状态A0.0.0.01.0.0.0126.0.0.0 127.0.0.0保留可用保留B128.0.0.0191.254.0.0191.255.0.0可用保留C192.0.0.0192.0.1.0223.255.254.0223.255.255.0保留可用保留D224.0.0.0239.255.255.255组播地址E240.0.0.0255.255.255.254255.255.255.255保留用作广播地址6. IP地址解析因特网构建在LAN、FDDI、X.25、ATM等各种不同类型的底层网络上，底层网络将IP分组封装起来进行传输。在分组的转发过程中，路由器需要解决怎样通过底层网络（点到点的连接除外）到达IP的“下一跳”的问题，即需要进行网络层和链路层间的地址解析。对IP地址的解析，可以静态配置，也可以通过针对某链路层协议设计的地址解析机制来动态地完成，如以太网环境中的地址解析协议（Address Resolution Protocol）。1.2 IP地址的配置1.2.1 配置主机名和对应的IP地址请在系统视图下配置主机名和对应的IP地址。表1-2 配置接口主IP地址操作命令配置主机名和对应的IP地址ip host hostname ip-address取消主机名和对应的IP地址undo ip host hostname ip-address1.2.2 配置接口IP地址路由器的每个接口可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址。为了组织路由的方便，要求一台路由器上的不同接口的IP地址不能在同一网段。1. 配置接口主IP地址一个接口只能有一个主IP地址。表1-3 配置接口主IP地址操作命令配置接口主IP地址ip address ip-address net-mask删除接口的IP地址undo ip address ip-address net-mask 在执行删除接口IP地址命令时，如果后面不写具体IP地址，则删除所有的IP地址。通过掩码来标识IP地址包含的网号，例如：路由器以太网口的IP地址是129.9.30.42，掩码是255.255.0.0，将IP地址与掩码相“与”后，可知路由器以太网接口所在网段的地址为129.9.0.0。2. 配置接口从IP地址除主IP地址外，一个接口上还可配置最多9个从IP地址。配置从IP地址主要目的是使同一接口能位于不同的子网上，从而产生以同一接口为输出端口的不同网络的路由，达到同一接口与多个子网相连的目的。在只有删除了所有从地址后才允许删除主地址，在有从地址时，不能删除主地址。而且，如果需删除从地址时，必须加上后缀sub。需要注意的是：同一接口的IP从地址之间，或同一接口的IP从地址和主地址之间可以工作在同一网段上。表1-4 配置接口从IP地址操作命令配置接口从IP地址ip address ip-address net-mask sub删除接口从IP地址undo ip address ip-address net-mask sub若该接口上原来未配主IP地址，用该命令配置的IP地址将自动成为主IP地址。3. 设置接口IP地址可协商属性当接口封装PPP且该接口还未配置IP地址时，可通过下面的命令将该接口IP地址设置为可协商属性，使本接口接受由PPP协议协商产生的由对端分配的IP地址。该配置主要用于在通过ISP访问Internet时，得到由ISP分配的IP地址。表1-5 设置接口IP地址可协商属性操作命令设置接口IP地址可协商属性ip address ppp-negotiate取消接口IP地址可协商属性undo ip address ppp-negotiate配置为对端接口分配IP地址remote address ip-address | pool pool-number 取消为对端接口分配IP地址undo remote address有关地址池pool的配置，请参考安全部分的命令。需要注意以下几个问题：l 因PPP支持IP地址的协商，所以只有当接口封装了PPP时，才能设置接口IP地址的协商，当PPP协议down时，协商产生的IP地址将被删除。l 若接口原来配有地址，在配置接口IP地址协商后，原IP地址将被删除。l 配置接口IP地址协商后，不需再给该接口配IP地址，IP地址由协商获得。l 配置接口IP地址协商后，再次配置该接口协商，原协商产生的IP地址将被删除，接口只有再次通过PPP协商，才能获得IP地址。l 在协商地址被删除后，接口将处于无地址状态。1.3 IP地址显示和调试在完成上述配置后，在所有视图下执行display命令可以显示IP地址配置后的运行情况，通过查看显示信息验证配置的效果。表1-6 IP地址显示和调试操作命令查看网络所有主机和对应的IP地址display ip host显示各接口的配置状况display ip interface interface-type interface-num 1.4 IP地址配置举例为路由器接口POS1/0/0配置IP地址，要求主IP地址为129.2.2.1，从地址为129.1.3.1。