网络协议配置命令 目录 目 录 第1章 IP寻址配置命令................................................................................................................................................ 1 1.1 IP寻址配置命令................................................................................................................................................ 1 1.1.1 arp ............................................................................................................................................................. 1 1.1.2 arp timeout ................................................................................................................................................ 2 1.1.3 clear arp-cache.......................................................................................................................................... 3 1.1.4 ip address.................................................................................................................................................. 4 1.1.5 ip directed-broadcast................................................................................................................................. 5 1.1.6 ip forward-protocol udp.............................................................................................................................. 5 1.1.7 ip helper-address....................................................................................................................................... 6 1.1.8 ip host........................................................................................................................................................ 7 1.1.9 ip proxy-arp ............................................................................................................................................... 8 1.1.10 ip unnumbered ........................................................................................................................................ 9 1.1.11 keepalive ............................................................................................................................................... 10 1.1.12 show arp................................................................................................................................................ 11 1.1.13 show hosts ............................................................................................................................................ 12 1.1.14 show ip interface ................................................................................................................................... 12 第2章 NAT配置命令................................................................................................................................................... 15 2.1 NAT配置命令................................................................................................................................................... 15 2.1.1 ip nat........................................................................................................................................................ 15 2.1.2 ip nat local-service................................................................................................................................... 16 2.1.3 ip nat inside destination........................................................................................................................... 17 2.1.4 ip nat inside source ................................................................................................................................. 18 2.1.5 ip nat outside source ............................................................................................................................... 21 2.1.6 ip nat pool................................................................................................................................................ 23 2.1.7 ip nat service ........................................................................................................................................... 24 2.1.8 ip nat translation...................................................................................................................................... 25 2.1.9 ip nat translation max-users .................................................................................................................... 27 2.1.10 clear ip nat statistics.............................................................................................................................. 27 2.1.11 clear ip nat translation ........................................................................................................................... 29 2.1.12 show ip nat statistics ............................................................................................................................. 30 2.1.13 show ip nat translations......................................................................................................................... 31 2.1.14 show ip nat users .................................................................................................................................. 33 2.1.15 debug ip nat........................................................................................................................................... 34 第3章 DHCP Client配置命令...................................................................................................................................... 36 3.1 DHCP Client配置命令...................................................................................................................................... 36 3.1.1 ip address dhcp....................................................................................................................................... 36 3.1.2 ip dhcp client ........................................................................................................................................... 37 3.1.3 ip dhcp-server.......................................................................................................................................... 38 3.1.4 show dhcp lease...................................................................................................................................... 39 3.1.5 show dhcp server .................................................................................................................................... 40 3.1.6 debug dhcp.............................................................................................................................................. 41 - I - 目录 第4章 DHCP Sever配置命令..................................................................................................................................... 43 4.1 DHCPD配置命令............................................................................................................................................. 43 4.1.1 ip dhcpd ping packet ............................................................................................................................... 43 4.1.2 ip dhcpd ping timeout .............................................................................................................................. 44 4.1.3 ip dhcpd write-time .................................................................................................................................. 44 4.1.4 ip dhcpd pool........................................................................................................................................... 45 4.1.5 ip dhcpd enable....................................................................................................................................... 46 4.1.6 ip dhcpd disable ...................................................................................................................................... 46 4.2 DHCPD地址池的配置命令............................................................................................................................ 47 4.2.1 network.................................................................................................................................................... 47 4.2.2 range ....................................................................................................................................................... 48 4.2.3 default-router........................................................................................................................................... 49 4.2.4 dns-server ............................................................................................................................................... 49 4.2.5 domain-name .......................................................................................................................................... 50 4.2.6 lease........................................................................................................................................................ 51 4.2.7 netbios-name-server ............................................................................................................................... 51 4.2.8 host.......................................................................................................................................................... 52 4.2.9 hardware-address ................................................................................................................................... 53 4.2.10 client-identifier ....................................................................................................................................... 53 4.2.11 client-name............................................................................................................................................ 54 4.3 DHCPD的调试命令......................................................................................................................................... 55 4.3.1 debug ip dhcpd packet ............................................................................................................................ 