网络协议配置

网络协议配置迈普路由器支持Internet网络协议。Internet协议是以数据包为基础的协议，用于在计算机网络之间交互数据。迈普路由器支持Internet网络协议（IP）RFC中规定的所有需求，涉及：IP、ICMP、IGMP、TCP、UDP等服务。其中IP报文是整个Internet协议栈的基础。而IP层负责解决IP报文的寻址、分段、重组、和协议信息的分解。作为网络层协议，IP进行路由寻址和控制数据包的传递。传输控制协议（TCP）和用户数据报协议（UDP）建立在IP协议的基础之上，分别提供基于连接的、可靠的数据传输服务和基于非连接的、不可靠的数据传输服务。迈普路由器支持配置DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）客户端和服务器。迈普路由器支持网络域名解析服务(DNS)。本章重要内容：IP地址配置地址解析协议（ARP）IP协议ICMP协议TCP协议UDP协议Socket接口DHCP配置网络服务配置IP地址配置本节重要内容：简介基本配置命令描述应用实例监控和调试简介所谓IP地址就是为了可以唯一标记连接到Internet网上的所有运营IP协议的网络设备所分派的一个32比特的数字。为了便于IP的管理，IP地址被分作五类，每类IP地址有其各自特有的功能：A~C类IP地址用于地址分派、D类IP地址用于组播应用、E类IP地址用于实验目的。IP地址分类及其范围如表所示。STYLEREF1\s5SEQ表格\*ARABIC\s11地址类型可用网络地址范围说明A1.0.0.0-126.0.0.0网络号127用于环回接口B128.0.0.0-191.255.0.0全1的主机号码用于该网络的定向广播C192.0.0.0-223.255.255.0全1的主机号码用于该网络的定向广播D224.0.0.0-239.255.255.255D类地址用于组播E240.0.0.0-247.255.355.255E类地址用于实验目的通常，不同类型的IP地址可以用于不同类型的网络系统。针对超大型网络系统，通常可以使用A类IP地址；而对于中小规模的网络系统则可以使用B类或C类网络地址；D类地址用于组播应用；E类网络地址则保存作特殊用途。同时每个IP地址被分作两个部分，分别是：网络号（networknumber）：:指定设备所在的网络；主机号(hostnumber)：指定设备在所在网络的主机编号。随着Internet的发展，IP地址资源逐渐被消耗殆尽，而以地址类的方式分派地址存在许多浪费的情况。于是，出现了“子网”的概念。“子网”把IP地址中部分主机号用做子网号，这样一个大的网络就可以被划分为更小的子网，方便网络的管理。迈普路由器支持下列IP地址特性：支持有类型网络地址特性支持网络地址的子网化特性支持无类路由CIDR特性可分派多个不同网段的IP地址到网络接口允许IP无编号（ipunnumber）地址在点对点串行接口上使用以节省地址使用支持EASYIP和NAT特性基本指令描述 命令描述配置模式ipaddressip-addressmask*为接口配置主IP地址config-if-××ipaddressip-addressmasksecondary*为接口配置从IP地址config-if-××noipaddress删除接口上所有配置的IP地址config-if-××ipunnumber配置接口使用IP无编号机制config-if-××ipaddressnegotiated配置接口使用IP地址协商机制获取IP地址config-if-××ipbroadcast-address设立接口的广播地址config-if-xx注：命令描述前带“*”符号的表达该命令有配置实例具体说明。ipaddress一个接口需要有一个主IP地址。为了给网络接口分派一个主IP地址和网络掩码，在接口配置方式下使用ipaddress完毕以上功能，no形式删除IP地址。其中掩码用来辨认IP地址中网络号。当使用掩码拟定一个网络中的子网时，这个掩码就认为是子网掩码。ipaddressip-addressmasknoipaddressip-addressmask语法描述ip-address为接口设立主IP地址mask为主IP地址设立的掩码【缺省情况】未定义。注：迈普路由器支持子网掩码，该掩码是左对齐的多个连续位1。ipaddresssecondary一个广播/多播网络接口，可以分派多个IP地址。可以指定一些没有限制的辅助地址。辅助IP地址可用在各种场合。ipaddressip-addressmasksecondarynoipaddressip-addressmasksecondary语法描述ip-address为接口设立辅助IP地址mask为辅助IP地址设立的掩码【缺省情况】未定义。注：以下是辅助IP地址最普通的应用：对一个特定的网段也许没有足够的主机地址。例如你的子网允许每一个逻辑子网多达254个主机，但是，在实际中你的物理子网有300个主机地址。在路由器或访问服务器上使用辅助IP地址，允许你有使用一个物理子网的两个逻辑子网。过去有许多网络使用二级网桥，不是子网。辅助地址的使用可以帮助转换到一个子网，即以路由器为基础的网络。在一个老网桥上的路由器，可以容易地在该段上建立多个子网。单个网上的两个子网在特殊方式下可以被另一个网分开。你可以从子网中建立单个网络，这些子网可以通过使用辅助地址被另一个网络从物理上分开。在这些情况下，第一个网在第二个网的顶部被实际扩展或迭加。注意，一个子网不能同时在多于一个活动接口上出现。假如在网段上的任何路由器使用一个辅助地址，那么相同段上的所有其它路由器也必须在相同网或子网上使用辅助地址。使用辅助地址前，接口必须已经配置了主地址。noipaddress删除接口上所有IP地址。noipaddress【缺省情况】未定义。ipunnumberIP无编号是Internet网络中节省IP地址的方法。你可以应用IP无编号在一个串行接口上，而不必分派一个单独的IP地址到接口。无论何时，无编号的接口产生一个包时（例如，对于一个路由更新），它会使用你指定的接口地址作为IP包的源地址。它也使用指定的接口地址，以决定哪一个路由进程正在发送更新的内容到无编号的接口。ipunnumber有如下限制：不能使用pingEXEC命令测试和连接该接口，由于它没有IP地址。但简易网络管理协议（SNMP）可以用于远程监视接口状态。不能通过无编号串行接口对可运营映像进行网络引导。不能在一个无编号的接口上支持IP安全选项。在RFC1195中对此有描述，IP地址在每一个接口上并不是必需的。为了在一个无编号串行接口上使IP进程起作用，在接口配置方式完毕以下任务：ipunnumberreference-interfacenoipunnumber语法描述ipunnumberreference-interface指定一个参考接口用于从其获取引用地址【缺省情况】未定义。%注意：所指定的接口必须是有效的：指定的接口必须是在路由器中已经拥有IP地址，并且不能指定自己作为引用接口，也不能是另一个无编号的接口。只能在点对点接口上引用此命令在不同的重要网络之间使用一个无编号的串行线需要特别当心。在每一个连接端，假如有不同的重要网络分派到你指定为无编号的接口上，那么任何通过串行线运营的路由协议将配置成不能公布子网信息。ipaddressnegotiated对于支持IP地址协商的点对点链路层协议来说，可以在没有配置接口IP地址的情况下设立接口IP地址协商属性。典型的如PPP协议运营在串行线路上用于连接ISP访问Internet。