Quidway interface pos1/0/0Quidway-Pos1/0/0 ip address 129.2.2.1 255.255.255.0Quidway-Pos1/0/0 ip address 129.1.3.1 255.255.255.0 sub1.5 IP地址配置排错路由器是网络互连设备，因而在给接口配置IP地址时，我们必须明白组网需求和子网的划分。一般应遵循如下原则：路由器以太网口主IP地址与以太网口所连的局域网在同一网段。广域网链接两端的路由器IP地址在同一网段。故障现象：从路由器ping局域网中某一主机不通。故障排除：首先检查路由器以太网口和局域网中主机的IP地址配置，是否位于同一网段。如果配置正确，对应以太网接口可以直接察看接口所在接口板上的ARP表，看看接口对应的ARP表项是否存在；对应POS接口可以看看两端封装的链路层协议是否相同，是否同为PPP或HDLC。1-7Quidway NetEngine40系列通用交换路由器 操作手册 第一分册（网络协议）第2章 IP性能配置第2章 IP性能配置2.1 配置最大传输单元（MTU）MTU是Maximum Transmission Unit（最大传输单元）的缩写，它决定了网络链路所能承载的报文的最大长度。在快速、可靠的网络上传送分组，可以适当增大MTU值以提高效率。请在接口视图下进行下列配置。表2-1 配置接口最大传输单元操作命令配置接口最大传输单元mtu mtu-size每种类型的接口（如POS、ATM）都有推荐的MTU值，MTU承载的IP报文长度是链路层长度，具体见接口模块中的介绍。2.2 配置TCP属性可以配置的TCP属性包括：l syn定时器：当发送syn报文时，TCP启动syn定时器，若syn超时前未收到回应报文，则TCP连接将被终止。syn定时器的超时时间取值范围为2600秒，缺省值为75秒。l fin定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动fin定时器，若fin定时器超时前仍未收到FIN报文，则TCP连接被终止。fin的取值范围为763600秒，fin的缺省值为675秒。l 面向连接Socket的接收和发送缓冲区的大小：范围为1K32K字节，缺省值为4K字节。请在系统视图下进行下列配置。表2-2 配置TCP属性操作命令配置TCP连接建立syn定时器时间tcp timer syn-timeout time-value配置TCP的fin定时器时间tcp timer fin-timeout time-value配置TCP的Socket接收和发送缓冲区的大小tcp window time-value2.3 IP性能显示和调试在完成上述配置后，在所有视图下执行display命令可以显示IP性能配置后的运行情况，通过查看显示信息验证配置的效果。在用户视图下，执行debugging命令可以对IP性能进行调试。表2-3 IP性能显示和调试操作命令显示IP流量统计信息display ip statistics显示TCP连接状态display tcp status显示TCP流量统计信息display tcp statistics打开TCP调试信息开关debugging tcp packet打开TCP会话调试信息开关debugging tcp event打开UDP调试信息开关debugging udp packet详细信息请参见命令手册。2.4 IP性能配置排错故障现象：IP运转正常，但TCP和UDP协议不能正常工作。（TCP和UDP协议是建立在IP协议之上）故障排除：打开相应的调试开关，查看调试信息。l 用debugging udp packet命令打开UDP调试开关，跟踪UDP的数据包。当路由器发送或接收到UDP数据包，就可以实时显示出数据报的内容格式。根据数据报的内容，来发现问题之所在。以下为UDP数据报的格式：UDP output packet:Source IP address:202.38.160.1Source port:1024Destination IP Address 202.38.160.1Destination port: 4296l 用debugging tcp packet命令打开TCP调试开关，跟踪TCP的数据包。TCP可以有两种数据报的格式可供选择。一种是调试跟踪所有以本设备为一端的TCP连接的TCP报文收发。操作如下：Quidway info-center enableQuidway quit debugging tcp packet即可实时查看接收或发送的TCP报文，其具体报文格式如下：TCP output packet:Source IP address:202.38.160.1Source port:1024Destination IP Address 202.38.160.1Destination port: 4296Sequence number :4185089Ack number: 0Flag :SYNPacket length :60Data offset: 10另外一种是调试跟踪其中SYN、FIN或RST置位的报文。