一、简介¶
本章介绍了华为交换机的基本配置方法,给出了ARP、ARP proxy(代理)的配置实例。
二、交换机基础配置¶
2.1 交换机介绍¶
1、交换机之间通过以太网电接口对接时需要协商一些接口参数,比如速率、双工模式等。 2、如果交换机两端接口协商模式不一致,会导致报文交互异常。 3、接口速率:交换机接口每秒钟传输数据的多少,在交换机上可根据需要调整以太网接口速率。默认情况下,当以太网接口工作在非自协商模式时,它的速率为接口支持的最大速率。 4、全双工模式:端口发送数据的同时也能接收数据,两者同时进行。
2.2 交换机配置实验¶
2.2.1 实验目的¶
1、理解双工模式和接口速率 2、掌握更改双工模式的配置 3、掌握更改接口速率的配置
2.2.2 实验内容¶
某公司刚成立,新组建网络,购置了3台交换机。其中S1和S2为接入层交换机,S3为汇聚层交换机。现在网络管理员需要对3台新交换机进行基本配置,保证交换机间的接口使用全双工模式,并根据需要配置接口速率。
2.2.3 实验拓扑¶
2.2.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1 | Ethernet 0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
| PC-2 | Ethernet 0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
2.2.5 实验步骤¶
2.2.5.1 基本配置¶
根据实验编址表进行相应的基本IP地址配置,并使用Ping命令检测各直连链路的连通性。
2.2.5.2 配置交换机双工模式¶
1、配置接口的双工模式可在自协商模式或者非自协商模式下进行。 2、在自协商模式下,接口的双工模式是和对端接口协商得到的,但协商得到的双工模式可能与实际要求不符。可以执行auto duplex full命令使接口的可协商双工模式变为全双工模式。默认情况下,以太网接口自协商双工模式范围为接口所支持的双工模式。 3、在非自协商模式下,可根据实际需求手动配置接口的双工模式。先通过undo negotiation auto命令关闭自协商功能,再执行duplex full命令手工指定双工模式为全双工。
S1]int g0/0/1
[S1-GigabitEthernet0/0/1]undo negotiation auto #关闭自协商
[S1-GigabitEthernet0/0/1]duplex full #设置全双工
说明:其他设备的其他接口相同配置,这里略!!!
2.2.5.3 配置接口速率¶
1、在自协商模式下,以太网接口的速率是和对端接口协商得到的。如果协商的速率与实际要求不符,可通过配置速率的取值范围来控制协商的结果。(默认情况下,以太网接口自协商速率范围为接口支持的所以效率) 2、在非自协商模式下,需要手动配置接口速率,避免发生无法正常通信的情况 3、在交换机接口下配置速率。先通过undo negotiation auto命令关闭自协商功能,再执行speed 100命令手工指定接口速率。
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]undo negotiation auto
[S1-GigabitEthernet0/0/1]speed 100
说明:其他设备的其他接口相同配置,这里略!!!
2.3 思考¶
在实际操作中,通常使用自动协商模式还是手动配置模式?为什么? 答:(1)在实际操作中,通常使用手动配置模式(2)因为使用自动协商模式协商的结果可能与实际要求不符合。
三、理解ARP及Proxy ARP¶
3.1 ARP介绍¶
1、ARP(Address Resolution Protocol)是用来将一个IP地址映射到正确的MAC地址。 2、ARP表项可以分为动态和静态两种类型。动态ARP是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,无需网络管理员手工处理;静态ARP是建立IP地址和MAC地址之间固定的映射关系,在主机和路由器上不能动态调整此映射关系,需要网络管理员手工添加。 3、设备上有一个ARP高速缓存(ARP cache),用来存放IP地址到MAC地址的映射表,利用ARP请求和应答报文刷新映射表,以便能正确地把三层数据包封装成二层数据帧,达到快速封装数据帧、正确转发数据的目的。
3.2 Proxy ARP介绍¶
Proxy ARP,即代理ARP,当ARP请求是从一台主机发出,用以解析处于同一逻辑三层网络却不在同一物理网段上的另一台主机的硬件地址时,连接它们的具有代理ARP功能的设备就可以应答请求,使得处于不同物理网段的主机可以正常进行通信。
3.3 理解ARP及Proxy ARP实验¶
3.3.1 实验目的¶