ipaddressnegotiatednoipaddressnegotiated【缺省情况】未定义。ipbroadcast-address接口一旦配置了地址及子网掩码，就自动拥有了相应的广播地址，广播地址即是将地址的主机号设立为全1，并同子网号逻辑与的结果。广播地址除了自动计算外，还可以使用命令手工设立。ipbroadcast-addressbrodcast_addressnoipbroadcast-addressdefaultipbroadcast-address语法描述broadcast-addressbroadcast_address接口使用的广播地址【缺省情况】使用自动计算的广播地址%注意：不建议设立子网广播地址。很多路由协议的广播地址都有规定，并不会采用该地址。在配置了多个地址的情况下，该命令只能设立主地址的广播地址。应用实例如下所示的例子为Gigaethernet0分派一个主IP地址和两个从IP地址：命令描述router(config)#interfacegigaethernet0进入接口router(config-if-gigaethernet0)#ipaddress128.255.255.1255.255.0.0配置主地址router(config-if-gigaethernet0)#ipaddress129.255.255.1255.255.0.0secondary配置辅助地址router(config-if-gigaethernet0)#ipaddress130.255.255.1255.255.0.0secondary配置辅助地址%注意：为同一接口配置的多个从IP地址根据配置时间有先后关系。同时，为了方便路由器进行数据包的路由转发，规定接口的各个IP地址不在同一个网段上（即IP地址具有不同的网络号）。监控和调试监控命令命令描述showinterfaceinterface_name显示接口地址和其他信息showipinterfaceinterface_name[briefinterface_name]显示接口IP协议摘要信息监控命令实例在配置完接口IP地址之后，用户可以通过showinterface命令查看为接口所配置的IP地址的信息。Router#showinterfacegigaethernet0gigaethernet0:Flags:(0x408063)UPBROADCASTMULTICASTARPRUNNINGGWUPType:ETHERNET_CSMACDInternetaddress:129.255.222.26/16 IP地址129.255.222.26掩码长度16位（255.255.0.0）Broadcastaddress:129.255.255.255 本网络定向广播地址129.255.255.255Queuestrategy:FIFO,Outputqueue:0/1(current/maxpackets)Metric:0,MTU:1500,BW:1000000Kbps,DLY:10usec,VRF:globalReliability255/255,Txload1/255,Rxload1/255Ethernetaddressis0014.0014.00145minutesinputrate0bits/sec,0packets/sec5minutesoutputrate0bits/sec,0packets/sec302packetsreceived;120packetssent212multicastpacketsreceived2multicastpacketssent0inputerrors;0outputerrors0collisions;0droppedUnknownprotocol370transmitblocked,0nobufferforreceive,speed100M,duplexfullreceive252broadcasts,0runts,0giants,0throttles0inputerror,0CRC,0frame,0overrun,0ignored0outputerror,0collisions,0interfaceresets,0underrun0babbles,0latecollision,0deferred0lostcarrier,0nocarrier,0excessivecollision地址解析协议本节涉及以下内容：简介基本指令描述应用实例监控和调试简介在网络中，一个设备需要有数据链路（MAC）地址（在局域网上唯一地标记一个接口），和一个网络地址（标记设备所在的那个网络和主机号）才干在网络中正常通信。例如，为了在以太网上与一个设备通信，路由器必须一方面决定对端设备的48位MAC地址，只有知道了MAC地址才干发送报文。从一个IP地址查找数据链路地址的过程称作地址解析。从数据链路地址反向查找IP地址的过程称作逆向地址解析。迈普路由器支持以太网的地址解析协议（ARP）。ARP用于将IP地址与MAC地址相关联。将IP地址作为输入，ARP决定相关联的MAC地址。一旦决定了MAC地址之后，IP地址/MAC地址关联就存放在ARP高速缓存中以便高速检索。然后，IP数据报被封装在链路层的帧中，并在网上发送。基本指令描述命令描述配置模式arp[vrfvrf-name]ip-addressmac-address[alias]配置ARP静态缓存configipproxy-arp*接口配置ARP代理功能config-if-××arptimeout[disable|timeout]设立接口ARP老化时间config-if-××arpadvertise[intervaltimeout]定期发送arp广播信息，用于防范arp袭击configarplimited[disable|limite]解除2023个ARP条目限制config注：命令描述前带“*”符号的表达该命令有配置实例具体说明。arpip-addressmac-addressARP在IP地址和MAC介质地址之间提供了一个动态映射。由于大多数主机支持动态地址解析。所以，一般不需要指定静态ARP缓存项。假如用户需要定义它们，可以进行手工配置进行定义——即在ARP缓存装入一个永久项。迈普路由器软件使用该项将32位IP地址翻译成用户指定的48位硬件地址。arp[vrfvrf-name]ip-addressmac-address[alias]noarp[vrfvrf-name]ip-address语法描述ip-address待映射的IP地址mac-address映射到的MAC地址vrf-name指定ARP静态缓存所属于的VRFalias定义ARP别名缓存【缺省情况】未定义。注：ARP别名用于将网络中某个特定IP的主机ARP操作中的硬件地址用本地配置的MAC地址代替。路由器在配置ARP别名缓存之后将会代替或者覆盖被替换主机的ARP请求或者响应，达成特定IP的主机MAC被本地配置的MAC地址替代的目的。ipproxy-arp假如路由器发现接受到的ARP请求是从接受到ARP的网络发往另一个网络上的主机，那么连接这两个网络的路由器就可以回答该请求，那么发送ARP的主机就会把报文发送给路由器，路由器将收到的报文转发给此外一个网络的主机，这个过程称作代理ARP（ProxyARP）。这样可以使发起ARP请求的发送端误认为路由器就是目的主机，而事实上目的主机是在路由器的“另一端”。路由器的功能相称于目的主机的代理，把分组从其它主机转发给它。（RFC1027）ipproxy-arpnoipproxy-arp【缺省情况】接口启用ARP代理。