操作如下：Quidway info-center enableQuidway quit debugging tcp event即可实时查看接收或发送的TCP报文，其具体报文格式同上。2-3Quidway NetEngine40系列通用交换路由器 操作手册 第一分册（网络协议）第3章 ARP配置第3章 ARP配置3.1 ARP协议简介数据链路如以太网或令牌环网都有自己的寻址机制（常为48比特地址），这是使用数据链路的任何网络层都必须遵从的原则。例如当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48比特的以太网地址来确定目的接口的，设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射：32比特的IP地址和数据链路层使用的任何类型的地址之间的对应关系。RFC826 Plummer1982 是ARP规范描述文档。ARP（Address Resolution Protocol）地址解析协议，实现从逻辑Internet地址到对应的物理硬件地址需要进行的翻译，为IP地址到对应的硬件地址之间提供动态映射。NE40系列通用交换路由器的ARP可分为用于VLAN的ARP配置和普通的ARP配置。3.2 VLAN的ARP配置VLAN的ARP配置包括：l 配置VLAN的静态ARP映射项l 配置VLAN的ARP表项老化时间l 配置VLAN的仿冒网关检测功能l 清除VLAN的ARP映射项3.2.1 配置VLAN的静态ARP映射项当配置了VLAN时，有时需要为报文指定它们应该通过哪个以太网接口、从哪个VLAN到达目的地，这就是用于VLAN的静态ARP映射项。请在系统视图下进行下列操作。表3-1 配置VLAN的静态ARP映射项操作命令增加一条VLAN的静态ARP映射项arp static bridge ip-address mac-address interface ethernet | gigabitethernet interface-num vlan vlan-id删除一条VLAN的ARP映射项undo arp static bridge ip-address vlan vlanid 当没有配置VLAN时，不能使用arp static bridge命令配置静态VLAN的ARP映射项。3.2.2 配置VLAN的ARP映射项老化时间请在系统视图下进行下列操作。表3-2 设定ARP映射项老化时间操作命令配置VLAN的ARP表项老化时间arp bridge timer aging-time seconds恢复VLAN的ARP表项老化时间的缺省设置undo arp bridge timer aging-timeARP老化时间的配置范围为410429496720，单位为秒。系统默认的ARP表项老化时间为1200秒。3.2.3 配置VLAN的仿冒网关检测功能为防止其它设备仿冒网关，可以设置系统定期广播网关地址的ARP请求，以检测是否有仿冒网关存在。请在系统视图下进行下列操作。表3-3 打开/关闭仿冒网关检测功能操作命令打开仿冒网关检测功能arp bridge anti-spoof vlan vlan-id 关闭仿冒网关检测功能undo arp bridge anti-spoof缺省情况下，VLAN的仿冒网关检测功能是关闭的。3.2.4 清除VLAN的ARP映射项如果需要重新建立VLAN的ARP映射项，可以进行此操作。在执行命令的过程中，可选择是清除静态映射项还是某个单板的动态映射项。请在系统视图下进行下列配置。表3-4 清除VLAN的ARP映射项操作命令清除VLAN的ARP映射项reset arp bridge static | slotid dynamic 3.3 普通ARP配置普通ARP配置包括：l 配置普通的静态ARP映射项l 配置普通的ARP映射项老化时间l 清除普通的ARP映射项3.3.1 配置普通的静态ARP映射项一般情况下，网络设备的IP地址和以太网MAC地址间的映射通过ARP动态建立。但在一些特殊情况下，例如，为过滤掉一些非法IP地址而把这些地址绑定为不存在的MAC地址，此时就需要用户手工配置，称为静态ARP映射项。请在系统视图下进行下列配置。表3-5 配置静态ARP映射项操作命令添加静态ARP映射项arp static router ip-address mac-address删除静态ARP映射项undo arp static router ip-address静态ARP映射项在路由器正常工作时间一直有效，而动态ARP映射项的有效时间为20分钟。3.3.2 配置普通的ARP映射项老化时间请在系统视图下进行下列操作。