1、理解ARP工作原理 2、掌握配置静态ARP的方法 3、理解Proxy ARP的工作原理 4、掌握Proxy ARP的配置 5、理解主机之间的通信过程
3.3.2 实验内容¶
本实验模拟公司网络场景。路由器R1是公司的出口网关,连接到外网。公司内所以员工使用10.1.0.0/16网段,通过交换机连接到网关路由器上。网络管理员通过配置静态ARP防止ARP欺骗攻击,保证通信安全。又由于公司内部所有主机都没有配置网关,且分属于不同广播域,造成无法正常通信,网络管理员需要通过在路由器上配置ARP代理功能,实现网络内所有主机的通信。
3.3.3 实验拓扑¶
3.3.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| R1(AR2220) | GE0/0/1 | 10.1.1.254 | 255.255.255.0 | N/A |
| R1(AR2220) | GE0/0/2 | 10.1.2.254 | 255.255.255.0 | N/A |
| PC-1 | Ethernet 0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
| PC-2 | Ethernet 0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
| PC-3 | Ethernet 0/0/1 | 10.1.1.3 | 255.255.255.0 | N/A |
3.3.5 实验步骤¶
3.3.5.1 基本配置¶
1、根据实验编址表进行相应的基本IP地址配置,并使用Ping命令检测各直连链路的连通性。(注意:看好实验内容,PC不要配置网关) 2、在PC命令行使用arp -a命令查看主机的ARP表
PC>arp -a
Internet Address Physical Address Type
PC>
3、在R1上使用display arp all命令查看R1的ARP表,ARP表中仅含有R1的两个接口IP地址以及与其对应的MAC地址的ARP表项,没有其他条目。
[R1]display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.254 00e0-fcbb-43dc I - GE0/0/1
10.1.2.254 00e0-fcbb-43dd I - GE0/0/2
------------------------------------------------------------------------------
Total:2 Dynamic:0 Static:0 Interface:2
4、分别在PC1、PC2、PC3使用Ping命令测试到网关R1的连通性,再使用display arp all命令查看R1的ARP表
<R1>display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.254 00e0-fcbb-43dc I - GE0/0/1
10.1.1.1 5489-9844-1624 14 D-0 GE0/0/1
10.1.1.2 5489-9837-0eca 20 D-0 GE0/0/1
10.1.2.254 00e0-fcbb-43dd I - GE0/0/2
10.1.2.3 5489-982e-643b 20 D-0 GE0/0/2
------------------------------------------------------------------------------
Total:5 Dynamic:3 Static:0 Interface:2
5、当主机和网关之间有数据访问时,如果ARP表中没有目标IP地址与目标MAC地址的对应表项,ARP协议会被触发,向直连网段发送ARP广播请求包,请求目标IP地址所对应的MAC地址。
6、网关收到广播请求后,回应单播的ARP响应,里面含有自身IP地址与MAC地址的对应关系。
3.3.5.2 配置静态ARP¶
1、ARP攻击原理:攻击者发送伪造的ARP报文,而且报文中里面所通告的IP地址和MAC地址的映射关系是错误的,则主机或网关会把错误的映射更新到ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并用之封装为数据帧,导致数据帧无法正确发送。 2、ARP攻击防御方法:在ARP表中手工添加ARP映射。其优点是简单易操作;缺点是在三层设备上把全网的ARP映射手工写入到ARP表中,工作量大,如果更换IP或MAC后,还需要手工更新ARP映射。 3、通过使用arp static 10.1.1.1 5489-9844-1624命令在路由器上静态添加一条关于PC-1的ARP映射。 4、通过使用undo arp static 10.1.1.1 5489-9844-1624命令在路由器上静态删除一条关于PC-1的ARP映射。 说明:静态的条目优于动态条目!!!
