IP地址配置命令有:
配置静态ARP映射,静态ARP映射会永久保留在ARP缓存中。如果要删除配置的静态ARP映射的话,使用 no arp 命令。
arp ip-address hardware-address vlan [alias]
no arp ip-address [vlan]
参数
|
参数 |
参数说明 |
|
ip-address |
本地数据链路接口的IP地址。 |
|
hardware-address |
本地数据链路接口的物理地址。 |
|
vlan |
该静态arp所属的vlan端口 |
|
alias |
(可选) 交换机回答对这一IP地址的ARP请求,就象是本身拥有这个IP地址。 |
缺省
ARP缓存中不存在永久的静态ARP映射。
命令模式
全局配置态
使用说明
一般的主机都可以支持动态ARP解析,所以一般不需要用户特地为主机配置静态ARP映射。
一般情况下删除静态arp需使用no arp ip_address vlan。若某静态arp所属的vlan端口被删除,那么只能通过no arp ip_address将该静态arp配置删除。
示例
下面的这条命令配置vlan1下IP地址为1.1.1.1、主机的MAC地址为00:12:34:56:78:90的静态arp。
arp 1.1.1.1 00:12:34:56:78:90 vlan1
相关命令
clear arp-cache
配置ARP缓存解析的等待时间。
arp pending-time seconds
参数
|
参数 |
参数说明 |
|
seconds |
配置ARP缓存解析的等待时间(秒)。 |
缺省
15 秒
命令模式
全局配置态
使用说明
arp初次解析会生成一条incomplete条目,此命令设置该incomplete条目的生存时间。
示例
下面这条命令配置了arp等待解析的时间为10秒。
arp pending-time 10
相关命令
show arp
配置不完全ARP条目数量上限。
arp max-incomplete number
参数
|
参数 |
参数说明 |
|
number |
配置不完全ARP条目数量上限。 |
缺省
0(表示无上限)
命令模式
全局配置模式
使用说明
该命令设置ARP解析时incomplete 条目数量的上限,即可以同时进行ARP解析的条目数量。
示例
下面的命令配置了不完全ARP缓存条目上限为10条。
arp max-incomplete 10
相关命令
show arp
配置与路由条目网关关联的ARP项在老化时重新探测的重传次数。
arp max-gw-retries number
参数
|
参数 |
参数说明 |
|
number |
配置与路由条目网关关联的ARP项在老化时重新探测的重传次数。 |
缺省
3
命令模式
全局配置模式
使用说明
路由条目网关依赖的ARP项在老化时需要重新探测,以保证硬件子网路由的实时准确。该命令设置了重新探测过程中ARP的重传次数,重传次数越大,探测成功的几率越大。
示例
下面的命令配置了某条与路由条目网关关联的ARP项在老化时重新探测的重传次数为5。
arp max-gw-retries 5
相关命令
show arp
配置是否在ARP老化时对其进行重新探测(不仅仅是与网关相关的ARP项)。
arp retry-allarp
参数
无
命令模式
全局配置模式
使用说明
默认情况下只对路由条目网关依赖的ARP项做老化重新探测。此命令开启后对所有类型的ARP条目采取老化重新探测机制。
示例
下面的命令配置在对所有ARP条目进行老化重新探测。
arp retry-allarp
相关命令
show arp
配置ARP缓存中动态ARP表项的存在时间。如果要恢复到缺省值的话,使用 no arp timeout 或default arp timeout命令。
arp timeout seconds
no arp timeout
default arp timeout
参数
|
参数 |
参数说明 |
|
seconds |
ARP缓存中动态ARP表项的存在时间(秒)。0 表示在这个接口动态解析得到的ARP缓存不会被超时释放。 |
缺省
14400 秒 (4 小时)
命令模式
vlan接口配置态
使用说明
如果在不使用ARP的接口上进行配置,则配置无效。show interface命令将显示在这个接口上配置的ARP表项超时时间,显示如下:
ARP type: ARPA, ARP timeout 04:00:00
示例
下面这条命令在接口vlan 10上配置动态ARP映射的生存时间是900秒,以便使ARP缓存更快地刷新。
interface vlan 10
arp timeout 900
相关命令
show interface
配置允许动态学习ARP。
arp dynamic
no arp dynamic
参数
无
命令模式
接口配置态
示例
下面这条命令在在接口vlan 10上允许动态学习ARP:
interface vlan 10
arp dynamic
相关命令
show interface
配置免费ARP发送功能
arp send-gratuitous [ interval value ]
参数
|
参数 |
参数说明 |
|
interval |
设置发送免费ARP的间隔。 |
|
value |
时间间隔设定,缺省120秒,范围15 – 600秒。 |
命令模式
路由端口配置模式
示例
下面的命令启动Interface Vlan1下的免费ARP发送,并设定发送间隔为3分钟。
switch_config_v1#arp send-gratuitous interval 180
相关命令
arp
配置ARP快速刷新
arp fast-refresh
no arp fast-refresh
参数
无
命令模式
全局配置模式
示例
下面的命令允许arp的快速刷新功能开启。
switch_config#arp fast-refresh
相关命令
arp
配置ARP超时微调时间
arp timeout-adjust [time]
no arp timeout-adjust
参数
|
参数 |
参数说明 |
|
time |
超时微调时间,缺省15秒,范围0-1000秒 |
命令模式
全局配置模式
示例
下面的配置调整ARP超时微调时间为1。
switch_config#arp timeout-adjust 1
相关命令
arp
配置ARP同步参数
arp synchronize [type]
no arp synchronize [type]
参数
|
参数 |
参数说明 |
|
type |
同步参数类型,包括delete-period、update-period、ctrlcard-only-timeout、response-immediately、request-immediately、deletion、distributed-handle-arpreply |
命令模式
全局配置模式
示例
下面的命令配置对arp的删除操作进行同步。
switch_config#arp synchronize deletion
相关命令
arp
清除动态ARP缓存。
clear arp-cache [ ip-address vlan | mask ]
参数
|
参数 |
参数说明 |
|
ip-address |
IP或子网 |
|
vlan |
arp所属vlan |
|
mask |
子网掩码 |
命令模式
管理态
示例
下面的命令清除所有的动态ARP缓存。
clear arp-cache
相关命令
arp
清除ARP统计信息。
clear arp statistics [vlan vlan ]
参数
可选vlan,只清除某个vlan内统计
命令模式
管理态
示例
下面的命令清除所有的arp统计(当前数量不会清除)。
clear arp statistic
相关命令
show arp statistic
配置接口IP地址,同时设置网络掩码。目前已经不再严格区分A,B,C类IP地址,但是,不能使用多播地址和广播地址(主机部分全“1”)。除了以太网,其它类型的多个接口可以在同一个网段上。但是,以太网接口所配置的网段不能和其它任意类型的接口相同,除了无编号接口。一个接口上一般都可以配置一个主地址和无限多个从属地址。从属地址只能在配置了主地址后才可以配置,从属地址全部删除之后才可以删除主地址。系统本身生成的IP报文,如果上层应用没有指定源地址,交换机将使用发出接口上配置的与网关在同一网段上的IP地址作为报文的源地址,如果不能确定这个IP地址(例如接口路由),则采用发出接口的主地址。如果一个接口没有配置IP地址,而且也不是无编号接口(unnumbered 接口),则这个接口不处理IP报文。
如果要删除IP地址,或者停止某个接口对IP报文的处理,可以使用no ip address命令清除接口上的某个或所有IP地址。
ip address ip-address mask [secondary]
no ip address ip-address mask
no ip address
参数
|
参数 |
参数说明 |
|
ip-address |
IP 地址。 |
|
mask |
IP 网络掩码。 |
|
secondary |
(可选) 指明配置的是IP从属地址,如果没有指明,则配置的是IP主地址。 |
缺省
接口上不配置任何IP地址。
命令模式
接口配置态
使用说明
如果交换机在某个物理网段上配置了从属IP地址,其它同一物理网段上的系统也必须配置相同逻辑网段的从属地址,否则容易很快就引起路由循环。
当使用OSPF协议时,要确保一个接口上的从属地址和它的主地址在同一个OSPF area中。
示例
下列命令在vlan 10接口上配置主地址202.0.0.1,网络掩码255.255.255.0,另外配置了两个IP从属地址203.0.0.1和204.0.0.1。
interface vlan 10
ip address 202.0.0.1 255.255.255.0
ip address 203.0.0.1 255.255.255.0 secondary
ip address 204.0.0.1 255.255.255.0 secondary
转发IP定向广播,并将报文以物理广播的形式发送。
ip directed-broadcast [access-list-namer]
no ip directed-broadcast
参数
|
参数 |
参数说明 |
|
access-list-name |
(可选)访问表名称。如果定义了访问表,只有访问表允许的广播报文被转发。 |
缺省
缺省情况下,不转发IP定向广播。
命令模式
接口配置态
示例
下面的例子在接口vlan 10上配置转发IP定向广播。
interface vlan 10
ip directed-broadcast
当接口上配置了ip forward-protocol后,用于指定对哪些 UDP 协议有限广播报文进行转发。
ip forward-protocol udp [port]
no ip forward-protocol udp [port]
default ip forward-protocol udp
参数
|
参数 |
参数说明 |
|
port |
(可选)需要被转发的UDP报文的目的端口。 |
缺省
转发NETBIOS名字服务(Name Service)报文。
命令模式
全局配置态
使用说明
目前缺省转发NETBIOS名字服务报文,如果要求不转发NETBIOS名字服务报文,可以使用下列任一命令:
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp 137
使用下面的命令停止转发所有UDP有限广播报文:
no ip forward-protocol udp
示例
switch_config#ip forward-protocol udp 137
相关命令
ip helper-address
将IP定向广播报文转发到命令指定的IP帮助地址,可以是单目或者是广播地址。每个接口可以配置多个帮助地址。
ip helper-address address
no ip helper-address [address]
参数
|
参数 |
参数说明 |
|
address |
IP 帮助地址。 |
缺省
未配置IP帮助地址。
命令模式
接口配置态
使用说明
该命令在X.25接口上不起作用,因为路由交换机不能辨别出物理广播。
示例
下面的命令在接口vlan 10上配置IP帮助地址1.0.0.1。
interface vlan 10
ip helper-address 1.0.0.1
相关命令
ip forward-protocol udp
定义静态主机名称—地址映射。如果要删除主机名称—地址映射,使用no ip host命令。
ip host name address
no ip host name
参数
|
参数 |
参数说明 |
|
name |
主机名称。 |
|
Address |
IP地址。 |
缺省
没有配置任何映射。
命令模式
全局配置态
示例
下面的例子配置IP地址为202.96.1.3的主机名称是dns-server。
ip host dns-server 202.96.1.3
在接口上进行代理ARP。如果要关闭这项功能,使用no ip proxy arp命令。子命令same-interface表示是否需要为相同接口的主机代理arp。
ip proxy-arp [same-interface]
no ip proxy-arp [same-interface]
参数
无
缺省
进行代理ARP
命令模式
接口配置态
使用说明
当路由交换机收到ARP请求时,如果路由交换机有到被请求IP地址的路由,且路由接口和收到请求的接口不同,路由交换机将以自己的MAC地址发出ARP响应,然后,在收到实际数据报文时,进行转发。这样,即使一台主机不完全了解网络的拓扑结构,或者没有配置准确的路由,也能和远端通信。对它来说,远端主机就和它直接连接在同一个物理子网中。
如果主机需要路由交换机提供这项服务,它和路由交换机必须在同一个IP网络中,或者,至少它的IP地址必须能够使路由交换机认为它们在同一个IP子网中,也就是说,可以使用不同的掩码。否则,路由交换机将不提供这项服务。
示例
下面的例子在接口vlan 10上打开代理ARP功能:
interface vlan 10
ip proxy-arp
显示所有ARP表项,包括接口IP地址的ARP映射,用户配置的静态ARP映射,动态ARP映射。者为恐的are Address wu。
show arp [address netmask | vlan-id]
参数
|
参数 |
参数说明 |
|
address |
IP地址。 |
|
netmask |
网络掩码,用于显示网段内所有arp |
|
vlan-id |
arp所属vlan端口 |
命令模式
管理态
使用说明
show arp显示的信息包括:
|
Protocol |
协议,与物理地址映射的网络地址的类型,例如IP。 |
|
Address |
地址,与物理地址相映射的网络地址,如IP地址。 |
|
Age |
生存时间,ARP表项从生成到现在的时间,以分钟为单位。交换机使用这条ARP表项不会影响这个值。 |
|
Hardware Address |
物理地址,与网络地址对应的物理地址,对于尚未解析完成的表项为空。 |
|
Type |
类型,表示接口使用的报文封装类型,包括ARPA,SNAP等。 |
|
Interface |
接口,与这个网络地址相关联的接口。 |
示例
下面的命令显示ARP缓存:
switch#show arp
Protocol IP Address Age(min) Hardware Address Type Interface
IP 192.168.20.77 11 00:30:80:d5:37:e0 ARPA vlan 10
IP 192.168.20.33 0 Incomplete
IP 192.168.20.22 - 08:00:3e:33:33:8a ARPA vlan 10
IP 192.168.20.124 0 00:a0:24:9e:53:36 ARPA vlan 10
IP 192.168.0.22 - 08:00:3e:33:33:8b ARPA vlan 11
下面命令显示特定arp项的详细信息:
switch#show arp 90.1.1.10 vlan 1
ARP entry with IP 90.1.1.10
Protocol Address: 90.1.1.10
Age(in minutes): -
Hardware Address: 1c:af:f7:35:d0:2a
Type: ARPA [SU]
Interface: v1(g1/24)[1]
显示ARP相关统计表项,包括。者为恐的are Address wu。
show arp statistic [vlan vlan]
参数
可选vlan,只显示某个vlan内统计。
命令模式
管理态
使用说明
显示的信息包括:
|
存在总数统计 |
包括总arp、不完整arp、完整arp总数 |
|
添加删除统计 |
累计已添加、已删除arp次数。 |
|
物理出口迁移统计 |
统计物理地址迁移次数,原因为mac地址出口变化。 |
|
删除原因统计 |
包括老化、各种配置导致删除、mac地址迁移删除、命令行删除等。 |
示例
下面的命令显示ARP统计:
switch_config#show arp statistics
Total ARP entries 1, Complete ARP entries 1, Incomplete ARP entries 0
Total added: 20, Total deleted: 19
Physical port changed: 18
Deleted by reason
-------------------------------------
Aged out : 17
Overwritten by static : 0
IP address configured : 0
IP address deleted : 0
Interface deleted : 0
Protocol up-down : 0
MAC address aged : 2
Deleted on other cards : 0
Static arp deleted : 0
Clear arp : 0
HSRP or OIR insertion : 0
HSRP or sync static deletion: 0
显示主机名—地址缓存中的所有表项。
show hosts
参数
命令没有参数或关键字。
命令模式
管理态
示例
下面的命令显示所有主机名称/地址映射:
show hosts
相关命令
无
显示接口上的IP配置。
show ip interface [type number]
参数
|
参数 |
参数说明 |
|
type |
(可选) 接口类型。 |
|
number |
(可选) 接口编号。 |
命令模式
管理态
使用说明
如果接口的链路层可以有效收发数据,它就是一个可用接口,状态是“Protocol Up”。如果在这个接口上配置IP地址,交换机将在路由表中添加一条直连路由。如果链路层协议断开,也就是“Protocol Down”,这条直连路由将被删除。如果指定接口类型和编号,只显示指定接口信息。否则,显示所有接口的IP配置信息。
示例
下面的命令显示接口vlan 11上的IP配置:
switch#show ip interface vlan 11
vlan 10 is up, line protocol is up
IP address : 192.168.20.167/24
Broadcast address : 192.168.20.255
Helper address : not set
MTU : 1500(byte)
Forward Directed broadcast : OFF
Multicast reserved groups joined:
224.0.0.9 224.0.0.6 224.0.0.5 224.0.0.2
224.0.0.1
Outgoing ACL : not set
Incoming ACL : not set
IP fast switching : ON
IP fast switching on the same interface : OFF
ICMP unreachables : ON
ICMP mask replies : OFF
ICMP redirects : ON
显示说明:
|
域 |
描述 |
|
vlan 10 is up |
如果接口硬件可用,接口被标为“up”。 如果接口可用,它的硬件和线路协议都必须是up的。 |
|
line protocol is up |
如果接口可以提供双向通信,它的线路协议被标为“up”。如果接口可用,接口硬件和线路协议都必须是up的。 |
|
IP address |
接口IP地址和网络掩码。 |
|
Broadcast address |
显示广播地址。 |
|
MTU |
显示接口设置的IP MTU。 |
|
Helper address |
显示帮助地址。 |
|
Directed broadcast forwarding |
接口是否转发定向广播报文。 |
|
Multicast reserved groups joined |
接口加入的多播组。 |
|
Outgoing ACL |
接口使用的输出访问控制表。 |
|
Incoming ACL |
接口使用的输入访问控制表。 |
|
IP fast switching |
交换机在该端口上是否启动快速转发 |
|
Proxy ARP |
接口是否支持代理ARP。 |
|
ICMP redirects |
接口是否发出ICMP重定向报文。 |
|
ICMP unreachables |
接口是否发出ICMP不可到达报文。 |
|
ICMP mask replies |
接口是否发出ICMP掩码应答报文。 |
DHCP Client配置命令有:
本章描述了DHCP配置命令。可以使用本章介绍的命令来配置和监控交换机上DHCP协议的运行。
要通过Dynamic Host Configuration Protocol(DHCP)为接口获得一个IP地址,使用ip address dhcp接口配置命令。要删除所获得的IP地址,可以使用这条命令的no格式。
ip address dhcp
no ip address dhcp
参数
无
缺省
无
命令模式
vlan接口配置态
使用说明
ip address dhcp命令允许接口通过DHCP协议获得IP地址,这对通过以太网接口动态连接Internet服务提供商(ISP)非常有用。一旦获得了动态的IP地址。
如果ip address dhcp命令,则交换机将将向网络上的DHCP服务器发送DHCPDISCOVER消息。
如果配置了no ip address dhcp命令,交换机将发送DHCPRELEASE消息。
示例
以下例子使得vlan11接口通过DHCP协议来获得接口的IP地址。
!
interface vlan11
ip address dhcp
相关命令
ip dhcp client
ip dhcp-server
show dhcp lease
show dhcp server
配置本地交换机DHCP客户端的参数。
ip dhcp client { minlease seconds | retransmit count | select seconds }
no ip dhcp client { minlease | retransmit | select }
参数
|
参数 |
参数说明 |
|
minlease seconds |
(可选)可接受的最小租用时间,范围从60~86400秒。 |
|
retransmit count |
(可选)协议报文的重传次数,范围从1~10。 |
|
select seconds |
(可选)SELECT的时间间隔,范围从5~30。 |
缺省
minlease参数缺省值为60秒。
retransmit参数缺省值为4次。
select参数缺省值为5秒。
命令模式
全局配置态。
使用说明
根据网络结构和DHCP服务器的需要,来调整这些参数。
如果配置了这些命令的no格式命令,则这些参数恢复成系统定义的缺省值。
示例
以下例子设置了交换机上DHCP客户端可接受的最小租用时间为100秒。
ip dhcp client minlease 100
以下例子设置了交换机上DHCP客户端协议报文重传次数为3次。
ip dhcp client retransmit 3
以下例子设置了交换机上DHCP客户端SELECT的时间间隔为10秒。
ip dhcp client select 10
相关命令
ip address dhcp
ip dhcp-server
show dhcp lease
show dhcp server
要指定已知的DHCP服务器,可以使用ip dhcp-server命令来指定DHCP服务器的IP地址。
ip dhcp-server ip-address
no ip dhcp-server ip-address
参数
|
参数 |
参数说明 |
|
ip-address |
DHCP服务器的IP地址。 |
缺省
无任何缺省的DHCP服务器IP地址。
命令模式
全局配置态。
使用说明
使用此命令可以指定一个DHCP服务器的IP地址,该命令不会覆盖以前指定的DHCP服务器IP地址。
使用此命令的no格式命令可以用来清除以前配置的DHCP服务器IP地址。
示例
下面的例子显示了在交换机上如何指定IP地址为192.168.20.1的服务器为DHCP服务器:
ip dhcp-server 192.168.20.1
相关命令
ip address dhcp
ip dhcp client
show dhcp lease
show dhcp server
要查看当前交换机所使用的DHCP服务器分配的信息,可以用show dhcp lease命令来实现。
Show dhcp lease
参数
无
缺省
无
命令模式
管理态
使用说明
使用此命令可以查看当前交换机所使用的DHCP服务器分配的信息。
示例
下面的例子显示了交换机所使用DHCP分配的信息:
switch#show dhcp lease
Temp IP addr: 192.168.20.3 for peer on Interface: vlan11
Temp sub net mask: 255.255.255.0
DHCP Lease server: 192.168.1.3, state: 4 Rebinding
DHCP transaction id: 2049
Lease: 86400 secs, Renewal: 43200 secs, Rebind: 75600 secs
Temp default-gateway addr: 192.168.1.2
Next timer fires after: 02:34:26
Retry count: 1 Client-ID: router-0030.80bb.e4c0-v11
相关命令
ip address dhcp
ip dhcp client
ip dhcp-server
show dhcp server
debug dhcp
要显示已知的DHCP服务器信息,可以使用show dhcp server命令来实现。
show dhcp server
参数
无
缺省
无
命令模式
管理态
使用说明
使用此命令可以显示已知的DHCP服务器信息。
示例
下面的例子已知的DHCP服务器信息。
switch#show dhcp sever
DHCP server: 255.255.255.255
Leases: 0
Discovers: 62 Requests: 0 Declines: 0 Releases: 0
Offers: 0 Acks: 0 Naks: 0 Bad: 0
Subnet: 0.0.0.0, Domain name:
相关命令
ip address dhcp
ip dhcp client
ip dhcp-server
show dhcp lease
当交换机上dhcp运行时,要查看dhcp协议的处理状况,可以运行debug dhcp命令。
debug dhcp [detail]
no debug dhcp [detail]
参数
|
参数 |
参数说明 |
|
detail |
显示DHCP协议报文内容。 |
缺省
缺省情况下不显示相关信息。
命令模式
管理态
使用说明
显示和DHCP处理相关的一些重要处理信息,举例如下:
switch#debug dhcp
switch#2000-4-22 10:50:40 DHCP: Move to INIT state, xid: 0x7
2000-4-22 10:50:40 DHCP: SDISCOVER attempt # 1, sending 277 byte DHCP packet
2000-4-22 10:50:40 DHCP: B'cast on vlan11 interface from 0.0.0.0
2000-4-22 10:50:40 DHCP: Move to SELECTING state, xid: 0x7
2000-4-22 10:50:46 DHCP: SDISCOVER attempt # 2, sending 277 byte DHCPpacket
2000-4-22 10:50:46 DHCP: B'cast on vlan11 interface from 0.0.0.0
2000-4-22 10:50:54 DHCP: SDISCOVER attempt # 3, sending 277 byte DHCPpacket
相关命令
show dhcp lease
DHCPD配置命令有:
ip dhcpd ping packets pkgs
no ip dhcpd ping packets pkgs
参数
|
参数 |
参数说明 |
|
pkgs |
DHCP服务器用于检测地址是否已经分配所发送的ICMP包个数。 |
缺省
2
命令模式
全局配置态
使用说明
用户可以使用如下命令来配置DHCP服务器在检查地址是否已经分配时,发送n个ICMP包。
ip dhcpd ping packets n
示例
以下命令配置DHCP服务器在检查地址是否已经分配时,发送1个ICMP包。
ip dhcpd ping packets 1
ip dhcpd ping timeout timeout
no ip dhcpd ping timeout timeout
参数
|
参数 |
参数说明 |
|
timeout |
DHCP服务器用于检测地址是否已经分配时,等待ICMP包响应的超时时间(以100毫秒为单位)。 |
缺省
5
命令模式
全局配置态
使用说明
用户可以使用如下命令来配置DHCP服务器在检查地址是否已经分配时,等待ICMP包响应的超时时间为n*100ms。
ip dhcpd ping timeout n
示例
以下命令配置DHCP服务器在检查地址是否已经分配时,等待ICMP包响应的超时时间为300ms。
ip dhcpd ping timeout 3
ip dhcpd write-time time
no ip dhcpd write-time
参数
|
参数 |
参数说明 |
|
time |
DHCP服务器将地址分配信息保存到数据库中的间隔时间(以分钟为单位)。 |
缺省
无
命令模式
全局配置态
使用说明
用户可以使用如下命令来配置DHCP服务器每隔n分钟,就将地址分配信息写入数据库中
ip dhcpd write-time n
建议用户不要将此值设置得比缺省值小。
示例
以下命令配置DHCP服务器每隔1天将就将地址分配信息写入数据库中 。
ip dhcpd write-time 1440
ip dhcpd pool name
no ip dhcpd pool name
参数
|
参数 |
参数说明 |
|
name |
DHCP地址池的名称。 |
缺省
无
命令模式
全局配置态
使用说明
用户可以使用如下命令来增加名为name的DHCP地址池,并进入DHCP地址池配置模式
ip dhcpd pool name
示例
以下命令增加名为test的DHCP地址池,同时进入DHCP地址池配置模式。
ip dhcpd pool test
ip dhcpd enable
no ip dhcpd enable
参数
无
缺省
缺省情况下,关闭DHCP服务。
命令模式
全局配置态
使用说明
用户可以使用如下命令来打开DHCP服务。 此时,DHCP服务器也支持relay操作,对于自身不能分配的地址请求,配置了ip helper-address的端口将转发DHCP请求。
ip dhcpd pool name
示例
以下命令打开DHCP服务。
ip dhcpd enable
DHCPD地址池配置命令有:
network ip-addr netmask
no network ip-addr
参数
|
参数 |
参数说明 |
|
ip-addr |
用于自动分配的地址池的网络地址。 |
|
netmask |
子网掩码。 |
缺省
无
命令模式
DHCP地址池配置模式 。
使用说明
用户可以使用此命令来配置用于自动分配的地址池的网络地址。此命令只用于自动分配方式。
在配置该命令时,务必确保接收DHCP协议报文的端口上有一个端口IP地址的网络号和network相同 。
示例
以下命令配置DHCP地址池的网络地址为192.168.20.0,子网掩码为255.255.255.0。
network 192.168.20.0 255.255.255.0