55 4.3.2 debug ip dhcpd event.............................................................................................................................. 55 4.4 DHCPD的管理命令......................................................................................................................................... 56 4.4.1 show ip dhcpd statistic ............................................................................................................................ 56 4.4.2 show ip dhcpd binding............................................................................................................................. 57 4.4.3 show ip dhcpd pool.................................................................................................................................. 57 4.4.4 clear ip dhcpd statistic............................................................................................................................. 58 4.4.5 clear ip dhcpd binding ............................................................................................................................. 59 4.4.6 clear ip dhcpd abandoned....................................................................................................................... 59 第5章 IP服务配置命令.............................................................................................................................................. 61 5.1 IP Server配置命令........................................................................................................................................... 61 5.1.1 clear tcp................................................................................................................................................... 62 5.1.2 clear tcp statistics.................................................................................................................................... 63 5.1.3 debug arp ................................................................................................................................................ 64 5.1.4 debug ip icmp.......................................................................................................................................... 65 5.1.5 debug ip packet....................................................................................................................................... 68 5.1.6 debug ip raw............................................................................................................................................ 72 5.1.7 debug ip rtp ............................................................................................................................................. 74 5.1.8 debug ip tcp packet ................................................................................................................................. 77 5.1.9 debug ip tcp transactions ........................................................................................................................ 79 5.1.10 debug ip udp.......................................................................................................................................... 81 5.1.11 ip mask-reply ......................................................................................................................................... 82 5.1.12 ip mtu..................................................................................................................................................... 82 5.1.13 ip redirects............................................................................................................................................. 83 - II - 目录 5.1.14 ip route-cache........................................................................................................................................ 84 5.1.15 ip source-route ...................................................................................................................................... 85 5.1.16 ip tcp synwait-time................................................................................................................................. 86 5.1.17 ip tcp window-size ................................................................................................................................. 87 5.1.18 ip unreachables..................................................................................................................................... 87 5.1.19 show ip cache........................................................................................................................................ 88 5.1.20 show ip irdp ........................................................................................................................................... 89 5.1.21 show ip sockets..................................................................................................................................... 90 5.1.22 show ip traffic ........................................................................................................................................ 91 5.1.23 show tcp ................................................................................................................................................ 92 5.1.24 show tcp brief ........................................................................................................................................ 96 5.1.25 show tcp statistics ................................................................................................................................. 97 5.1.26 show tcp tcb .......................................................................................................................................... 99 5.2 访问列表配置命令...................................................................................................................................... 100 5.2.1 deny....................................................................................................................................................... 100 5.2.2 ip access-group..................................................................................................................................... 103 5.2.3 ip access-list.......................................................................................................................................... 104 5.2.4 permit .................................................................................................................................................... 105 5.2.5 show ip access-list ................................................................................................................................ 108 - III - 04-网络协议配置命令 第1章 IP寻址配置命令 1.1 IP寻址配置命令 IP寻址配置命令包括: null arp null arp timeout null clear arp-cache null ip address null ip directed-broadcast null ip forward-protocol udp null ip helper-address null ip host null ip proxy-arp null ip unnumbered null keepalive null show arp null show hosts null show ip interface 1.1.1 arp 配置静态ARP映射,静态ARP映射会永久保留在ARP缓存中。如果要删除配置的静态 ARP映射的话,使用 no arp 命令。 arp ip-address hardware-address [alias] no arp ip-address 参数 参数 参数说明 ip-address 本地数据链路接口的IP地址。 - 1 - 04-网络协议配置命令 hardware-address 本地数据链路接口的物理地址。 alias (可选)路由器回答对这一IP地址的ARP请求,就象是本身拥有这个IP地址。 缺省 ARP缓存中不存在永久的静态ARP映射。 命令模式 全局配置态 使用说明 一般的主机都可以支持动态ARP解析,所以一般不需要用户特地为主机配置静态ARP 映射。 示例 下面的这条命令配置IP地址为1.1.1.1的主机的MAC地址为00:12:34:56:78:90。 arp 1.1.1.1 00:12:34:56:78:90 相关命令 clear arp-cache 1.1.2 arp timeout 配置ARP缓存中动态ARP表项的存在时间。如果要恢复到缺省值的话,使用 no arp timeout 或default arp timeout命令。 arp timeout seconds no arp timeout default arp timeout 参数 参数 参数说明 seconds ARP缓存中动态ARP表项的存在时间(秒)。0 表示在这个接口动态解析得 到的ARP缓存不会被超时释放。 - 2 - 04-网络协议配置命令 缺省 14400 秒 (4 小时) 命令模式 接口配置态 使用说明 如果在不使用ARP的接口上进行配置,则配置无效。show interface命令将显示在这个 接口上配置的ARP表项超时时间,显示如下: ARP type: ARPA, ARP timeout 04:00:00 示例 下面这条命令在接口Ethernet 1/0上配置动态ARP映射的生存时间是900秒,以便使 ARP缓存更快地刷新。 interface ethernet 1/0 arp timeout 900 相关命令 show interface 1.1.3 clear arp-cache 清除所有动态ARP缓存。 clear arp-cache 参数 命令没有参数或关键字。 命令模式 管理态 示例 下面的命令清除所有的动态ARP缓存。 clear arp-cache - 3 - 04-网络协议配置命令 相关命令 arp 1.1.4 ip address 配置接口IP地址,同时设置网络掩码。目前已经不再严格区分A,B,C类IP地址,但是, 不能使用多播地址和广播地址(主机部分全“1”)。除了以太网,其它类型的多个接口可以 在同一个网段上。但是,以太网接口所配置的网段不能和其它任意类型的接口相同,除 了无编号接口。一个接口上一般都可以配置一个主地址和无限多个从属地址。从属地址 只能在配置了主地址后才可以配置,从属地址全部删除之后才可以删除主地址。系统本 身生成的IP报文,如果上层应用没有指定源地址,路由器将使用发出接口上配置的与网 关在同一网段上的IP地址作为报文的源地址,如果不能确定这个IP地址(例如接口路由), 则采用发出接口的主地址。如果一个接口没有配置IP地址,而且也不是无编号接口 (unnumbered 接口),则这个接口不处理IP报文。 如果要删除IP地址,或者停止某个接口对IP报文的处理,可以使用no ip address命令 清除接口上的某个或所有IP地址。 ip address ip-address mask [secondary] no ip address ip-address mask no ip address 参数 参数 参数说明 ip-address IP 地址。 mask IP 网络掩码。 secondary (可选) 指明配置的是IP从属地址,如果没有指明,则配置的是IP主地址。 缺省 接口上不配置任何IP地址。 命令模式 接口配置态 使用说明 如果路由器在某个物理网段上配置了从属IP地址,其它同一物理网段上的系统也必须配 置相同逻辑网段的从属地址,否则容易很快就引起路由循环。 - 4 - 04-网络协议配置命令 当使用OSPF协议时,要确保一个接口上的从属地址和它的主地址在同一个OSPF area 中。 示例 下列命令在ethernet1/0接口上配置主地址202.0.0.1,网络掩码255.255.255.0,另外配 置了两个IP从属地址203.0.0.1和204.0.0.1。 interface ethernet1/0 ip address 202.0.0.1 255.255.255.0 ip address 203.0.0.1 255.255.255.0 secondary ip address 204.0.0.1 255.255.255.0 secondary 1.1.5 ip directed-broadcast 转发IP定向广播,并将报文以物理广播的形式发送。 ip directed-broadcast [access-list-namer] no ip directed-broadcast 参数 参数 参数说明 access-list-name (可选)访问表名称。如果定义了访问表,只有访问表允许的广播报文 被转发。 缺省 缺省情况下,不转发IP定向广播。 命令模式 接口配置态 示例 下面的例子在接口ethernet1/0上配置转发IP定向广播。 interface ethernet 1/0 ip directed-broadcast 1.1.6 ip forward-protocol udp 当接口上配置了ip helper-address后,用于指定对哪些 UDP 协议有限广播报文进行转 发。 - 5 - 04-网络协议配置命令 ip forward-protocol udp [port] no ip forward-protocol udp [port] default ip forward-protocol udp 参数 参数 参数说明 port (可选)需要被转发的UDP报文的目的端口。 缺省 转发NETBIOS名字服务(Name Service)报文。 命令模式 全局配置态 使用说明 目前缺省转发NETBIOS名字服务报文,如果要求不转发NETBIOS名字服务报文,可以 使用下列任一命令: no ip forward-protocol udp netbios-ns no ip forward-protocol udp 137 使用下面的命令停止转发所有UDP有限广播报文: no ip forward-protocol udp 示例 Router_config#ip forward-protocol udp 137 相关命令 ip helper-address 1.1.7 ip helper-address 将IP定向广播报文转发到命令指定的IP帮助地址,可以是单目或者是广播地址。每个接 口可以配置多个帮助地址。ip helper-address address no ip helper-address [address] - 6 - 04-网络协议配置命令 参数 参数 参数说明 address IP 帮助地址。 