表3-6 设定ARP映射项老化时间操作命令配置普通的ARP表项老化时间arp router timer aging-time seconds恢复普通的ARP表项老化时间的缺省设置undo arp router timer aging-timeARP老化时间的配置范围为303600，单位为秒。系统默认的ARP表项老化时间为1200秒。3.3.3 清除普通的ARP映射项请在以太网接口视图下进行下列配置。表3-7 清除ARP映射项操作命令清除ARP映射项cleararpcache上述命令只清除接口所在单板的ARP映射项。3.4 ARP配置的显示和调试在完成上述配置后，在所有视图下执行display命令可以显示ARP配置后的运行情况，通过查看显示信息验证配置的效果。在用户视图下，执行debugging命令可以对ARP进行调试。表3-8 ARP的监控与维护操作命令查看VLAN的ARP表项display arp bridge slot-number static | dynamic | all 查看VLAN中指定IP地址的ARP表项display arp bridge ip-address vlan vlanid 查看VLAN的ARP表项老化时间display arp bridge timer aging-time查看VLAN仿冒网关检测结果display arp bridge anti-spoof all | vlan vlanid 查看接口的VLAN相关ARP表项display arp bridge interface ethernet | gigabitethernet interfacenum查看某个VLAN的ARP表项display arp bridge vlan vlanid查看VLAN的ARP表项统计信息display arp bridge summary查看普通ARP映射表display arp router slot slotnumber static | dynamic | all 查看普通ARP映射项老化时间display arp router timer aging-time打开ARP调试信息开关debug arp packet关闭ARP调试信息开关undo debug arp packet3.5 ARP配置示例1. 配置需求：在VLAN 8所在以太网端口ethernet2/0/3上增加一条静态ARP表项，并将所有ARP表项的老化时间设置为500秒。清除指定槽位的动态ARP表项。2. 操作过程：# 向ARP表中添加一条静态ARP表项Quidway arp static bridge 1.2.3.4 9-9-9 interface ethernet 2/0/3 vlan 8# 配置ARP表项老化时间为500秒Quidway arp bridge timer aging-time 500# 清除3号槽动态ARP表项Quidway reset arp bridge dynamic 33.6 ARP配置排错在配置静态ARP表项时，如果出现“The specified VLAN is not configured.”的提示符，请在接口上配置VLAN后再增加静态表项，因为VLAN没有配置时，是不允许配置静态表项的。在配置ARP静态表项过程中，以下几种情况下是不允许配置静态表项的：l 指定的IP地址与VLAN接口IP地址不匹配提示信息：The specified IP does not match VLAN interface.l 指定IP地址是VLAN接口IP地址提示信息：The specified IP is configured as VLAN interface.完成配置操作后，可用display arp命令查看操作结果。 display arp bridge IpAddress Mac_Address Type Interface10.118.16.52 0006.5b24.7b37 Static Ethernet10/0/310.118.16.24 0006.5b24.7b07 Dynamic Ethernet10/0/010.118.16.119 0006.5b24.cb21 Dynamic Ethernet2/0/110.118.16.111 0006.5b24.cb1d Dynamic Ethernet10/0/010.118.39.40 00b0.d0bc.aefb Dynamic Ethernet10/0/110.118.39.59 0002.557c.3467 Dynamic Ethernet10/0/210.118.39.43 00b0.d09c.e8df Dynamic Ethernet10/0/210.118.16.168 0001.e636.f3a8 Dynamic Ethernet2/0/04-7Quidway NetEngine40系列通用交换路由器 操作手册 第一分册（网络协议）第4章 DHCP Relay配置第4章 DHCP Relay配置4.1 DHCP Relay简介DHCP（Dynamic Host Configuration Protocol）即动态主机配置协议，通过DHCP，用户可以动态地获得IP地址，不需要手工配置；而Relay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不同子网的用户可以到同一个DHCP Server申请IP地址，这样便于地址池的管理和维护。