思科认证体系.doc

《思科认证体系.doc》由会员分享，可在线阅读，更多相关《思科认证体系.doc（93页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流思科认证体系.精品文档.Feature（提示：由于内容较多，阅读时，建议开启 文档结构图.）目录Directed-broadcast（定向广播）2DHCP5IP Accounting（记账）19NetFlow24WCCP31DRP （Director Response Protocol）33IP Event Dampening(IP事件惩罚)34Core dump（核心崩溃）37GLBP （Gateway Load Balancing Protocol ）39SLA （Service Level Agreements）53NTP（网络时间协议

2、）67Summer-time夏令时71Syslog and local logging73FTP&TFTP76HTTP&HTTPS77SNMP80RMON（远程监视）85Embedded Event Manager (EEM)87SCP（安全复制协议）111Directed-broadcast（定向广播）概述 在默认情况下，Cisco路由器在收到任何广播数据的时候，默认都是丢弃而不转发，在某些时候，有些广播是必须的，比如我们通常使用的NetBios Name Server协议，DNS协议，还有DHCP协议。就像DHCP协议，当主机在没有地址的情况下，向服务器请求IP地址，正因为自己没有IP地址

3、，却又不知道服务器在哪，所以需要使用广播来查找，这时，如果服务器在远程网络，而路由器又拒绝转发广播，那么将给我们的DHCP带来麻烦。要如何才能在这种情况下让网络正常工作呢，那就是让路由器帮我们把广播转发到我们需要到达的目标网络，这样需要到达远程网络的广播，我们称为定向广播，比如我们本地网络是10.1.1.0/24的网段，我们需要将广播发到192.168.1.0/24的网段，那么只想让广播在192.168.1.0/24网段发送，广播地址为192.168.1.255，但如果直接这样发，是到达不了192.168.1.0/24网段的，所以需要得到路由器的允许。Directed-broadcast每个网

4、络都是与路由器的某个接口相连的，这个网络需要向远程网络发送广播，首先就是发送到路由器与之相连的接口，那么当路由器从该接口收到广播之后，决定是丢弃还是转发，就在于路由器的接口是否允许定向广播功能，如果我们需要让路由器帮我们转发定向广播，就需要在接口上手工配置directed-broadcast转发功能。配置1配置Directed-broadcast（1）定义ACLR1(config)#access-list 10 permit any注：ACL是用来告诉接口哪些数据包是可以传递定向广播的，加了ACL之后，只传递该ACL所有允许的数据，如果不加ACL，默认传递所有定向广播数据。（2）在接口上开启d

5、irected-broadcastR1(config)#int f0/0R1(config-if)#ip directed-broadcast 10注：IOS 12.0开始，默认接口上是关闭directed-broadcast的。（注意IOS版本，请以自身为准。）Forward-protocol在路由器接口上开了directed-broadcast之后，路由器便能够将该接口上收到的定向广播发往相应的远程网络，比如从10.1.1.0/24收到的广播发往192.168.1.255，但是如果一个目标地址为255.255.255.255（此广播称为本地广播）的DHCP广播请求包，需要发往DHCP服务器

6、所在的192.168.1.0/24网络（DHCP服务器地址为192.168.1.100），路由器会自动将该广播包转到192.168.1.100吗？答案当然是不会，那么又如何让路由器在收到目标地址为255.255.255.255的广播包，就知道要转发到192.168.1.100呢？这就需要在路由器接口上定义ip helper-address，之后路由器就会将广播转成单播发到ip helper-address后面的目标IP，但是要注意的是，什么样的广播才会被转发到ip helper-address后面的目标IP，是需要根据forward-protocol来定义的，如果forward-protoco

7、l不允许任何协议，那么路由器就不会将任何广播发到ip helper-address后面的目标IP。forward-protocol默认允许通过的协议为： Trivial File Transfer (TFTP) (port 69) Domain Name System (port 53) Time service (port 37) NetBIOS Name Server (port 137) NetBIOS Datagram Server (port 138) Boot Protocol (BOOTP) client and server datagrams (ports 67 and 68

8、) TACACS service (port 49) 所以默认情况下，在接口上加了ip helper-address，路由器也就只能转发这些默认的端口。配置1配置forward-protocol（1）定义可以转发的协议和端口R1(config)#ip forward-protocol udp 3001注：默认是开启forward-protocol的，且只能转发默认协议和端口。（2）在接口下配置ip helper-addressR1(config)#int f0/0 R1(config-if)# ip helper-address 192.168.1.100注：默认是关闭ip helper-ad