cleararp-cache为了更新ARP缓存中的动态ARP，使用命令cleararp-cache命令将触发核心检查每个动态ARP，强行每个缓存发送ARP请求报文更新当前缓存，假如在规定期间内（1分钟）ARP请求没有响应那么相应的ARP缓存将会被删除；反之将更新该ARP缓存的老化时间，默认情况下将恢复到20分钟。在特权模式下输入下列命令将触发ARP缓存更新。cleararp-cache【缺省情况】无定义。arptimeout在接口模式下输入以下命令配置接口ARP的老化时间：arptimeout{second|disable}语法描述second范围<>,默认为1200秒disable严禁接口上动态ARP的老化，学习到的ARP将永远存在【缺省情况】ARP1200秒老化。注意：动态ARP会每隔5分钟探测目的主机IP，假如探测到之后将会更新ARP的老化时间。总共会探测4次，假如4次都不能探测到目的IP的MAC那么ARP将会失效。这样做是为了减少网络通信中不必要的ARP操作，提高网络通信的效率。arpadvertise在配置模式下输入下列命令将打开ARP通告。arpadvertise[intervaltimeout]noarpadvertise命令描述timeout范围20到60000毫秒【缺省情况】关闭通告，打开通告之后默认通告时间间隔为1000毫秒。注：打开之后将会把静态ARP的绑定信息定期以免费ARP的形式发送到网络中去，这样可以有效防止ARP袭击。假如怀疑有ARP袭击发生可以通告showarpattack-detection进行检查。cleararpattack-detection在特权模式下输入下列命令将清除ARP袭击信息。cleararpattack-detection【缺省情况】无。arplimited在特权模式下输入下列命令将解除ARP2023条数目限制。arplimiteddisablearplimitedlimitenoarplimited命令描述limit重新设立ARP条目限制，范围2023到100000【缺省情况】2023条应用实例代理ARP起作用的典型应用环境和配置：图STYLEREF1\s5SEQ图表\*ARABIC\s11分别在ROUTER上运营和关闭ARP代理功能命令描述ROUTER(config-if-gigaethernet0)#ipproxy-arp启动接口ARP代理功能ROUTER(config-if-gigaethernet0)#noipproxy-arp关闭接口ARP代理功能两台路由器之间运营动态路由或者配置静态路由使ROUTER可以学习到到网络136.1.3.0的路由。路由配置请参考相应章节。PC机ping136.1.3.1，若ROUTER上无ARPPROXY则PING不通。因素如下：PC机对同一网络的报文，通过先广播ARP请求获取目的主机的MAC地址，得到后发往目的主机。本例中，目的主机地址同PC机在同一网络（以PC机的掩码来看），但物理上不是在一起。PC发ARP请求时，无人应答，则PING不通。此时，若ROUTER打开ARPPROXY，则ROUTER会用它的MAC地址应答PC发出的请求，则会PING通。迈普路由器中实现的代理重要用于此种情形，代理同一主网络，不同子网的报文。监控和调试监控命令命令描述showarp[vrfvrf_name][all]显示当前系统中的ARP表项showarpattack-detection显示当前系统中的ARP袭击信息showarpshowarp[vrfvrf-name][all]语法描述vrf-name显示vrf-name中的ARP缓存all显示正在解析中的ARP缓存【缺省情况】无。router#showarpLINKLEVELARPTABLEdestinationgatewayflagsRefcntUseInterface-----------------------------------------------------------------------129.255.117.50050.ba27.e285405232455gigaethernet0129.255.150.10050.ba27.d0f540521011270gigaethernet0-----------------------------------------------------------------------&注：destination为目的IP地址；gateway为目的IP地址的MAC地址；flags为标志位（405表达动态ARP，c05表达静态ARP）；Refcnt表达此条ARP被使用的次数；Use表达发向该IP地址的帧个数；Interface表达该IP地址那个接口相连。showarpattack-detection在特权模式下输入下列命令将显示ARP袭击信息。showarpattack-detection【缺省情况】无。打印调试信息如下：IPFabricatorMACAttackTime------------------------------------------------------1.1.1.10001.0001.000100:10ARPlostadvertisement:0ARPadvertisementisoff ARP通告是否打开ARPadvertisementinterval:1000millisecond ARP通告间隔以上显示说明在00:10的时候发现了ARP袭击，被袭击IP为1.1.1.1，伪造的MAC为0001.0001.0001。注意：这个功能一方面需要配置静态ARP，将待保护的IP和对的MAC地址绑定起来。每个IP同时只能记录3次。调试命令命令描述(no)debugarp打开（关闭）ARP调试开关。cleararp-cache更新ARP缓存打印调试信息如下：03:22:40:IPARP:receivedrequestongigaethernet0从gigaethernet0口接受到ARPrequest报文03:22:40:src13.0.0.10050.ba2a.32ac03:22:40:IPARP:sendreplyongigaethernet0从gigaethernet0发送ARPreply报文03:22:40:src13.0.0.30001.7a02.9418dst13.0.0.10050.ba2a.32acIP协议本节涉及以下内容：IP协议基本配置命令监控和调试IP协议基本配置命令命令描述配置模式[default]iprouting使能IP路由转发configipdirected-broadcast使能IP转发定向广播config-if-xxx[default]ipredirect使能IP重定向功能configipredirects使能接口IP重定向功能config-if-xxxipunreachables使能IP发送不可达差错config-if-xxx[default]ipoptionqueue-length配置IP输入队列长度config[default]ipoptiondefault-ttl配置发送IP报文默认ttlconfig[default]ipoptionfragment-ttl配置分派报文重组ttlconfig[default]ipoptionrecv-checksum配置接口到IP报文是否需要进行校验和检查config[default]ipoptionsend-checksum配置发送IP是否进行计算校验和config[default]ipoptionfragqueue-length设立分片重组队列的长度config注：命令描述前带“*”符号的表达该命令有配置实例具体说明。