NE40可支持配置20个DHCP服务器组，每个服务器组可以配置2个IP地址。DHCP服务器组的设置可以让不同的用户群到不同的DHCP服务器申请IP地址，即可以让某些VLAN到一个服务器组申请IP，另外一些VLAN到另一个服务器组申请IP地址。这样做可以满足不同的需求，为某些特殊用户提供单独的DHCP服务；另外也可以使DHCP服务器遭恶意攻击引起的影响降到最小范围。每组可配置两个IP地址，可以实现DHCP Server的备用，即当一个服务器故障时仍然可以提供正常的申请IP地址的服务。可以按照图4-1进行组网：图4-1 配置DHCP服务器组组网图两个DHCP服务器可以配置相同的地址池，这样即使有一个DHCP服务器故障，所有用户仍然可以分配到IP地址。但是由于DHCP服务器的同步无法保证，这样配置有可能出现一些因为重复分配IP地址引起冲突的提示。这并不影响到地址分配，而且网络在过一段时间会达到一个平衡后，不再有冲突提示；另外，两个DHCP服务器可以按照80/20原则来配置地址池，即将VLAN A的80%的地址配置到Server1，20%的地址配置到Server 2，这样假设Server 1故障，VLAN A的一部分用户仍然可以在Server 2上申请到IP地址。如果这时刚好所有用户都申请地址，会有一些用户申请不到IP地址，但这样就可以避免两个服务器无法同步引起的地址冲突问题。实际使用中，DHCP服务器故障的可能性很少，因此建议采用80/20的配置地址池的方法。4.2 DHCP Relay配置DHCP Relay配置包括：l 配置DHCP服务器组对应的DHCP服务器的IP地址l 配置DHCP服务器组服务的VLAN范围l 删除整个DHCP服务器组的VLAN范围l 配置是否主动释放不在线用户申请的IP地址l 清除DHCP Relay的报文统计信息4.2.1 配置DHCP服务器组对应的DHCP Server的IP地址请在系统视图下进行下列配置。表4-1 配置/删除DHCP Server IP地址操作命令配置DHCP Server IPdhcp-relay server-group group-no server ip-address1 ip-address2 删除DHCP Server IPundo dhcp-relay server-group group-no server ip-address 配置DHCP Server IP地址时，所有的组中不能配置相同的IP地址，如果已配置有两个IP地址，要想重新配置必须先删除原来的配置，才能重新配置。缺省情况下，系统没有设置某个DHCP服务器的IP地址，用户必须指定DHCP服务器地址后才能使用DHCP Relay特性。4.2.2 配置DHCP服务器组服务的VLAN范围请在系统视图下进行下列配置。表4-2 配置/删除DHCP服务器组对应的VLAN操作命令配置DHCP服务器组对应的VLANdhcp-relay server-group group-no vlan vlanid to vlanid &删除DHCP服务器组与VLAN的对应关系undo dhcp-relay server-group group-no vlan vlanid to vlanid &配置VLAN对应到新的DHCP服务器组时，不需要先删除原来的对应关系，只需配置新的对应关系即可；删除的时候，也只需指定VLAN即可，不需要指定对应的DHCP服务器组。缺省情况下，VLAN不对应任何DHCP服务器组。4.2.3 删除整个DHCP服务器组的所有配置请在系统视图下进行下列配置。表4-3 删除DHCP服务器组对应的配置信息操作命令删除DHCP服务器组的所有配置undo dhcp-relay server-group group-no这条命令可以将DHCP服务器组对应的VLAN范围和IP地址删除，把这个组恢复为缺省状态，即默认服务器组不可用。4.2.4 配置是否主动释放不在线用户申请的IP地址请在用户视图下进行下列配置。表4-4 配置是否主动释放不在线用户申请的IP地址的开关操作命令打开主动释放不在线用户的IP地址的开关dhcp-relay auto-release on关闭主动释放不在线用户的IP地址的开关dhcp-relay auto-release off向DHCP Server请求释放IP地址dhcp-relay release serverip clientip mac-address系统缺省状态为不主动释放不在线的用户的地址，即开关状态默认为off。4.2.5 清除DHCP Relay的报文统计信息请在用户视图下进行下列配置。表4-5 清除DHCP Relay的报文统计信息操作命令清除DHCP Relay的报文统计信息reset dhcp-relay statistics | hash 4.3 DHCP Relay显示和调试在完成上述配置后，在所有视图下执行display命令可以显示配置DHCP Relay后的运行情况，通过查看显示信息验证配置的效果。在用户视图下，执行debugging命令可以对DHCP Relay进行调试。表4-6 DHCP Relay的显示和调试命令操作命令显示DHCP Relay处理的报文的统计信息display dhcp-relay statistics显示所有DHCP服务器的地址信息display dhcp-relay server显示所有DHCP服务器组的配置信息display dhcp-relay group显示指定VLAN对应的DHCP服务器组的信息display dhcp-relay server-group vlan vlanid显示所有VLAN收到的DHCP请求报文数信息display dhcp-request-num vlan显示所有port收到的DHCP请求报文数信息display dhcp-request-num port打开DHCP Relay的调试开关debugging dhcp-relay打开监控DHCP Relay处理的所有报文信息的开关debugging dhcp-client mac mac-address 4.4 DHCP Relay配置示例1. 组网需求为了使用DHCP Relay特性，我们需要配置用户对应的VLAN以及所属的DHCP服务器组。图4-8的组网图中NE40在网络中作为DHCP Relay设备，NE40下挂的用户根据不同的VLAN到不同DHCP Server获取IP地址。2. 组网图VLAN2VLAN41.99.255.361.99.255.351.88.255.361.88.255.351.88.255.11.99.255.1VLAN6VLAN100VLAN36VLAN30Internet图4-8 配置使用DHCP Relay组网图3. 配置步骤# 配置NE40。# 配置DHCP服务器组1对应的IP地址。Quidway dhcp-relay server-group 1 server 1.99.255.36 1.99.255.35# 配置DHCP服务器组1服务的VLAN范围为2、4、630。Quidway dhcp-relay server-group 1 vlan 2 4 6 to 30# 配置DHCP服务器组2对应的IP地址。Quidway dhcp-relay server-group 2 server 1.88.255.36 1.88.255.35# 配置DHCP服务器组2服务的VLAN范围为36、100。Quidway dhcp-relay server-group 2 vlan 36 100# 配置VLAN2的对应端口及网关地址。Quidway vlan 2Quidway-vlan2 port ethernet 2/0/0Quidway interface vlanif 2Quidway-Vlanif2 ip address 1.1.2.1 255.255.0.0# 其他VLAN的配置方法与上面相同，不再描述。# DHCP Server也要配置到一个VLAN上，这个VLAN可以是任意的，但是要实现Relay，不要将Server同任何客户端配置到同一个VLAN内，建议专门划出20个VLAN给20个DHCP Server组使用，这里将DHCP服务器组1对应的端口的VLAN配置为4000。Quidway vlan 4000Quidway-vlan4000 port ethernet 2/0/5Quidway interface vlanif 4000Quidway-Vlanif4000 ip address 1.99.255.1 255.255.0.0# 在用户视图下查看配置情况。 display fib display dhcp-relay group display vlan# ping一下DHCP服务器看是否能够连通。ping 1.99.255.36ping 1.99.255.354.5 DHCP Relay配置排错故障现象之一：用户无法动态申请IP地址。故障排除：可以按照如下步骤进行。l 首先使用display dhcp-relay server命令检查是否配置了对应的DHCP Server的IP地址；l 使用display vlan和display fib命令查看是否配置了VLAN以及对应的接口地址；l 然后一定要在控制台ping一下配置的DHCP Server，确定链路是通的；l 若上面两条检查都没有问题，可以使用display dhcp-relay statistics命令来查看接收的报文情况。如果用display