缺省 未配置IP帮助地址。 命令模式 接口配置态 使用说明 该命令在X.25接口上不起作用,因为路由器不能辨别出物理广播。 示例 下面的命令在接口ethernet1/0上配置IP帮助地址1.0.0.1。 interface ethernet 1/0 ip helper-address 1.0.0.1 相关命令 ip forward-protocol udp 1.1.8 ip host 定义静态主机名称—地址映射。如果要删除主机名称—地址映射,使用no ip host命令。 ip host name address no ip host name 参数 参数 参数说明 name 主机名称。 Address IP地址。 - 7 - 04-网络协议配置命令 缺省 没有配置任何映射。 命令模式 全局配置态 示例 下面的例子配置IP地址为202.96.1.3的主机名称是dns-server。 ip host dns-server 202.96.1.3 1.1.9 ip proxy-arp 在接口上进行代理ARP。如果要关闭这项功能,使用no ip proxy arp命令。 ip proxy-arp no ip proxy-arp 参数 命令没有参数或关键字。 缺省 进行代理ARP。 命令模式 接口配置态 使用说明 当路由器收到ARP请求时,如果路由器有到被请求IP地址的路由,且路由接口和收到 请求的接口不同,路由器将以自己的MAC地址发出ARP响应,然后,在收到实际数据 报文时,进行转发。这样,即使一台主机不完全了解网络的拓扑结构,或者没有配置准 确的路由,也能和远端通信。对它来说,远端主机就和它直接连接在同一个物理子网中。 如果主机需要路由器提供这项服务,它和路由器必须在同一个IP网络中,或者,至少它 的IP地址必须能够使路由器认为它们在同一个IP子网中,也就是说,可以使用不同的掩 码。否则,路由器将不提供这项服务。 - 8 - 04-网络协议配置命令 示例 下面的例子在接口ethernet1/0上打开代理ARP功能: interface ethernet 1/0 ip proxy-arp 1.1.10 ip unnumbered 配置一个接口为无编号接口,可以不配置IP地址就开启IP处理功能。要停止这个接口上 的IP处理,使用no ip unnumbered命令。 ip unnumbered type number no ip unnumbered 参数 参数 参数说明 type number 另一个配置了IP地址的接口的类型和编号。这个接口不可以是使用其它接口 IP地址的无编号接口。 缺省 不启动这项功能。 命令模式 接口配置态 使用说明 对于点到点链路接口来说,可以不配置独有的IP地址,而是使用这条命令在这个接口上 启动IP处理,并指定借用其它接口上的有效IP地址作为这个接口发出报文的源地址,以 便节省IP地址。这样的点到点接口称为无编号(unnumbered)接口。无编号接口上生 成的IP报文,例如路由更新报文,将使用命令中指定的接口上配置的有效IP地址。它还 用这一地址确定哪些路由进程在该接口上发送更新报文。但是,有下列限制: (1) 使用HDLC, PPP, LAPB, SLIP和帧中继封装的串行接口和隧道接口可以使用该条 命令配置成无编号接口。但是,X.25和SMDS接口不能使用这条命令。 (2) 无法通过ping命令检测这个接口是否正常工作。可以使用SNMP远程检测这个接 口的状态。 这条命令根据RFC 1195中关于接口可以不配置有效IP地址的规定实现。 在不同的主网之间的使用其它接口IP地址的串行链路,必须小心对待:任何运行在这条 链路上的路由协议不能广播任何有关各自子网的信息。 - 9 - 04-网络协议配置命令 示例 下面的命令将接口serial0/0配置成无编号接口,使用接口ethernet0/1上配置的有效IP 地址1.0.0.1作为这个接口上发出报文的源地址: interface ethernet 0/1 ip address 1.0.0.1 255.255.255.0 interface serial 0/0 ip unnumbered ethernet 1/0 1.1.11 keepalive 测试主机的可到达性和网络的连通性。通过发送ICMP回应请求报文给对方,但不等待 对方的ICMP回应应答报文。 keepalive [ group group-id ] [ source source-address ] [interval interval-time] [number number] destination destination-address 参数 参数 参数说明 group group-id 可以配置多条 keepalive 命令,命令之间以group-id区分。缺省:0 source source-address 设置报文采用的源IP地址。 缺省:发送接口的主IP地址。 interval interval-time 每次报文发送之间的间隔,以秒为单位。缺省:1秒 number number 每次报文发送的个数。缺省:5。 destination destination-address 目的主机。 命令模式 管理态和全局配置态 使用说明 keepalive 命令支持广播地址和多播地址。如果是有限广播(255.255.255.255)或者是 多播地址,将在所有支持广播或者是多播的可用接口上发送ICMP回应请求报文。 该命令不等待ICMP报文的应答,它只是定时向目的地址发送指定数目的ICMP报文。 示例 以下配置了两条keepalive 命令。 - 10 - 04-网络协议配置命令 配置每 10 秒钟以源地址192.168.20.230 向目的地址 192.168.20.1 发送 10 个 ICMP request 报文。报文的发送端口由目的地址 192.168.20.1 和路由协议共同决定。 keepalive group 1 destination 192.168.20.1 source 192.168.20.230 interval 10 number 10 配置每 1 秒钟(默认值)以源地址172.16.20.232 向目的地址 172.16.20.5 发送 5个(默 认值) ICMP request 报文。报文的发送端口由目的地址 172.16.20.2 和路由协议共同决 定。 keepalive group 2 destination 172.16.20.2 source 172.16.20.232 1.1.12 show arp 显示所有ARP表项,包括接口IP地址的ARP映射,用户配置的静态ARP映射,动态 ARP映射。 show arp 参数 无 命令模式 管理态 使用说明 显示的信息包括: 参数 参数说明 Protocol 协议,与物理地址映射的网络地址的类型,例如IP。 Address 地址,与物理地址相映射的网络地址,如IP地址。 Age 生存时间,ARP表项从生成到现在的时间,以分钟为单位。路由器使用这条 ARP表项不会影响这个值。 Hardware Address 物理地址,与网络地址对应的物理地址,对于尚未解析完成的表项为空。 Type 类型,表示接口使用的报文封装类型,包括ARPA,SNAP等。 Interface 接口,与这个网络地址相关联的接口。 示例 下面的命令显示ARP缓存: router#show arp Protocol IP Address Age(min) Hardware Address Type Interface IP 192.168.20.77 11 00:30:80:d5:37:e0 ARPA Ethernet1/0 - 11 - 04-网络协议配置命令 IP 192.168.20.33 0 Incomplete IP 192.168.20.22 - 08:00:3e:33:33:8a ARPA Ethernet1/0 IP 192.168.20.124 0 00:a0:24:9e:53:36 ARPA Ethernet1/0 IP 192.168.0.22 - 08:00:3e:33:33:8b ARPA Ethernet1/1 1.1.13 show hosts 显示主机名—地址缓存中的所有表项。 show hosts 参数 命令没有参数或关键字。 命令模式 管理态 示例 下面的命令显示所有主机名称/地址映射: show hosts 相关命令 clear host 1.1.14 show ip interface 显示接口上的IP配置。 show ip interface [type number] 参数 参数 参数说明 type (可选) 接口类型。 number (可选) 接口编号。 命令模式 管理态 - 12 - 04-网络协议配置命令 使用说明 如果接口的链路层可以有效收发数据,它就是一个可用接口,状态是“Protocol Up”。如果 在这个接口上配置IP地址,路由器将在路由表中添加一条直连路由。如果链路层协议断 开,也就是“Protocol Down”,这条直连路由将被删除。如果指定接口类型和编号,只显 示指定接口信息。否则,显示所有接口的IP配置信息。 示例 下面的命令显示接口e0/1上的IP配置: Router#show ip interface e0/1 Ethernet1/0 is up, line protocol is up IP address : 192.168.20.167/24 Broadcast address : 192.168.20.255 Helper address : not set MTU : 1500(byte) Forward Directed broadcast : OFF Multicast reserved groups joined: 224.0.0.9 224.0.0.6 224.0.0.5 224.0.0.2 224.0.0.1 Outgoing ACL : not set Incoming ACL : not set IP fast switching : ON IP fast switching on the same interface : OFF ICMP unreachables : ON ICMP mask replies : OFF ICMP redirects : ON 显示说明: 域 描述 Ethernet1/0 is up 如果接口硬件可用,接口被标为“up”。 如果接口可用,它的硬件和线 路协议都必须是up的。 line protocol is up 如果接口可以提供双向通信,它的线路协议被标为“up”。如果接口可 用,接口硬件和线路协议都必须是up的。 IP address 接口IP地址和网络掩码。 Broadcast address 显示广播地址。 MTU 显示接口设置的IP MTU。 Helper address 显示帮助地址。 Directed broadcast forwarding 接口是否转发定向广播报文。 Multicast reserved groups joined 接口加入的多播组。 Outgoing ACL 接口使用的输出访问控制表。 Incoming ACL 接口使用的输入访问控制表。 IP fast switching 路由器在该端口上是否启动快速转发 - 13 - 04-网络协议配置命令 Proxy ARP 接口是否支持代理ARP。 ICMP redirects 接口是否发出ICMP重定向报文。 ICMP unreachables 接口是否发出ICMP不可到达报文。 ICMP mask replies 接口是否发出ICMP掩码应答报文。 - 14 - 04-网络协议配置命令 第2章 NAT配置命令 2.1 NAT配置命令 NAT配置命令包括: null ip nat null ip nat local-service null ip nat enable-peek null ip nat inside destination null ip nat inside source null ip nat outside source null ip nat pool null ip nat translation null clear ip nat statistics null clear ip nat translation null show ip nat statistics null show ip nat translations null debug ip nat 2.1.1 ip nat ip nat {inside | outside | mss } no ip nat {inside | outside | mss } 参数 参数 参数说明 inside 表明接口连接到内部网络(网络服从NAT翻译) outside 表明接口连接到外部网络(网络服从NAT翻译) mss 修改MSS值(必须先配有ip nat outside) - 15 - 04-网络协议配置命令 缺省 离开或到达这个接口的通信量不服从NAT。 命令模式 接口配置态 使用说明 只有那些在“内部”和“外部”接口之间传送的报文才可以被翻译。必须为每个想使用 NAT的边界路由器至少指定一个内部接口和一个外部接口。 使用IP NAT接口配置命令来指定来自接口的或发往接口的通信量服从NAT(网络地址翻 译),如果想禁止接口的翻译功能,使用这个命令的NO形式。 注意: ip nat mss命令只能配在ip nat outside的接口下,它的作用是修改从内部网出去的带有SYN 标志的TCP报文选项中的MSS(Maximum Segment Size)值。如果想禁止该接口修改MSS 值的功能,使用这个命令的NO形式。 示例 下面的例子把来自192.168.1.0或192.168.2.0网络编址的内部主机间进行通信的IP地 址翻译为171.69.233.208/28 网络中全局唯一的IP地址,并且修改MSS值。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat inside source list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ip nat mss ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 192.168.1.0 255.255.255.0 .permit 192.168.2.0 255.255.255.0 ! 2.1.2 ip nat local-service ip nat local-service {icmp | udp | tcp } disable - 16 - 04-网络协议配置命令 no ip nat local-service {icmp | udp | tcp } disable 参数 参数 参数说明 icmp Icmp 报文。 udp udp报文。 tcp tcp报文。 缺省 无 命令模式 接口配置态 使用说明 此命令应用于PAT规则。默认情况下,在标记为NAT外部端口的路由器接口,允许所有 访问路由器本地的icmp/udp/tcp报文。该命令可以有限的防止外部网络用户对路由器的, 恶意攻击,当然也丢弃了正常的访问路由器的报文。 如果想某标记为NAT外部端口的路由器接口禁止接收访问本地的icmp/udp/tcp报文,可 以在端口状态下配置如下命令,使用这个命令的NO形式可以恢复默认状态。 注意: 此命令只能配置标记为NAT外部端口所在的路由器接口下,并只能使本接口禁止接收 icmp/udp/tcp报文。 2.1.3 ip nat inside destination 用ip nat inside destination全局配置命令,开启内部目的地址的NAT.用这个命令的NO 形式,删除和地址池的动态关联,注意,该规则正在使用时,不能删除。 ip nat inside destination list access-list-name pool name no ip nat inside destination list access-list-name 参数 参数 参数说明 list name 标准IP访问列表的名字。 用来自被指定的池中的全局地址对带有目的地址的 - 17 - 04-网络协议配置命令 报文进行翻译,这些包用来发送访问列表。 pool name 地址池的名字,在动态翻译的过程中,从这个池中分配内部本地的IP地址。 缺省 内部目的地址不被翻译。 命令模式 全局配置态 使用说明 这个命令用访问列表的格式来建立动态地址翻译。来自和标准访问列表相匹配的地址的 报文,将用指定的地址池中分配的全局地址来进行地址翻译,这个地址池是用ip nat pool 命令所指定的。 示例 下面的例子把发往171.69.233.208 网络通信的报文翻译为目的地址位于192.168.2.208 网段的内部主机地址。 ip nat pool net-208 192.168.2.208 192.168.2.223 255.255.255.240 ip nat inside destination list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standar a1 permit 171.69.233.208 255.255.255.240 ! 2.1.4 ip nat inside source 使用ip nat inside source全局配置命令,开启内部源地址的NAT。用这个命令的NO形 式可以删除静态翻译或删除和池的动态关联,注意:动态翻译规则和静态网段翻译规则 在使用时,不能删除。 动态NAT: - 18 - 04-网络协议配置命令 ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload] no ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload] 静态单个地址NAT: ip nat inside source {static {local-ip global-ip} no ip nat inside source {static {local-ip global-ip} 静态端口NAT: ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port} no ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port} 静态网段NAT: ip nat inside source {static {network local-network global-network mask} no ip nat inside source {static {network local-network global-network mask} 参数 参数 参数说明 List access-list-name IP访问列表的名字。源地址符合访问列表的报文将被用地址池中的全局 地址来翻译。 pool name 地址池的名字,从这个池中动态地分配全局IP地址。 interface type number 指定网络接口 overload (可选)使路由器对多个本地地址使用一个全局的地址。当OVERLOAD 被设置后,相同或者不同主机的多个会话将用TCP或UDP端口号来区 分。 static local-ip 建立一条独立的静态地址翻译;参数为分配给内部网主机的本地IP地 址。这个地址可以自由的选择,或从RFC 1918中分配。 local-port 设置本地TCP/UDP端口号,范围为1~65535。 static global-ip 建立一条独立的静态地址翻译;这个参数为内部主机建立一个外部的网 络可以唯一访问的IP地址。 global-port 设置全局TCP/UDP端口号,范围为1~65535。 tcp 设置TCP端口翻译 udp 设置UDP端口翻译 - 19 - 04-网络协议配置命令 network local-network 设置本地网段翻译 global-network 设置全局网段翻译 mask 设置网段翻译的网络掩码 缺省 任何内部源地址的NAT都不存在。 命令模式 全局配置态 使用说明 这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态翻译。 来自和标准访问列表相匹配的地址的报文,将用指定的池中分配的全局地址来进行地址 翻译,这个池是用ip nat pool命令所指定的。 可以作为替代方法,带有关键字STATIC的语法格式创建一条独立的静态地址翻译。 静态NAT对于FTP的PASV模式的支持需要配合overload类型的命令使用,既:当设 置一个NAT的静态FTP映射时,如果也需要使用FTP的PASV模式,也应该同时使用 一个overload类型的转换,且pat规则中的外网接口地址中应该有一个和静态ftp的外网 地址相同。 示例 下面的例子把来自192.168.1.0或192.168.2.0网络的内部主机间进行通信的IP地址翻 译为171.69.233.208/28 网络中全局唯一的IP地址。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat inside source list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 192.168.1.0 255.255.255.0 permit 192.168.2.0 255.255.255.0 ! - 20 - 04-网络协议配置命令 静态FTP的PASV模式使用示例。 ip nat inside source static tcp 10.1.1.1 21 204.112.1.2 8021 ip nat inside source static tcp 10.1.1.1 20 204.112.1.2 8020 ip nat inside source list test1 interface f0/0 2.1.5 ip nat outside source 使用ip nat outside source全局配置命令,开启外部源地址的NAT。用这个命令的NO形 式,可以删除静态条目或动态关联,注意:动态翻译规则和静态网段翻译规则在使用时, 不能删除。 动态NAT ip nat outside source {list access-list-name} pool pool-name no ip nat outside source {list access-list-name} pool pool-name 静态单个地址NAT: ip nat outside source static {global-ip local-ip} no ip nat outside source static {global-ip local-ip} 静态端口 NAT: ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port} no ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port} 静态网段 NAT: ip nat outside source {static network global-network local-network mask} no ip nat outside source {static network global-network local-network mask} 参数 参数 参数说明 List access-list-name 标准IP访问列表的名字。