iprouting迈普路由器缺省为允许IP路由转发。但在一些特定情况下，用户可以严禁路由功能，这可以通过下列操作来完毕：全局配置模式下使用命令：iproutingnoiproutingdefaultiprouting【缺省情况】允许IP路由转发。用户通过noiprouting命令可以严禁IP路由转发；用户通过iprouting命令可以来允许IP路由转发。注：H01设备上，用户假如想关闭整个设备的IP转发能力，需要使用noipmef，noippfa，noiprouting三个命令。ipredirect迈普路由器缺省为可发送IP重定向。但在一些特定情况下，用户可以严禁发送IP重定向功能，这可以通过下列操作来完毕：在全局配置模式下执行命令：ipredirectnoipredirectdefaultipredirect【缺省情况】允许发送IP重定向。用户通过noipredirect命令可以严禁所有接口的IP发送IP重定向；用户通过ipredirect命令可以允许所有接口的IP发送IP重定向。ipredirects在接口模式下执行命令：ipredirectsnoipredirects【缺省情况】允许接口发送IP重定向。用户通过noipredirects命令可以严禁该接口的IP发送IP重定向；用户通过ipredirects命令可以来允许该接口的IP发送IP重定向。ipunreachables当路由器转发报文时，出现目的地不可达，或者出现需要源端分片的时候，会发送不可达报文。用户可以通过命令严禁或者允许这种能力。在接口模式下执行命令：ipunreachablesnoipunreachable【缺省情况】允许接口发送不可达差错报文。用户通过ipunreachables允许发送不可达差错报文。用户通过noipunreachables严禁发送不可达差错报文。ipdirected-broadcast路由器接会接受定向广播。收到后是否进行转发，由命令控制。在接口模式下执行命令：ipdirected-broadcastnoipdirected-broadcast【缺省情况】严禁转发重定向报文。ipoptionqueue-length设立IP协议的输入队列深度ipoptionqueue-lengthqueue-lengthnoipoptionqueue-lengthqueue-lengthdefaultipoptionqueue-length语法描述queue-lengthIP输入队列长度，范围<30-600>【缺省情况】缺省为200。no命令和default命令恢复默认值。ipoptiondefault-ttl设立发送IP数据报的缺省Time-To-Live(TTL)ipoptiondefault-ttltime-to-livenoipoptiondefault-ttltime-to-livedefaultipoptiondefault-ttl语法描述time-to-liveIP报文生存时间，范围<1-255>【缺省情况】缺省为64。no命令和default命令恢复默认值。生存时间并不是真正的时间，而是简化实现为报文通过路由器跳数。每通过一个路由器ttl减1,当ttl为零时，路由器丢弃这个IP报文。ipoptionfragment-ttl设立发送分片IP数据报的缺省Time-To-Live(TTL)ipoptionfragment-ttltime-to-livenoipoptionfragment-ttltime-to-livedefaultipoptionfragment-ttl语法描述time-to-liveIP分片报文在重组之前生存时间，范围<1-255>【缺省情况】缺省为60。no命令和default命令恢复默认值。ipoptionfragqueue-length设立分片重组队列的长度ipoptionfragqueue-lengthqueue-lengthnoipoptionfragqueue-lengthqueue-lengthdefaultipoptionfragqueue-length语法描述queue-length分片队列的长度，范围<64-256>【缺省情况】缺省为64。no命令和default命令恢复默认值。ipoptionrecv-checksum设立IP接受报文校验和（recv-checksum）检查ipoptionrecv-checksumnoipoptionrecv-checksumdefaultipoptionrecv-checksum【缺省情况】缺省为要检查报文校验和。no命令关闭选项，default命令恢复选项默认值。ipoptionsend-checksum设立IP发送报文校验和（send-checksum）生成ipoptionsend-checksumnoipoptionsend-checksumdefaultipoptionsend-checksum【缺省情况】缺省为发送报文需要进行校验和。no命令关闭选项，default命令恢复选项默认值。监控和调试监控命令命令描述showipstatistics显示IP报文记录信息showiprawstate显示IPRAW报文记录信息showipfrag-queue显示分片队列信息router#showipstatistics StatisticsfortheIPprotocol total 1356 ---收发总的数据包个数badsum 0 ---校验错误的数据包个数tooshort 0 ---数据包太短的个数toosmall 0 ---数据包太小的个数badhlen 0 ---头长度域错误的次数badlen 0 ---信息长度错误的次数infragments 0 ---接受的分片数据包数fragdropped 0 ---分片丢弃的数据包个数fragtimeout 0 ---分片超时的数据包个数forward 0 ---转发的数据包个数cantforward 1312 ---不能转发的数据包个数redirectsent 0 ---重定向发送的次数unknownprotocol16 ---未知协议的数据包个数toupper 2098 ---交往上层协议的数据包个数nobuffers 0 ---没有Buffer的次数reassembled 0 ---报文重组的个数outfragments 0 ---发送的分片数据报数noroute 0 ---没有路由的次数badaddress 0 ---地址错误的报文个数fastforwardtotal 0 ---快速转发的报文个数fastforward 0 ---快速转发成功的报文个数cannotfastforward0 ---快速转发失败的报文个数mngindrop 0 ---从管理接口接受并送往上层的非法报文个数mngoutdrop 0 ---规定从管理接口发送的非法报文个数调试命令命令描述(no)debugippacket打开（关闭）IP报文调试开关。clearipstatistics清除IP报文记录信息cleariprawstate清除IPRAW报文记录信息debugippacketdebugippacket[acl[detail[bytesbyte]]|detail[bytesbyte]]nodebugippacket语法描述acl使用ACL对debug的报文进行过滤detail打印IP上层协议的部分信息bytes打印IP报文中数据，打印范围为20至1500字节【缺省情况】未打开。例如：03:41:53:INPUT:fromgigaethernet0,dgramsiz=48,totlen=48,src=4.4.4.36,dst=255.255.255.25503:41:53:TTL=1,ID=0,DF=0,MF=0,offset=0,protocol=1703:41:53:UDP:srcPort=711,dstPort=711,length=28,checksum=3967103:41:53:0000:45c00030000000000111000004040424ffffffff03:41:53:0020:02c702c7001c9af70001001088888888000025cf03:41:53:0040:0f0300048888888803:41:53:Delivered以上信息表达，从gigaethernet0接口接受到了IP报文，IP报文长度是48字节，报文源地址是4.4.4.36，目的地址是255.255.255.255。后面是IP头部字段解析，以及传输层头部字段解析。最后是报文送到IP层的行为。报文送到IP层之后重要的行为有：语法描述delivered传送到传输层discarded丢弃，可以通过观测IP层记录得到丢弃的因素forwarded报文被转发unforwarded报文未能转发，因素可以通过观测IP层记录得到enqueued进入输出队列注：建议在启动该命令之前配置ACL过滤不需要的报文，否则也许由于打印过多报文信息导致Shell暂时不可用。ICMP协议本节重要内容：简介基本指令描述监控和调试简介在Internet协议栈中，Internet控制报文协议（ICMP）为其他协议提供控制、错误报告、网络测试等服务。迈普路由器支持RFC792、RFC950和RFC1122。基本指令描述命令描述配置模式ipmask-replyICMP子网掩码请求应答选项configicmpredirect-routeICMP重定向接受选项configipicmpsource-quenchICMP源端关闭选项configipicmpratelimitenableICMP限速使能选项configipicmpratelimitdefaultdefault-valueICMP限速缺省值configipicmpratelimit(echo-reply|time-stamp-reply|mask-reply|unreach|time-exceed|param-problem|source-equench|redirect)(unlimit|rate-value)指定ICMP消息输出的限制值config注：命令描述前带“*”符号的表达该命令有配置实例具体说明。ipmask-reply子网掩码选项ipmask-replynoipmask-reply【缺省情况】缺省不启动该选项。icmpredirect-route重定向报文选项icmpredirect-routenoicmpredirect-route【缺省情况】缺省不启动该选项。ipicmpsource-quench源端关闭选项ipicmpsource-quenchnoipicmpsource-quench【缺省情况】缺省不启动该选项。ipicmpratelimitenableICMP限速功能开关ipicmpratelimitenablenoipicmpratelimitenable【缺省情况】缺省不启动该功能。ipicmpratelimitdefault缺省设备每秒钟允许输出的ICMP报文个数,范围1-1000000。ipicmpratelimitdefaultdefault-rate-valuenoipicmpratelimitdefault【缺省情况】缺省不启动该功能。注：假如配置该选项，则所有未做单独配置的ICMP类型，其输出控制都将采用缺省值。ipicmpratelimit指定ICMP类型报文输出限速。ipicmpratelimit(echo-reply|time-stamp-reply|mask-reply|unreach|time-exceed|param-problem|source-equench|redirect)(unlimit|rate-value)noipicmpratelimit(echo-reply|time-stamp-reply|mask-reply|unreach|time-exceed|param-problem|source-equench|redirect)命令描述echo-replyECHO响应。time-stamp-reply时间戳响应。mask-reply地址掩码响应。unreach不可达报错。time-exceed超时通告。param-problem参数错误。source-equench源站克制输出。redirect重定向通告。unlimit不限定该总ICMP类型的报文输出。rate-value控制该种类型的ICMP输出报文每秒钟的速率，范围为1-1000000个/秒。【缺省情况】缺省不启动该功能。监控和调试监控命令命令描述showipicmpstate显示ICMP报文记录信息clearipicmpstate清除ICMP报文的记录信息监控命令实例router#showipicmpstate StatisticsforICMPprotocol 16callstoicmperror ---系统调用ICMP发送差错报文的次数0errornotgeneratedbecauseoldmessagewasicmp ---因过时ICMP报文产生的错误次数Outputratelimithistogram: ---输出限速丢弃情况echoreply: 20 ---应答限速丢弃个数Destinationunreachable: 16 ---目的不可达限速丢弃的个数Outputhistogram: ---发送情况echoreply: 5 ---应答个数Destinationunreachable: 16 ---目的不可达的次数0messagewithbadcodefields ---代码域错误的报文个数0message<minimumlength> ---报文长度小于最小消息长度错误的报文个数0badchecksum ---收到的校验错误次数0messagewithbadlength ---收到的报文长度错误的次数Inputhistogram: ---接受情况echoreply: 10 ---echoreply个数destinationunreachable: 16 ---目的不可达的次数echo： 5 ---echo个数0messageresponsegenerated ---产生的响应报文个数调试命令命令描述(no)debugipicmp[data]打开（关闭）ICMP报文调试开关。TCP协议本节重要内容：简介TCP基本配置命令监控和调试简介在Internet协议栈中，传输控制协议（TCP）提供应用程序之间可靠传输数据的服务。迈普路由器支持RFC793、RFC813、RFC879、RFC896、RFC1122。TCP基本配置命令命令描述配置模式[default]iptcprecvbuffers设立TCP接受缓存config[default]iptcpsendbuffers设立TCP发送缓存config[default]iptcpretransmits设立TCP反复ACK门限，以启动快速重传config[default]iptcpsegment-size设立TCP最大报文段大小config[default]iptcpround-trip设立TCP往返时间config[default]iptcpidle-timeout设立TCP保活定期器超时时间config[default]iptcpinit-timeout设立TCP建立连接超时时间config[default]iptcpkeep-count设立TCP保活报文检测个数configiptcppath-mtu-discovery[age-timer{infinite|minute}]设立TCP途径MTU发现configiptcptimestamp打开TCP时间戳选项configiptcpselective-ack打开TCP选择性重传选项configiptcpadjust-mss调整TCP的MSS大小config-if-xxx注：命令描述前带“*”符号的表达该命令有配置实例具体说明。iptcprecvbuffers设立TCP接受缓冲区（recvbuffers）大小iptcprecvbuffersbuffer-sizenoiptcprecvbuffersdefaultiptcprecvbuffers语法描述buffer-sizeTCP输入缓存大小，范围<1024-65536>【缺省情况】缺省为8192。no和default命令恢复接受缓存为默认值。iptcpsendbuffers设立TCP发送缓冲区（sendbuffers）大小iptcpsendbuffersbuffer-sizenoiptcpsendbuffersdefaultiptcpsendbuffers语法描述buffer-sizeTCP输出缓存大小，范围<1024-65536>【缺省情况】缺省为8192。no和default命令恢复发送缓存为默认值。iptcpretransmits设立TCP收到反复ACK的门限，当达成门限时，则启动快速重传iptcpretransmitsretransmits-countnoiptcpretransmitsdefaultiptcpretransmits语法描述retransmits-count反复ACK的门限值，范围<1-100>【缺省情况】缺省为3次。no和default命令恢复重传次数为默认值。iptcpsegment-size设立TCP最大段（segment-size）尺寸iptcpsegment-sizesegment-sizenoiptcpsegment-sizedefaultiptcpsegment-size语法描述segment-sizeTCP最大报文段大小，范围<256-4028>【缺省情况】缺省为512字节。no和default命令恢复最大报文段大小为默认值。iptcpround-trip设立TCP最大往返（round-trip）时间iptcpround-tripround-tripnoiptcpround-tripdefaultiptcpround-trip语法描述round-tripTCP最大往返时间，范围<1-100>秒【缺省情况】缺省为3秒。no和default命令恢复最大报文段大小为默认值。iptcpidle-timeout设立第一次保活测试前连接的空闲时间iptcpidle-timeoutidle-timenoiptcpidle-timeoutdefaultiptcpidle-timeout语法描述idle-timeTCP第一次保活测试之前连接空闲时间，范围<3-144000>，单位为0.5秒【缺省情况】缺省为14400（两小时）。no和default命令恢复连接空闲时间为默认值。iptcpinit-timeout设立连接建立定期器取值iptcpinit-timeoutinit-timenoiptcpinit-timeoutdefaultiptcpinit-timeout语法描述init-timeoutTCP建立连接定期器，范围<2-30000>【缺省情况】缺省为150，单位0.5秒。no和default命令恢复定期器为默认值。iptcpkeep-count设立最大保活测试次数iptcpkeep-countkeep-countnoiptcpkeep-countdefaultiptcpkeep-count语法描述keep-countTCP保活检测次数，范围<3-20>次【缺省情况】缺省为3。no和default命令恢复保活检测次数为默认值。iptcppath-mtu-discovery配置TCP使用途径MTU发现iptcppath-mtu-discovery[age-timer{minute|infinite}]noiptcppath-mtu-discovery语法描述age-timer定义PMTU的老化时间，单位分钟minute范围<10-30>infinitePMTU不老化【缺省情况】缺省不起动PMTUD，PMTU的默认老化时间为10分钟。iptcptimestamp打开TCP时间戳选项iptcptimestampnoiptcptimestamp【缺省情况】缺省不打开TCP时间戳选项iptcpselective-ack打开TCP选择性重传选项iptcpselective-acknoiptcpselective-ack【缺省情况】缺省不打开TCP选择性重传选项iptcpadjust-mss设立TCP发送报文（涉及转发）的maximumsegment-size尺寸iptcpadjust-msssegment-sizenoiptcpadjust-mss语法描述segment-sizeTCP最大报文段大小，范围<500-1460>监控和调试监控命令命令描述showiptcpstate显示TCP报文记录信息cleariptcpstate清除TCP报文记录信息监控命令实例router#showiptcpstateStatisticsfortheTCPprotocol:0packetsent ---总的发送数据包个数0datapacket(0byte) ---数据包个数（字节数）0datapacket(0byte)retransmitted ---重发数据包个数（字节数）0ack-onlypacket(0delayed) ---ACK响应数据包个数（延迟ACK数目）0URGonlypacket ---紧急数据包个数0windowprobepacket ---窗口探测数据包个数0windowupdatepacket ---窗口更新数据包个数0controlpacket ---控制数据包个数0packetreceived ---总的接受数据包个数0ack(for0byte) ---响应的数据包个数（字节数）0duplicateack ---反复响应的数据包个数0ackforunsentdata ---请求不发送数据包个数0packet(0byte)receivedin-sequence ---顺序已接受的数据包个数（字节）0completelyduplicatepacket(0byte) ---完全反复的数据包个数（字节）0packetwithsomedup.data(0byteduped) ---部分反复的数据包个数（字节）0out-of-orderpacket(0byte) ---失序的数据包个数（字节）0packet(0byte)ofdataafterwindow ---窗口外的数据包个数（字节）0windowprobe ---窗口探测数据包个数0windowupdatepacket ---窗口更新数据包个数0packetreceivedafterclose ---连接关闭后收到的数据包个数0discardedforbadchecksum ---因校验错误而丢弃的数据包个数0discardedforbadheaderoffsetfield ---因报头错误而丢弃的数据包个数0discardedbecausepackettooshort ---因包太短而丢弃的数据包个数0discardedbecausemanagementinterfacedisable--管理接口输入的非法数据包个数0connectionrequest ----本地TCP请求的连接数0connectionaccept ----本地TCP接受的连接数0connectionestablished(includingaccepts) ----建立的TCP连接数0connectionclosed(including0drop) ----关闭的TCP连接数0embryonicconnectiondropped ----丢弃的连接数0segmentupdatedrtt(of0attempt) ---报文更新RTT0retransmittimeout ----超时重发的次数0connectiondroppedbyrexmittimeout ---超时重发丢弃的连接数0persisttimeout ---坚持定期器超时次数0keepalivetimeout ---保持激活超时的次数0keepaliveprobesent ---保持激活探测的次数0connectiondroppedbykeepalive ---因保持激活而丢弃的连接数0pcbcachelookupfailed ---查找协议控制块失败的次数调试命令命令描述(no)debugiptcpselective-ack打开（关闭）选择性重传调试开关。UDP协议本节内容涉及：简介UDP基本配置命令监控和调试简介在Internet协议栈中，用户数据报协议（UDP）提供应用程序之间传递数据报服务的基本服务。迈普路由器支持RFC768.UDP基本配置命令命令描述配置模式[default]ipudpdefault-ttl设立UDP默认TTL值config[default]ipudprecvbuffers设立UDP接受缓存config[default]ipudpsendbuffers设立UDP发送缓存config[default]ipudprecv-checksum设立UDP是否计算接受报文校验和config[default]ipudpsend-checksum设立UDP是否计算发送报文校验和configiphelper-address设立UDP广播转发config-if-××ipforward-protocoludp设立需要UDP广播转发报文的端标语config注：命令描述前带“*”符号的表达该命令有配置实例具体说明。ipudpdefault-ttl设立发送UDP数据报的缺省Time-To-TimeLiveipudpdefault-ttltime-to-livenoipudpdefault-ttldefaultipudpdefault-ttl语法描述time-to-liveUDPTTL，范围<1-255>【缺省情况】缺省为30。no和default命令恢复TTL为默认值。ipudprecvbuffers设立UDP接受缓冲区（recvbuffers）的大小ipudprecvbuffersbuffer-sizenoipudprecvbuffersdefaultipudprecvbuffers语法描述buffer-sizeUDP输入缓存大小，范围<1024-65536>【缺省情况】缺省为41600字节。no和default命令恢复接受缓存为默认值。ipudpsendbuffers设立UDP发送缓冲区（sendbuffers）的大小ipudpsendbuffersbuffer-sizenoipudpsendbuffersdefaultipudpsendbuffers语法描述buffer-sizeUDP输出缓存大小，范围<1024-65536>【缺省情况】缺省为9216字节。注：no和default命令恢复发送缓存为默认值。ipudprecv-checksum设立UDP接受报文校验和（recv-checksum）检查ipudprecv-checksumnoipudprecv-checksumdefaultipudprecv-checksum【缺省情况】缺省为启用校验和计算。注：no和default命令恢复为默认值。ipudpsend-checksum设立UDP发送报文校验和（send-checksum）生成。ipudpsend-checksumnoipudpsend-checksumdefaultipudpsend-checksum【缺省情况】缺省为启用校验和计算。注：no和default命令恢复为默认值。iphelper-address设立接口接受的UDP广播报文的转发目的地址。对该接口上接受到的广播报文，设备将会转发到指定目的地址的设备上。可以配置多个目的地址。iphelper-addressip-addressnoiphelper-addressip-address【缺省情况】未定义。ipforward-protocoludp设立接口接受的UDP广播报文的转发目的地址。对该接口上接受到的广播报文，设备将会转发到指定目的地址的设备上。可以配置多个目的地址。ipforward-protocoludpportnoipforward-protocoludp[port]语法描述port需要广播转发的UDP报文端标语【缺省情况】未定义。监控和调试监控命令命令描述showipudpstate显示UDP报文记录信息clearipudpstate清除UDP报文记录信息监控命令实例router#showipudpstateStatisticsfortheUDPprotocol: 32totalpackets ---总的收发数据包个数 16inputpackets ---总的接受数据包个数16outputpackets ---总的发送数据包个数0incompleteheader ---UDP报头不完整的数据包个数0baddatalengthfield ---UDP长度不对的的数据包个数0badchecksum ---UDP校验不对的的数据包个数0broadcastsreceivedwithnoports ---无UDP端口的广播数据包个数0fullsocket ---socket缓冲区缺少空间产生的错误次数16pcbcachelookupsfailed ---PCBCache查找失败次数16pcbhashlookupsfailed ---PCBHash查找失败次数5managementinterfaceinputdisablefailed ---管理接口输入的非法数据包个数Socket接口本节重要内容：简介基本指令描述监控和调试简介Socket是网络应用程序访问和使用底层网络资源的一种机制。迈普路由器支持标准的socket接口机制和一系列支持Socket的应用。基本指令描述命令描述配置模式ipupper-cache打开upper路由缓冲区，no形式关闭config注：命令描述前带“*”符号的表达该命令有配置实例具体说明。ipupper-cache命令进行本地数据传输时，为了使数据负载可以按照一定比例地通过接口链路，通常情况下，需要关掉一个缓存（upper-cache），在特权用户模式下用noipupper-cache命令进行关闭。ipupper-cachenoipupper-cache【缺省情况】使能upper-cache监控和调试监控命令命令描述showipsockets显示当前系统的Socket数量和状态监控命令实例router#showipsockets显示结果：ActiveInternetconnections(includingservers)PCB