9、dress的。说明：通过以上配置之后，当路由器从f0/0接口上收到目标地址为255.255.255.255的广播，并且目标为UDP 3001的广播之后，就会转成单播发往192.168.1.100。如果没有配置forward-protocol，路由器就只能转发默认的协议和端口。DHCP概述DHCP应该是一个大家都非常熟悉的协议，可能算不上什么feature，平时我们使用电脑时，经常会用到，它的功能也是大家所知道的：动态地为主机分配IP地址以节省工作量。由此可以看出，DHCP可以由两个部分组成，即DHCP服务器和DHCP客户端（通常为我们所使用的PC）。那么在Cisco设备分别扮演DHCP服务器和

10、DHCP客户端时，与其它设备有什么不同之处呢，下面来详细地介绍。DHCP是一个协议，无论它运行在主机上，还是在路由器或交换机上，其运行的规则，就像TCP/IP协议一样，是不允许我们使用任何命令更改的，DHCP前身是BOOTP协议，使用的端口号为：服务器端是 UDP 67(cisco设备上称为bootps)，客户端是UDP 68（cisco设备上称为bootpc）,CCIE考生需牢记。当一台主机接入网络后，在没有IP地址的情况下，向网络上发送DHCP请求获得IP地址时，正因为自己还没有IP地址，所以发送数据包时，源IP为0.0.0.0,源MAC正常，而自己也不可能知道谁是DHCP服务器，所以数据

11、包是目标IP地址为255.255.255.255、目标MAC地址为FFFFFF的广播包。当本地网络中如果存在DHCP服务器，那么DHCP服务器从某个网卡收到请求后，便向客户端发送一个地址信息，其中包含我们需要使用的IP地址，子网掩码，网关，DNS等信息，同时这些信息会携带一个租约时间（即这个地址客户端可以使用多久，过了这个时间，那么服务器将该地址提供给其它客户端使用），当然，客户端也可以提前结束该地址的使用。当我们使用的客户端为windows主机，其接入网络之后，当网卡配置为DHCP获得地址时，就开始向网络中请求地址，先发送一个广播包，等待1秒之后，如果没有服务器应答，就开始尝试发送第二个广播

12、包，如果又等了9秒没有收到应答，则发送第三个广播包，第三个是等13秒，还没有应答，最后再发送一个包，等待16秒后，最终在四个广播包没有应答的情况下，也就是从发送第一个请求包到39秒之后，默认是放弃请求，但最后也会为网卡自动配上一个私有IP地址，地址段为169.254.0.0/16,并且你会看到网卡连接图标上出现黄色感叹号，状态名为“受限制或无连接”，即使这时网络中出现了DHCP服务器，也救不了这台主机，这就是windows主机作为DHCP客户端的情况。那么使用Cisco设备作为DHCP客户端的不同之处是什么呢？当Cisco设备的接口配置为DHCP获得地址时，便向网络中发出广播，如果等待5秒都没

13、有收到应答，就再次发送，再等10秒，没有收到就再发，然后再等15秒,20秒，25秒，30秒60秒，由此可以看出其间隔是随着次数的增加而每次加5秒，但尝试到60秒后，便不再增加，又会重新回到5秒，以次类推，Cisco设备在得不到地址的情况下，并不会为接口自动配上网段为169.254.0.0/16的地址，所以如果网络中之后出现DHCP服务器，就会为该设备的接口分发一个IP地址。当DHCP客户端得到IP地址后，因为地址使用是有时间限制的，当这个时间过去一半的时候，客户端会向服务器续约，以请求继续使用该地址，服务器同意后，该地址的使用时间会被刷新，如果在时间过去一半时，续约不成功，便会在总时间过去75

14、%的时候再续约一次，如果还不成功，就会放弃该地址的使用权。服务器与客户端之间并没有hello这样的数据包来保持会话状态，所以当一台客户端得到一个IP地址的使用权后，中途离开网络，服务器是无法知道的，也就无法将该IP地址重新分配给他人使用，所以建议大家在配置服务器时，可以将租约配的越短越好，以免造成一个地址发给客户使用，而这台客户机已经离开了，该IP地址还长时间不能重新发给新的客户使用，建议租约配置为1分钟，因为一个地址在租约过半时，客户端会续约，也就是可以再次使用同一个地址，所以不用担心一分钟之后，客户端会重新获得别的IP地址。当一台DHCP客户端收到服务器提供的IP地址后，会使用Gratui