目的地址符合访问列表的报文将被用地址池中的全 局地址来翻译。。 pool name 池的名字,从这个池重动态地分配全局IP地址。 Static global-ip 建立一条独立的静态地址翻译;参数为建立外部网络的主机所分配的全局IP 地址。这个地址可以从全局可路由的网络地址空间中分配。 global-port 设置全局TCP/UDP端口号,范围为1~65535。 Static local-ip 建立一条独立的静态地址翻译;这个参数为内部主机建立一个内部网络可以 唯一访问的外部主机的本地IP地址。这个地址可以从内部网络可路由的地址 - 21 - 04-网络协议配置命令 空间中分配。(多遵从RFC 1918) local-port 设置本地TCP/UDP端口号,范围为1~65535。 tcp 设置TCP端口翻译 udp 设置UDP端口翻译 network global-network 设置全局网段翻译 local-network 设置本地网段翻译 mask 设置网段翻译的网络掩码 缺省 不存在来自外部网络的源地址到内部网络地址的翻译。 命令模式 全局配置态 使用说明 可能你用了不是合法的、正式分配得到的IP地址。可能你选择了已经被正式分配给其他 网络的IP地址。这种IP地址既被合法的使用了(外部网)又被非法的使用着(内部网络) 的情况叫做“地址重叠”(overlapping)。你可以用NAT来翻译和外部地址重叠的内部地址。 如果你的单连接网络中的IP地址碰巧和分配给其他网络的合法IP地址相同,并且你需要 和这些主机或路由器通信,那么你可以用这个功能。 这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态地址翻 译。来自和标准访问列表相匹配的地址的报文,将用指定的地址池中分配的本地地址来 进行地址翻译,这个地址池是用ip nat pool命令所指定的。 作为可以替代的方法,带有关键字STATIC的语法格式创建一条单独的静态翻译。 示例 下面的例子把来自9.114.11.0网络的内部主机间进行通信的IP地址翻译为 171.69.233.208/28 网络中全局唯一的IP地址。更进一步地,来自9.114.11.0网络(真 实存在的9.114.11.0网络)编址的外部主机的报文,被翻译为以来自10.0.1.0/24网络的 面目出现。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat pool net-10 10.0.1.0 10.0.1.255 255.255.255.0 ip nat inside source list a1 pool net-208 ip nat outside source list a1 pool net-10 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 - 22 - 04-网络协议配置命令 ip nat outside ! interface ethernet 1 ip address 9.114.11.39 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 9.114.11.0 255.255.255.0 ! 2.1.6 ip nat pool 用ip nat pool全局配置命令,定义一个用于NAT的IP地址池。用这个命令的NO形式, 可以删除指定名字的IP地址池,可以配置相同名字的地址池来覆盖已配置的地址池 ip nat pool name start-ip end-ip netmask [rotary] no ip nat pool name 参数 参数 参数说明 name 池的名字。 start-ip 定义IP地址池的范围:起始地址。 end-ip 定义IP地址池的范围:结束地址。 netmask 子网掩码。子网掩码表明地址中的那些位是属于网络和子网部分,而哪些位 属于主机部分。指定IP池中地址所属的网络的子网掩码。 rotary 轮循地址池 。 缺省 没有定义IP池。 命令模式 全局配置态 使用说明 这个命令用起始地址,结束地址以及子网掩码来定义一个地址池。注意,在PAT规则下, 地址池的轮循规则:只有当一个地址使用完结时(即关于这个地址的所有连接都老化后),才 去取下一个地址,即同一使用时间内,内部全局地址始终只有一个。 - 23 - 04-网络协议配置命令 示例 下面的例子把来自192.168.1.0或192.168.2.0网络的内部主机间进行通信的IP地址翻 译为171.69.233.208/28 网络中全局唯一的IP地址。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat inside source list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 192.168.1.0 255.255.255.0 permit 192.168.2.0 255.255.255.0 2.1.7 ip nat service 此命令是为Nat支持的各种服务提供的一个入口函数,目前支持三类的服务。缺省各种 服务都为关闭状态。 ip nat service { h323 | privateservice | peek } no ip nat service { h323 | privateservice | peek } 参数 无 缺省 关闭 命令模式 全局配置态 使用说明 h323 对voip的支持,它用来控制Nat对h323的支持; - 24 - 04-网络协议配置命令 privateservice 是Nat对网吧设置内部游戏服务器的支持,如:传奇等;它可以控制Nat 对于私服的支持; peek 是Nat对网吧内部监控游戏服务器的支持,通过搭配公司的客户端软家,可以对内 部用户出网的情况进行监控。 no方式可以关闭相应的功能; 示例 ip nat service privateservice ip nat service peek ip nat service h323 no ip nat service peek 2.1.8 ip nat translation ip nat translation全局配置命令,主要有以下两种用途: 其一,改变NAT翻译超时的时间值,用这个命令的NO形式,可以关闭超时。 ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | syn-timeout } seconds no ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | syn-timeout } 其二,改变针对NAT翻译表项的一些参数值,用此命令的NO形式,可以去掉配置,有 默认值的恢复默认值。 ip nat translation { max-entries | max-links{A.B.C.D | all} } seconds no ip nat translation { max-entries | max-links{A.B.C.D | all} } 参数 参数 参数说明 timeout 指定用于除OVERLOAD翻译之外的动态翻译的超时值。缺省值是3600秒(1 小时) udp-timeout 指定用于UDP端口的超时值。缺省值是300秒(5分钟) dns-timeout 指定用于连到DNS的超时值。缺省值是60秒 tcp-timeout 指定用于TCP端口的超时值。缺省值是3600秒(1小时) finrst-timeout 指定用于Finish and Reset TCP报文的超时值,这个值用于终止一个翻译表 项。缺省值使60秒 icmp-timeout 设置ICMP的NAT超时时间,缺省值是60秒 max-entries 设置NAT的最大翻译条目数,缺省值是4000 - 25 - 04-网络协议配置命令 syn-timeout 设置TCP SYN状态的NAT超时时间,缺省值是60秒 seconds 指定端口翻译的超时值。缺省值是在缺省部分所罗列出来的值 max-links A.B.C.D 针对指定的内部IP地址,限制该IP地址能建立NAT翻译表项的最大数目,无 缺省值,当用该命令的no形式时,即不在限制该IP地址建立NAT翻译表项的 数目 max-links all 针对所有的内部IP地址,限制单个IP地址能建立NAT翻译表项的最大数目。 缺省值与max-entries相同 缺省 timeout is 3600 seconds (1 hours) udp-timeout is 300 seconds (5 minutes) dns-timeout is 60 seconds (1 minute) tcp-timeout is 3600 seconds (1 hours) finrst-timeout is 60 seconds (1 minute) 命令模式 全局配置态 使用说明 当配置了端口翻译之后,因为每个翻译条目包含了有关正在使用它的通信量更多的上下 文信息,因此可以对翻译条目进行更好的控制。非域名系统(DNS)的UDP翻译在5分 钟后超时,而域名系统的UDP翻译在1分钟后超时。如果数据流中没有RST或FIN, TCP翻译在1个小时后超时;而在有RST或FIN的情况下,将在1分钟后超时。 示例 例1: 下面的例子在10分钟之后使UDP端口翻译条目超时: ip nat translation udp-timeout 600 例2: 下面的例子限制IP地址192.168.20.1建立的NAT翻译表项的最大数目为100: ip nat translation max-links 192.168.20.1 100 - 26 - 04-网络协议配置命令 2.1.9 ip nat translation max-users 配置nat限制上网用户数的功能。 [no] ip nat translation max-users <0-65536> [no] ip nat translation max-users enable 参数 参数 参数说明 0-65536 设置可以上网的内网用户数,缺省为256个。 缺省 缺省内网的用户数为256个,缺省不开启这个功能。 命令模式 全局配置态。 使用说明 通过这个命令可以开启和设置nat限制内网用户数的功能。当一个用户上网时,如果之前 在NAT中没有对应的记录,那么他就是一个新内网用户。如果这时内网用户上网数量已 经达到设定值,那么这个用户发向外面的报文将被抛弃,该用户将不可以上网。如果内 网用户数量没有达到限制值,NAT就记录该用的IP地址,并进行正常的报文转发过程。 所记录用户IP地址的超时时间与该用户的最后一次发送的报文所属的link的ttl值相同。 NO方式关闭该功能。 示例 下列命令在全局态配置nat的限制功能: ip nat translation max-users enable ip nat translation max-users 124 2.1.10 clear ip nat statistics 为了清除NAT的统计信息,使用clear ip nat statistics命令。 clear ip nat statistics - 27 - 04-网络协议配置命令 参数 无 命令模式 管理态 使用说明 使用本命令可以把所有NAT统计信息置为初始状态,注意,只能清楚“Packets dropped” 项后面的统计参数。 示例 Router#show ip nat statistics Total active translations: 2 (1 static, 0 dynamic, 1 PAT) Outside interfaces: FastEthernet0/1 Inside interfaces: FastEthernet0/0 Dynamic mappings: --Inside Source access-list nat pool natp: netmask 255.255.255.0 start 172.16.20.125 end 172.16.20.127 total addresses 3, misses 0 --Inside Destination --Outside Source Link items: PAT(ICMP=5 UDP=39 TCP=224 MEDIA=50/ TOTAL=318), Dynamic=6 Packets dropped: --Protocol: Out: tcp 123(h323 0), udp 39(h323 0), icmp 10, fragments 6 In: tcp 46(h323 1), udp 109(h323 0), fragments 10 --Configuration: max entries 0, max links for all 178, max links for single 0 Router#clear ip nat statistics Router#show ip nat statistic Total active translations: 2 (1 static, 0 dynamic, 1 PAT) Outside interfaces: FastEthernet0/1 Inside interfaces: FastEthernet0/0 Dynamic mappings: --Inside Source access-list nat pool natp: netmask 255.255.255.0 start 172.16.20.125 end 172.16.20.127 total addresses 3, misses 0 --Inside Destination --Outside Source Link items: PAT(ICMP=5 UDP=39 TCP=224 MEDIA=50/ TOTAL=318), Dynamic=6 Packets dropped: - 28 - 04-网络协议配置命令 --Protocol: Out: tcp 0(h323 0), udp 0(h323 0), icmp 0, fragments 0 In: tcp 0(h323 0), udp 0(h323 0), fragments 0 --Configuration: max entries 0, max links for all 0, max links for single 0 2.1.11 clear ip nat translation 为了从翻译表项中清除动态网络地址翻译(NAT),使用clear ip nat translation 执行命 令。 clear ip nat translation {* | [inside local-ip global-ip ] [outside local-ip global-ip]} clear ip nat translation {tcp|udp} inside local-ip local-port global-ip global-port [outside local-ip global-ip] 参数 参数 参数说明 * 清除所有的动态翻译条目 Inside 清除包含指定全局IP地址和本地IP地址的内部翻译。 global-ip 指定全局IP地址 local-ip 指定本地IP地址 outside 清除包含指定全局IP地址和本地IP地址的外部翻译。 tcp|udp 协议 global-port 指定相应协议的全局端口。 local-port 指定相应协议的本地端口。 命令模式 管理态 使用说明 使用本命令可以在动态翻译条目超时之前清除他们。 示例 下面的例子先显示NAT翻译条目,然后将UDP翻译条目清除: Router# show ip nat translation Pro Inside global Inside local Outside local Outside global udp 171.69.233.209:1220 192.168.1.95:1220 171.69.2.132:53 171.69.2.132:53 tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23 - 29 - 04-网络协议配置命令 tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23 Router# clear ip nat translation udp inside 171.69.233.209 1220 192.168.1.95 1220 171.69.2.132 53 171.69.2.132 53 Router# show ip nat translation Pro Inside global Inside local Outside local Outside global tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23 tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23 2.1.12 show ip nat statistics 用show ip nat statistics命令,显示NAT统计表 show ip nat statistics 参数 这个命令没有参数或关键字 命令模式 管理态 示例 下面是使用show ip nat statistics命令的例子的输出结果: Router# show ip nat statistics Total active translations: 2 (1 static, 0 dynamic, 1 PAT) Outside interfaces: FastEthernet0/1 Inside interfaces: FastEthernet0/0 Dynamic mappings: --Inside Source access-list nat pool natp: netmask 255.255.255.0 start 172.16.20.125 end 172.16.20.127 total addresses 3, misses 0 --Inside Destination --Outside Source Link items: PAT(ICMP=0 UDP=5 TCP=24 MEDIA=0/ TOTAL=29), Dynamic=0 Packets dropped: --Protocol: Out: tcp 0(h323 0), udp 0(h323 0), icmp 0, fragments 0 In: tcp 46(h323 0), udp 100(h323 0), fragments 0 --Configuration: max entries 0, max links for all 0, max links for single 0 表9描述了输出结果中的重要字段: - 30 - 04-网络协议配置命令 表 2-1 Show ip nat statistics字段描述 字段 描述 Total active translations: 系统中激活的指定翻译的数量。当建立了一个地址翻译规则时,这 个数值将被加1,同时当一个地址翻译被清除或超时,这个数值将减 1。 Outside interfaces: 用ip nat outside 命令标识为外部接口的接口列表。 Inside interfaces: 用ip nat outside 命令标识为内部接口的接口列表。 Dynamic mappings: 显示跟在它后面的信息是关于动态映射的。 Inside Source: 跟在它后面的是关于内部源地址翻译的信息. Access-list 用于地址翻译的访问列表数量。 Pool 池的名字(本例中池的名字是natp) Netmask 池中所使用的IP网络掩码 Start 池中地址范围的起始IP地址. End 池中地址范围的结束IP地址. Total addresses 池中可用于地址翻译的地址数. Misses 无法从池中分配的地址数量. Inside Destination: 跟在它后面的是关于内部目的地址翻译的信息. Outside Source: 跟在它后面的是关于外部源地址翻译的信息. Link items: 跟在它后面的是关于翻译表项数目和类别的信息. PAT 表示动态端口翻译规则下的翻译表项数目,其中madia代表H323会 话中的RTP/RTCP会话. Dynamic 表示动态地址翻译规则下的翻译表项数目,包括静态地址翻译为FTP 创建的翻译表项. Packets dropped: 跟在它后面的是关于因为NAT而丢弃的报文的类型和数目,以及丢弃 的原因. Protocol 表示丢弃报文的数目、协议类型和报文的NAT方向. Configuration 表示因为何种配置丢弃的报文的数目:max entries指超过最大允许 翻译表项数,max links for all指超过每个地址允许的翻译表项 数,max links for single指超过特定地址允许的翻译表项数. 2.1.13 show ip nat translations 用show ip nat translations 管理态命令,显示激活的NAT地址翻译。 show ip nat translations [tcp | udp | icmp | verbose] - 31 - 04-网络协议配置命令 参数 参数 参数说明 tcp (可选)显示承载TCP会话的翻译表项 udp (可选)显示承载UDP会话的翻译表项 icmp (可选)显示承载ICMP会话的翻译表项 Verbose (可选)显示关于每个翻译表项的额外信息,包括它被建立了多久,还剩下 多长时间超时 命令模式 管理态 使用说明 示例 下面是使用show ip nat translations命令的例子的输出结果。 (1) 两个内部主机和外部的一些主机进行报文交换,没有超载。 Router# show ip nat translations Pro Inside local Inside global Outside local Outside global --- 192.168.1.95 171.69.233.209 --- --- --- 192.168.1.89 171.69.233.210 --- -- (2) 下面是带有超载的情况下的示例,有三条地址翻译表项是激活的,其中一条用于一 个DNS业务,另外两条用于TELNET会话(来自两个不同的主机)。要注意:两 个不同的内部主机能以具有相同外部地址的形式出现。 