這一章我們主要介紹怎樣配置IP(InetnetProtocol)協議.IP協議是目前應用最為普及的
網絡層協議,由Internet的不斷發展,TCP/IP協議也成為一種通用標準,並且在許多
平台上,如各種Unix,Windows 95/NT,OS/2,MVS,VM等大型機,小型機和微機的操作系統上均能支持.
在一系列IP相關的配置中,最基本和必需的是指定端口的IP地址,只有配了IP地址之,才能
使各個端口用IP協議與其它主機互相通信.
指定一個網絡接口的IP
地址
一個IP標識了一個定位,使得IP數據包能被送出去.一些IP地址是預留的,它們不能作為主機,掩碼或網絡地址.表 1 列出了IP地址的范圍,可以看出那些能被使用,那些是保留的.
包括以下內容:
表 一: 預留的和有效的IP地址
| 類別 |
地址或范圍 |
|
狀態 |
| A |
0.0.0.0
1.0.0.0 到 126.0.0.0
127.0.0.0 |
|
保 留
有 效
保 留 |
| B |
128.0.0.0
128.1.0.0 到 191.254.0.0
191.255.0.0 |
|
保 留
有 效
保 留 |
| C |
192.0.0.0
192.0.1.0 到 223.255.254.0
223.255.255.0 |
|
保 留
有 效
保 留 |
| D |
224.0.0.0 到 239.255.255.255 |
|
多 目 地 址 |
| E |
240.0.0.0 到 255.255.255.254
255.255.255.255 |
|
保 留
廣 播 |
一個端口有一個主IP地址.指定一個端口的主IP
地址和網絡掩碼,在端口配置模式中完成:
| 功 能 |
命 令 |
| 給一個端口指定一個Primary IP地址 |
ip address ip-address mask |
在一個端口上指定多個IP
地址
通過軟件可以支持多個IP地址在每一個端口上.你可以無限制的指定多個secondary地址,
Secondary IP地址可以用在各種環境下.
在端口配置模式下,指定多個地址:
| 功 能 |
命 令 |
| 給一個端口指定多個Secondary IP地址 |
ip address ip-address mask secondary |
有關secondary IP 地址配置,請看"Creating
a Network from Separates Subnets Example" 的舉例說明.
在串口上指定IP處理
你可能希望在串口(serial)或者是作IP 隧道技術的端口上,不用指定一個IP地址而能在上面跑IP協議.這可以由IP
unnumbered Address來實現.限制如下:
- 串口使用HDLC,PPP,SLIP,LAPB,Frame Relay和tunnel interface打包方式.當串口用FR打包時,必須是點對點的.在X.25和SMDS打包時,不能用此特性.
- 你不能用ping命令來探測端口是否是up,因為這個端口是沒有IP地址的.簡單網管協議(SNMP)遠程監控端口狀態.
在端口配置模式下,實現unnumbered配置:
| 功能 |
命令 |
| 在串口或作IP 隧道技術的端口上不指定額外的IP地址 |
ip unnumbered type number |
在指定unnumbered 端口時,另外的那個端口不能也是unnumbered端口,並且這個端口必須是up的.(也就是說,該端口是工作正常的.)
有關unnumbered IP 地址配置,請看"Serial
Interfaces Configuration Example"
的舉例說明.
地址解析協議
一個設備在IP環境中有兩種地址,一個是本身地址,也就是鏈路層地址(即MAC
地址),另一個是網絡層地址(即IP地址).
例如,以太網的設備互連,Cisco IOS軟件首先要先確定48位的MAC地址.那從IP地址到MAC地址的轉換過程叫做地址解析(address
resolution),而從MAC地址到IP地址的轉換過程就叫反向地址解析(reverse
address resolution).軟件支持三種形式的地址解析: ARP,proxy ARP和Probe(類似ARP),反向地址解析:
RARP.ARP,proxy ARP和RARP協議在RFC 826,1027和903分別作了定義,Probe是HP公司開發的用在IEEE-802.3網絡中.
設置ARP 打包
默認的,在端口上是標準的以太網ARP打包方式.你可以根據你的網絡需要改成SNAP或HP
Probe方式.
指定ARP打包方式,需完成:
| 功 能 |
命 令 |
| 在指定端口上選擇三種ARP打包方式 |
arp {arpa | probe |snap } |
匹配主機名和IP 地址
Cisco IOS 軟件保持一張主機名和相應地址的表,叫做 host
name-to-address mapping.高層協議如 Telnet,都是用主機名來標識設備的.因此,路由器和其它網絡設備也需要了解它們.
手工指定如下:
| 功 能 |
命 令 |
| 靜態指定主機名和IP地對應 |
ip host name address1 [adress2...address8] |
配置IP 過濾表
IP過濾表能夠幫助控制網上包的傳輸.主要用在以下幾個方面:
軟件支持下面幾種形式的IP過濾表:
- 擴展IP過濾表用源地址和目的地址過濾,並且可以過濾高層協議如Telnet,FTP等等.
在Global配置模式下,定義標準的IP過濾表:
| 功 能 |
命 令 |
| 定義標準的IP過濾表 |
access-list access-list-number {deny | permit
} source [source-wildcard] |
| 用any來定義標準的IP過濾表 |
access-list access-list-number {deny | permit
} any |
標準的IP過濾表的表號
1-99.