15、tous ARP来查讯网络，即使用该IP地址为目的IP，目标MAC为FFFFFF发到网络里，如果有人回答该数据包，则证明该IP地址在网络中已经有他人在使用，那么将向DHCP服务器重新请求获得别的IP地址。（注：Gratuitous ARP通过正常手段无法关闭）配置DHCP基础1配置DHCP Server（1）开启DHCP功能r2(config)#service dhcp （2）配置DHCP地址池r2(config)#ip dhcp pool ccie1 地址池名为ccie1r2(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段r2(

16、dhcp-config)#default-router 10.1.1.1 网关r2(dhcp-config)#dns-server 10.1.1.1 10.1.1.2 DNSr2(dhcp-config)#lease 1 1 1 租期为1天1小时1分（默认为一天）r2(config)#ip dhcp pool ccie2 地址池名为ccie1r2(dhcp-config)#network 20.1.1.0 255.255.255.0可供客户端使用的地址段r2(dhcp-config)#default-router 20.1.1.1 网关r2(dhcp-config)#dns-server 20

17、.1.1.1 20.1.1.2 DNSr2(dhcp-config)#lease 1 1 1 租期为1天1小时1分（默认一天）（3）去掉不提供给客户端的地址注：因为某些IP地址不希望提供给客户端，比如网关地址，所以我们要将这些地址从地址池中移除，这样服务器就不会将这些地址发给客户端使用。 r2(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10r2(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除20.1.1.1 到20.1.1.102配置

18、DHCP Client（1）配置接口使用DHCPr1(config)#int f0/1r1(config-if)#ip address dhcp3查看命令：（1）在服务器上查看哪些地址分配给了哪些主机： R2#Show ip dhcp binding4查看结果查看DHCP Client会看到接口F0/0的IP地址为10.1.1.11并且产生一条指向10.1.1.1的默认路由（换成PC就会变成网关是10.1.1.1），路由器并不需要得到DNS。在这里，DHCP Server上明明配了两个地址池，网段分别为10.1.1.0/24和20.1.1.0/24,为什么客户端向服务器请求地址的时候，服务器就

19、偏偏会把10.1.1.0/24网段的地址发给客户，而不会错把20.1.1.0/24网段的地址发给客户呢。这是因为服务器从哪个接口收到DHCP请求，就只能向客户端发送地址段和接收接口地址相同的网段，如果不存在相同网段，就会丢弃请求数据包。图中接收接口地址为10.1.1.1，而地址池ccie1中的网段10.1.1.0/24正好和接收接口是相同网段，所以向客户端发送了IP地址10.1.1.11。DHCP中继如图中所示，当R1的接口配置为DHCP获得地址后，那么将从F0/0发出目的地为255.255.255.255的广播请求包，如果R2为DHCP服务器，便会响应客户端，但它不是DHCP服务器，因此R2

20、收到此广播包后便默认丢弃该请求包。而真正的DHCP服务器是R4，R1的广播包又如何能到达R4这台服务器呢，R4又如何向R1客户端发送正确的IP地址呢。 路由器是不能够转发广播的，因此，除非能够让R2将客户端的广播包单播发向R4这台服务器。 我们的做法就是让R2将广播包通过单播继续前转到R4这台服务器，称为DHCP中继，通过IP help-address功能来实现。1R2配置（1）配置将DHCP广播前转到34.1.1.4注：IP help-address功能默认能够前转DHCP协议，所以无需额外添加。 R2(config)#int f0/0 R2(config-if)#ip helper-add

21、ress 34.1.1.42配置DHCP Server:（1）开启DHCP功能 R4(config)#service dhcp （2）配置DHCP地址池 R4(config)#ip dhcp pool ccie1 地址池名为ccie1 R4(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段 R4(dhcp-config)#default-router 10.1.1.1 网关 R4(config)#ip dhcp pool ccie2 地址池名为ccie1 R4(dhcp-config)#network 34.1.1.0 255.25

22、5.255.0 可供客户端使用的地址段 R4(dhcp-config)#default-router 34.1.1.4 网关（3）去掉不提供给客户端的地址 R4(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 R4(config)#ip dhcp excluded-address 34.1.1.1 34.1.1.10 移除20.1.1.1 到20.1.1.10（4）配置正确地址池的路由 R4(config)#ip route 10.1.1.0 255.255.255.0 34.1.1.3注： R

23、3无需做任何配置！3查看结果查看DHCP Client会看到接口F0/0的IP地址为10.1.1.11，那么DHCP服务器R4又是根据什么来判断出客户端需要的是哪个网段的IP地址呢，为什么还是没有错把34.1.1.0/24网段的地址发给客户呢。不是说服务器从哪个接口收到请求，就把这个接口相同网段的地址发给客户端吗？按照之前的理论，应该是发送34.1.1.0/24的地址给客户啊。在这里，能够指导服务器发送正确IP地址给客户端，是因为有一个被称为option 82的选项，这个选项只要DHCP请求数据包被中继后便会自动添加，此选项,中继路由器会在里面的giaddr位置写上参数，这个参数，就是告诉服务

24、器，客户端需要哪个网段的IP地址才能正常工作。中继路由器从哪个接口收到客户的DHCP请求，就在option 82的giaddr位置写上该接收接口的IP地址，然后服务器根据giaddr位置上的IP地址，从地址池中选择一个与该IP地址相同网段的地址给客户，如果没有相应地址池，则放弃响应，所以，服务器R4能够正确发送10.1.1.0/24的地址给客户，正是因为R2在由于IP help-address的影响下，将giaddr的参数改成了自己接收接口的地址，即将giaddr参数改成了10.1.1.1，通过debug会看到如下过程：*Mar100:28:36.666: DHCPD: setting gia

25、ddr to 10.1.1.1.*Mar100:28:36.666:DHCPD:BOOTREQUESTfrom0063.6973.636f.2d30.3031.322e.6439.6639.2e63.3638.302d.4661.302f.30 forwarded to 34.1.1.4.从上面debug信息可以看到R2是将giaddr 改成 10.1.1.1后发中继发向34.1.1.4的，需要知道的是，经过中继后发来的DHCP请求包如果giaddr位置不是某个IP地址而是0.0.0.0的话，服务器是丢弃该请求而不提供IP地址的。注：当服务器上存在10.1.1.0/24网段的地址池时，服务器要

26、将该地址池发送给客户，就必须存在到达10.1.1.0网段的路由(默认路由也行)，并且客户端必须位于该路由的方向，如果方向不对，该地址池也是不能够发给客户使用的。不同VLAN分配不同地址如图3中所示，两个DHCP客户端分别位于交换机上两个不同的VLAN，交换机上的VLAN接口将作为他们的网关，R3是DHCP服务器，这两个客户端必须得到不同网段的地址，否则无法与外网通信，在这种情况下，服务器R3也必须正确为R1分配10.1.1.0/24网段的地址，必须为R2分配20.1.1.0/24的地址，配置如下：1配置DHCP Server（1）开启DHCP功能 R3(config)#service dhcp

27、 （2）配置DHCP地址池R3(config)#ip dhcp pool ccie1 地址池名为ccie1R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段R3(dhcp-config)#default-router 10.1.1.1 网关R3(config)#ip dhcp pool ccie2 地址池名为ccie1R3(dhcp-config)#network 20.1.1.0 255.255.255.0 可供客户端使用的地址段R3(dhcp-config)#default-router 20.1.1.1 网关（3）去掉不提

28、供给客户端的地址R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10R3(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除20.1.1.1 到20.1.1.10（4）配置正确地址池的路由R3(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.1R3(config)#ip route 20.1.1.0 255.255.255.0 30.1.1.12配置交换机（1）配置相应接口信息 sw(conf

29、ig)#vlan 10 sw(config-vlan)#exit sw(config)#vlan 20 sw(config-vlan)#exit sw(config)#int f0/1 sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 10 sw(config-if)#exit sw(config)#int f0/2 sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 20 sw(config-if)#

30、exit sw(config)#int vlan 10 sw(config-if)#ip address 10.1.1.1 255.255.255.0 sw(config-if)#ip helper-address 30.1.1.3 单播前转DHCP广播到30.1.1.3 sw(config-if)#exit sw(config)#int vlan 20 sw(config-if)#ip address 20.1.1.1 255.255.255.0 sw(config-if)#ip helper-address 30.1.1.3 单播前转DHCP广播到30.1.1.33配置DHCP Clien

31、t（1）配置R1r1(config)#int f0/1r1(config-if)#ip address dhcp(2)配置R2r2(config)#int f0/1r1(config-if)#ip address dhcp4查看结果：按上述配置完之后，客户端R1的F0/0便能够收到地址10.1.1.11,客户端R2便能够收到地址20.1.1.11，然后就可以全网通信。在上述的情况下，服务器R3能够正确为R1分配10.1.1.0/24网段的地址，能够正确为R2分配20.1.1.0/24网段的地址，同样也是因为交换机在收到R1的DHCP广播包后，将giaddr的参数改成了10.1.1.1，收到R2

32、的广播包后，将giaddr的参数改成了20.1.1.1，所以最后服务器R3能够根据giaddr=10.1.1.1的包分配10.1.1.0/24的地址，根据giaddr=20.1.1.1的包分配20.1.1.0/24的地址。IP与MAC地址绑定在配置DHCP时，地址池中除了移除掉的IP地址之外，所有的地址都会按顺序分配给客户，所以客户机得到的IP地址是无法固定的，有时需要每次固定为某些PC分配相同的IP地址，那么这时就可以配置DHCP服务器以静态将IP地址和某些MAC绑定，只有相应的MAC地址才能获得相应的IP地址。在Cisco设备上静态将IP与MAC绑定的方法为，需要将某个IP地址绑定给MAC

33、地址，就为该IP地址单独创建地址池，称为host pool，地址池中需要注明IP地址和掩码位数，并且附上一个MAC地址，以后这个IP地址就只分配给这个MAC地址，所以host pool只能有一个IP地址和一个MAC地址，如果需要为多个客户绑定IP和MAC，就必须得单独为每个客户都配置各自的host pool，还要注意的是，在host pool中，MAC地址的表示方法和平常不一样，比如一个主机网卡的MAC地址为aabb.ccdd.eeff，在地址池中，需要在前面加上01（01表示为以太网类型），结果为01aa.bbcc.ddee.ff1 配置host pool:（1） 配置pool名r1(con

34、fig)#ip dhcp poo ccie（2）配置IP地址r1(dhcp-config)#host 10.1.1.100 /24（3）配置与该IP地址对应的MAC地址r1(dhcp-config)#client-identifier 01aa.bbcc.ddee.ff2查看配置结果：（1）查看服务器地址分配状态 r1#sh ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name

35、 10.1.1.100 01aa.bbcc.ddee.ff Infinite Manual r1#说明：从以上结果可以看出，IP地址10.1.1.100已经手工与MAC地址aabb.ccdd.eeff做了绑定，以后只要MAC地址为aabb.ccdd.eeff的客户端请求IP地址时，才能获得IP地址10.1.1.100。DHCP安全ARPCisco设计的DHCP安全ARP也许不是绝对的安全，但也起到了一定的作用，原本设计为一个需要计费的公共热点PVLAN（公共无线场所），如图4中所示，R3为DHCP服务器，为付费的R1提供正确IP地址以提供网络服务，当服务器R3为客户端R1提供IP地址 10.1

36、.1.2之后，就已经记住了它的MAC地址，在正常情况下，如果R1退出，服务器是不知道的，并且当网络中有欺骗者接入后，也可冒充10.1.1.2这个地址进行上网，当然R1和R2的MAC地址肯定是不一样的，如果这时服务器R3由于自动更新ARP表的MAC地址，就能够顺利让R2上网。 基于上述原因，需要在服务器R3和客户端R1之间提供某种安全机制，即服务器定期ARP讯问10.1.1.2是否还存在，在讯问时，只有R1能够回答。 在完成这种机制，需要两个feature来支持，第一个是Update Arp，在地址池模式下开启，这个feature便是定期讯问网络中DHCP客户端的;第二个是 Authorized

37、 ARP（ARP授权）,只能在以太网接口下开启，功能是禁止该接口下通过ARP自动更新和学习MAC地址，这样一来，接口下将不能有手动配置IP的设备接入，因为手工配置IP接入后，服务器不会更新自己的ARP表，也就无法完成到新设备的二层MAC地址封装，也就无法和新设备进行通信，只有合法的DHCP客户端才能正常通信，所以，如果为远程客户端分配IP地址，就无法做这样的保护，并且到远程客户端的下一跳必须是自己的客户端，因为如果不是，是无法通信的，因为ARP不存在到它的条目。1配置安全ARP：（1）开启DHCP功能 R3(config)#service dhcp （2）配置DHCP地址池 R3(config

38、)#ip dhcp pool ccie1 地址池名为ccie1 R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段 R3(dhcp-config)#default-router 10.1.1.1 网关 R3(dhcp-config)#update arp 开启定期ARP讯问（3）去掉不提供给客户端的地址 R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10（4）在接口下开启Authorized ARP R3(config)#int