Router# show ip nat translations Pro Inside local Inside global Outside local Outside global udp 192.168.1.95:1220 171.69.233.209:1220 171.69.2.132:53 171.69.2.132:53 tcp 192.168.1.89:11012 171.69.233.209:11012 171.69.1.220:23 171.69.1.220:23 tcp 192.168.1.95:1067 171.69.233.209:1067 171.69.1.161:23 171.69.1.161:23 下面是带有关键字verbose的输出样例: Router# show ip nat translations verbose Pro Inside local Inside global Outside local Outside global udp 192.168.1.95:1220 171.69.233.209:1220 171.69.2.132:53 171.69.2.132:53 create time 00:00:02 , left time 00:01:10 , tcp 192.168.1.89:11012 171.69.233.209:11012 171.69.1.220:23 171.69.1.220:23 create time 00:01:13 , left time 00:00:50 , tcp 192.168.1.95:1067 171.69.233.209:1067 171.69.1.161:23 171.69.1.161:23 - 32 - 04-网络协议配置命令 create time 00:00:02 , left time 00:53:19 , 表 2-2 Show IP NAT Translations(例 2)命令输出结果的字段描述 字段 描述 Pro 确定地址的端口协议. Inside global 合法的IP地址(被NIC或服务提供商所提供的),他们代表了通往外部网 络的一个或多个内部本地IP地址。 Inside local 被分配给内部网络中主机的IP地址;他们可能不是一个NIC或服务供应商 所提供的合法地址。 Outside local 一个外部主机当它看起来像是一个内部网络时的IP地址;他们可能不是 一个NIC或服务供应商所提供的合法地址。 Outside global 被它的所有者所分配的外部主机的IP地址。 Create time 地址翻译条目是多久前建立的。(单位是 小时:分:秒) Left time 地址翻译条目经过多久会超时。 2.1.14 show ip nat users 显示当前允许通过的内网用户IP地址,以及数量。 show ip nat users 参数 无 缺省 无 命令模式 全局配置态。 使用说明 显示当前允许通过的内网用户IP地址,以及数量。 由于这个功能需要进行一定量的操作步骤,如果不是很必要,请不要开启这个功能。 示例 下列命令在全局态执行: - 33 - 04-网络协议配置命令 show ip nat users 一个可能的显示结果如下: Current host count is 9, host count set is 12. #host IP addr host ttl 172.16.20.67 20 172.16.20.70 55 172.16.20.81 3530 172.16.20.90 3600 2.1.15 debug ip nat 为了调试网络地址翻译(NAT),使用debug ip nat执行命令。 debug ip nat {detail | h323} no debug ip nat {detail | h323} 参数 无 命令模式 管理态 使用说明 使用命令debug ip nat detail可以输出翻译过程中的细节,包括报文的源、目的IP地址, 协议、端口号,以及没有成功的翻译的原因等等。 使用命令debug ip nat h323可以输出NAT在翻译H323报文过程中的细节,主要包括 NAT识别出的H323消息,以及嵌入在这些消息里的IP地址,如果是内部地址,将会显 示翻译后的地址。 示例 例1 : Router# debug ip nat detail Ethernet1/1 recv ICMP Src 194.4.4.89 Dst 10.10.10.102 no link found Ethernet1/0 send TCP Src 194.4.4.102:2000 Dst 192.2.2.1:21 no matched rule 表 2-3 表描述了显示中的域。 域 描述 Ethernet1/0 接口的类型、号。 - 34 - 04-网络协议配置命令 send/recv 发送/接收。 ICMP/TCP/UDP ICMP/TCP/UDP协议 Src 194.4.4.102:2000 源IP地址和端口号。 Dst 192.2.2.1:21 目的IP地址和端口号。 no link found 没有匹配到NAT翻译表项。 no matched rule 没有匹配到NAT规则。 第1条:从Ethernet1/1接口接收到的ICMP报文(源地址是194.4.4.89,目的地址是 10.10.10.102;ICMP),没有找到相应的NAT翻译表项(已经找到匹配的NAT规则)。 第2条:从Ethernet1/0接口发送出去的TCP报文(源地址是194.4.4.102,目的地址是 192.2.2.1;源端口是2000,目的端口是21),没有找到匹配的NAT规则。 例2: Router# debug ip nat h323 NAT:H225:[I] processing a Setup message NAT:H225:[I] found Setup sourceCallSignalling NAT:H225:[I] fix TransportAddress addr-192.168.122.50:11140 NAT:H225:[I] found Setup fastStart NAT:H225:[I] Setup fastStart PDU length:18 NAT:H245:[I] processing OpenLogicalChannel message, forward channel 1 NAT:H245:[I] found OLC forward mediaControlChannel NAT:H245:[I] fix TransportAddress addr-192.168.122.50:16517 NAT:H225:[I] Setup fastStart PDU length:29 NAT:H245:[I] processing OpenLogicalChannel message, forward channel 1 NAT:H245:[I] found OLC reverse mediaChannel NAT:H245:[I] fix TransportAddress addr-192.168.122.50:16516 NAT:H245:[I] found OLC reverse mediaControlChannel NAT:H245:[O] fix TransportAddress addr-192.168.122.50:16517 NAT:H225:[O] processing an Alerting message NAT:H225:[O] found Alerting fastStart NAT:H225:[O] Alerting fastStart PDU length:25 NAT:H245:[O] processing OpenLogicalChannel message, forward channel 1 重要域的描述见下表: 域 描述 NAT 表示报文已经被NAT翻译 RAS/H255/H245 报文协议类型 O 表示报文的传输方向:Inside to Outside I 表示报文的传输方向:Outside to Inside - 35 - 04-网络协议配置命令 第3章 DHCP Client配置命令 3.1 DHCP Client配置命令 DHCP Client配置命令包括: null ip address dhcp null ip dhcp client null ip dhcp-server null show dhcp lease null show dhcp server null debug dhcp 3.1.1 ip address dhcp 要通过Dynamic Host Configuration Protocol(DHCP)为以太网接口获得一个IP地址, 使用ip address dhcp接口配置命令。要删除所获得的IP地址,可以使用这条命令的no 格式。 ip address dhcp no ip address dhcp 参数 无 缺省 无 命令模式 接口配置态 - 36 - 04-网络协议配置命令 使用说明 ip address dhcp命令允许接口通过DHCP协议获得IP地址,这对通过以太网接口动态 连接Internet服务提供商(ISP)非常有用。一旦获得了动态的IP地址,这个以太网接口 便可以使用端口转换技术(PAT)来实现网络地址翻译(NAT)。 如果路由器上配置了ip address dhcp命令,路由器将向网络上的DHCP服务器发送 DHCPDISCOVER消息。 如果路由器上配置了no ip address dhcp命令,路由器将发送DHCP RELEASE消息。 示例 以下例子使得Ethernet1/1接口通过DHCP协议来获得接口的IP地址。 ! interface Ethernet1/1 ip address dhcp 相关命令 ip dhcp client ip dhcp-server show dhcp lease show dhcp server 3.1.2 ip dhcp client 配置本地路由器DHCP客户端的参数。 ip dhcp client { minlease seconds | retransmit count | select seconds } no ip dhcp client { minlease | retransmit | select } 参数 参数 参数说明 minlease seconds (可选)可接受的最小租用时间,范围从60~86400秒。 retransmit count (可选)协议报文的重传次数,范围从1~10。 select seconds (可选)SELECT的时间间隔,范围从0~30。 - 37 - 04-网络协议配置命令 缺省 minlease参数缺省值为60秒。 retransmit参数缺省值为4次。 select参数缺省值为0秒。 命令模式 全局配置态。 使用说明 根据网络结构和DHCP服务器的需要,来调整这些参数。 如果配置了这些命令的no格式命令,则这些参数恢复成系统定义的缺省值。 示例 以下例子设置了路由器上DHCP客户端可接受的最小租用时间为100秒。 ip dhcp client minlease 100 以下例子设置了路由器上DHCP客户端协议报文重传次数为3次。 ip dhcp client retransmit 3 以下例子设置了路由器上DHCP客户端SELECT的时间间隔为10秒。 ip dhcp client select 10 相关命令 ip address dhcp ip dhcp-server show dhcp lease show dhcp server 3.1.3 ip dhcp-server 要指定已知的DHCP服务器,可以使用ip dhcp-server命令来指定DHCP服务器的IP 地址。 ip dhcp-server ip-address no ip dhcp-server ip-address - 38 - 04-网络协议配置命令 参数 参数 参数说明 ip-address DHCP服务器的IP地址。 缺省 无任何缺省的DHCP服务器IP地址。 命令模式 全局配置态。 使用说明 使用此命令可以指定一个DHCP服务器的IP地址,该命令不会覆盖以前指定的DHCP 服务器IP地址。 使用此命令的no格式命令可以用来清除以前配置的DHCP服务器IP地址。 示例 下面的例子显示了在路由器上如何指定IP地址为192.168.20.1的服务器为DHCP服务 器: ip dhcp-server 192.168.20.1 相关命令 ip address dhcp ip dhcp client show dhcp lease show dhcp server 3.1.4 show dhcp lease 要查看当前路由器所使用的DHCP服务器分配的信息,可以用show dhcp lease命令来 实现。 Show dhcp lease - 39 - 04-网络协议配置命令 参数 无 缺省 无 命令模式 管理态 使用说明 使用此命令可以查看当前路由器所使用的DHCP服务器分配的信息。 示例 下面的例子显示了路由器所使用DHCP分配的信息: router#show dhcp lease Temp IP addr: 192.168.20.3 for peer on Interface: Ethernet1/1 Temp sub net mask: 255.255.255.0 DHCP Lease server: 192.168.1.3, state: 4 Rebinding DHCP transaction id: 2049 Lease: 86400 secs, Renewal: 43200 secs, Rebind: 75600 secs Temp default-gateway addr: 192.168.1.2 Next timer fires after: 02:34:26 Retry count: 1 Client-ID: router-0030.80bb.e4c0-Et1/1 相关命令 ip address dhcp ip dhcp client ip dhcp-server show dhcp server debug dhcp 3.1.5 show dhcp server 要显示已知的DHCP服务器信息,可以使用show dhcp server命令来实现。 show dhcp server - 40 - 04-网络协议配置命令 参数 无 缺省 无 命令模式 管理态 使用说明 使用此命令可以显示已知的DHCP服务器信息。 示例 下面的例子已知的DHCP服务器信息。 router#show dhcp sever DHCP server: 255.255.255.255 Leases: 0 Discovers: 62 Requests: 0 Declines: 0 Releases: 0 Offers: 0 Acks: 0 Naks: 0 Bad: 0 Subnet: 0.0.0.0, Domain name: 相关命令 ip address dhcp ip dhcp client ip dhcp-server show dhcp lease 3.1.6 debug dhcp 当路由器上dhcp运行时,要查看dhcp协议的处理状况,可以运行debug dhcp命令。 debug dhcp <detail> no debug dhcp <detail> - 41 - 04-网络协议配置命令 参数 参数 参数说明 detail 显示DHCP协议报文内容。 缺省 缺省情况下不显示相关信息。 命令模式 管理态 使用说明 显示和DHCP处理相关的一些重要处理信息,举例如下: router#debug dhcp router#2000-4-22 10:50:40 DHCP: Move to INIT state, xid: 0x7 2000-4-22 10:50:40 DHCP: SDISCOVER attempt # 1, sending 277 byte DHCP packet 2000-4-22 10:50:40 DHCP: B'cast on Ethernet1/1 interface from 0.0.0.0 2000-4-22 10:50:40 DHCP: Move to SELECTING state, xid: 0x7 2000-4-22 10:50:46 DHCP: SDISCOVER attempt # 2, sending 277 byte DHCPpacket 2000-4-22 10:50:46 DHCP: B'cast on Ethernet1/1 interface from 0.0.0.0 2000-4-22 10:50:54 DHCP: SDISCOVER attempt # 3, sending 277 byte DHCPpacket 相关命令 show dhcp lease - 42 - 04-网络协议配置命令 第4章 DHCP Sever配置命令 4.1 DHCPD配置命令 DHCPD配置命令包括: null ip dhcpd ping packet null ip dhcpd ping timeout null ip dhcpd write-time null ip dhcpd pool null ip dhcpd enable null ip dhcpd disable 4.1.1 ip dhcpd ping packet ip dhcpd ping packet pkgs 参数 参数 参数说明 pkgs DHCP服务器用于检测地址是否已经分配所发送的ICMP包个数。 缺省 2 命令模式 全局配置态 使用说明 用户可以使用如下命令来配置DHCP服务器在检查地址是否已经分配时,发送n个ICMP 包。 ip dhcpd ping packets n - 43 - 04-网络协议配置命令 示例 以下命令配置DHCP服务器在检查地址是否已经分配时,发送1个ICMP包。 ip dhcpd ping packets 1 4.1.2 ip dhcpd ping timeout 参数 参数 参数说明 timeout DHCP服务器用于检测地址是否已经分配时,等待ICMP包响应的超时时间 (以100毫秒为单位)。 缺省 5 命令模式 全局配置态 使用说明 用户可以使用如下命令来配置DHCP服务器在检查地址是否已经分配时,等待ICMP包 响应的超时时间为n*100ms。 ip dhcpd ping timeout n 示例 以下命令配置DHCP服务器在检查地址是否已经分配时,等待ICMP包响应的超时时间 为300ms。 ip dhcpd ping timeout 3 4.1.3 ip dhcpd write-time 参数 参数 参数说明 time DHCP服务器将地址分配信息保存到数据库中的间隔时间(以分钟为单位)。 - 44 - 04-网络协议配置命令 缺省 60 命令模式 全局配置态 使用说明 用户可以使用如下命令来配置DHCP服务器每隔n分钟,就将地址分配信息写入数据库 中 ip dhcpd write-time n 建议用户不要将此值设置得比缺省值小 。 示例 以下命令配置DHCP服务器每隔1天将就将地址分配信息写入数据库中 ip dhcpd write-time 1440 4.1.4 ip dhcpd pool 参数 参数 参数说明 name DHCP地址池的名称。 缺省 无 命令模式 全局配置态 使用说明 用户可以使用如下命令来增加名为name的DHCP地址池,并进入DHCP地址池配置模 式 ip dhcpd pool name - 45 - 04-网络协议配置命令 示例 以下命令增加名为test的DHCP地址池,同时进入DHCP地址池配置模式。 ip dhcpd pool test 4.1.5 ip dhcpd enable 参数 无 缺省 缺省情况下,关闭DHCP服务 命令模式 全局配置态 使用说明 用户可以使用如下命令来打开DHCP服务。 此时,DHCP服务器也支持relay操作,对 于自身不能分配的地址请求,配置了ip helper-address的端口将转发DHCP请求。 ip dhcpd pool name 示例 以下命令打开DHCP服务。 ip dhcpd enable 4.1.6 ip dhcpd disable 参数 无 缺省 无 - 46 - 04-网络协议配置命令 命令模式 全局配置态 使用说明 用户可以使用如下命令来关闭DHCP服务 ip dhcpd disable 示例 以下命令关闭DHCP服务。 ip dhcpd disable 4.2 DHCPD地址池的配置命令 DHCPD地址池的配置命令包括: null network null range null default-router null dns-server null domain-name null lease null netbios-name-server null host null hardware-address null client-identifier null client-name 4.2.1 network network ip-addr netmask 参数 - 47 - 04-网络协议配置命令 参数 参数说明 ip-addr 用于自动分配的地址池的网络地址。 netmask 子网掩码。 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置用于自动分配的地址池的网络地址。此命令只用于自动分配 方式。 在配置该命令时,务必确保接收DHCP协议报文的端口上有一个端口IP地址的网络号和 network相同。 示例 以下命令配置DHCP地址池的网络地址为192.168.20.0,子网掩码为255.255.255.0。 network 192.168.20.0 255.255.255.0 4.2.2 range range low-addr high-addr 参数 参数 参数说明 low-addr 用于自动分配地址区域的起始地址。 hogh-addr 用于自动分配地址区域的终止地址。 缺省 无 命令模式 DHCP地址池配置模式 - 48 - 04-网络协议配置命令 使用说明 用户可以使用此命令来配置用于自动分配的地址区域。每个地址池最多可配置8个 range,每个range均必须在network范围内。此命令只用于自动分配方式, 示例 以下命令配置DHCP地址池的地址分配区域为192.168.20.210-192.168.20.219。 range 192.168.20.210 192.168.20.219 4.2.3 default-router default-router ip-addr 参数 参数 参数说明 ip-addr 分配给客户机的缺省路由。 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置分配给客户机的缺省路由,最多可配置4个缺省路由,中间 用空格分隔 示例 以下命令配置分配给DHCP客户机的缺省路由为192.168.20.1。 default-router 192.168.20.1 4.2.4 dns-server dns-server ip-addr … - 49 - 04-网络协议配置命令 参数 参数 参数说明 ip-addr 分配给客户机的DNS服务器地址。 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置分配给客户机的DNS服务器地址,最多可配置4个DNS服 务器,中间用空格分隔 示例 以下命令配置分配给客户机的DNS服务器地址为192.168.1.3 dns-server 192.168.1.3 4.2.5 domain-name domain-name name 参数 参数 参数说明 name 分配给客户机的域名。 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置分配给客户机的域名 - 50 - 04-网络协议配置命令 示例 以下命令配置分配给客户机的域名为test.domain domain-name test.domain 4.2.6 lease lease {days [hours][minutes] | infinite} 参数 参数 参数说明 days 地址分配的天数。 