range low-addr high-addr
no range low-addr high-addr
参数
|
参数 |
参数说明 |
|
low-addr |
用于自动分配地址区域的起始地址。 |
|
hogh-addr |
用于自动分配地址区域的终止地址。 |
缺省
无
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置用于自动分配的地址区域。每个地址池最多可配置8个range,每个range均必须在network范围内。此命令只用于自动分配方式,
示例
以下命令配置DHCP地址池的地址分配区域为192.168.20.210-192.168.20.219。
range 192.168.20.210 192.168.20.219
default-router ip-addr
no default-router
参数
|
参数 |
参数说明 |
|
ip-addr |
分配给客户机的缺省路由。 |
缺省
无
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置分配给客户机的缺省路由,最多可配置4个缺省路由,中间用空格分隔 。
示例
以下命令配置分配给DHCP客户机的缺省路由为192.168.20.1。
default-router 192.168.20.1
dns-server ip-addr …
no dns-server
参数
|
参数 |
参数说明 |
|
ip-addr |
分配给客户机的DNS服务器地址。 |
缺省
无
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置分配给客户机的DNS服务器地址,最多可配置4个DNS服务器,中间用空格分隔 。
示例
以下命令配置分配给客户机的DNS服务器地址为192.168.1.3 。
dns-server 192.168.1.3
domain-name name
no domain-name
参数
|
参数 |
参数说明 |
|
name |
分配给客户机的域名。 |
缺省
无
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置分配给客户机的域名 。
示例
以下命令配置分配给客户机的域名为test.domain 。
domain-name test.domain
lease {days [hours][minutes] | infinite}
no lease
参数
|
参数 |
参数说明 |
|
days |
地址分配的天数。 |
|
hours |
地址分配的小时数。 |
|
minutes |
地址分配的分钟数。 |
|
infinite |
地址永久分配。 |
缺省
1天
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置分配给客户机的地址的时间期限。
示例
以下命令配置分配客户机的地址的时间期限为2天12小时。
Lease 2 12
netbios-name-server ip-addr
no netbios-name-server
参数
|
参数 |
参数说明 |
|
ip-addr |
分配客户机的netbios名字服务器地址。 |
缺省
无
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置分配给客户机的netbios名字服务器地址,最多可配置4个netbios名字服务器,中间用空格分隔。
示例
以下命令配置分配给客户机的netbios名字服务器地址为192.168.1.10 。
netbios-name-server 192.168.1.10
3.2.8 ip-bind ip hardware-address / host-name / identifier
ip-bind ip-addr {hardware-address hardware-address | host-name hostname | identifier identifier}
no ip-bind ip-addr
参数
|
参数 |
参数说明 |
|
ip-addr |
用于手动分配的地址池的主机地址。 |
|
hostname |
用于手动分配的地址池的主机名 |
|
hardware-address |
用于匹配客户机的硬件地址。 |
|
identifier |
用于匹配客户机的客户端ID。 |
缺省
无
命令模式
DHCP地址池配置模式
使用说明
用户可以使用此命令来配置用于手动分配的地址池的主机地址。此命令只用于手动分配方式,不能在同一个地址池中同时配置host-name和range 。
示例
以下命令配置DHCP地址池的手动分配地址的命令
ip-bind 192.168.2.50 hardware-address 00-12-3f-28-ac-f4
DHCPD调试命令有:
debug ip dhcpd packet
参数
无
缺省
无
命令模式
管理态
使用说明
用户可以使用此命令来打开DHCPD数据包信息的debug开关。
示例
以下命令打开对DHCPD数据包的调试信息输出开关。
debug ip dhcpd packet
debug ip dhcpd event
参数
无
缺省
无
命令模式
管理态
使用说明
用户可以使用此命令来打开DHCPD事件信息的debug开关。
示例
以下命令打开对DHCPD事件的调试信息输出开关。
debug ip dhcpd event
DHCPD管理命令有:
show ip dhcpd statistic
参数
无
缺省
无
命令模式
除了用户态以外的其它状态
使用说明
用户可以使用此命令来显示DHCPD的统计信息,包括各类报文的数量和自动分配、手动分配的地址数 。
示例
以下命令显示DHCPD的统计信息。
show ip dhcpd statistic
show ip dhcpd binding {ip-addr}
参数
|
参数 |
参数说明 |
|
ip-addr |
需要显示绑定信息的地址。 |
缺省
显示所有的地址绑定信息。
命令模式
除了用户态以外的其它状态。
使用说明
用户可以使用此命令来显示DHCPD的地址绑定信息,IP地址、硬件地址、绑定类型和超时时间。
示例
以下命令显示DHCPD的绑定信息。
show ip dhcpd binding
3.4.3 clear ip dhcpd statistic
clear ip dhcpd statistic
参数
无
缺省
无
命令模式
管理态
使用说明
用户可以使用此命令来删除DHCPD的关于报文数量的统计信息 。
示例
以下命令删除DHCPD关于报文数量的统计信息。
clear ip dhcpd statistic
clear ip dhcpd binding {ip-addr|*}
参数
|
参数 |
参数说明 |
|
ip-addr |
需要删除绑定信息的地址。 |
|
* |
删除所有的绑定信息。 |
缺省
删除指定地址绑定信息。
命令模式
管理态
使用说明
用户可以使用此命令来删除指定地址的绑定信息 。
示例
以下命令删除192.168.20.210的绑定信息。
clear ip dhcpd binding 192.168.20.210
以下命令删除192.168.20.210和192.168.20.211的绑定信息。
clear ip dhcpd binding 192.168.20.210 192168.20.211
以下命令删除所有的绑定信息。
clear ip dhcpd binding *
IP Service配置命令有:
清除一个TCP连接。
clear tcp {local host-name port remote host-name port | tcb address}
参数
|
参数 |
参数说明 |
|
local host-name port |
本地主机IP地址和TCP端口。 |
|
remote host-name port |
远端主机IP地址和TCP端口。 |
|
tcb address |
要清除的TCP连接的传输控制块(TCB)地址。TCB是系统内部对TCP连接的标识,可以用命令show tcp brief得到。 |
命令模式
管理态
使用说明
clear tcp命令主要是用于清除已经终止的TCP连接。在某些情况下,例如通信线路故障,TCP连接或对方主机重启,TCP连接实际已经终止,但是由于TCP连接上一直没有通信,系统无法及时发现这种情况,这时可以使用clear tcp命令关闭已经无效的TCP连接。其中,clear tcp local host-name port remote host-name port 命令用于终止指定的本地主机IP地址/端口和远端主机IP地址/端口之间的TCP连接。clear tcp tcb address 命令用于终止指定TCB地址所标识的TCP连接。
示例
下面的例子清除192.168.20.22:23(本地)和192.168.20.120:4420(远端)之间的TCP连接。show tcp brief命令显示了当前TCP连接的本地和远端主机信息。
switch#show tcp brief
TCB Local Address Foreign Address State
0xE85AC8 192.168.20.22:23 192.168.20.120:4420 ESTABLISHED
0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED
switch#clear tcp local 192.168.20.22 23 remote 192.168.20.120 4420
switch#show tcp brief
TCB Local Address Foreign Address State
0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED
下面的例子清除TCB地址为0xea38c8的TCP连接。show tcp brief命令显示了TCP连接的TCB地址。
switch#show tcp brief
TCB Local Address Foreign Address State
0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED
switch#clear tcp tcb 0xea38c8
switch#show tcp brief
TCB Local Address Foreign Address State
相关命令
show tcp
show tcp brief
show tcp tcb
清除TCP统计数据。
clear tcp statistics
参数
该命令没有参数或关键字。
命令模式
管理态
示例
用下列命令清除TCP统计数据:
switch#clear tcp statistics
相关命令
show tcp statistics
显示ARP交互信息,例如发出ARP请求,收到ARP响应,收到ARP请求,发出ARP响应等。当交换机和主机无法通信时,可以用于分析ARP交互情况。用no debug arp停止显示信息。
Debug arp命令包含三个子选项,分别是packet表示arp报文收发信息,delete表示arp项同步信息,synchronize表示arp在主控和线卡之间同步的信息。
debug arp [packet|delete|synchronize]
no debug arp [packet|delete|synchronize]
参数
该命令没有参数或关键字。
命令模式
管理态
示例
switch#debug arp
switch#IP ARP: rcvd req src 192.168.20.116 00:90:27:a7:a9:c2, dst 192.168.20.111, vlan 10
IP ARP: req filtered src 192.168.20.139 00:90:27:d5:a9:1f, dst 192.168.20.82 00:
00:00:00:00:00, wrong cable, vlan 11
IP ARP: created an incomplete entry for IP address 192.168.20.77, vlan 10
IP ARP: sent req src 192.168.20.22 08:00:3e:33:33:8a, dst 192.168.20.77, vlan 10
IP ARP: rcvd reply src 192.168.20.77 00:30:80:d5:37:e0, dst 192.168.20.22, vlan 10
第一条信息表明:交换机在接口vlan 10上收到一个ARP请求,发出请求的主机IP地址为192.168.20.116,MAC地址为00:90:27:a7:a9:c2,它请求IP地址为192.168.20.111的主机的MAC地址:
IP ARP: rcvd req src 192.168.20.116 00:90:27:a7:a9:c2, dst 192.168.20.111, vlan 10
第二条信息表明:交换机在接口vlan 11上收到一个来自192.168.20.139的ARP地址请求。但是,根据交换机的接口配置,这个接口并不在这台主机所宣称的网络上。所以,可能是主机配置不正确。交换机如果根据这条信息建立了ARP缓存,就可能无法和连接在正常接口上的某台配置了相同地址的主机通信。
IP ARP: req filtered src 192.168.20.139 00:90:27:d5:a9:1f, dst 192.168.20.82 00:
00:00:00:00:00, wrong cable, vlan 11
第三条信息表明,交换机要解析主机192.168.20.77的MAC地址,所以在ARP缓存中为它建立了一条不完整的ARP表项,等收到ARP应答时再填入MAC地址。根据交换机的配置,这台主机连接在接口vlan 10上。
IP ARP: created an incomplete entry for IP address 192.168.20.77, vlan 10
第四条信息表明,交换机在接口vlan 10上发出ARP请求,所带的交换机的IP地址是192.168.20.22,接口的MAC地址是08:00:3e:33:33:8a,所请求的主机IP地址是192.168.20.77。这条信息和第三条信息是相关的。
IP ARP: sent req src 192.168.20.22 08:00:3e:33:33:8a, dst 192.168.20.77, vlan 10
第五条信息表明,交换机在接口vlan 10上收到了192.168.20.77发给交换机接口192.168.20.22的ARP响应,告知它的MAC地址为00:30:80:d5:37:e0。这条信息是和第三、四条信息相关的。
IP ARP: rcvd reply src 192.168.20.77 00:30:80:d5:37:e0, dst 192.168.20.22, vlan 10
显示Internet控制信息协议(ICMP)的交互信息。使用命令no debug ip icmp关闭调试输出。
debug ip icmp
no debug ip icmp
参数
该命令没有参数或关键字。
命令模式
管理态
使用说明
该命令可以显示系统收到和发出的ICMP报文,从而解决网络端到端到的连接问题。如果要了解debug ip icmp命令输出的详细含义,请参见RFC 792,“Internet Control Message Protocol”。
示例
switch#debug ip icmp
switch#ICMP: sent pointer indicating to 192.168.20.124 (dst was 192.168.20.22), len 48
ICMP: rcvd echo from 192.168.20.125, len 40
ICMP: sent echo reply, src 192.168.20.22, dst 192.168.20.125, len 40
ICMP: sent dst (202.96.209.133) host unreachable to 192.168.20.124, len 36
ICMP: sent dst (192.168.20.22) protocol unreachable to 192.168.20.124, len 36
ICMP: rcvd host redirect from 192.168.20.77, for dst 22.0.0.3 use gw 192.168.20.26, len 36