ProtoRecv-QSend-Q

LocalAddress

ForeignAddress

vrf

(state)-------------------------

---------------------------------------------------

-------8ab0205cTCP

0

0

129.255.19.220.23 129.255.19.119.1055 global

ESTABLISHED8ab05d34TCP

0

0

0.0.0.0.23

0.0.0.0.0

all

LISTEN8ab061d8TCP

0

0

127.0.0.1.2600

127.0.0.1.1024

global

ESTABLISHED8ab0646cTCP

0

0

127.0.0.1.1024

127.0.0.1.2600

global

ESTABLISHED8ab020e0TCP

0

0

127.0.0.1.2600

0.0.0.0.0

global

LISTEN8ab021e8UDP

0

0

0.0.0.0.0

0.0.0.0.0

all

8ab022f0UDP

0

0

0.0.0.0.0

0.0.0.0.0

all

描述与分析：PCB：socket协议控制块（ProtocolControlBlock）的地址；Proto：socket的协议类型；Recv-Q：socket当前接受缓存中的数据字节数目；Send-Q：socket当前发送缓存中的数据字节数目；LocalAddress：socket绑定的本地IP地址以及端标语（0.0.0.0.23表达IP地址为所有的本地IP地址中的任意一个，端标语为23）；ForeignAddress：socket相应的外部IP地址以及端标语；vrf：当前socket属于的VRF。（State）：该socket所处的状态（对TCP有效）。上述信息表白设备启动了telnet服务（23端口），2600端口服务；同时外部设备129.255.19.119通过telnet登陆到了设备路由器上；并且路由器设备自己与自己建立了一条TCP连接（端口1024与端口2600之间）。DHCP配置本节重要内容：DHCP简介DHCP基本指令描述DHCP应用实例DHCP监控与调试简介当一个网络比较大时，它是很难以管理的，比如在IP地址通过手工分发的网络环境中最常见的问题是IP地址冲突。解决这个问题的唯一方法是为客户机动态分派IP地址。动态主机配置协议DHCP从一个地址池中把IP地址分派给请求主机。同时DHCP也能提供其他信息，如网关IP、DNS服务器地址，设计DHCP并不为了给无盘工作站提供引导信息，而是为了减轻管理员跟踪记录手工分派IP地址的承担。DHCP服务器可以完毕分发地址的工作。基本指令描述 命令描述配置模式ipdhcppool*配置DHCP地址池config或dhcp-configipdhcpexcluded-address*排除DHCP地址池中部分地址config或dhcp-configipdhcp-server*配置DHCP中继地址configipdhcpping配置DHCPping探测参数config或dhcp-confignetwork配置DHCP地址范围——网络段configrange*配置DHCP地址范围——IP段dhcp-confighost配置DHCP地址范围——主机dhcp-confighardware-address配置DHCP主机地址池时指定客户端匹配硬件地址dhcp-configclient-identifier配置DHCP主机地址池时指定客户端IDdhcp-c