hours 地址分配的小时数。 minutes 地址分配的分钟数。 infinite 地址永久分配。 缺省 1天 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置分配给客户机的地址的时间期限。 示例 以下命令配置分配客户机的地址的时间期限为2天12小时。 Lease 2 12 4.2.7 netbios-name-server netbios-name-server ip-addr 参数 参数 参数说明 - 51 - 04-网络协议配置命令 ip-addr 分配客户机的netbios名字服务器地址。 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置分配给客户机的netbios名字服务器地址,最多可配置4个 netbios名字服务器,中间用空格分隔。 示例 以下命令配置分配给客户机的netbios名字服务器地址为192.168.1.10 netbios-name-server 192.168.1.10 4.2.8 host host ip-addr netmask 参数 参数 参数说明 ip-addr 用于手动分配的地址池的主机地址 netmask 子网掩码 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置用于手动分配的地址池的主机地址。此命令只用于手动分配 方式,不能在同一个地址池中同时配置host和range。 - 52 - 04-网络协议配置命令 示例 以下命令配置DHCP地址池的手动分配地址为192.168.20.200,子网掩码为 255.255.255.0。 host 192.168.20.200 255.255.255.0 4.2.9 hardware-address hardware-address hardware-address{ type} 参数 参数 参数说明 hardware-address 用于匹配客户机的硬件地址。 type 硬件地址类型。 缺省 type缺省值为1 ,表示以太网 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置用于匹配客户机的硬件地址,地址格式为冒号分隔的两位16 进制数ab:cd:ef:gh。此命令只用于手动分配方式 示例 以下命令配置DHCP手动分配地址池的硬件地址为10:a0:0c:13:64:7d hardware-address 10:a0:0c:13:64:7d 4.2.10 client-identifier client-identifier unique-identifier 参数 参数 参数说明 unique-identifier 用于匹配客户机的客户端ID。 - 53 - 04-网络协议配置命令 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置用于匹配客户机的客户端ID,格式为点分两位16进制数 ab.cd.ef.gh。此命令只用于手动分配方式。 示例 以下命令配置DHCP手动分配地址池的客户端ID为01:10:a0:0c:13:64:7d client-identifier 01.10.a0.0c.13.64.7d 4.2.11 client-name client-name name 参数 参数 参数说明 name 分配给客户机的名称。 缺省 无 命令模式 DHCP地址池配置模式 使用说明 用户可以使用此命令来配置用于手动分配给客户机的主机名。此命令只用于手动分配方 式 。 示例 以下命令配置分配给客户机的主机名为test。 - 54 - 04-网络协议配置命令 client-name test 4.3 DHCPD的调试命令 DHCPD的调试命令包括: null debug ip dhcpd packet null debug ip dhcpd event 4.3.1 debug ip dhcpd packet debug ip dhcpd packet 参数 无 缺省 无 命令模式 管理态 使用说明 用户可以使用此命令来打开DHCPD数据包信息的debug开关。 示例 以下命令打开对DHCPD数据包的调试信息输出开关。 debug ip dhcpd packet 4.3.2 debug ip dhcpd event debug ip dhcpd event 参数 无 - 55 - 04-网络协议配置命令 缺省 无 命令模式 管理态 使用说明 用户可以使用此命令来打开DHCPD事件信息的debug开关。 示例 以下命令打开对DHCPD事件的调试信息输出开关。 debug ip dhcpd event 4.4 DHCPD的管理命令 DHCPD的管理命令包括: null show ip dhcpd statistic null show ip dhcpd binding null clear ip dhcpd statistic null clear ip dhcpd binding 4.4.1 show ip dhcpd statistic 参数 无 缺省 无 命令模式 除了用户态以外的其它状态 - 56 - 04-网络协议配置命令 使用说明 用户可以使用此命令来显示DHCPD的统计信息,包括各类报文的数量和自动分配、手 动分配的地址数 示例 以下命令显示DHCPD的统计信息。 Show ip dhcpd statistic 4.4.2 show ip dhcpd binding show ip dhcpd binding {ip-addr} 参数 参数 参数说明 ip-addr 需要显示绑定信息的地址. 缺省 显示所有的地址绑定信息。 命令模式 除了用户态以外的其它状态 使用说明 用户可以使用此命令来显示DHCPD的地址绑定信息,IP地址、硬件地址、绑定类型和 超时时间 示例 以下命令显示DHCPD的绑定信息。 Show ip dhcpd binding 4.4.3 show ip dhcpd pool 参数 无 - 57 - 04-网络协议配置命令 缺省 无 命令模式 除了用户态以外的其它状态 使用说明 用户可以使用此命令来显示DHCPD的地址池信息,包括地址池的网络号、地址范围、 已分配地址的数目、暂时废弃的地址的数目、可以用来分配的地址数目、手动分配的IP 地址和硬件地址。 示例 以下命令显示DHCPD的地址池统计信息。 show ip dhcpd pool 4.4.4 clear ip dhcpd statistic 参数 无 缺省 无 命令模式 管理态 使用说明 用户可以使用此命令来删除DHCPD的关于报文数量的统计信息 。 示例 以下命令删除DHCPD关于报文数量的统计信息。 Clear ip dhcpd statistic - 58 - 04-网络协议配置命令 4.4.5 clear ip dhcpd binding clear ip dhcpd binding {ip-addr|*} 参数 参数 参数说明 ip-addr 需要删除绑定信息的地址。 * 删除所有的绑定信息。 缺省 删除指定地址绑定信息。 命令模式 管理态 使用说明 用户可以使用此命令来删除指定地址的绑定信息 。 示例 以下命令删除192.168.20.210的绑定信息。 clear ip dhcpd binding 192.168.20.210 以下命令删除192.168.20.210和192.168.20.211的绑定信息。 clear ip dhcpd binding 192.168.20.210 192168.20.211 以下命令删除所有的绑定信息。 clear ip dhcpd binding * 4.4.6 clear ip dhcpd abandoned 参数 无 缺省 无 - 59 - 04-网络协议配置命令 命令模式 管理态 使用说明 用户可以使用此命令来清除abandon标志。 示例 以下命令清除abandon标志。 Clear ip dhcpd abandoned - 60 - 04-网络协议配置命令 第5章 IP服务配置命令 5.1 IP Server配置命令 IP Server配置命令包括: null clear tcp null clear tcp statistics null debug arp null debug ip icmp null debug ip packet null debug ip raw null debug ip rtp null debug ip tcp packet null debug ip tcp transactions null debug ip udp null ip mask-reply null ip mtu null ip redirects null ip route-cache null ip source-route null ip tcp synwait-time null ip tcp window-size null ip unreachables null show ip cache null show ip irdp null show ip sockets null show ip traffic null show tcp - 61 - 04-网络协议配置命令 null show tcp brief null show tcp statistics null show tcp tcb 5.1.1 clear tcp 清除一个TCP连接。 clear tcp {local host-name port remote host-name port | tcb address} 参数 参数 参数说明 local host-name port 本地主机IP地址和TCP端口。 remote host-name port 远端主机IP地址和TCP端口。 tcb address 要清除的TCP连接的传输控制块(TCB)地址。TCB是系统内部对TCP连接的 标识,可以用命令show tcp brief得到。 命令模式 管理态 使用说明 clear tcp命令主要是用于清除已经终止的TCP连接。在某些情况下,例如通信线路故障, TCP连接或对方主机重启,TCP连接实际已经终止,但是由于TCP连接上一直没有通 信,系统无法及时发现这种情况,这时可以使用clear tcp命令关闭已经无效的TCP连接。 其中,clear tcp local host-name port remote host-name port 命令用于终止指定的本地 主机IP地址/端口和远端主机IP地址/端口之间的TCP连接。clear tcp tcb address 命令 用于终止指定TCB地址所标识的TCP连接。 示例 下面的例子清除192.168.20.22:23(本地)和192.168.20.120:4420(远端)之间的TCP 连接。show tcp brief命令显示了当前TCP连接的本地和远端主机信息。 Router#show tcp brief TCB Local Address Foreign Address State 0xE85AC8 192.168.20.22:23 192.168.20.120:4420 ESTABLISHED 0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED Router#clear tcp local 192.168.20.22 23 remote 192.168.20.120 4420 Router#show tcp brief - 62 - 04-网络协议配置命令 TCB Local Address Foreign Address State 0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED 下面的例子清除TCB地址为0xea38c8的TCP连接。show tcp brief命令显示了TCP连 接的TCB地址。 Router#show tcp brief TCB Local Address Foreign Address State 0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED Router#clear tcp tcb 0xea38c8 Router#show tcp brief TCB Local Address Foreign Address State 相关命令 show tcp show tcp brief show tcp tcb 5.1.2 clear tcp statistics 清除TCP统计数据。 clear tcp statistics 参数 该命令没有参数或关键字。 命令模式 管理态 示例 用下列命令清除TCP统计数据: Router#clear tcp statistics 相关命令 show tcp statistics - 63 - 04-网络协议配置命令 5.1.3 debug arp 显示ARP交互信息,例如发出ARP请求,收到ARP响应,收到ARP请求,发出ARP 响应等。当路由器和主机无法通信时,可以用于分析ARP交互情况。用no debug arp 停止显示信息。 debug arp no debug arp 参数 该命令没有参数或关键字。 命令模式 管理态 示例 Router#debug arp Router#IP ARP: rcvd req src 192.168.20.116 00:90:27:a7:a9:c2, dst 192.168.20.111, Ethernet1/0 IP ARP: req filtered src 192.168.20.139 00:90:27:d5:a9:1f, dst 192.168.20.82 00: 00:00:00:00:00, wrong cable, Ethernet1/1 IP ARP: created an incomplete entry for IP address 192.168.20.77, Ethernet1/0 IP ARP: sent req src 192.168.20.22 08:00:3e:33:33:8a, dst 192.168.20.77, Ethernet1/0 IP ARP: rcvd reply src 192.168.20.77 00:30:80:d5:37:e0, dst 192.168.20.22, Ethernet1/0 第一条信息表明:路由器在接口Ethernet 1/0上收到一个ARP请求,发出请求的主机IP 地址为192.168.20.116,MAC地址为00:90:27:a7:a9:c2,它请求IP地址为 192.168.20.111的主机的MAC地址: IP ARP: rcvd req src 192.168.20.116 00:90:27:a7:a9:c2, dst 192.168.20.111, Ethernet1/0 第二条信息表明:路由器在接口Ethernet 1/1上收到一个来自192.168.20.139的ARP 地址请求。但是,根据路由器的接口配置,这个接口并不在这台主机所宣称的网络上。 所以,可能是主机配置不正确。路由器如果根据这条信息建立了ARP缓存,就可能无法 和连接在正常接口上的某台配置了相同地址的主机通信。 IP ARP: req filtered src 192.168.20.139 00:90:27:d5:a9:1f, dst 192.168.20.82 00: 00:00:00:00:00, wrong cable, Ethernet1/1 第三条信息表明,路由器要解析主机192.168.20.77的MAC地址,所以在ARP缓存中为 它建立了一条不完整的ARP表项,等收到ARP应答时再填入MAC地址。根据路由器的配 置,这台主机连接在接口Ethernet 1/0上。 IP ARP: created an incomplete entry for IP address 192.168.20.77, Ethernet1/0 第四条信息表明,路由器在接口Ethernet 1/0上发出ARP请求,所带的路由器的IP地址 是192.168.20.22,接口的MAC地址是08:00:3e:33:33:8a,所请求的主机IP地址是 192.168.20.77。这条信息和第三条信息是相关的。 - 64 - 04-网络协议配置命令 IP ARP: sent req src 192.168.20.22 08:00:3e:33:33:8a, dst 192.168.20.77, Ethernet1/0 第五条信息表明,路由器在接口Ethernet1/0上收到了192.168.20.77发给路由器接口 192.168.20.22的ARP响应,告知它的MAC地址为00:30:80:d5:37:e0。这条信息是和 第三、四条信息相关的。 IP ARP: rcvd reply src 192.168.20.77 00:30:80:d5:37:e0, dst 192.168.20.22, Ethernet1/0 5.1.4 debug ip icmp 显示Internet控制信息协议(ICMP)的交互信息。使用命令no debug ip icmp关闭调试 输出。 debug ip icmp no debug ip icmp 参数 该命令没有参数或关键字。 命令模式 管理态 使用说明 该命令可以显示系统收到和发出的ICMP报文,从而解决网络端到端到的连接问题。如 果要了解debug ip icmp命令输出的详细含义,请参见RFC 792,“Internet Control Message Protocol”。 示例 Router#debug ip icmp Router#ICMP: sent pointer indicating to 192.168.20.124 (dst was 192.168.20.22), len 48 ICMP: rcvd echo from 192.168.20.125, len 40 ICMP: sent echo reply, src 192.168.20.22, dst 192.168.20.125, len 40 ICMP: sent dst (202.96.209.133) host unreachable to 192.168.20.124, len 36 ICMP: sent dst (192.168.20.22) protocol unreachable to 192.168.20.124, len 36 ICMP: rcvd host redirect from 192.168.20.77, for dst 22.0.0.3 use gw 192.168.20.26, len 36 ICMP: rcvd dst (22.0.0.3) host unreachable from 192.168.20.26, len 36 ICMP: sent host redirect to 192.168.20.124, for dst 22.0.0.5 use gw 192.168.20.77, len 36 ICMP: rcvd dst (2.2.2.2) host unreachable from 192.168.20.26, len 36 关于第一条信息的说明如下: ICMP: sent pointer indicating to 192.168.20.124 (dst was 192.168.20.22), len 48 - 65 - 04-网络协议配置命令 域 描述 ICMP: 显示的是Internet控制信息协议(ICMP)报文的信息。 Sent 发送ICMP报文。 pointer indicating ICMP报文类型,这个ICMP报文表示原始IP报文参数错误,并指出错误的域。 其它类型的ICMP报文有: echo reply(回应应答) dst unreachable(目的不可到达),包括: ---net unreachable(网络不可到达) ---host unreachable(主机不可到达) ---protocol unreachable(协议不可到达) ---port unreachable(端口不可到达) ---fragmentation needed and DF set(需要分片,但DF位被置位) ---source route failed(源路由失败) ---net unknown(未知网络) ---destination host unknown(未知主机) ---source host isolated(源主机被隔离) ---net prohibited(与网络的通信被禁止) ---host prohibited(与主机的通信被禁止) ---net tos unreachable(对请求的服务类型,网络不可到达) ---host tos unreachable(对请求的服务类型,主机不可到达) source quench(源抑制) redirect(重定向),包括: ---net redirect(网络重定向) ---host redirect(主机重定向) ---net tos redirect(对服务类型和网络的重定向) ---host tos redirect(对服务类型和主机的重定向) echo(回应请求) router advertisement(路由器广告) router solicitation(路由器请求) time exceeded(超时),包括: ---ttl exceeded(ttl超时) ---reassembly timeout(重组超时) parameter problem(一般参数问题),包括: - 66 - 04-网络协议配置命令 ---pointer indicating(指出错误参数) ---option missed(缺少选项) ---bad length(长度错误) timestamp(时戳) timestamp reply(时戳应答) information request(信息请求) information reply(信息应答) mask request(掩码请求) mask reply(掩码应答) 如果是系统未知的ICMP类型,系统将显示ICMP类型和代码的值。 to 192.168.20.124 ICMP报文的目的地址是192.168.20.124,这也是引起这个ICMP报文的原始 报文的源地址。 (dst was 192.168.20.22) 引起ICMP报文的原始报文的目的地址是192.168.20.22。 len 48 ICMP报文的长度是48字节,其中不包括IP报头长度。 关于第二条信息的说明如下: ICMP: rcvd echo from 192.168.20.125, len 40 域 描述 rcvd 收到ICMP报文。 echo ICMP报文类型,是回应请求报文。 from 192.168.20.125 ICMP报文的源地址是192.168.20.125。 关于第三条信息的说明如下: ICMP: sent echo reply, src 192.168.20.22, dst 192.168.20.125, len 40 域 命令 src 192.168.20.22 ICMP报文的源地址是192.168.20.22。 dst 192.168.20.125 ICMP报文的目的地址是192.168.20.125。 根据ICMP报文类型的不同,产生的ICMP报文信息采用不同的格式,以便显示报文内 容。 