三层转发及ARP、ND操作 第1章 L3转发配置 end
Switch2#show run interface Vlan2
ipv6 address 2002::2/64 !
interface Vlan3
ipv6 address 2003::1/64 !
interface Loopback mtu 3924 !
ipv6 route 2001::/64 2002::1 ! no login ! End 案例2:
SW1 SW3
SW2 PC1 PC2
图 1-3 IPv6隧道
该案例为IPv6隧道,用户有如下配置需求:SW1和SW2为隧道的节点,支持双栈。SW3只是运行IPv4,PC1和PC2进行通信 配置说明:
1、 在SW1上配置两个vlan,分别为vlan1和vlan2。Vlan1是IPv6域,vlan2连接IPv4
域
2、 在SW1的vlan1中配置IPv6地址2002:caca:ca01:2::1/64,并且打开RA功能,
在vlan2配置IPv4地址202.202.202.1
3、 在SW2上配置两个vlan,分别是vlan3和vlan4,vlan4是IPv6域,vlan3是连接
IPv4域
1-14
三层转发及ARP、ND操作 第1章 L3转发配置
4、 在SW2的vlan4中配置IPv6地址2002:cbcb:cb01:2::1/64,并且打开RA功能,
在vlan3上配置IPv4地址203.203.203.1
5、 在SW1上配置手工隧道,隧道的源IPv4地址为202.202.202.1, 配置默认IPv6路
由指向该隧道
6、 在SW2上配置手工隧道,隧道的源IPv4地址为203.203.203.1, 配置默认IPv6路
由指向该隧道
7、 在SW3上配置两个vlan,分别为vlan2和vlan3,在vlan2上配置IPv4地址
202.202.202.202在vlan3上配置IPv4地址203.203.203.203 8、 PC1和PC2通过SW1和SW2获得2002的前缀自动配置IPv6地址 9、 在PC1上ping PC2的IPv6地址 配置步骤如下:
SW1(Config-if-Vlan1)#ipv6 address 2002:caca:ca01:2::1/64 SW1(Config-if-Vlan1)#no ipv6 nd suppress-ra SW1(Config-if-Vlan1)#interface vlan 2
SW1(Config-if-Vlan2)#ipv4 address 202.202.202.1 255.255.255.0 SW1(Config-if-Vlan1)#exit SW1(config)# interface tunnel 1
SW1(Config-if-Tunnel1)#tunnel source 202.202.202.1 SW1(Config-if-Tunnel1)#tunnel destination 203.203.203.1 SW1(Config-if-Tunnel1)#tunnel mode ipv6ip SW1(config)#ipv6 route ::/0 tunnel1
SW2(Config-if-Vlan4)#ipv6 address 2002:cbcb:cb01::2/64 SW2(Config-if-Vlan4)#no ipv6 nd suppress-ra SW2 (Config-if-Vlan3)#interface vlan 3
SW2 (Config-if-Vlan2)#ipv4 address 203.203.203.1 255.255.255.0 SW2 (Config-if-Vlan1)#exit SW2(Config)#interface tunnel 1
SW2(Config-if-Tunnel1)#tunnel source 203.203.203.1 SW2(Config-if-Tunnel1)#tunnel destination 202.202.202.1 SW2(Config-if-Tunnel1)#tunnel mode ipv6ip SW2(config)#ipv6 route ::/0 tunnel1
1.2.4 IPv6排错帮助
? 配置路由器的生存期时不应该小于发送路由器公告的时间间隔。如果相连PC未获得
IPv6地址时,应注意RA公告的开关(默认为关闭)。
1-15
三层转发及ARP、ND操作 第1章 L3转发配置
1.3 IP转发 1.3.1 IP转发介绍
网关设备可以将IP协议报文从一个子网转发到另一个子网中,这种转发是通过路由寻径的。交换机的IP转发是由硬件协助完成的,可以达到端口的线速转发;同时还可以提供各种灵活的控制,对转发行为进行调整和监控。交换机可以支持禁止或允许优化的聚合算法以调整交换芯片中网段路由表项的生成,查看IP转发的统计信息,监视IP报文的收发状况,以及查看硬件转发芯片的状况。
1.3.2 IP路由聚合配置
IP路由聚合配置任务序列:
1. 配置是否使用优化IP路由聚合算法
1.配置是否使用优化IP路由聚合算法 命令 全局配置模式 ip fib optimize no ip fib optimize
解释 配置交换机使用优化IP路由聚合算法;本命令的no操作为交换机不使用优化IP路由聚合算法。 1.4 URPF 1.4.1 URPF介绍
URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)将组播中使用的RPF技术应用到单播中,用于防止基于源地址欺骗的网络攻击行为。
交换机接收报文,同时获取报文的源地址和入接口,然后把该源地址作为目的地址在路由表中查找路由,如果查到的路由出接口和接收该报文的入接口不匹配,交换机则认为该报文的源地址是伪装的,并丢弃该报文。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP 地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
1-16
三层转发及ARP、ND操作 第1章 L3转发配置
1.1.1.8/8
源IP地址:2.2.2.1/8
2.2.2.1/8
Router A Router B Router C
图 1-4 URPF应用环境
如上图所示,在Router A上伪造源地址为2.2.2.1/8 的报文,向服务器Router B发起请求,Router B响应请求时将向真正的“2.2.2.1/8”发送报文。这种非法报文对Router B和Router C都造成了攻击。URPF 技术可以应用在上述环境中,阻止基于源地址欺骗的攻击。
1.4.2 URPF配置任务序列
1) 启动URPF
2) 显示和调试URPF相关信息
1) 全局启动URPF 命令 全局配置模式 urpf enable no urpf enable 2) 显示和调试URPF相关信息 命令 特权和配置模式 show urpf 解释 显示哪些端口启动了URPF。 解释 全局启动和关闭URPF。 1.4.3 URPF典型案例
1-17
三层转发及ARP、ND操作 第1章 L3转发配置
SW3
全局启动 URPF
SW1
E1/0/8 E1/0/8
SW2
E1/0/2 Vlan3
10.1.1.10/24 vlan1 E1/0/2 Vlan4 E1/0/3 启动URPF 伪装成SW2的IP地址10.1.1.10进行攻击 PC PC 2002::4/64 非法访问主机 主机1
如上图所示的网络拓扑中,一台SW3上启动URPF功能。当链接的网络中有人冒充别人的 IP地址进行恶意攻击时,交换机通过硬件功能直接丢弃所有的攻击报文。 设置SW3启动URPF功能。 SW3配置任务序列: Switch#config
Switch(config)#urpf enable
1.4.4 URPF排错帮助
? 如果在正常配置下,URPF运行的情况仍然和预期不匹配,请打开URPF的调试功能,
并且利用show urpf观察URPF是否开启,并将结果发送给技术服务中心。
1.5 ARP 1.5.1 ARP介绍
ARP(Address Resolution Protocol)地址解析协议,主要用于IP地址到以太网MAC地址的解析。交换机除了支持动态ARP外,也支持静态配置。此外,在某些应用中,交换机还支持配置代理ARP。如当交换机的接口收到某ARP请求,该请求的IP地址与接口地址在一个IP网段,但却不在同一物理网络中,此时该接口若启动了代理ARP的功能,接口会将自己的MAC地址作为ARP的回应,然后将收到的实际数据报文进行转发。启动代理ARP功能可以使因为物理网络分离但属于同一IP网段的机器忽视物理网络分离的事实,经过具有代理ARP接口的转发像处在一个物理网络中。
1.5.2 ARP配置
1-18