3.3.5.3 配置Proxy ARP¶
1、如果R1保持ARP代理功能关闭的情况,则PC2和PC3之间不能互相通信。具体如下:
PC>ping 10.1.2.3
Ping 10.1.2.3: 32 data bytes, Press Ctrl_C to break
From 10.1.1.2: Destination host unreachable
From 10.1.1.2: Destination host unreachable
From 10.1.1.2: Destination host unreachable
From 10.1.1.2: Destination host unreachable
From 10.1.1.2: Destination host unreachable
--- 10.1.2.3 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
2、PC2和PC3不能通信的原因:PC-2发出ARP广播,却一直没有收到ARP响应。PC-2和PC-3分处在两个广播域内,PC-2发出的ARP请求无法跨越中间的路由器,所以PC-3收不到PC-2的ARP请求,PC-2也无法知晓目标主机PC-3的硬件MAC地址而导致数据封装失败。 3、在路由上接口配置arp-proxy enable命令在路由器的接口上开启ARP代理功能。
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]arp-proxy enable
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/1]arp-proxy enable
说明:默认情况下,路由器上的ARP代理功能是关闭的!!! 4、在PC-2继续Ping测试与PC-3的连通性,测试结果如下:
PC>ping 10.1.2.3
Ping 10.1.2.3: 32 data bytes, Press Ctrl_C to break
From 10.1.2.3: bytes=32 seq=1 ttl=127 time=63 ms
From 10.1.2.3: bytes=32 seq=2 ttl=127 time=62 ms
From 10.1.2.3: bytes=32 seq=3 ttl=127 time=63 ms
From 10.1.2.3: bytes=32 seq=4 ttl=127 time=31 ms
From 10.1.2.3: bytes=32 seq=5 ttl=127 time=63 ms
--- 10.1.2.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/56/63 ms
5、在PC-2上查看ARP表
PC>arp -a
Internet Address Physical Address Type
10.1.2.3 00-E0-FC-BB-43-DC dynamic
6、在R1上使用display interface g0/0/1查看端口具体的详细信息
[R1]display interface GigabitEthernet 0/0/1
GigabitEthernet0/0/1 current state : UP
Line protocol current state : UP
Last line protocol up time : 2022-01-21 13:11:02 UTC-08:00
Description:HUAWEI, AR Series, GigabitEthernet0/0/1 Interface
Route Port,The Maximum Transmit Unit is 1500
Internet Address is 10.1.1.254/24
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fcbb-43dc #接口的MAC地址
Last physical up time : 2022-01-21 13:08:54 UTC-08:00
Last physical down time : 2022-01-21 13:08:47 UTC-08:00
Current system time: 2022-01-21 14:46:01-08:00
Port Mode: COMMON COPPER
Speed : 1000, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE
Mdi : AUTO
Last 300 seconds input rate 432 bits/sec, 0 packets/sec
Last 300 seconds output rate 0 bits/sec, 0 packets/sec
Input peak rate 1256 bits/sec,Record time: 2022-01-21 14:36:54
Output peak rate 688 bits/sec,Record time: 2022-01-21 14:36:54
7、对比发现ARP响应中10.1.2.3所对应的硬件MAC地址并非是PC-3的MAC地址,而是网关R1的GE0/0/1接口MAC地址。 8、开启ARP代理后,PC-2访问PC-3的工作流程:R1的接口GE0/0/1开启了ARP代理后,收到PC-2的ARP广播请求报文后,R1根据ARP请求中的目标IP地址10.1.2.3查看自身的路由表中是否有对应的目标网络,R1的GE0/0/2接口就是10.1.2.0/24网络,所以,R1直接把自身的GE0/0/1接口的MAC地址通过ARP响应返回给PC-2,PC-2接收到此ARP响应后使用该MAC地址作为目标硬件地址发送报文给R1,R1收到后再把报文转发给PC-3。 注意1:IP网络过大,广播对网络的影响也相应增大。如果靠路由器分割出多个广播域,降低了广播对网络的影响。在当前的IP网络中,此种做法并不多见。其缺点是主机间的通信会因为 引入额外的路由而延迟增大,并存在着瓶颈问题,所以一般只作为临时解决方案使用。 注意2:主机间的IP通信并不会对自身的ARP缓存表项进行刷新,只有当主机间交互ARP协议消息时才会对相应ARP缓存表项予以刷新。
3.4 思考(有待改正完善)¶
在ARP代理开启的情况下,如果在PC-2上,Ping 10.1.2.4(10.1.2.4主机不存在),icmp echo 报文是在PC-2还是在R1路由器丢掉的?为什么? 答:(1)icmp echo 报文是在R1路由器丢掉的(2)R1的接口GE0/0/1开启了ARP代理后,收到PC-2的ARP广播请求报文后,R1根据ARP请求中的目标IP地址10.1.2.4查看自身的路由表中是否有对应的目标网络,R1的GE0/0/2接口就是10.1.2.0/24网络,所以,R1直接把自身的GE0/0/1接口的MAC地址通过ARP响应返回给PC-2,PC-2接收到此ARP响应后使用该MAC地址作为目标硬件地址发送报文给R1,R1收到后询问有没有IP为10.1.2.4的主机,结果发现没有响应,只能把包丢掉。