例如,对于ICMP重定向报文,采用下列格式打印: ICMP: rcvd host redirect from 192.168.20.77, for dst 22.0.0.3 use gw 192.168.20.26, len 36 ICMP: sent host redirect to 192.168.20.124, for dst 22.0.0.5 use gw 192.168.20.77, len 36 其中第一条信息表示,收到来自主机192.168.20.77的ICMP主机重定向报文,建议使用 网关192.168.20.26到达目的主机22.0.0.3,ICMP报文长度36字节。 - 67 - 04-网络协议配置命令 第二条信息表示,发送ICMP主机重定向报文到192.168.20.124,通知它使用网关 192.168.20.77到达主机22.0.0.5, ICMP报文长度36字节。 对于ICMP目的不可到达报文,采用下列格式打印: ICMP: sent dst (202.96.209.133) host unreachable to 192.168.20.124, len 36 ICMP: rcvd dst (2.2.2.2) host unreachable from 192.168.20.26, len 36 其中,第一条信息表示,路由器无法路由某个IP报文,所以向报文的源主机 192.168.20.124发送ICMP目的主机(202.96.209.133)不可到达报文, ICMP报文长度 36字节。 第二条信息表示,路由器收到一个来自主机192.168.20.26的ICMP报文,通知目的主机 (2.2.2.2)不可到达, ICMP报文长度36字节。 5.1.5 debug ip packet 显示Internet协议(IP)的交互信息。使用no debug ip packet停止显示信息。 debug ip packet [detail] [ip-access-list-name] no debug ip packet 参数 参数 参数说明 detail (可选)输出IP报文封装的协议信息,如协议号,UDP、TCP端口号,ICMP 报文类型等。 ip-access-list-name (可选)用于过滤输出信息的IP访问表名称。只有满足指定IP访问表的IP报 文的信息才会被输出。 access-group (可选)用于过滤输出信息的IP访问表名称。只有满足指定IP访问表的IP报 文的信息才会被输出。 interface (可选)用于过滤输出信息的端口名称。只有满足指定端口的IP报文的信息 才会被输出。 命令模式 管理态 使用说明 这条命令可以帮助了解每个收到的或是本地产生的IP报文的最终流向,了解通信发生问 题的原因。 可能的情况有: null 被转发 - 68 - 04-网络协议配置命令 null 被作为广播报文或多播报文转发 null 转发时寻径失败 null 发送redirect报文 null 由于带有源路由选项被拒绝 null 由于非法的IP options被拒绝 null 源路由 null 本地发送报文需要分片,但是DF位被置位 null 收到报文 null 收到IP分片 null 发送报文 null 发送广播/多播 null 本地生成报文寻径失败 null 本地生成报文被分片 null 收到报文被过滤 null 发送报文被过滤 null 链路层封装失败(只限于以太网) null 未知协议 使用这条命令可能会有大量的输出信息,所以最好在路由器比较空闲的时候使用,否则 将严重影响系统性能。另外,尽可能使用访问表过滤输出,使系统只显示用户感兴趣的 报文信息。 命令模式 管理态 示例 router#debug ip packet router#IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.1, len=60, redirected IP: s=192.168.20.22 (local), d=192.168.20.120 (Ethernet1/0), g=192.168.20.120, len=56, sending IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.1, len=60, forward IP: s=192.168.20.81 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=56, rcvd - 69 - 04-网络协议配置命令 域 描述 IP 表示这条信息是关于IP报文的。 s=192.168.20.120 (Ethernet1/0) IP报文的源地址和收到报文的接口名称(如果不是本地生成的报文)。 d=19.0.0.9 (Ethernet1/0) IP报文的目的地址和发送报文的接口名称(如果路由成功的话)。 g=192.168.20.1 IP报文的下一跳目的地址,可能是网关地址,也可能就是目的地址。 len IP报文的长度。 redirected 表示路由器将向这个报文的源主机发送ICMP重定向报文。其它情况还有: forward---报文被转发。 forward directed broadcast---报文作为定向广播被转发,报文将在发送接口 上转成物理广播。 unroutable---报文寻径失败,将被丢弃。 source route---源路由。 rejected source route---系统当前不支持源路由,因此拒绝带IP源路由选项的 报文。 bad options---IP选项错误,报文被丢弃。 need frag but DF set---本地报文需要分片,但是DF被置位。 rcvd---报文被本地接收。 rcvd fragment---收到报文分片。 sending---发送本地生成报文。 sending broad/multicast---发送本地生成的广播/多播报文。 sending fragment---发送在本地分片的IP报文。 denied by in acl---被接收接口的接收访问表拒绝。 denied by out acl---被发送接口的发送访问表拒绝。 unknown protocol---未知协议。 encapsulation failed---协议封装失败,只限于以太网。当要在以太网接口上 发送的报文由于ARP解析失败而被丢弃时,显示这条信息。 第一条信息表明,路由器收到一个IP报文,它的源地址是192.168.20.120,来自接口 Ethernet1/0所连接的网段,目的地址是19.0.0.9,根据路由表确定的发送接口是 Ethernet1/0,网关地址是192.168.20.1,报文长度为60字节。发现网关和发出IP报文 的源主机直连在同一网络上,也就是路由器的接口Ethernet1/0所连接的网络上,所以路 由器发出 ICMP 重定向报文。 IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.1, len=60, redirected - 70 - 04-网络协议配置命令 第二条信息,描述了ICMP重定向报文的发送,源地址是本地地址192.168.20.22,目的 地址是上述报文的源地址192.168.20.120,从接口Ethernet1/0发出,由于是直接到达目 的地,所以网关地址就是目的地址192.168.20.120,ICMP重定向报文长度为56字节。 IP: s=192.168.20.22 (local), d=192.168.20.120 (Ethernet1/0), g=192.168.20.120, len=56, sending 第三条信息表明,IP层收到一个IP报文,报文的源地址是192.168.20.120,接收接口为 Ethernet1/0,报文的目的地址是19.0.0.9,通过查找路由表,发现需要转发这个报文到 接口Ethernet1/0,网关是192.168.20.77,报文长度为60字节。这条信息显示的是系统 在发出ICMP重定向报文以后,转发第一条信息显示的报文。 IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.77, len=60, forward 第四条信息表示,IP层收到一个IP报文,源地址是192.168.20.81,接收接口是 Ethernet1/0, 目的地址是192.168.20.22,是在路由器接口Ethernet1/0上配置的一个 IP地址,报文长度是56字节,本地接收。 IP: s=192.168.20.81 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=56, rcvd 下面介绍debug ip packet detail命令的输出,只说明其中新增的部分: router#debug ip packet detail router#IP: s=192.168.12.8 (Ethernet1/0), d=255.255.255.255 (Ethernet1/0), len=328, rcvd, UDP: src=68, dst=67 IP: s=192.168.20.26 (Ethernet1/0), d=224.0.0.5 (Ethernet1/0), len=68, rcvd, proto=89 IP: s=192.168.20.125 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=84, rcvd, ICMP: type=0, code = 0 IP: s=192.168.20.22 (local), d=192.168.20.124 (Ethernet1/0), g=192.168.20.124, len=40, sending, TCP: src=1024, dst=23, seq=75098622, ack=161000466, win=17520, ACK 域 描述 UDP 协议名称,例如UDP, ICMP, TCP等。其它协议用协议号表示。 type, code ICMP报文的类型和代码值。 src, dst UDP和TCP报文的源端口和目的端口。 seq TCP报文的序列号。 ack TCP报文的确认号。 win TCP报文的窗口值。 ACK TCP报文的控制比特中ACK被置位,表明确认序列号有效。其它的控制比特 是SYN, URG, FIN, PSH, RST。 第一条信息表明,收到UDP报文,源端口是68,目的端口是67。 IP: s=192.168.12.8 (Ethernet1/0), d=255.255.255.255 (Ethernet1/0), len=328, rcvd, UDP: src=68, dst=67 第二条信息表明,收到报文的协议号为89。 IP: s=192.168.20.26 (Ethernet1/0), d=224.0.0.5 (Ethernet1/0), len=68, rcvd, proto=89 第三条信息表明,收到ICMP报文,报文类型为0,代码为0。 IP: s=192.168.20.125 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=84, rcvd, ICMP: type=0, code = 0 - 71 - 04-网络协议配置命令 第四条信息表明,发送TCP报文,源端口为1024,目的端口为23,序列号为75098622, 确认号为161000466,接收窗口尺寸为17520,ACK标志位被置位。关于这些域的含义, 请参见RFC 793— TRANSMISSION CONTROL PROTOCOL。 IP: s=192.168.20.22 (local), d=192.168.20.124 (Ethernet1/0), g=192.168.20.124, len=40, sending, TCP: src=1024, dst=23, seq=75098622, ack=161000466, win=17520, ACK 下面介绍如何使用访问控制表。例如,要求只显示源地址是192.168.20.125的报文信息, 首先定义标准访问控制表abc,只允许源地址是192.168.20.125的IP报文。然后,在 debug ip packet命令中使用该访问控制表。 Router#config Router_config#ip access-list standard abc Router_config_std_nacl#permit 192.168.20.125 Router_config_std_nacl#exit Router_config#exit Router#debug ip packet abc Router#IP: s=192.168.20.125 (Ethernet0/1), d=192.168.20.22 (Ethernet0/1), len=48, rcvd 上述命令使用的是标准的访问控制表,也可以使用扩展访问控制表。 相关命令 debug ip tcp packet 5.1.6 debug ip raw 显示Internet协议(IP)的交互信息。使用no debug ip raw停止显示信息。 debug ip raw [detail] [access-list-group] [interface] no debug ip raw 参数 参数 参数说明 detail (可选)输出IP报文封装的协议信息,如协议号,UDP、TCP端口号,ICMP 报文类型等。 access-group (可选)用于过滤输出信息的IP访问表名称。只有满足指定IP访问表的IP报 文的信息才会被输出。 interface (可选)用于过滤输出信息的端口名称。只有满足指定端口的IP报文的信息 才会被输出。 命令模式 管理态 - 72 - 04-网络协议配置命令 使用说明 这条命令可以帮助了解每个收到的或是本地产生的IP报文的最终流向,了解通信发生问 题的原因。 可能的情况有: null 被转发 null 被作为广播报文或多播报文转发 null 转发时寻径失败 null 发送redirect报文 null 由于带有源路由选项被拒绝 null 由于非法的IP options被拒绝 null 源路由 null 本地发送报文需要分片,但是DF位被置位 null 收到报文 null 收到IP分片 null 发送报文 null 发送广播/多播 null 本地生成报文寻径失败 null 本地生成报文被分片 null 收到报文被过滤 null 发送报文被过滤 null 链路层封装失败(只限于以太网) null 未知协议 使用这条命令可能会有大量的输出信息,所以最好在路由器比较空闲的时候使用,否则 将严重影响系统性能。另外,尽可能使用访问表过滤输出,使系统只显示用户感兴趣的 报文信息。 示例 与debug ip packet一至,故略。 - 73 - 04-网络协议配置命令 相关命令 debug ip tcp packet 5.1.7 debug ip rtp 显示头部压缩的交互信息。使用no debug ip rtp停止显示信息。 debug ip rtp {header-compression|packets |rtcp} no debug ip rtp {header-compression|packets |rtcp} 参数 参数 参数说明 header-compress RTP/UDP/IP头部压缩事件。 packets RTP/UDP/IP头部压缩交互数据报。 rtcp TCP/IP头部压缩交互数据报。 命令模式 管理态 使用说明 这条命令可以帮助了解头部压缩交互的具体过程。 使用这条命令可能会有大量的输出信息,所以最好在路由器比较空闲的时候使用,否则 将严重影响系统性能。 示例 router#debug ip rtp header-compress 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: new connection, conn 0, 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7078, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7079, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7080, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7081, Gen = 0 - 74 - 04-网络协议配置命令 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7082, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7083, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7084, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7085, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7086, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4024, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7087, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4025, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4026, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7088, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7089, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4027, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7090, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4028, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7091, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4029, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7092, Gen = 0 2002-1-9 21:36:42 21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4030, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7093, Gen = 0 2002-1-9 21:36:43 - 75 - 04-网络协议配置命令 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7094, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4032, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7095, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4033, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7096, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4034, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7097, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7098, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4036, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7099, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4037, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7100, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4038, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7101, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: tossing error packet 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7102, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4040, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7103, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4041, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7104, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4042, Gen = 0 - 76 - 04-网络协议配置命令 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7105, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7106, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4044, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7107, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4045, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7108, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4046, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7109, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7110, Gen = 0 2002-1-9 21:36:43 21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4048, Gen = 0 no deb all 5.1.8 debug ip tcp packet 显示传输控制协议(TCP)报文的收发信息。