在Global配置模式下,定義擴展的IP過濾表:
| 功 能 |
命 令 |
| 定義擴展的IP過濾表 |
access-list access-list-number {deny | permit
} {protocol | protocol-keyword } {source source-wildcard | any
} {destination destination-wildcard | any } [precedence precedence
] [tos tos] |
擴展的IP過濾表的表號
100-199.
協議關鍵字有icmp,igmp,tcp,udp.
在端口配置模式下,把某個IP過濾表加到端口上:
| 功 能 |
命 令 |
| 把某個IP過濾表加到端口上 |
ip access-list access-list-number {in | out
} |
有關IP過濾表配置,請看"IP Access List Configuration Example" 的舉例說明.
配置IP通過廣域網
你可以配置IP通過X.25,SMDS,Frame Relay和DDR網絡.詳細內容請參閱廣域網配置向導.
監控和維護IP
網絡
監控和維護你的網絡,請完成以下工作:
清除緩存,表單和數據庫
在 EXEC模式下:
| 功 能 |
命 令 |
| 清除IP ARP緩存和快速交換緩存 |
clear arp-cache |
| 在主機和地址緩存中去掉一個或所有實體 |
clear host {name | * } |
| 清除一個活動端口累計通過的包數 |
clear ip accouting [checkpoint] |
| 在路由表中去掉一個或多個路由信息 |
clear ip route {network [mask] | * } |
顯示系統和網絡的狀態
在 EXEC模式下:
| 功 能 |
命 令 |
| 顯示ARP表 |
show arp |
| 顯示名字緩存 |
show hosts |
| 顯示當前IP過濾表的內容 |
show ip access-list [access-list-number | name ] |
| 顯示當前活動端口累計通過的包數 |
show ip accouting [checkpoint] |
| 顯示IP ARP表 |
show ip arp |
| 顯示某一個端口狀態 |
show ip interface [type number ] |
| 顯示目前的路由表 |
show ip route [address [mask]|protocol ] |
| 測試網絡是否通 |
ping [protocol]{host |address} |
--------------------------------------------------------------------------------
IP 配置實例
Creat a Network from Separates Subnets Example
Serial Interface Configuration Example
IP Access List Configuration Example
標準IP過濾表配置實例
限定虛擬終端訪問實例
擴展IP過濾表配置實例
Ping Command Example
Creat a Network from Separates Subnets Example
在下面例子中,subnet 1和subnet 2被主幹網分開.
Configuration for Router B
interface ethernet 2
ip address 192.5.10.1 255.255.255.0
ip address 131.108.3.1 255.255.255.0 secondary
Configuration for Router C
interface ethernet 1
ip address 192.5.10.2 255.255.255.0
ip address 131.108.3.2 255.255.255.0 secondary
Serial Interface Configuration Example
在下面的例子中,把Ethernet 0的地址賦予Serial 1. Serial 1是unnumbered.
interface ethernet 0
ip address 145.22.4.67 255.255.255.0
interface serial 1
ip unnumbered ethernet 0
IP Access List Configuration Example
標準IP過濾表配置實例:
該例表明在36.48.0.0這個網段上只允許B機(36.48.0.3)與A機通信,其它的36.0.0.0的網段如36.51.0.0可以與A機通信,而其它的如Internet用戶均被過濾掉了.
Configuration for Router A
access-list 2 permit 36.48.0.3
access-list 2 deny 36.48.0.0 0.0.255.255
access-list 2 permit 36.0.0.0 0.255.255.255
!(Note:all other access denied)
interface ethernet 0
ip access-group 2 in
限定虛擬終端訪問實例:
該例只允許在192.89.55.0這個網段上的主機訪問路由器.
Configuration for Router
access-list12 permit 192.89.55.0 0.0.0.255
!
line vty 0 4
access-class 12 in
擴展IP過濾表配置實例:
該例允許內部網的所有主機都能登錄上Internet,並且A機作smtp-server,B機作Web Server,C機作域名服務器,FTP服務器和郵件服務器.
Configuration for Router
!Allow existing TCP connection
access-list 105 permit tcp any any established
!Allow ICMP messages
access-list 105 permit icmp any any
!Allow SMTP to one host
access-list 105 permit tcp any host 201.236.15.14 eq smtp
!Allow WWW to server (other services may be required)
access-list 105 permit tcp any host 201.222.11.5 eq www
!Allow DNS,FTP command and data,and smtpto another host
access-list 105 permit any host 201.222.11.7 eq domain
access-list 105 permit any host 201.222.11.7 eq 42
access-list 105 permit any host 201.222.11.7 eq ftp
access-list 105 permit any host 201.222.11.7 eq ftp-data
access-list 105 permit any host 201.222.11.7 eq smtp
!
interface serial 0
ip access-group 105 in
Ping Command Example
在例子中,目的地址是131.108.1.111.源地址是131.108.105.62.
Sandbox# ping
Protocol [ip]:
Target IP address: 131.108.1.111
Repeat count [5]:10
Datagram size [100]:64
Timeout in seconds [2]:
Extended commands [n]:
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 131.108.1.111, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent, round-trip min/avg/max = 4/4/4 ms
在例子中,目的地址是131.108.1.111.源地址是131.108.105.62.
Sandbox# ping
Protocol [ip]:
Target IP address: 131.108.1.111
Repeat count [5]:10
Datagram size [100]:64
Timeout in seconds [2]:
Extended commands [n]:
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 131.108.1.111, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent, round-trip min/avg/max = 4/4/4 ms
(http://www.fanqiang.com)
進入【UNIX論壇】
|
![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif)