配置IP单址路由

配置IP单址路由
本章描述了如何在S21系列中的三层交换机上配置IP单播路由。

有关本节引用的CLI命令的详细使用信息及说明，请参照CLI命令集。

路由概述
配置路由的步骤
配置网络接口的IP地址
启用IP路由
配置RIP
与协议无关的配置
监控和维护IP网络
1. 路由概述
如果不通过一台三层设备，不同VLAN内的主机无法相互通讯。

（这里说的三层设备，也就是通常说的路由器。

而三层交换机中的路由功能，实际上就可以视为一台路由器）。

S21系列中的三层交换机可通过三种方式进行路由：
使用缺省路由
使用预先设置的静态路由
使用动态路由协议生成的路由
静态路由：手工设定将某些目的IP地址的报文，发往指定的接口。

静态路由很可靠并且使用很少的带宽，但是它不能自动响应网络中的变化，所以可能会导致目的的不可达。

当网络规模不断扩大时，手工设置静态路由将是一件很烦琐的事。

动态路由：三层交换机通过动态路由协议来计算转发报文的最佳路径。

动态路由协议有两种类型：
距离－矢量协议（例如RIP协议）通过距离值来维护路由表，并且周期性的将路由表向它们的相邻设备传送。

距离-矢量协议通过跳数单位来计算出最佳路由。

距离矢量协议的特点是易于配置和使用。

链路状态协议（例如OSPF协议）维护了一个网络拓朴结构的数据库，该数据库基于路由器之间链路状态通告(LSA)的交换。

LSA由网络连接的状态变化触发，它加速了响应这些变化所需要的收敛时间。

链路状态协议能够快速响应网络拓朴结构的变化，但相对距离矢量协议，它需要更大的带宽和更多的资源。

缺省路由：通过上述方法无法寻径的IP报文发送到缺省的接口。

S21系列中的三层交换机所支持的距离－矢量协议为路由信息协议为RIP，RIP使用距离跳数来确定最佳的路径。

目前暂不支持链路状态协议。

在一些的网络环境中，VLAN和一个单独的IP网络关联。

从IP网络角度说，每个IP子网都映射到一个独立的VLAN上。

通过对VLAN的配置可以控制广播域的大小，把本子网内部的流量限制在一个VLAN内。

然而，当一个VLAN中的设备需要和另一个VLAN中的设备进行通信时，就必须通过VLAN间的路由实现。

用户需要配置一台或多台路由器或三层交换机将报文路由到适当的目的VLAN中。

图19.1显示了一个典型的路由拓朴。

交换机I在VLAN 1中，交换机II在VLAN 2中。

路由器在每个VLAN 中有一个接口。

图 19.1
当VLAN 1中的主机A想和VLAN 1中的主机B通信时，由于它们在同一子网中，主机A发送地址为B的报文。

交换机I直接将报文转发给主机B，而不发送到路由器。

当VLAN 1中的主机A想和VLAN 2中的主机C通信时，它们处于不同的子网，主机A发送目的MAC地址为路由器的报文，交换机I将报文送到路由器。

路由器从VLAN 1接口上接收报文，然后查询其路由表，找到该报文正确的输出网络接口，并把报文转发到VLAN 2中的交换机II，交换机II把该报文转发给主机C。

2. 配置路由的步骤
网络接口是路由设备为一个IP子网提供的网关接口，本交换机的网络接口(interface)为以下三种三层接口之一：
路由口(routed port)：一个物理端口，它把一个二层接口通过no switchport命令设为三层端口。

虚拟交换接口(SVI)：一个通过全局配置命令interface vlan vlan_id 创建的关联VLAN的网络接口。

三层模式下的聚合链路(L3 Aggregate Port)：一个逻辑接口.先创建一个空的L2 AP,然后通过no switchport命令转换成L3 AP,将routed port作为成员加入。

对于S2126G-L3和S2150G-L3在每个网络接口上配置最多四个IP地址。

所能配置的网络接口的最大数目为32个。

所有的三层网络接口必需配置IP地址。

配置路由包括以下几个主要的过程：
启用路由功能，见相关文档
为了支持VLAN Interface，用户必需在交换机上创建和配置VLAN，并且配置二层接口的VLAN成员，见“配置VLAN”。

配置三层网络接口
配置三层网络接口的IP地址
启用所选择的动态路由协议
配置路由协议的参数
3. 配置网络接口的IP地址
要使网络接口生效，我们必须给三层网络接口配置IP地址。

该接口上为一个IP子网提供网关服务。

这节主要描述了如何配置IP地址。

缺省的地址配置
配置网络接口的IP地址
配置地址解释方式
监控和维护IP地址
3.1 缺省的寻址配置
Feature 缺省设定
IP地址 无定义
ARP ARP缓存表中没有任何表项。

ARP的封装格式：
老化时间：60分钟。

IP广播地址 255.255.255.255
IP的缺省网关 无定义
IP路由 缺省打开
3.2 配置网络接口的IP地址
一个网络接口可以配置四个IP地址，每个IP地址需要配置相应的子网掩码来指定它的子网范围。

同时还要指定对于这个子网的广播地址，如果用户不特别定义，则使用缺省值，广播的范围即为子网的范围。

添加网络接口的IP地址时必需符合下列条件：
IP为一个子网的网关，必须为一个主机地址
网关的地址不能为该子网的第一个IP（该子网的网络地址）和最后一个IP（该子网的广播地址）
必须设定子网掩码定义这个子网的范围
子网掩码必需连续（即子网掩码的0和1位不能交替出现）
下面举了几个错误配置的例子：
IP：192.168.1.0 MASK:255.255.255.252 错误：不能为该子网的网络地址，必须为主机地址。

IP：192.168.1.3 MASK:255.255.255.252 错误：不能为该子网的广播地址，必须为主机地址。

IP：192.168.1.1 MASK:255.255.0.252 错误：子网掩码必须连续。

在特权模式下，可以按照下列步骤配置网络接口的IP：
命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 interface interface_id进入网络接口配置模式，并指定要
配置的三层网络接口
步骤3 no switchport 去除接口的二层属性(仅对物理接
口或二层AL有效)
步骤4 ip address ip-address address_mask {[secondary|tertiary|quartus]} 配置IP地址和子网掩码,每个网络接口可以配置4个IP，通过参数secondary、tertiary、 quartus 来配置其他三个IP地址。

步骤5 no shutdown 启用这个网络接口
步骤6 end 退回到特权模式。

步骤7 show interfaces [interface-id]
show ip interface [interface-id]
show running-config
察看网络接口的设置结果。

步骤8 copy running-config startup-config 保存配置。

如果要删除某个网络接口的IP地址，使用接口配置命令no ip address.
3.3 配置IP地址的解释方式
一个IP设备有一个MAC地址作为本网段中的唯一访问标识。

在数据链路层(Layer2)的报文中，MAC地址被包含在报文头中，数据链路层设备(Layer2)可以识别它。

在以太网中，要同一个设备通讯，必须先知道它的MAC地址。

从IP获得对应的MAC地址的过程称为地址解释(address resolution)。

Address Resolution Protocol (ARP)用来解释与IP相对应的MAC地址。

它以IP做为输入，解释出对应的MAC 地址，并把IP—MAC地址对表存在缓存中，供下次直接使用，而不必再去解释，以提高效率。

地址解释后，IP报文便被封装在数据链路层报文中在网络上传输。

本节将描述与ARP相关的管理配置。

ARP及其他的地址解释协议提供了自动匹配IP与MAC地址的功能，所以，在一般的情形下，我们无须手工配置静态ARP。

由于网络上IP对应MAC地址可能会变化，所以，动态学习的ARP在一段时间后会自动老化，我们可以配置老化时间长度。

从进入特权模式开始，按如下步骤进行ARP相关配置
命令含义
步骤1 configure terminal 进入全局配置模式。

步骤2 arp ip-address hardware-address [type] interface interface-id 配置一个静态ARP表项，并说明封装类型type，目前我们只支持arpa type=arpa
步骤3 interface interface-id进入Interface配置模式，并且指明
所要配置的
interface
步骤4 arp timeout seconds配置当前Interface的Arp老化时间
步骤5 end 退回到特权模式。

步骤6 show interfaces [interface-id]查看所有的(或指定的)Interface的
arp 老化时间
步骤7 show arp
or
show ip arp
查看arp表项
步骤8 copy running-config startup-config 保存配置。

用no arp ip-address hardware-address type删除指定的arp表项；若要删除所有的arp表项，用clear arp-cache 命令。

以下是在特权模式下，用show arp显示的结果：
Switch#show arp
Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.2.3 - 0002.4b29.2e00 ARPA GigabitEthernet0/10 Internet 172.20.136.9 120 0030.19c6.54e1 ARPA Vlan1 Internet 172.20.250.42 149 0030.19c6.54e1 ARPA Vlan1 Internet 120.20.30.1 - 0002.4b29.2e00 ARPA Vlan27 Internet 172.20.139.152 101 0030.19c6.54e1 ARPA Vlan1
S2126g，在特权模式下用show arp与show ip arp命令的显示结果
一致。