ICMP: rcvd dst (22.0.0.3) host unreachable from 192.168.20.26, len 36
ICMP: sent host redirect to 192.168.20.124, for dst 22.0.0.5 use gw 192.168.20.77, len 36
ICMP: rcvd dst (2.2.2.2) host unreachable from 192.168.20.26, len 36
关于第一条信息的说明如下:
ICMP: sent pointer indicating to 192.168.20.124 (dst was 192.168.20.22), len 48
|
域 |
描述 |
|
ICMP |
显示的是Internet控制信息协议(ICMP)报文的信息。 |
|
Sent |
发送ICMP报文。 |
|
pointer indicating |
ICMP报文类型,这个ICMP报文表示原始IP报文参数错误,并指出错误的域。其它类型的ICMP报文有: echo reply(回应应答) dst unreachable(目的不可到达),包括: ---net unreachable(网络不可到达) ---host unreachable(主机不可到达) ---protocol unreachable(协议不可到达) ---port unreachable(端口不可到达) ---fragmentation needed and DF set(需要分片,但DF位被置位) ---source route failed(源路由失败) ---net unknown(未知网络) ---destination host unknown(未知主机) ---source host isolated(源主机被隔离) ---net prohibited(与网络的通信被禁止) ---host prohibited(与主机的通信被禁止) ---net tos unreachable(对请求的服务类型,网络不可到达) ---host tos unreachable(对请求的服务类型,主机不可到达) source quench(源抑制) redirect(重定向),包括: ---net redirect(网络重定向) ---host redirect(主机重定向) ---net tos redirect(对服务类型和网络的重定向) ---host tos redirect(对服务类型和主机的重定向) echo(回应请求) router advertisement(路由交换机广告) router solicitation(路由交换机请求) time exceeded(超时),包括: ---ttl exceeded(ttl超时) ---reassembly timeout(重组超时) parameter problem(一般参数问题),包括: ---pointer indicating(指出错误参数) ---option missed(缺少选项) ---bad length(长度错误) timestamp(时戳) timestamp reply(时戳应答) information request(信息请求) information reply(信息应答) mask request(掩码请求) mask reply(掩码应答) 如果是系统未知的ICMP类型,系统将显示ICMP类型和代码的值。 |
|
to 192.168.20.124 |
ICMP报文的目的地址是192.168.20.124,这也是引起这个ICMP报文的原始报文的源地址。 |
|
(dst was 192.168.20.22) |
引起ICMP报文的原始报文的目的地址是192.168.20.22。 |
|
len 48 |
ICMP报文的长度是48字节,其中不包括IP报头长度。 |
关于第二条信息的说明如下:
ICMP: rcvd echo from 192.168.20.125, len 40
|
域 |
描述 |
|
rcvd |
收到ICMP报文。 |
|
echo |
ICMP报文类型,是回应请求报文。 |
|
from 192.168.20.125 |
ICMP报文的源地址是192.168.20.125。 |
关于第三条信息的说明如下:
ICMP: sent echo reply, src 192.168.20.22, dst 192.168.20.125, len 40
|
域 |
命令 |
|
src 192.168.20.22 |
ICMP报文的源地址是192.168.20.22。 |
|
dst 192.168.20.125 |
ICMP报文的目的地址是192.168.20.125。 |
根据ICMP报文类型的不同,产生的ICMP报文信息采用不同的格式,以便显示报文内容。
例如,对于ICMP重定向报文,采用下列格式打印:
ICMP: rcvd host redirect from 192.168.20.77, for dst 22.0.0.3 use gw 192.168.20.26, len 36
ICMP: sent host redirect to 192.168.20.124, for dst 22.0.0.5 use gw 192.168.20.77, len 36
其中第一条信息表示,收到来自主机192.168.20.77的ICMP主机重定向报文,建议使用网关192.168.20.26到达目的主机22.0.0.3,ICMP报文长度36字节。
第二条信息表示,发送ICMP主机重定向报文到192.168.20.124,通知它使用网关192.168.20.77到达主机22.0.0.5, ICMP报文长度36字节。
对于ICMP目的不可到达报文,采用下列格式打印:
ICMP: sent dst (202.96.209.133) host unreachable to 192.168.20.124, len 36
ICMP: rcvd dst (2.2.2.2) host unreachable from 192.168.20.26, len 36
其中,第一条信息表示,交换机无法路由某个IP报文,所以向报文的源主机192.168.20.124发送ICMP目的主机(202.96.209.133)不可到达报文, ICMP报文长度36字节。
第二条信息表示,交换机收到一个来自主机192.168.20.26的ICMP报文,通知目的主机(2.2.2.2)不可到达,ICMP报文长度36字节。
显示Internet协议(IP)的交互信息。使用no debug ip packet停止显示信息。子命令detail表示输出IP报文封装的协议信息,如协议号,UDP、TCP端口号,ICMP报文类型等;access-group表示只输出符合给定访问列表的报文;interface表示只输出该端口的报文,端口可以选择任何系统当前已配置的路由端口,具体与系统配置有关。
debug ip packet [detail | access-group <ip-access-list-name> | interface <name>]
no debug ip packet
参数
|
参数 |
参数说明 |
|
ip-access-list-name |
(可选)用于过滤输出信息的IP访问表名称。只有满足指定IP访问表的IP报文的信息才会被输出。 |
|
interface |
(可选)用于过滤输出信息的端口名称。只有满足指定端口的IP报文的信息才会被输出。 |
命令模式
管理态
使用说明
这条命令可以帮助了解每个收到的或是本地产生的IP报文的最终流向,了解通信发生问题的原因。
可能的情况有:
使用这条命令可能会有大量的输出信息,所以最好在交换机比较空闲的时候使用,否则将严重影响系统性能。另外,尽可能使用访问表过滤输出,使系统只显示用户感兴趣的报文信息。
命令模式
管理态
示例
switch#debug ip packet
switch#IP: s=192.168.20.120 (vlan 10), d=19.0.0.9 (vlan 10), g=192.168.20.1, len=60, redirected
IP: s=192.168.20.22 (local), d=192.168.20.120 (vlan 10), g=192.168.20.120, len=56, sending
IP: s=192.168.20.120 (vlan 10), d=19.0.0.9 (vlan 10), g=192.168.20.1, len=60, forward
IP: s=192.168.20.81 (vlan 10), d=192.168.20.22 (vlan 10), len=56, rcvd
|
域 |
描述 |
|
IP |
表示这条信息是关于IP报文的。 |
|
s=192.168.20.120 (vlan 10) |
IP报文的源地址和收到报文的接口名称(如果不是本地生成的报文)。 |
|
d=19.0.0.9 (vlan 10) |
IP报文的目的地址和发送报文的接口名称(如果路由成功的话)。 |
|
g=192.168.20.1 |
IP报文的下一跳目的地址,可能是网关地址,也可能就是目的地址。 |
|
len |
IP报文的长度。 |
|
redirected |
表示路由交换机将向这个报文的源主机发送ICMP重定向报文。其它情况还有: forward---报文被转发。 forward directed broadcast---报文作为定向广播被转发,报文将在发送接口上转成物理广播。 unroutable---报文寻径失败,将被丢弃。 source route---源路由。 rejected source route---系统当前不支持源路由,因此拒绝带IP源路由选项的报文。 bad options---IP选项错误,报文被丢弃。 need frag but DF set---本地报文需要分片,但是DF被置位。 rcvd---报文被本地接收。 rcvd fragment---收到报文分片。 sending---发送本地生成报文。 sending broad/multicast---发送本地生成的广播/多播报文。 sending fragment---发送在本地分片的IP报文。 denied by in acl---被接收接口的接收访问表拒绝。 denied by out acl---被发送接口的发送访问表拒绝。 unknown protocol---未知协议。 encapsulation failed---协议封装失败,只限于以太网。当要在以太网接口上发送的报文由于ARP解析失败而被丢弃时,显示这条信息。 |
第一条信息表明,交换机收到一个IP报文,它的源地址是192.168.20.120,来自接口vlan 10所连接的网段,目的地址是19.0.0.9,根据路由表确定的发送接口是vlan 10,网关地址是192.168.20.1,报文长度为60字节。发现网关和发出IP报文的源主机直连在同一网络上,也就是交换机的接口vlan 10所连接的网络上,所以交换机发出 ICMP 重定向报文。
IP: s=192.168.20.120 (vlan 10), d=19.0.0.9 (vlan 10), g=192.168.20.1, len=60, redirected
第二条信息,描述了ICMP重定向报文的发送,源地址是本地地址192.168.20.22,目的地址是上述报文的源地址192.168.20.120,从接口vlan 10发出,由于是直接到达目的地,所以网关地址就是目的地址192.168.20.120,ICMP重定向报文长度为56字节。
IP: s=192.168.20.22 (local), d=192.168.20.120 (vlan 10), g=192.168.20.120, len=56, sending
第三条信息表明,IP层收到一个IP报文,报文的源地址是192.168.20.120,接收接口为vlan 10,报文的目的地址是19.0.0.9,通过查找路由表,发现需要转发这个报文到接口vlan 10,网关是192.168.20.77,报文长度为60字节。这条信息显示的是系统在发出ICMP重定向报文以后,转发第一条信息显示的报文。
IP: s=192.168.20.120 (vlan 10), d=19.0.0.9 (vlan 10), g=192.168.20.77, len=60, forward
第四条信息表示,IP层收到一个IP报文,源地址是192.168.20.81,接收接口是vlan 10,目的地址是192.168.20.22,是在交换机接口vlan 10上配置的一个IP地址,报文长度是56字节,本地接收。
IP: s=192.168.20.81 (vlan 10), d=192.168.20.22 (vlan 10), len=56, rcvd
下面介绍debug ip packet detail命令的输出,只说明其中新增的部分:
switch#debug ip packet detail
switch#IP: s=192.168.12.8 (vlan 10), d=255.255.255.255 (vlan 10), len=328, rcvd, UDP: src=68, dst=67
IP: s=192.168.20.26 (vlan 10), d=224.0.0.5 (vlan 10), len=68, rcvd, proto=89
IP: s=192.168.20.125 (vlan 10), d=192.168.20.22 (vlan 10), len=84, rcvd, ICMP: type=0, code = 0
IP: s=192.168.20.22 (local), d=192.168.20.124 (vlan 10), g=192.168.20.124, len=40, sending, TCP: src=1024, dst=23, seq=75098622, ack=161000466, win=17520, ACK
|
域 |
描述 |
|
UDP |
协议名称,例如UDP, ICMP, TCP等。其它协议用协议号表示。 |
|
type, code |
ICMP报文的类型和代码值。 |
|
src, dst |
UDP和TCP报文的源端口和目的端口。 |
|
seq |
TCP报文的序列号。 |
|
ack |
TCP报文的确认号。 |
|
win |
TCP报文的窗口值。 |
|
ACK |
TCP报文的控制比特中ACK被置位,表明确认序列号有效。其它的控制比特是SYN, URG, FIN, PSH, RST。 |
第一条信息表明,收到UDP报文,源端口是68,目的端口是67。
IP: s=192.168.12.8 (vlan 10), d=255.255.255.255 (vlan 10), len=328, rcvd, UDP: src=68, dst=67
第二条信息表明,收到报文的协议号为89。
IP: s=192.168.20.26 (vlan 10), d=224.0.0.5 (vlan 10), len=68, rcvd, proto=89
第三条信息表明,收到ICMP报文,报文类型为0,代码为0。
IP: s=192.168.20.125 (vlan 10), d=192.168.20.22 (vlan 10), len=84, rcvd, ICMP: type=0, code = 0
第四条信息表明,发送TCP报文,源端口为1024,目的端口为23,序列号为75098622,确认号为161000466,接收窗口尺寸为17520,ACK标志位被置位。关于这些域的含义,请参见RFC 793— TRANSMISSION CONTROL PROTOCOL。
IP: s=192.168.20.22 (local), d=192.168.20.124 (vlan 10), g=192.168.20.124, len=40, sending, TCP: src=1024, dst=23, seq=75098622, ack=161000466, win=17520, ACK
下面介绍如何使用访问控制表。例如,要求只显示源地址是192.168.20.125的报文信息,首先定义标准访问控制表abc,只允许源地址是192.168.20.125的IP报文。然后,在debug ip packet命令中使用该访问控制表。
switch#config
switch_config#ip access-list standard abc
switch_config_std_nacl#permit 192.168.20.125
switch_config_std_nacl#exit
switch_config#exit
switch#debug ip packet abc