39、 f0/0R3(config-if)#Router(config-if)# arp authorized 禁止动态更新ARPR3(config-if)# arp timeout 60 60秒客户无应答则删除ARP条 目说明：通过以上配置之后，当DHCP客户端从服务器获得IP地址后，服务器便会定期查讯该IP地址，如果60秒没有回答，便从ARP表中删除该条目。DHCP监听如图5中所示，客户端R1只有正确从服务器R3中获得10.1.1.0/24网段的IP地址才能够正确上网，如果当网络中出现另外一台错误的DHCP服务器（图中R2），R2向客户端R1发出20.1.1.0/24的地址，那么将导致R1网络中

40、断，在这样的情况下，就需要禁止不合法的DHCP服务器向网络中提供DHCP服务，这就需要DHCP监听（DHCP Snooping）。DHCP Snooping是在交换机上完成的，如上图中，只要告诉交换机，只有F0/3发来的DHCP应答地址才转发给客户端，其它接口发来的应答地址统统被丢弃。要做到这一点，就要告诉交换机，F0/3接口是它可能信任的DHCP地址，其它接口都是不可信的，不能提供DHCP应答，那么在实现这个功能时，就需要将交换机上的接口分为可信任接口和不可信任接口两种，默认交换机全为不可信任接口，也就是说交换机开启DHCP Snooping之后，没有任何一个接口上的DHCP服务器能提供服务

41、。在交换机上配置DHCP Snooping时，必须指明在哪个VLAN上进行监听，其它没有监听的VLAN不受上述规则限制。1交换机上配置DHCP Snooping注：交换机上所有接口全部划入VLAN1（1）在交换机上开启DHCP Snooping sw(config)#ip dhcp snooping 开启DHCP Snooping sw(config)#ip dhcp snooping vlan 1 在交换机上启用DHCP Snooping（2）将相应接口变为信任接口（默认全部为不可信） sw(config-if)#ip dhcp snooping trust 2查看命令：（1）查看dhcp

42、snooping Sw#sh ip dhcp snooping说明：通过以上配置之后，只有交换机F0/3接口上（信任接口）的设备能够应答DHCP请求，而其它所有接口，比如R2过来的DHCP应答是会被丢弃的。但是你会发现，在这之后，R1还是无法获得服务器R3发来的DHCP地址。这是因为开了DHCP Snooping的交换机默认会产生中继效果，即将DHCP请求包的giaddr的参数改成0.0.0.0，交换机的这种中继效果是无法关闭的，当一个服务器收到中继后并且将giaddr设置为0.0.0.0而不是IP地址的请求包时，默认是要丢弃该数据包而不作应答的，所以服务器R3丢弃了该请求数据包。要让客户R1

43、能够正常收到DHCP提供的IP地址，就要让DHCP服务器对即使giaddr为0.0.0.0的请求包也作出应答。配置如下： R3(config-if)#ip dhcp relay information trusted 最后，从上图中，如果R3本身还不是DHCP服务器，如果DHCP服务器还在远程网络，需要R3提供中继并转发该请求包到服务器的话，那么R3除了在接口下配置ip dhcp relay information trusted之外，还必须配置ip helper-address，两者缺一不可。IP Accounting（记账）有时需要在路由器上查看某台主机通过路由器的流量是多少，这时就需要路

44、由器能够记录下该主机的数据量。主机之间进行通信时，发出的数据包都有源IP和目的IP共两个IP地址，路由器在记录流量时，可根据这些IP地址来定义要记录的流量。虽然通信时数据包有两个地址，但路由器只需要定义一个地址即可，这个地址不需要说明是源还是目的，也就是说一个数据包无论是源IP匹配还是目的IP匹配，都会被路由器记录，但是在记录条目里，会同时写上流量发生的源IP和目的IP。在记录流量时，单位是Byte,其中包含了数据包的包头和数据大小。在路由器开启记账功能后，会影响到路由器的工作性能，请慎用。需要注意的是，路由器只能记录从接口出去的流量，并且从自己发出的流量和发往自己的流量是不能记录的。路由器记

45、录的每一条包含一个源IP和一个目标IP，这一对称为一个条目，路由器能记录的条目数量是可以随意更改的，默认最多能存储512条。配置1配置IP Accounting（1）在路由器接口下直接开启IP Accountingr1(config)#int f0/0r1(config-if)#ip accounting 注：只能记录从接口f0/0出去的数据包2测试结果（1）在R2上ping 20.1.1.4，以测试R2到R4的数据不作记录，只有R4返回R2的才记录。 r2#ping 20.1.1.4 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 20.1.1.4, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms（2）再从R4 ping R2 r4#ping 10.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to