3.4 监控和维护IP地址
用户可以清除ARP表和不需要的IP路由表项。

以下显示了清除信息的命令。

命令 含义
clear ip route {network [mask]|*}从路由表中删除一条或多条路由
用户可以显示必要的统计值，例如路由表内容、ARP表等。

以下列出了显示IP统计信息的命令。

show arp 显示ARP表
show ip interface [interface-id]显示网络接口的IP状态
show ip redirects 显示当前的默认网关地址(仅在二层模式下有
效)
show ip route [address[mask]|[protocol]]显示当前路由表的状态
4. 启用IP路由
要使用交换机的三层功能，必需打开IP路由功能。

在S21系列支持三层功能的交换机中，缺省情况下，IP路由功能为打开。

在特权模式下，用户通过以下操作可以打开IP路由功能。

命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 ip routing 启用IP路由(重启)
步骤3 router ip_routing_protocol指定使用的IP路由协议。

现在只有
RIP2。

步骤4 end 退回到特权模式。

步骤5 show running-config 显示当前的运行状态
步骤6 copy running-config startup-config 保存配置。

用户可以使用全局配置命令no ip routing来禁止路由功能。

现在用户可以按照下列章节的描述来配置路由协议的参数。

配置RIP
用户同样能进行与协议无关的配置
与协议无关的配置
5. 配置RIP
RIP(Routing Information Protocol)是一种内部网关协议，它适应于小型网络。

它是距离矢量协议中最简单的一种。

运行RIP协议的设备使用UDP报文去交换路由信息。

要了解这个协议详细资料请参考RFC2453。

使用RIP时，交换机每30秒(缺省值)发送路由信息的更新报文(即为“通告”)。

如果交换机A 在180秒(缺省值)或用户设定的时间内没有收到交换机B的更新报文，则该交换机A会将由交换机B提供的路由置为不可用。

如果在120秒(缺省值)或用户设定的时间后仍然没有更新报文，则该交换机A会删除所有由交换机B提供的路由。

RIP使用跳数(metric)来评估不同的路由。

跳数一般是表示在路由中所经过的路由器的数量。

在发送更新报文时将访问本地网络的花费(即默认跳数)作为本地直连路由得跳数，缺省为1；跳数值为16的路由表示目的地址不可达。

由于RIP的有效跳数被限制在0～15之间，这使得RIP协议不适用于大型的网络。

RIP对每个网络接口所连的子网发送指定子网广播，如果一个网络接口没有指定任何子网，则不会发送任何更新报文。

下表为RIP的缺省设置：
RIP的接收版本 由运行方案确定
RIP的发送版本 由运行方案确定
水平分割 始终打开
默认的跳数 1
触发更新 始终打开
源地址校验 缺省打开
RIPv2的验证 缺省关闭
基本定时器 Update： 30秒
Invalid：180秒
Hold-down：120秒
RIP运行方案 接收RIP1和RIP2的报文；发送RIP1的报文
配置RIP必须在三层模式下才进行配置。

RIP的运行会将本地所有的网络路由进行通告。

没有重分发的设定。

在特权模式下，用户可以按照下表启用RIP并进行配置。

命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 ip routing 启用路由功能(如果为关闭的话)
步骤3 router rip 打开RIP，进入配置模式
步骤4 default-metric number(1～15)(可选)设置默认跳数，缺省的情况
下为1。