switch#IP: s=192.168.20.125 (vlan 101), d=192.168.20.22 (vlan 101), len=48, rcvd
上述命令使用的是标准的访问控制表,也可以使用扩展访问控制表。
相关命令
debug ip tcp packet
显示Internet协议(IP)的交互信息。使用no debug ip raw停止显示信息。子命令detail表示输出IP报文封装的协议信息,如协议号,UDP、TCP端口号,ICMP报文类型等;access-group表示只输出符合给定访问列表的报文;interface表示只输出该端口的报文,端口可以选择任何系统当前已配置的路由端口,具体与系统配置有关。
debug ip raw [detail | access-group <ip-access-list-name> | interface <name>]
debug ip raw [detail] [access-list-group] [interface]
no debug ip raw
参数
|
参数 |
参数说明 |
|
access-group |
(可选)用于过滤输出信息的IP访问表名称。只有满足指定IP访问表的IP报文的信息才会被输出。 |
|
interface |
(可选)用于过滤输出信息的端口名称。只有满足指定端口的IP报文的信息才会被输出。 |
命令模式
管理态
使用说明
这条命令可以帮助了解每个收到的或是本地产生的IP报文的最终流向,了解通信发生问题的原因。
可能的情况有:
使用这条命令可能会有大量的输出信息,所以最好在交换机比较空闲的时候使用,否则将严重影响系统性能。另外,尽可能使用访问表过滤输出,使系统只显示用户感兴趣的报文信息。
示例
与debug ip packet一致,故略 。
相关命令
debug ip packet
显示传输控制协议(TCP)报文的收发信息。用no debug ip tcp packet停止显示。
debug ip tcp packet
no debug ip tcp packet
参数
该命令没有参数或关键字。
命令模式
管理态
示例
switch#debug ip tcp packet
switch#tcp: O ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 50659460
DATA 1 ACK 3130379810 PSH WIN 4380
tcp: I ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 3130379810
DATA 2 ACK 50659460 PSH WIN 16372
tcp: O ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 50659461
DATA 50 ACK 3130379812 PSH WIN 4380
tcp: O FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 50659511
ACK 3130379812 FIN WIN 4380
tcp: I FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 3130379812
ACK 50659511 WIN 16321
tcp: I FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 3130379812
ACK 50659512 WIN 16321
tcp: I FIN_WAIT_2 192.168.20.22:23 192.168.20.125:3828 seq 3130379812
ACK 50659512 FIN WIN 16321
tcp: O TIME_WAIT 192.168.20.22:23 192.168.20.125:3828 seq 50659512
ACK 3130379813 WIN 4380
tcp: I LISTEN 0.0.0.0:23 0.0.0.0:0 seq 3813109318
DATA 2 ACK 8057944 PSH WIN 17440
tcp: O LISTEN 0.0.0.0:23 0.0.0.0:0 seq 8057944
RST
|
域 |
描述 |
|
tcp: |
表示关于TCP报文的信息。 |
|
O |
发送TCP报文。 |
|
ESTABLISHED |
TCP连接的当前状态。关于TCP连接状态的描述,参见debug ip tcp transactions命令说明。 |
|
192.168.20.22:23 |
报文的源地址是192.168.20.22,源端口是23。 |
|
192.168.20.125:3828 |
报文的目的地址是192.168.20.125,目的端口是3828。 |
|
seq 50659460 |
报文的序列号是50659460。 |
|
DATA 1 |
报文包含的有效数据字节数是1个。 |
|
ACK 3130379810 |
报文的确认号是3130379810。 |
|
PSH |
报文的控制比特中PSH被置位。 其它的控制比特位有ACK, FIN, SYN, URG, RST。 |
|
WIN 4380 |
报文的窗口域用于通知对方接收端接收缓存区大小,目前是4380字节。 |
|
I |
接收TCP报文。 |
如果上述某些域没有出现在显示中,说明在这个TCP报文中该域没有有效值。
相关命令
debug ip tcp transactions
4.1.8 debug ip tcp transactions
显示传输控制协议(TCP)的重要交互信息,例如TCP连接状态改变等。用no debug ip tcp transactions停止显示。
debug ip tcp transactions
no debug ip tcp transactions
参数
该命令没有参数或关键字。
命令模式
管理态
示例
switch#debug ip tcp transactions
switch#TCP: rcvd connection attempt to port 23
TCP: TCB 0xE88AC8 created
TCP: state was LISTEN -> SYN_RCVD [23 -> 192.168.20.125:3828]
TCP: sending SYN, seq 50658312, ack 3130379657 [23 -> 192.168.20.125:3828]
TCP: state was SYN_RCVD -> ESTABLISHED [23 -> 192.168.20.125:3828]
TCP: connection closed by user, state was LISTEN [23 -> 0.0.0.0:0]
TCP: state was TIME_WAIT -> CLOSED [23 -> 192.168.20.125:3827]
TCP: TCB 0xE923C8 deleted
TCP: TCB 0xE7DBC8 created
TCP: connection to 192.168.20.124:513 from 192.168.20.22:1022, state was CLOSED to SYN_SENT
TCP: sending SYN, seq 52188680, ack 0 [1022 -> 192.168.20.124:513]
TCP: state was SYN_SENT -> ESTABLISHED [1022 -> 192.168.20.124:513]
TCP: rcvd FIN, state was ESTABLISHED -> CLOSE_WAIT [1022 -> 192.168.20.124:513]
TCP: connection closed by user, state was CLOSE_WAIT [1022 -> 192.168.20.124:513]
TCP: sending FIN [1022 -> 192.168.20.124:513]
TCP: connection closed by user, state was LAST_ACK [1022 -> 192.168.20.124:513]
TCP: state was LAST_ACK -> CLOSED [1022 -> 192.168.20.124:513]
TCP: TCB 0xE7DBC8 deleted
|
域 |
描述 |
|
TCP: |
表示显示TCP交互信息。 |
|
rcvd connection attempt to port 23 |
收到对端口23(telnet端口)的连接请求。 |
|
TCB 0xE88AC8 created |
生成一个新的TCP连接控制块,其标识为0xE88AC8。 |
|
state was LISTEN -> SYN_RCVD |
表示TCP状态机的状态从LISTEN 转到SYN_RCVD。 可能的TCP状态有: LISTEN---等待来自任意远端主机的TCP连接请求。 SYN_SENT---发出连接请求以发起TCP连接协商,正在等待对方的应答。 SYN_RCVD---收到对方的连接请求并发出确认,也发出了自己的连接请求,正在等待对方的连接请求确认。 ESTABLISHED---表示连接建立成功,处于数据传送阶段,可以收发上层应用的数据。 FIN_WAIT_1---已经向对方发出连接终止请求,等待对方的确认,以及对方的连接终止请求。 FIN_WAIT_2---已经向对方发出连接终止请求,并收到对方的确认,正在等待对方的连接终止请求。 CLOSE_WAIT---收到对方的连接终止请求,发出确认,正在等待本地用户关闭连接,一旦用户要求关闭连接,系统将发出连接终止请求。 CLOSING---已经向对方发出连接终止请求,也收到对方的连接终止请求并发出确认,正在等待对方对本地连接终止请求的确认。 LAST_ACK---已经收到对方的连接终止请求并确认,发出连接终止请求,正在等待确认。 TIME_WAIT---正在等待足够的时间以确定对方收到了本地对它的连接终止请求的确认,以及仍在网络中传输的有关这个连接的报文到达目的地或是被丢弃。 CLOSED---表示完全没有连接或者连接已经完全关闭。 如果要了解更为详细的信息,请参阅RFC 793,TRANSMISSION CONTROL PROTOCOL。 |
|
[23 -> 192.168.20.125:3828] |
在括号中: 第一个域(23)表示本地TCP端口。 第二个域(192.168.20.125)表示远端IP地址。 第三个域(3828)表示远端TCP端口。 |
|
sending SYN |
发出一个连接请求报文(TCP报头控制比特中的SYN置位)。其它的TCP控制比特包括SYN, ACK, FIN, PSH, RST和URG。 |
|
seq 50658312 |
发出报文的序列号为50658312。 |
|
ack 3130379657 |
发出报文的确认号为3130379657。 |
|
rcvd FIN |
收到连接终止请求(TCP报头控制比特中的FIN置位)。 |
|
connection closed by user |
上层应用要求关闭TCP连接。 |
|
connection timed out |
连接超时被关闭。 |
相关命令
debug ip tcp packet
显示用户数据报协议(UDP)的交互信息。使用命令no debug ip udp停止显示。
debug ip udp
no debug ip udp
参数
该命令没有参数或关键字。
命令模式
管理态
示例
switch#debug ip udp
switch#UDP: rcvd src 192.168.20.99(520), dst 192.168.20.255(520), len = 32
UDP: sent src 192.168.20.22(20001), dst 192.168.20.43(1001), len = 1008
|
域 |
描述 |
|
UDP: |
表示这条信息是关于UDP报文的。 |
|
rcvd |
收到报文。 |
|
sent |
发出报文。 |
|
src |
UDP报文的源IP地址和UDP端口。 |
|
dst |
UDP报文的目的IP地址和UDP端口。 |
|
len |
UDP报文的长度。 |
所以,第一条信息说明收到一个UDP报文,来自主机192.168.20.99,端口为520,目的地址是192.168.20.255,目的端口是520,报文长度为32字节。
第二条信息说明发出一个UDP报文,本地地址是192.168.20.22,端口是20001,目的地址是192.168.20.43,目的端口是1001,报文长度为1008字节。
要求交换机在指定接口上回应 IP 地址掩码请求。如果要关闭这项功能,使用no ip mask-reply。
ip mask-reply
no ip mask-reply
default ip mask-reply
参数
该命令没有参数或关键字。
缺省
不应答IP地址掩码请求。
命令模式
vlan接口配置态
示例
interface vlan 11
ip mask-reply
设置接口发出的IP报文的最大发送单元(MTU)长度,使用ip mtu命令。如果要重新使用MTU缺省值,使用no ip mtu命令。
ip mtu bytes
no ip mtu
参数
|
参数 |
参数说明 |
|
bytes |
以字节计算的IP最大传输长度。 |
缺省
根据接口物理介质的不同,和接口上的最大传输长度(mtu)相同。最小是68字节。
命令模式
vlan接口配置态
使用说明
如果IP报文长度超过接口设置的IP MTU,交换机将对报文分片。所有连在同一物理介质上的设备,应该设置相同的协议MTU才能通信。MTU值(通过接口配置命令mtu设置)会影响IP MTU值。如果IP MTU值和MTU值相同,当改变MTU值时,IP MTU的值会自动改变为新的MTU值。反之,改变IP MTU值不会影响MTU值。
IP MTU最小值为68字节,最大值不超过接口配置的MTU。
示例
下列命令把接口的IP MTU设为200:
interface vlan 10
ip mtu 200
相关命令
mtu
发送IP ICMP重定向报文。不发送ICMP重定向报文,用命令no ip redirects。
ip redirects
no ip redirects
参数
命令没有参数或关键字。
缺省
一般情况下,IP重定向报文是缺省被发送的。但是,如果用户在接口上配置了热备份交换机协议,该项功能将被自动关闭。而且,如果以后热备份交换机协议的配置被取消,这项功能不会自动打开。
命令模式
接口配置态
使用说明
当交换机在转发报文时发现网关所在的转发接口和收到报文的接口相同,而且发送报文的主机就直连在这个接口的逻辑网络上的话,根据协议,它可以发出一个ICMP重定向报文,通知源主机直接把那个交换机作为到报文目的地址的网关,而不再经过这台交换机转发。
如果接口配置了热备份交换机协议,发送IP重定向报文可能导致报文丢失。
示例
下面的命令在接口vlan 10上打开发送ICMP重定向报文的功能:
interface vlan 10
ip redirects
在接口上设置是否允许使用路由缓存来转发IP报文。使用no ip route-cache命令禁止使用路由缓存。
ip route-cache
no ip route-cache
ip route-cache same-interface
no ip route-cache same-interface
参数
|
参数 |
参数说明 |
|
same-interface |
允许IP报文被快速交换出接收接口。 |
缺省
在接口上允许快速交换,禁止同一接口的快速交换。
命令模式
接口配置态
使用说明
路由缓存基于源地址/目的地址对转发报文进行负载均衡。
允许路由缓存会提高路由交换机的报文转发性能。但是在低速线路(64k或更低)上,通常应该禁止路由缓存。
用户可以用命令ip route-cache same-interface允许同一接口的IP快速交换,即接收接口和发送接口相同。通常情况下,建议不要开启这一功能,因为和路由交换机的重定向功能冲突。如果用户有一个不完全连接的网络,例如帧中继,可以在帧中继接口开启这项功能。例如路由交换机A, B, C共同构成一个帧中继网络,但只有A—B和B—C的链路,A和C的通信必须由B中转:A—B—C,B从接口的一个DLCI收到A的报文,然后又从同一接口经另一个DLCI发送到C。
示例
下列命令允许同一接口的快速交换:
ip route-cache same-interface
下列命令禁止快速交换,包括同一接口的快速交换:
no ip route-cache
下列命令只禁止同一接口的快速交换:
no ip route-cache same-interface
下列命令使系统回到缺省配置(允许快速交换,禁止同一接口的快速交换):
ip route-cache
相关命令
show ip cache
4.1.14 ip route-cache hit-numbers
在全局配置态使用该命令设置软件路由缓存中的条目增加到硬件路由缓存中时所需要的命中次数
[no] ip route-cache hit-numbers hit-number
参数
|
参数 |
参数说明 |
|
hit-number |
软件缓存中的路由条目增加到硬件路由缓存中时所需要的命中次数。 |
缺省
缺省值为5
命令模式
全局配置态
使用说明
该命令用于设置软件路由缓存中的条目增加到硬件路由缓存中时所需要的命中次数。
示例
下列命令设置了软件路由缓存中的条目被命中两次后会增加到硬件路由缓存中。
ip route-cache hit-numbers 2
相关命令
show ip cache
4.1.15 ip route-cache create-on-arp
在vlan接口配置态下使用该命令,在学到该端口网段的arp后,为该arp地址创建一条主机cache。
[no] ip route-cache create-on-arp
参数
无
缺省
缺省为关闭
命令模式
vlan接口配置态
使用说明
主机路由表一般有流量触发创建,配置该命令后可以通过学习arp来创建主机路由表,提前防止流量冲击cpu。
示例
无
相关命令
show ip cache
在全局配置态使用该命令,若某非直连硬件主机路由(cache)的下一跳恰好与某硬件子网路由(exf)的下一跳相同,则删除此硬件主机路由。
[no] ip route-cache age-exf
参数
无
缺省
缺省为打开
命令模式
全局配置态
使用说明
若某非直连硬件主机路由的下一跳与某硬件子网路由下一跳相同,该命令用于设置是否删除该硬件主机路由。
示例
在全局no ip exf的情况下,由于三层报文转发生成了一条dst:192.200.1.1 nh:192.3.3.2的非直连硬件主机路由。此时若输入命令全局打开ip exf,根据全局ip route-cache age-exf开启与否会产生以下两种结果:
相关命令
ip exf
show ip cache
4.1.17 ip route-cache cache-pbr
在全局配置态使用该命令,某些通过策略路由查找到路由的主机也将加入硬件主机表中;缺省情况下通过策略路由方式查找路由的主机不会加入硬件主机。
[no] ip route-cache cache-pbr
参数
无
缺省
缺省为关闭
命令模式
全局配置态
使用说明
在配置了策略路由后,有些通过策略路由方式查找路由的路由缓存无法加入硬件表,这会导致软件转发降低性能;配置该命令可以使这样的路由缓存加入硬件表,提高系统性能。
示例
在全局方式下使用以下命令打开该功能:
ip route-cache cache-pbr
相关命令
show ip cache
4.1.18 ip route-cache age-delay
在全局配置态使用该命令设置由于arp变化引起的老化硬件路由缓存的延迟指数。
[no] ip route-cache age-delay age-delay
参数
|
参数 |
参数说明 |
|
age-delay |
arp变化引起的老化硬件路由缓存的延迟指数。 |
缺省
缺省为0
命令模式
全局配置态
使用说明
若设置了延迟指数,在arp变化时,不会立即删除其相关的硬件路由缓存,延迟一段时间再执行删除操作。指数越大延迟时间越长。
注:使用在拥有大量直连主机的情景,arp变化导致与之相关的硬件路由缓存删除,此时很可能会有大量的报文冲击CPU。设置此延迟指数可以暂时保护CPU。该命令一般与arp retry-allarp配合使用,两者配合使用时,系统会重新学习arp,并尽快为ip cache重新设置正确的出口。
示例
下列命令设置了,由arp引起的老化硬件路由缓存的延迟指数为60。
ip route-cache age-delay 60
相关命令
show ip cache
4.1.19 ip route-cache softcache-alive-time
在全局配置态使用该命令设置软件路由缓存中的条目的生存时间
[no] ip route-cache softcache-alive-time alive-time
参数
|
参数 |
参数说明 |
|
alive-time |
软件缓存中的路由条目的生存时间(单位为10ms) |
缺省
缺省值为3000,即30s。
命令模式
全局配置态
使用说明
该命令用于设置软件路由缓存中的条目的生存时间。
示例
下列命令设置了软件路由缓存中的条目的生存时间为40s。
ip route-cache softcache-alive-time 4000
相关命令
show ip cache
4.1.20 ip route-cache software-index
在全局配置态使用该命令设置定时器每次操作软件路由缓存条目的最长时间
[no] ip route-cache software-index ticks
参数
|
参数 |
参数说明 |
|
ticks |
每次定时器操作软件路由缓存条目的最长时间(10ms/ tick) |
缺省
缺省值为1,即10ms
命令模式
全局配置态
使用说明
该命令用于设置定时器每次操作软件路由缓存条目的最长时间。值越大表示能更快的老化无效的软件路由缓存(由其在系统忙的时候)。有效遏制无效软件路由缓存条目的数量。
示例
下列命令设置了每次定时器操作软件路由缓存条目的最长时间为500ms。
ip route-cache software-index 50
相关命令
show ip cache
4.1.21 ip route-cache hardware-index
在全局配置态使用该命令设置定时器每次操作硬件路由缓存条目的最长时间
[no] ip route-cache hardware-index ticks
参数
|
参数 |
参数说明 |
|
ticks |
每次定时器操作软件路由缓存条目的最长时间(10ms/ tick) |
缺省
缺省值为50,即0.5s
命令模式
全局配置态
使用说明
该命令用于设置定时器每次操作硬件路由缓存条目的最长时间。值越大表明能更快的添加硬件路由缓存(由其在系统忙的时候)。
示例
下列命令设置了每次定时器操作硬件路由缓存条目的最长时间为600ms。
ip route-cache hardware-index 60
相关命令
show ip cache
4.1.22 ip route-cache-aging-time
在全局配置态使用该命令设置硬件路由缓存条目的生存时间
[no] ip route-cache-aging-time seconds
参数
|
参数 |
参数说明 |
|
seconds |
硬件路由缓存的生存时间 |
缺省
缺省值为300s
命令模式
全局配置态
使用说明
该命令用于设置硬件路由缓存条目的生存时间。
示例
下列命令设置了硬件路由缓存条目的生存时间为600s。
ip route-cache-aging-time 600
相关命令
show ip cache
允许路由交换机处理带IP源路由选项的IP报文。如果要求路由交换机丢弃任何带IP源路由选项的IP报文,使用no ip source-route命令。
ip source-route
no ip source-route
参数
无
缺省
处理带IP源路由选项的IP报文。
命令模式
全局配置态
示例
下列命令要求处理带IP源路由选项的IP报文:
ip source-route
相关命令
ping
设置交换机等待TCP连接成功的超时时间。如果要回到缺省时间,使用no ip tcp synwait-time命令。
ip tcp synwait-time seconds
no ip tcp synwait-time
参数
|
参数 |
参数说明 |
|
seconds |
以秒为单位的TCP连接等待时间。有效取值在5 ~ 300秒之间。缺省是75秒。 |
缺省
75秒
命令模式
全局配置态
使用说明
当交换机发起TCP连接时,如果在TCP连接等待时间之后连接仍没有建立成功,则交换机认为连接失败,并把这一结果返回给上层应用程序。用户可以设置TCP等待连接建立成功的时间,缺省是75秒。这个选项与经过交换机转发的TCP连接报文无关,而只与交换机本机的TCP连接有关。
如果要知道当前值,使用命令ip tcp synwait-time ?,在方括号[]中的值就是当前值。
示例
下面的例子把TCP连接等待时间设为30秒:
switch_config#ip tcp synwait-time 30
设置TCP窗口尺寸。 如果要回到缺省值,使用no ip tcp window-size命令。
ip tcp window-size bytes
no ip tcp window-size
参数
|
参数 |
参数说明 |
|
bytes |
以字节为单位的窗口尺寸。最大是65535字节。缺省是2000字节。 |
缺省
2000字节
命令模式
全局配置态
使用说明
除非明确知道为什么要改变缺省值,否则不要轻易改变。
示例
下面的例子把TCP窗口尺寸设为6000字节:
switch_config#ip tcp window-size 6000
设置交换机发出ICMP不可到达报文。如果要求交换机停止发送,使用no ip unreachables命令。
ip unreachables
no ip unreachables
参数
该命令没有参数或者关键字。
缺省
发送ICMP unreachable报文。
命令模式
vlan接口配置态
使用说明
交换机在转发IP报文的时候,可能发现路由表中没有相关路由,导致报文被丢弃,这时,交换机可以向源主机发出ICMP不可到达报文,通知源主机这一情况,以便源主机及时发现错误,并进行更正。
示例
下面的例子设置在接口vlan 10上发送ICMP不可到达报文:
interface vlan 10
ip unreachables
显示用于IP快速交换的路由缓存。子命令software表示只显示保存在系统软件路由缓存中的条目,hardware表示只显示保存在系统硬件路由缓存中的条目。
show ip cache [prefix mask]|software|hardware|summary|<interface>]
参数
|
参数 |
参数说明 |
|
prefix mask |
(可选)只显示表项的目的地址和用户所键入指定的前缀/掩码相匹配的表项。 |
|
software |
只显示保存在系统软件路由缓存中的条目. |
|
hardware |
只显示保存在系统硬件路由缓存中的条目 |
命令模式
除用户态的所有模式
示例
下面的例子显示路由缓存:
switch#show ip cache
Current ip flow cache in used : 3, in hardware 2(2)
Destination VRF ID DstIf Next Hop Status
91.0.0.22 0 v2 91.0.0.22 HW(0)
91.0.0.24 0 v2 91.0.0.24 SW(0)
90.0.0.90 0 v1 90.0.0.90 HW(0)
其中current ip flow cache in used表示当前总共创建的cache数量,in hardware表示当前加入硬件表中cache的数量,括号内的值为交换芯片统计值,仅供参考。
|
域 |
描述 |
|
Destination |
目的地址。 |
|
Vrf id |
地址所属的vrf。 |
|
dstif |
发送接口的类型和编号。 |
|
Next Hop |
网关地址。 |
|
status |
Cache当前状态,最常见的是HW表示cache已经加入硬件表,SW表示cache仍然在软件表中。 |
显示irdp protocl信息。
参数
该命令没有参数或者关键字。
命令模式
除用户态的所有模式
示例
xuhao_config_vlan10# show ip irdp
Async0/0 ICMP router discovery protocol(IRDP) : OFF
vlan 10 ICMP router discovery protocol(IRDP) : ON
Advertisements occur between every 450 and 600 seconds
Advertisements are sent as broadcasts
Advertisements valid in 1800 seconds
Default preference : 0
vlan 11 ICMP router discovery protocol(IRDP) : OFF
Null0 ICMP router discovery protocol(IRDP) : OFF
Loopback7 ICMP router discovery protocol(IRDP) : OFF
Loopback10 ICMP router discovery protocol(IRDP) : OFF
显示socket信息。
show ip sockets
参数
该命令没有参数或者关键字。
命令模式
除用户态的所有模式
示例
Switch#show ip sockets
ID Proto Local Port Remote Port In Out
0 17 :: 546 :: 0 0 0
1 17 :: 547 :: 0 0 0
2 0 0.0.0.0 0 0.0.0.0 0 0 0
3 17 0.0.0.0 68 0.0.0.0 0 0 0
4 6 :: 23 :: 0 0 0
5 6 0.0.0.0 23 0.0.0.0 0 0 0
6 17 0.0.0.0 0 0.0.0.0 0 0 0
7 17 :: 0 :: 0 0 0
8 17 0.0.0.0 3799 0.0.0.0 0 0 0
9 17 0.0.0.0 161 0.0.0.0 0 0 0
10 17 :: 161 :: 0 0 0
11 0 0.0.0.0 0 0.0.0.0 0 0 0
12 17 0.0.0.0 123 0.0.0.0 0 0 0
13 17 0.0.0.0 69 0.0.0.0 0 0 0
14 17 0.0.0.0 646 0.0.0.0 0 0 0
15 6 0.0.0.0 646 0.0.0.0 0 0 0
|
域 |
描述 |
|
ID |
序号 |
|
Proto(协议) |
IP协议号。17是UDP,6是TCP。 |
|
Remote(远端) |
远端地址。 |
|
Port(端口) |
远端端口。 |
|
Local(本地) |
本地地址。 |
|
Port(端口) |
本地端口。 |
|
In(接收) |
接收字节总数。 |
|
Out(发送) |
发送字节总数。 |
显示IP流量统计信息。
show ip traffic
参数
该命令没有参数或者关键字。
命令模式
除用户态的所有模式
示例
switch#show ip traffic
IP statistics:
Rcvd: 0 total, 0 local destination, 0 delivered
0 format errors, 0 checksum errors, 0 bad ttl count
0 bad destination address, 0 unknown protocol, 0 discarded
0 filtered , 0 bad options, 0 with options
Opts: 0 loose source route, 0 record route, 0 strict source route
0 timestamp, 0 router alert, 0 others
Frags: 0 fragments, 0 reassembled, 0 dropped
0 fragmented, 0 fragments, 0 couldn't fragment
Bcast: 0 received, 0 sent
Mcast: 0 received, 0 sent
Sent: 230 generated, 0 forwarded
0 filtered, 0 no route, 0 discarded
ICMP statistics:
Rcvd: 0 total, 0 format errors, 0 checksum errors
0 redirect, 0 unreachable, 0 source quench
0 echos, 0 echo replies, 0 mask requests, 0 mask replies
0 parameter problem, 0 timestamps, 0 timestamp replies
0 time exceeded, 0 router solicitations, 0 router advertisements
Sent: 0 total, 0 errors
0 redirects, 0 unreachable, 0 source quench
0 echos, 0 echo replies, 0 mask requests, 0 mask replies
0 parameter problem, 0 timestamps, 0 timestamp replies
0 time exceeded, 0 router solicitations, 0 router advertisements
UDP statistics:
Rcvd: 28 total, 0 checksum errors, 22 no port, 0 full sock
Sent: 0 total
TCP statistics:
Rcvd: 0 total, 0 checksum errors, 0 no port
Sent: 3 total
IGMP statistics:
Rcvd: 0 total, 0 format errors, 0 checksum errors
0 host queries, 0 host reports
Sent: 0 host reports
ARP statistics:
Rcvd: 8 total, 7 requests, 1 replies, 0 reverse, 0 other
Sent: 5 total, 5 requests, 0 replies (0 proxy), 0 reverse
|
域 |
描述 |
|
format errors(格式错误) |
报文格式错误,例如IP报头长度错误 |
|
bad hop count(TTL错误) |
路由交换机在转发报文时,发现报文的TTL值被减到0。报文将被丢弃。 |
|
no route(没有路由) |
路由交换机没有相应路由的报文。 |
显示所有TCP连接的状态信息。
show tcp
参数
该命令没有参数或者关键字。
命令模式
除用户态的所有模式
示例
switch#show tcp
TCB 0xE9ADC8
Connection state is ESTABLISHED, unread input bytes: 934
Local host: 192.168.20.22, Local port: 1023
Foreign host: 192.168.20.124, Foreign port: 513
Enqueued bytes for transmit: 0, input: 934 mis-ordered: 0 (0 packets)
Timer Starts Wakeups Next(ms)
Retrans 33 1 0
TimeWait 0 0 0
SendWnd 0 0 0
KeepAlive 102 0 7199500
iss: 29139463 snduna: 29139525 sndnxt: 29139525 sndwnd: 17520
irs: 709124039 rcvnxt: 709205436 rcvwnd: 4380
SRTT: 15 ms, RXT: 2500 ms, RTV: 687 ms
minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms
Datagrams (max data segment is 1460 bytes):
Rcvd: 102 (out of order: 0), with data: 92, total data bytes: 81396
Sent: 104 (retransmit: 0), with data: 31, total data bytes: 61
|
域 |
描述 |
|
TCB 0xE77FC8 |
TCP连接控制块的内部标识。 |
|
Connection state is ESTABLISHED |
TCP连接当前状态。TCP连接可能处于下列任一状态: LISTEN---等待来自任意远端主机TCP连接请求。 SYN_SENT---发出连接请求后,等待对方的应答。 SYN_RCVD---收到对方的连接请求并发出确认,也发出了自己的连接请求,正在等待对方的连接请求确认。 ESTABLISHED---表示连接建立成功,处于数据传送阶段,可以收发上层应用的数据。 FIN_WAIT_1---已经向对方发出连接终止请求,等待对方的确认,以及对方的连接终止请求。 FIN_WAIT_2---已经向对方发出连接终止请求,并收到对方的确认,正在等待对方的连接终止请求。 CLOSE_WAIT---收到对方的连接终止请求,发出确认,正在等待本地用户关闭连接,一旦用户要求关闭连接,系统将发出连接终止请求。 CLOSING---已经向对方发出连接终止请求,也收到对方的连接终止请求并发出确认,正在等待对方对本地连接终止请求的确认。 LAST_ACK---已经收到对方的连接终止请求并确认,发出连接终止请求,正在等待确认。 TIME_WAIT---正在等待足够的时间以确定对方收到了本地对它的连接终止请求的确认 CLOSED---表示完全没有连接或者连接已经完全关闭 如果要了解更为详细的信息,请参阅RFC 793,TRANSMISSION CONTROL PROTOCOL。 |
|
unread input bytes: |
经下层TCP处理后可以提交给上层应用,但是上层应用还没有接收的数据。 |
|
Local host: |
本地IP地址。 |
|
Local port: |
本地TCP端口。 |
|
Foreign host: |
远端IP地址。 |
|
Foreign port: |
远端TCP端口。 |
|
Enqueued bytes for transmit: |
发送队列中的字节数,包括已经发送但还没有被对方确认的数据和还没有发送的数据。 |
|
input: |
接收队列中的字节数,这些数据经过排序后等待被上层应用接收。 |
|
mis-ordered: |
错序队列中的字节数和报文数,这些数据必须等待其它的一些数据收到后,才能顺序进入接收队列被上层应用接收。例如,收到报文1,2,4,5和6,报文1和2可以进入接收队列,但是4,5和6只能进入错序队列等待报文3的到达。 |
接着显示当前连接的定时器使用情况,包括定时器启动的次数,定时器超时的次数和定时器距离下次超时的时间(0表示定时器当前不再运行)。每个连接都使用独立的定时器。定时器的超时次数一般小于定时器的启动次数,因为定时器在运行过程中有可能被重置。例如,重发定时器运行时系统收到对方对所有发送数据的确认,重发定时器将停止运行。
Timer Starts Wakeups Next(ms)
Retrans 33 1 0
TimeWait 0 0 0
SendWnd 0 0 0
KeepAlive 102 0 7199500
|
域 |
描述 |
|
Timer |
定时器名称。 |
|
Starts |
定时器的启动次数。 |
|
Wakeups |
定时器的超时次数。 |
|
Next(ms) |
定时器距离下次超时的时间(以毫秒为单位),0表示定时器不在运行。 |
|
Retrans |
重发定时器,用于触发数据重发。定时器在发送数据后被启动,如果超时时间内数据未被对方确认,则重发数据。 |
|
TimeWait |
时间等待定时器,用于确保对方收到连接终止请求确认。 |
|
SendWnd |
发送窗口定时器,用于确保发送窗口在TCP确认丢失的情况下恢复到正常大小。 |
|
KeepAlive |
保持活动定时器,用于确保通信链路正常和对方仍旧处于连接状态。它将触发测试报文的发送,以检测通信链路状态和对方状态。 |
接着显示TCP连接使用的序列号。TCP使用序列号来保证可靠有序的数据传输。本地和远端主机还根据序列号来进行流量控制和发送确认。
iss: 29139463 snduna: 29139525 sndnxt: 29139525 sndwnd: 17520
irs: 709124039 rcvnxt: 709205436 rcvwnd: 4380
|
域 |
描述 |
|
iss: |
初始发送序列号。 |
|
snduna: |
已经发送但是还没有收到对方确认的数据的第一个字节的发送序列号。 |
|
sndnxt: |
以后发送的数据的第一个字节的发送序列号。 |
|
sndwnd: |
远端主机的TCP窗口尺寸。 |
|
irs: |
初始接收序列号,也就是远端主机的初始发送序列号。 |
|
rcvnxt: |
最近确认的接收序列号。 |
|
rcvwnd: |
本地主机的TCP窗口尺寸。 |
接着显示本地主机记录的发送时间,系统可以根据这些数据调整系统以适应不同的网络。
SRTT: 15 ms, RXT: 2500 ms, RTV: 687 ms
minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms
|
域 |
描述 |
|
SRTT: |
平滑处理后的往返时间。 |
|
RXT: |
重传超时时间。 |
|
RTV: |
往返时间的变化值。 |
|
MinRXT: |
允许的最小重传超时。 |
|
MaxRXT: |
允许的最大重传超时。 |
|
ACK hold: |
延迟确认以便和数据一起发送的最大延迟时间。 |
Datagrams (max data segment is 1460 bytes):
Rcvd: 102 (out of order: 0), with data: 92, total data bytes: 81396
Sent: 104 (retransmit: 0), with data: 31, total data bytes: 61
|
域 |
描述 |
|
max data segment is |
该连接允许的最大数据段长度。 |
|
Rcvd: |
本地主机在这个连接过程中收到的报文数,以及其中错序的报文数。 |
|
with data: |
包含有效数据的报文数。 |
|
total data bytes: |
报文中包含的数据字节数。 |
|
Sent: |
本地主机在这个连接过程中发送的报文总数,以及重发的报文数。 |
|
with data: |
包含有效数据的报文数。 |
|
total data bytes: |
报文中包含的数据字节数。 |
相关命令
show tcp brief
show tcp tcb
显示TCP连接的简要信息。
show tcp brief [all]
参数
|
参数 |
参数说明 |
|
all |
(可选)显示所有端口。如果不输入这个关键字,系统不显示处于LISTEN状态的端口。 |
命令模式
除用户态的所有模式
示例
switch#show tcp brief
TCB Local Address Foreign Address State
0xE9ADC8 192.168.20.22:1023 192.168.20.124:513 ESTABLISHED
0xEA34C8 192.168.20.22:23 192.168.20.125:1472 ESTABLISHED
|
域 |
描述 |
|
TCB |
TCP连接的内部标识。 |
|
Local Address |
本地IP地址和TCP端口。 |
|
Foreign Address |
远端IP地址和TCP端口。 |
|
State |
连接状态。详细说明参见show tcp命令。 |
相关命令
show tcp
show tcp tcb
显示TCP统计数据。
show tcp statistics
参数
该命令没有参数或者关键字。
命令模式
除用户态的所有模式
示例
switch#show tcp statistics
Rcvd: 148 Total, 0 no port
0 checksum error, 0 bad offset, 0 too short
131 packets (6974 bytes) in sequence
0 dup packets (0 bytes)
0 partially dup packets (0 bytes)
0 out-of-order packets (0 bytes)
0 packets (0 bytes) with data after window
0 packets after close
0 window probe packets, 0 window update packets
0 dup ack packets, 0 ack packets with unsend data
127 ack packets (247 bytes)
Sent: 239 Total, 0 urgent packets
6 control packets
123 data packets (245 bytes)
0 data packets (0 bytes) retransmitted
110 ack only packets (101 delayed)
0 window probe packets, 0 window update packets
4 Connections initiated, 0 connections accepted, 2 connections established
3 Connections closed (including 0 dropped, 1 embryonic dropped)
5 Total rxmt timeout, 0 connections dropped in rxmt timeout
1 Keepalive timeout, 0 keepalive probe, 1 Connections dropped in keepalive
|
域 |
描述 |
|
Rcvd: |
关于路由交换机收到报文的统计数据。 |
|
Total |
收到报文总数。 |
|
no port |
收到报文中目的端口不存在的报文数。 |
|
checksum error |
收到报文中校验和错误的报文数。 |
|
bad offset |
收到报文中数据偏移量错误的报文数。 |
|
too short |
收到报文中长度小于最小有效长度的报文数。 |
|
packets in sequence |
按序收到的数据报文数。 |
|
dup packets |
收到的重复报文数。 |
|
partially dup packets |
收到的部分重复的报文数。 |
|
out-of-order packets |
不是按顺序收到的报文数。 |
|
packets with data after window |
收到的报文中数据超出路由交换机的接收窗口的报文数。 |
|
packets after close |
连接关闭后收到的报文数。 |
|
window probe packets |
收到的窗口探测报文数。 |
|
window update packets |
收到的窗口更新报文数。 |
|
dup ack packets |
收到的重复确认报文数。 |
|
ack packets with unsent data |
收到的确认未发送数据的报文数。 |
|
ack packets |
收到的确认报文数。 |
|
Sent |
关于路由交换机发出报文的统计数据。 |
|
Total |
发出报文总数。 |
|
urgent packets |
发出的紧急报文数。 |
|
control packets |
发出的控制(SYN、FIN或RST)报文数。 |
|
data packets |
发出的数据报文数。 |
|
data packets retransmitted |
重发的数据报文数。 |
|
ack only packets |
发出的纯确认报文数。 |
|
window probe packets |
发出的窗口探测报文数。 |
|
window update packets |
发出的窗口更新报文数。 |
|
Connections initiated |
本地发起的连接数。 |
|
connections accepted |
本地接受的连接数。 |
|
connections established |
本地建立连接数。 |
|
Connections closed |
本地关闭连接数。 |
|
Total rxmt timeout |
重发超时总数。 |
|
Connections dropped in rxmit timeout |
重发超时导致的连接断开数。 |
|
Keepalive timeout |
Keepalive超时数。 |
|
keepalive probe |
发出的Keepalive探测报文数。 |
|
Connections dropped in keepalive |
由于Keepalive被断开的连接数。 |
相关命令
clear tcp statistics
显示某个TCP连接的状态信息。
show tcp tcb address
参数
|
参数 |
参数说明 |
|
address |
要显示的TCP连接的传输控制块(TCB)地址。TCB是系统内部对TCP连接的标识,可以用命令show tcp brief得到。 |
命令模式
除用户态的所有模式
示例
下列显示的具体说明参见show tcp命令。
switch_config#show tcp tcb 0xea38c8
TCB 0xEA38C8
Connection state is ESTABLISHED, unread input bytes: 0
Local host: 192.168.20.22, Local port: 23
Foreign host: 192.168.20.125, Foreign port: 1583
Enqueued bytes for transmit: 0, input: 0 mis-ordered: 0 (0 packets)
Timer Starts Wakeups Next(ms)
Retrans 4 0 0
TimeWait 0 0 0
SendWnd 0 0 0
KeepAlive +5 0 6633000
iss: 10431492 snduna: 10431573 sndnxt: 10431573 sndwnd: 17440
irs: 915717885 rcvnxt: 915717889 rcvwnd: 4380
SRTT: 2812 ms, RXT: 18500 ms, RTV: 4000 ms
minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms
Datagrams (max data segment is 1460 bytes):
Rcvd: 5 (out of order: 0), with data: 1, total data bytes: 3
Sent: 4 (retransmit: 0), with data: 3, total data bytes: 80
相关命令
show tcp
show tcp brief
访问列表配置命令有:
在IP访问列表配置模式中可使用此命令配置禁止规则,要从IP访问列表中删除deny规则,在命令前加no前缀。
deny source [source-mask] [log]
no deny source [source-mask] [log]
deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
no deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
deny icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
对于Internet 组管理协议(IGMP),可以使用以下句法:
deny igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
对于数据报协议(UDP),可以使用以下句法:
deny udp source source-mask [operator port] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
参数
|
参数 |
参数说明 |
|
protocol |
协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定,如下描述。 |
|
source |
源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 |
|
source-mask |
源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 |
|
destination |
目标网络或主机号。有两种方法指定: 使用四个点隔开的十进制数表示的32位二进制数。 使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。 |
|
destination-mask |
目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩写。 |
|
precedence precedence |
(可选)包可以由优先级过滤,用0到7的数字指定。 |
|
tos tos |
(可选) 数据包可以使用服务层过滤。使用数字0-15指定。 |
|
icmp-type |
(可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。 |
|
igmp-type |
(可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。 |
|
operator |
(可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),neq(不等于)。如果操作符放在source和source-mask之后,那么它必须匹配这个源端口。如果操作符放在destination和destination-mask之后,那么它必须匹配目标端口。 |
|
port |
(可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用TCP端口名。当过滤UDP时, 只可使用UDP端口名。 |
|
established |
(可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连接。 |
|
log |
(可选)可以进行日志记录。 |
命令模式
IP访问列表配置态
使用说明
可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新的内容。在匹配发生以后停止检查扩展的访问表。分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包的优先权。
注意:
在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。
以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
Bgp、ftp、ftp-data、login、pop2、pop3、smtp、telnet、www
以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
Domain、snmp、syslog、tftp
示例
下面示例禁止192.168.5.0这个网段:
ip access-list standard filter
deny 192.168.5.0 255.255.255.0
注意:
IP访问表由一个隐含的deny规则结束。
相关命令
ip access-group
ip access-list
permit
show ip access-list
为了控制访问一个接口,使用ip access-group接口配置命令。为了删除这个指定的访问组,使用no格式命令。
ip access-group {access-list-name}{in | out}
no ip access-group {access-list-name}{in | out}
参数
|
参数 |
参数说明 |
|
access-list-name |
访问表名。这是一个最长为20个字符的字符串。 |
|
in |
在进接口时使用访问列表。 |
|
out |
在出接口时使用访问列表。 |
命令模式
接口配置态
使用说明
访问列表既可用在出接口也可用在入接口。对于标准的入口访问列表,在接收到包之后,对照访问列表检查包的源地址。对于扩展的访问列表,该交换机也检查目标地址。如果访问表允许该地址,那么软件继续处理该包。如果访问表不允许该地址,该软件放弃包并返回一个ICMP主机不可到达报文。
对于标准的出口访问表,在接收和路由一个包到控制接口以后,软件对照访问列表检查包的源地址。对于扩展的访问表,交换机还检查接收端访问表。如果访问表允许该软件就传送这个包。如果访问列表不允许该地址,软件放弃这个包并返回一个ICMP主机不可达报文。
如果指定的访问列表不存在,所有的包允许通过。
示例
下例在VLAN接口1的包出口上应用列表filter:
interface vlan 1
ip access-group filter out
相关命令
ip access-list
show ip access-list
使用此命令后,进入的IP访问列表配置模式。在这状态下可以增加和删除访问规则。命令exit返回配置状态。
使用no前缀,删除IP访问列表。
ip access-list {standard | extended} name
no ip access-list {standard | extended} name
参数
|
参数 |
参数说明 |
|
standard |
指定为标准访问列表。 |
|
extended |
指定为扩展访问列表。 |
|
name |
访问表名。这是一个最长20的字符串。 |
缺省
没有IP访问列表被定义。
命令模式
全局配置态
使用说明
使用此命令将进入IP访问列表配置模式,在IP访问列表配置模式中,可以用deny或permit命令来配置访问规则。
示例
以下的例子配置一个标准访问列表。
ip access-list standard filter
deny 192.168.1.0 255.255.255.0
permit any
相关命令
deny
ip access-group
permit
show ip access-list
在IP访问列表配置模式中可使用此命令配置允许规则,要从IP访问列表中删除permit规则,在命令前加no前缀。
permit source [source-mask] [log]
no permit source [source-mask] [log]
permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
no permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
permit icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
对于Internet 组管理协议(IGMP),可以使用以下句法:
permit igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
对于TCP,可以使用以下句法:
permit tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
对于数据报协议(UDP),可以使用以下句法:
permit udp source source-mask [operator port [port]] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
参数
|
参数 |
参数说明 |
|
protocol |
协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定,如下描述。 |
|
source |
源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 |
|
source-mask |
源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 |
|
destination |
目标网络或主机号。有两种方法指定: 使用四个点隔开的十进制数表示的32位二进制数。 使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。 |
|
destination-mask |
目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩写。 |
|
precedence precedence |
(可选)包可以由优先级过滤,用0到7的数字指定。 |
|
tos tos |
(可选) 数据包可以使用服务层过滤。使用数字0-15指定。 |
|
icmp-type |
(可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。 |
|
igmp-type |
(可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。 |
|
operator |
(可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),neq(不等于)。如果操作符放在source和source-mask之后,那么它必须匹配这个源端口。如果操作符放在destination和destination-mask之后,那么它必须匹配目标端口。 |
|
port |
(可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用TCP端口名。当过滤UDP时, 只可使用UDP端口名。 |
|
established |
(可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连接。 |
|
log |
(可选)可以进行日志记录。 |
命令模式
IP访问列表配置态
使用说明
可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新的内容。在匹配发生以后停止检查扩展的访问表。
分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包的优先权。
注意:
在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。
以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
Bgp、ftp、ftp-data、login、pop2、pop3、smtp、telnet、www
以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
Domain、snmp、syslog、tftp
示例
下面示例允许192.168.5.0这个网段:
ip access-list standard filter
permit 192.168.5.0 255.255.255.0
注意:
IP访问表由一个隐含的deny规则结束。
相关命令
deny
ip access-group
ip access-list
show ip access-list
要显示当前的IP访问列表内容,使用show ip access-list命令。
show ip access-list[access-list-name] [config-list | merge-list | both-list]
参数
|
参数 |
参数说明 |
|
access-list-name |
访问表名。这是一个最长20的字符串。 |
|
config-list |
显示原配置访问列表 |
|
merge-list |
显示归并列表 |
|
both-list |
显示原配置访问列表和归并列表 |
缺省
显示所有标准的和扩展的IP访问列表。
命令模式
除用户态的所有模式
使用说明
show ip access-list命令允许你指定一个特定的访问列表。
示例
以下是不指定名时show ip access-list 命令的示例输出:
Standard IP access list aaa
Index Rule content
2 permit 192.3.3.0 255.255.255.0
Extended IP access list bbb
Index Rule content
1 permit tcp any any eq www
2 permit ip any any
以下是指定访问表名时,show ip access-list bbb命令的示例输出:
Extended IP access list bbb
Index Rule content
1 permit tcp any any eq www
2 permit ip any any