步骤5 timers basic update invalid holddown(可选)调整路由协议的计时器。

update：发送更新报文的时间间隔，
缺省为30秒。

有效范围为0到
2147483647秒。

invalid：宣布路
由无效的时间间隔。

缺省为180秒。

有效范围为1到2147483647秒。

holddown：在一条RIP路由表被删
除之前应该保持的时间。

缺省的时
间为120秒。

有效范围为0到
2147483647秒。

步骤6 version {1|2}(可选)配置交换机只接收和发送
RIP1和RIP2或者接收RIP1和RIP2
发送RIP1。

缺省情况下为第三种。

同样也可以通过 接口配置命令ip
rip {send|receive} version
{1|2|1 2}来控制网络接口的接收
和发送版本。

步骤7 no validate-update-source (可选)禁止源地址验证。

缺省情况
下，交换机会对源地址进行验证并
且将源地址无效的更新报文丢弃。

在通常情况下，不建议关闭该选项。

如果需要接收一台不在网络中的设
备发送的更新报文，则可以使用该
命令。

步骤8 End 退回到特权模式。

步骤9 show ip protocol 显示当前运行的路由协议。

步骤10 copy running-config startup-config 保存配置。

5.1 运行方案的配置
由于RIP有两个版本，而运行RIP每台三层设备所支持的版本也不尽相同。

所以当多台运行RIP 的三层设备在同一网络内工作时，必需保证其相互的兼容和一致。

在缺省情况下，每个接口发送RIPv1的报文，接收RIPv1和RIPv2的报文。

用户可以使用version {1|2}的RIP配置命令来指定所有接口统一接收和发送RIPv1或者RIPv2的报文。

也可以使用no version恢复接口的缺省状态。

5.2 RIPv2的广播开关
如果三层交换机运行在RIPv2的方案下，可以以广播或组播两种方式发送路由信息。

对于每个接口可以设置在发送RIPv2的更新报文时是发送限定子网广播(255.255.255.255)还是组播(224.0.0.9)。

缺省的情况下RIPv2广播处于关闭状态。

在特权模式下，用户可以根据下表进行RIPv2广播的设定：
命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 interface interface-id进入网络接口的配置模式，并指定要
进行配置的网络接口。

步骤3 ip rip v2-broadcast 发送v2的广播
步骤4 end 退回到特权模式。

步骤7 copy running-config startup-config 保存配置。

用户可以通过接口配置命令 no ip rip v2-broadcast关闭接口的RIPv2广播。

5.3 验证功能的设定
RIPv2支持报文的验证，这是一种安全措施，当使用验证时,交换机不会和网络中一些未被授权的交换机进行路由信息的交换。

验证功能是在每个网络接口上进行设置。

每个网络接口可以设
置各自关联的密钥链。

如果没有设置有效的密钥链或者相关联的密钥链中没有有效的密钥，则无法打开验证功能。

每个接口可以有两种方式进行验证：明码和MD5。

缺省的情况下接口处于非验证模式。

按照下列方式可以在网络接口上进行RIP验证的配置。

命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 interface interface-id进入网络接口的配置模式，并指定要
进行配置的网络接口。

步骤3 ip rip authentication key key-chain启用RIP验证。

步骤4 ip rip authentication mode{text|md5}配置网络接口使用text方式还是md5
方式进行验证。

步骤5 end 退回到特权模式。

步骤6 show ip protocols rip interface-id察看设置。

步骤7 copy running-config startup-config 保存配置。

如果要恢复接口缺省的非验证状态，可以使用接口配置命令 no ip rip authentication mode. 如果要关闭验证，则使用接口配置命令 no ip rip authentication key.
6. 与协议无关的配置
这节主要描述如何去进行一些与协议无关的配置。

本章包括一下内容：
配置静态路由
指定缺省路由
对于路由协议信息的过滤
管理验证密钥
6.1 配置静态路由
静态路由是由用户自行设定的路由，这些路由指定了报文从源地址到目的地址所走的路径。

如果交换机无法自动生成一个指定目的地址的路由，那么静态路由就会起到相当重要的作用。

同样，配置静态路由可以用于指定一个缺省路由。

在特权模式下，用户可以静态路由的配置：
命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 ip route prefix mask{address|interface[address]}
建立一条静态路由。

[distance][enable|disable]
步骤3 end 退回到特权模式。

步骤4 show ip route 显示当前的路由表配置
察看设置的正确性。

步骤5 copy running-config startup-config 保存配置。

用户可以通过disable或enable参数来决定指定的路由是否生效。

使用disable参数可以使指定路由处于暂时不生效的状态。

使用enable参数可以使指定路由重新生效。

静态路由会一直被保存直到用户将其删除。

用户可以通过设置动态路由的管理距离来使其优先于静态路由。

每个动态路由协议都有一个缺省的管理距离值。

如下表所列。

如果需要动态路由优先于静态路由，那么可以将静态路由的管理距离设置为大于动态路由的管理距离(也可以修改动态路由的管理距离)。

可设定的范围为（1～255）。

下表为路由的缺省管理距离值：
路由类型 缺省的管理距离
直连路由 0
静态路由 1
RIP路由 120
未知 255
当一个网络接口为不可用时，所有关联到这个网络接口的路由表项都会被自动设为不可用，但不删除。

当网络接口重新可用时，相关的路由也会被重新启用。

在添加静态路由时用户可以指定路由关联的网络接口和下一跳地址,用户也可以只设下一跳地址,自动获得相关联的网络接口.
在添加静态路由时必需符合以下条件才能成功加入：
目的地址必需是合法地址
子网掩码必需连续
IP地址和子网掩码必需符合规则：IP == IP & MASK
路由的下一跳不能为网络接口配置的IP
以下情况可导致添加的路由不可用：
如果用户只设置了下一跳地址，且根据下一跳关联不到合适的网络接口；
关联的网络接口实际状态为不可用。

在下一跳不同的情况下，可以存在多条IP地址和子网掩码相同的静态路由作为冗余。

6.2 配置缺省路由
一台三层交换机提供路由服务的范围不可能包括所有网络，为了能够提供完全的路由服务，交换机可以把无法正常路由的报文按照缺省路由的设置将其送到一台用户指定的设备上，该设备的IP地址这就是缺省路由的下一跳。

缺省路由也由静态设置生成。

6.3 对于路由协议信息的过滤
6.3.1 设置被动网络接口
为了防止网络中的其他三层设备动态的学习到本交换机的路由信息，可以将本交换机指定的网络接口设为被动接口。

由于在一个网络中有多个网络接口，为了避免要一个一个的设置，用户可以通过路由设置命令 passive-interface default将所有的网络接口设为被动接口。

设置被动网络接口只对三层网络接口有效.
在特权模式下，用户可以进行被动口的配置：
命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 router rip 进入路由协议配置模式（目前只支
持RIP）
步骤3 passive-interface interface-id(可选)将指定的网络接口设为被
动。

步骤4 passive-interface default (可选)设置所有的网络接口为被动
步骤5 end 退回到特权模式。

步骤6 copy running-config startup-config 保存配置
如果要让网络接口重新发送路由信息，则可以使用no passive-interface interface-id命令进行设置。

如果使用参数default则是对所有的接口进行设置。

6.4 管理验证密钥
通过对于密钥的管理，用户可以对路由协议使用的密钥进行控制。

不是所有的路由协议都需要使用密钥管理。

现有的密钥管理只使用于RIPv2。

对于密钥的配置和管理独立于路由协议。

首先，用户必须定义一个密钥链，然后定义属于这个密钥链的密钥，并且定义每个密钥的有效时间。

每个密钥都有自己的密钥标识符，这些标识符被保存在本机上。

用户可以同时设置多个密钥的有效时间。

不管同时存在多少有效的密钥，在发送报文时只有一个密钥被使用。

系统按照密钥的号码从小到大遍历，使用找到的第一个有效的密钥。

密钥的有效时间可以使不同的密钥之间进行替换。

在特权模式下，用户可以对密钥进行管理：
命令 含义
步骤1 configure terminal 进入全局配置模式。

步骤2 key chain name-of-chain定义一个密钥链，并进入密钥链设
置模式.密钥链名字可以包含1～
32个字母或是数字.
步骤3 key number定义密钥的号码，范围为0到
2147483647.
步骤4 key-string text定义密钥的字符串。

这个字符串可
以包含1～80个字母或是数字。

步骤5 accept-lifetime start-time
{infinite|end-time|duration second}(可选)指定能够接收该密钥的期限。

起始时间(start-time)定义的格式为hh:mm:ss日月年。

缺省情况为总是有效。

send-lifetime start-time
{infinite|end-time|duration second}(可选)指定能够发送该密钥的期限。

起始时间(start-time)定义的格式为hh:mm:ss日月年。

缺省情况为总是有效。

步骤6 end 退回到特权模式。

步骤7 show key chain 显示密钥链信息。

步骤8 copy running-config startup-config 保存配置
用户可以使用全局配置命令 no key chain name-of-chain来删除一个密钥链。

在密钥链配置模式下可是使用 no key number 来删除一个指定的密钥。

7. 监控和维护IP网络
在特权模式下，用户可以根据需要删除或显示所指定的IP路由表项和路由协议信息。

命令 含义
clear ip route {network[mask|*]删除路由表中的一条或多条路由 show ip protocol 显示当前运行的动态路由协议。

show ip route [address[mask][longer-prefixs]]|protocol]显示当前路由表的状态（确定要显
示的信息）
longer-prefixs参数用于显示所
有和指定的IP和子网掩码匹配（包
括包含和被包含关系）的路由表项。

如果不加该参数，则显示所匹配到
的路由表项的详细信息。

敏锐把握应用趋势、快捷满足客户需求。