用no debug ip tcp packet停止显示。 debug ip tcp packet no debug ip tcp packet 参数 该命令没有参数或关键字。 命令模式 管理态 示例 Router#debug ip tcp packet Router#tcp: O ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 50659460 DATA 1 ACK 3130379810 PSH WIN 4380 - 77 - 04-网络协议配置命令 tcp: I ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 3130379810 DATA 2 ACK 50659460 PSH WIN 16372 tcp: O ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 50659461 DATA 50 ACK 3130379812 PSH WIN 4380 tcp: O FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 50659511 ACK 3130379812 FIN WIN 4380 tcp: I FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 3130379812 ACK 50659511 WIN 16321 tcp: I FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 3130379812 ACK 50659512 WIN 16321 tcp: I FIN_WAIT_2 192.168.20.22:23 192.168.20.125:3828 seq 3130379812 ACK 50659512 FIN WIN 16321 tcp: O TIME_WAIT 192.168.20.22:23 192.168.20.125:3828 seq 50659512 ACK 3130379813 WIN 4380 tcp: I LISTEN 0.0.0.0:23 0.0.0.0:0 seq 3813109318 DATA 2 ACK 8057944 PSH WIN 17440 tcp: O LISTEN 0.0.0.0:23 0.0.0.0:0 seq 8057944 RST 域 描述 tcp: 表示关于TCP报文的信息。 O 发送TCP报文。 ESTABLISHED TCP连接的当前状态。关于TCP连接状态的描述,参见debug ip tcp transactions命令说明。 192.168.20.22:23 报文的源地址是192.168.20.22,源端口是23。 192.168.20.125:38 28 报文的目的地址是192.168.20.125,目的端口是3828。 seq 50659460 报文的序列号是50659460。 DATA 1 报文包含的有效数据字节数是1个。 ACK 3130379810 报文的确认号是3130379810。 PSH 报文的控制比特中PSH被置位。 其它的控制比特位有ACK, FIN, SYN, URG, RST。 WIN 4380 报文的窗口域用于通知对方接收端接收缓存区大小,目前是4380字节。 I 接收TCP报文。 如果上述某些域没有出现在显示中,说明在这个TCP报文中该域没有有效值。 相关命令 debug ip tcp transactions - 78 - 04-网络协议配置命令 5.1.9 debug ip tcp transactions 显示传输控制协议(TCP)的重要交互信息,例如TCP连接状态改变等。用no debug ip tcp transactions停止显示。 debug ip tcp transactions no debug ip tcp transactions 参数 该命令没有参数或关键字。 命令模式 管理态 示例 Router#debug ip tcp transactions Router#TCP: rcvd connection attempt to port 23 TCP: TCB 0xE88AC8 created TCP: state was LISTEN -> SYN_RCVD [23 -> 192.168.20.125:3828] TCP: sending SYN, seq 50658312, ack 3130379657 [23 -> 192.168.20.125:3828] TCP: state was SYN_RCVD -> ESTABLISHED [23 -> 192.168.20.125:3828] TCP: connection closed by user, state was LISTEN [23 -> 0.0.0.0:0] TCP: state was TIME_WAIT -> CLOSED [23 -> 192.168.20.125:3827] TCP: TCB 0xE923C8 deleted TCP: TCB 0xE7DBC8 created TCP: connection to 192.168.20.124:513 from 192.168.20.22:1022, state was CLOSED to SYN_SENT TCP: sending SYN, seq 52188680, ack 0 [1022 -> 192.168.20.124:513] TCP: state was SYN_SENT -> ESTABLISHED [1022 -> 192.168.20.124:513] TCP: rcvd FIN, state was ESTABLISHED -> CLOSE_WAIT [1022 -> 192.168.20.124:513] TCP: connection closed by user, state was CLOSE_WAIT [1022 -> 192.168.20.124:513] TCP: sending FIN [1022 -> 192.168.20.124:513] TCP: connection closed by user, state was LAST_ACK [1022 -> 192.168.20.124:513] TCP: state was LAST_ACK -> CLOSED [1022 -> 192.168.20.124:513] TCP: TCB 0xE7DBC8 deleted 域 描述 TCP: 表示显示TCP交互信息。 rcvd connection attempt to port 23 收到对端口23(telnet端口)的连接请求。 TCB 0xE88AC8 created 生成一个新的TCP连接控制块,其标识为0xE88AC8。 - 79 - 04-网络协议配置命令 state was LISTEN -> SYN_RCVD 表示TCP状态机的状态从LISTEN 转到 SYN_RCVD。 可能的TCP状态有: LISTEN---等待来自任意远端主机的TCP连接请求。 SYN_SENT---发出连接请求以发起TCP连接协商,正在等待对方的应答。 SYN_RCVD---收到对方的连接请求并发出确认,也发出了自己的连接请求, 正在等待对方的连接请求确认。 ESTABLISHED---表示连接建立成功,处于数据传送阶段,可以收发上层应 用的数据。 FIN_WAIT_1---已经向对方发出连接终止请求,等待对方的确认,以及对方 的连接终止请求。 FIN_WAIT_2---已经向对方发出连接终止请求,并收到对方的确认,正在等 待对方的连接终止请求。 CLOSE_WAIT---收到对方的连接终止请求,发出确认,正在等待本地用户关 闭连接,一旦用户要求关闭连接,系统将发出连接终止请求。 CLOSING---已经向对方发出连接终止请求,也收到对方的连接终止请求并 发出确认,正在等待对方对本地连接终止请求的确认。 LAST_ACK---已经收到对方的连接终止请求并确认,发出连接终止请求,正 在等待确认。 TIME_WAIT---正在等待足够的时间以确定对方收到了本地对它的连接终止 请求的确认,以及仍在网络中传输的有关这个连接的报文到达目的地或是被 丢弃。 CLOSED---表示完全没有连接或者连接已经完全关闭。 如果要了解更为详细的信息,请参阅RFC 793,TRANSMISSION CONTROL PROTOCOL。 [23 -> 192.168.20.125:38 28] 在括号中: 第一个域(23)表示本地TCP端口。 第二个域(192.168.20.125)表示远端IP地址。 第三个域(3828)表示远端TCP端口。 sending SYN 发出一个连接请求报文(TCP报头控制比特中的SYN置位)。其它的TCP控 制比特包括SYN, ACK, FIN, PSH, RST和URG。 seq 50658312 发出报文的序列号为50658312。 ack 3130379657 发出报文的确认号为3130379657。 rcvd FIN 收到连接终止请求(TCP报头控制比特中的FIN置位)。 connection closed by user 上层应用要求关闭TCP连接。 - 80 - 04-网络协议配置命令 connection timed out 连接超时被关闭。 相关命令 debug ip tcp packet 5.1.10 debug ip udp 显示用户数据报协议(UDP)的交互信息。使用命令no debug ip udp停止显示。 debug ip udp no debug ip udp 参数 该命令没有参数或关键字。 命令模式 管理态 示例 Router#debug ip udp Router#UDP: rcvd src 192.168.20.99(520), dst 192.168.20.255(520), len = 32 UDP: sent src 192.168.20.22(20001), dst 192.168.20.43(1001), len = 1008 域 描述 UDP: 表示这条信息是关于UDP报文的。 rcvd 收到报文。 sent 发出报文。 src UDP报文的源IP地址和UDP端口。 dst UDP报文的目的IP地址和UDP端口。 len UDP报文的长度。 所以,第一条信息说明收到一个UDP报文,来自主机192.168.20.99,端口为520,目 的地址是192.168.20.255,目的端口是520,报文长度为32字节。 第二条信息说明发出一个UDP报文,本地地址是192.168.20.22,端口是20001,目的 地址是192.168.20.43,目的端口是1001,报文长度为1008字节。 - 81 - 04-网络协议配置命令 5.1.11 ip mask-reply 要求路由器在指定接口上回应 IP 地址掩码请求。如果要关闭这项功能,使用no ip mask-reply。 ip mask-reply no ip mask-reply default ip mask-reply 参数 该命令没有参数或关键字。 缺省 不应答IP地址掩码请求。 命令模式 接口配置态 示例 interface ethernet 1/1 ip mask-reply 5.1.12 ip mtu 设置接口发出的IP报文的最大发送单元(MTU)长度,使用ip mtu命令。如果要重新使 用MTU缺省值,使用no ip mtu命令。 ip mtu bytes no ip mtu 参数 参数 参数说明 bytes 以字节计算的IP最大传输长度。 缺省 根据接口物理介质的不同,和接口上的最大传输长度(mtu)相同。最小是68字节。 - 82 - 04-网络协议配置命令 命令模式 接口配置态 使用说明 如果IP报文长度超过接口设置的IP MTU,路由器将对报文分片。所有连在同一物理介 质上的设备,应该设置相同的协议MTU才能通信。MTU值(通过接口配置命令mtu设 置)会影响IP MTU值。如果IP MTU值和MTU值相同,当改变MTU值时,IP MTU的 值会自动改变为新的MTU值。反之,改变IP MTU值不会影响MTU值。 IP MTU最小值为68字节,最大值不超过接口配置的MTU。 示例 下列命令把接口的IP MTU设为200: interface serial0/0 ip mtu 200 相关命令 mtu 5.1.13 ip redirects 发送IP ICMP重定向报文。不发送ICMP重定向报文,用命令no ip redirects。 ip redirects no ip redirects 参数 命令没有参数或关键字。 缺省 一般情况下,IP重定向报文是缺省被发送的。但是,如果用户在接口上配置了热备份路 由器协议,该项功能将被自动关闭。而且,如果以后热备份路由器协议的配置被取消, 这项功能不会自动打开。 命令模式 接口配置态 - 83 - 04-网络协议配置命令 使用说明 当路由器在转发报文时发现网关所在的转发接口和收到报文的接口相同,而且发送报文 的主机就直连在这个接口的逻辑网络上的话,根据协议,它可以发出一个ICMP重定向 报文,通知源主机直接把那个路由器作为到报文目的地址的网关,而不再经过这台路由 器转发。 如果接口配置了热备份路由器协议,发送IP重定向报文可能导致报文丢失。 示例 下面的命令在接口ethernet1/0上打开发送ICMP重定向报文的功能: interface ethernet 1/0 ip redirects 5.1.14 ip route-cache 在接口上设置是否允许使用路由缓存来转发IP报文。使用no ip route-cache命令禁止使 用路由缓存。 ip route-cache no ip route-cache ip route-cache same-interface no ip route-cache same-interface 参数 参数 参数说明 same-interface 允许IP报文被快速交换出接收接口。 缺省 在接口上允许快速交换,禁止同一接口的快速交换。 命令模式 接口配置态 使用说明 路由缓存基于源地址/目的地址对转发报文进行负载均衡。 - 84 - 04-网络协议配置命令 允许路由缓存会提高路由器的报文转发性能。但是在低速线路(64k或更低)上,通常应 该禁止路由缓存。 用户可以用命令ip route-cache same-interface允许同一接口的IP快速交换,即接收接 口和发送接口相同。通常情况下,建议不要开启这一功能,因为和路由器的重定向功能 冲突。如果用户有一个不完全连接的网络,例如帧中继,可以在帧中继接口开启这项功 能。例如路由器A, B, C共同构成一个帧中继网络,但只有A—B和B—C的链路,A和 C的通信必须由B中转:A—B—C,B从接口的一个DLCI收到A的报文,然后又从同 一接口经另一个DLCI发送到C。 示例 下列命令允许同一接口的快速交换: ip route-cache same-interface 下列命令禁止快速交换,包括同一接口的快速交换: no ip route-cache 下列命令只禁止同一接口的快速交换: no ip route-cache same-interface 下列命令使系统回到缺省配置(允许快速交换,禁止同一接口的快速交换): ip route-cache 相关命令 show ip cache 5.1.15 ip source-route 允许路由器处理带IP源路由选项的IP报文。如果要求路由器丢弃任何带IP源路由选项 的IP报文,使用no ip source-route命令。 ip source-route no ip source-route 参数 该命令没有参数或关键字。 缺省 处理带IP源路由选项的IP报文。 - 85 - 04-网络协议配置命令 命令模式 全局配置态 示例 下列命令要求处理带IP源路由选项的IP报文: ip source-route 相关命令 ping 5.1.16 ip tcp synwait-time 设置路由器等待TCP连接成功的超时时间。如果要回到缺省时间,使用no ip tcp synwait-time命令。 ip tcp synwait-time seconds no ip tcp synwait-time 参数 参数 参数说明 seconds 以秒为单位的TCP连接等待时间。有效取值在5 ~ 300秒之间。缺省是75秒。 缺省 75秒 命令模式 全局配置态 使用说明 当路由器发起TCP连接时,如果在TCP连接等待时间之后连接仍没有建立成功,则路 由器认为连接失败,并把这一结果返回给上层应用程序。用户可以设置TCP等待连接建 立成功的时间,缺省是75秒。这个选项与经过路由器转发的TCP连接报文无关,而只 与路由器本机的TCP连接有关。 如果要知道当前值,使用命令ip tcp synwait-time ?,在方括号[]中的值就是当前值。 - 86 - 04-网络协议配置命令 示例 下面的例子把TCP连接等待时间设为30秒: Router_config#ip tcp synwait-time 30 Router_config#ip tcp synwait-time ? <5-300>[30] seconds -- wait time 5.1.17 ip tcp window-size 设置TCP窗口尺寸。 如果要回到缺省值,使用no ip tcp window-size命令。 ip tcp window-size bytes no ip tcp window-size 参数 参数 参数说明 bytes 以字节为单位的窗口尺寸。最大是65535字节。缺省是2000字节。 缺省 2000字节 命令模式 全局配置态 使用说明 除非明确知道为什么要改变缺省值,否则不要轻易改变。如果要知道当前值,使用命令 ip tcp window-size ?,在方括号[]中的值就是当前值。 示例 下面的例子把TCP窗口尺寸设为6000字节: Router_config#ip tcp window-size 6000 Router_config#ip tcp window-size ? <1-65535>[6000] bytes -- Window size 5.1.18 ip unreachables 设置路由器发出ICMP不可到达报文。如果要求路由器停止发送,使用no ip unreachables 命令。 - 87 - 04-网络协议配置命令 ip unreachable no ip unreachable 参数 该命令没有参数或者关键字。 缺省 发送ICMP unreachable报文。 命令模式 接口配置态 使用说明 路由器在转发IP报文的时候,可能发现路由表中没有相关路由,导致报文被丢弃,这时, 路由器可以向源主机发出ICMP不可到达报文,通知源主机这一情况,以便源主机及时 发现错误,并进行更正。 示例 下面的例子设置在接口ethernet 1/0上发送ICMP不可到达报文: interface ethernet 1/0 ip unreachables 5.1.19 show ip cache 显示用于IP快速交换的路由缓存。 show ip cache [prefix mask] [type number] 参数 参数 参数说明 prefix mask (可选)只显示表项的目的地址和用户所键入指定的前缀/掩码相匹配的表 项。 type number (可选)只显示表项的发送接口和用户所键入指定的接口类型/编号相匹配的 表项。 rsvp (可选)只显示与RSVP相关的表项,说明此表项RSVP正在使用。 - 88 - 04-网络协议配置命令 命令模式 管理态 示例 下面的例子显示路由缓存: Router#show ip cache Source Destination Interface Next Hop 192.168.20.125 2.0.0.124 Serial1/0 2.0.0.124 192.168.20.124 192.168.30.124 Serial1/0 2.0.0.124 2.0.0.124 192.168.20.125 Ethernet1/1 192.168.20.125 域 描述 Source 源地址。 Destination 目的地址。 Interface 发送接口的类型和编号。 Next Hop 网关地址。 下面的例子显示目的地址和指定前缀/掩码匹配的路由缓存: Router#show ip cache 192.168.20.0 255.255.255.0 Source Destination Interface Next Hop 2.0.0.124 192.168.20.125 Ethernet0/1 192.168.20.125 下面的例子显示发送接口和指定的接口类型/掩码匹配的路由缓存: Router#show ip cache s1/0 Source Destination Interface Next Hop 192.168.20.125 2.0.0.124 Serial1/0 2.0.0.124 192.168.20.124 192.168.30.124 Serial1/0 2.0.0.124 5.1.20 show ip irdp 显示irdp protocl信息。 参数 该命令没有参数或者关键字。 命令模式 管理态 - 89 - 04-网络协议配置命令 示例 xuhao_config_e1/0# show ip irdp Async0/0 ICMP router discovery protocol(IRDP) : OFF Ethernet1/0 ICMP router discovery protocol(IRDP) : ON Advertisements occur between every 450 and 600 seconds Advertisements are sent as broadcasts Advertisements valid in 1800 seconds Default preference : 0 Ethernet1/1 ICMP router discovery protocol(IRDP) : OFF Null0 ICMP router discovery protocol(IRDP) : OFF Loopback7 ICMP router discovery protocol(IRDP) : OFF Loopback10 ICMP router discovery protocol(IRDP) : OFF 5.1.21 show ip sockets 显示socket信息。 show ip sockets 参数 该命令没有参数或者关键字。 命令模式 管理态 示例 Router#show ip sockets Proto Local Port Remote Port In Out 17 0.0.0.0 0 0.0.0.0 0 161 0 6 0.0.0.0 0 0.0.0.0 0 513 0 17 0.0.0.0 0 0.0.0.0 0 1698 0 17 0.0.0.0 0 0.0.0.0 0 69 0 6 0.0.0.0 0 0.0.0.0 0 23 0 17 0.0.0.0 0 0.0.0.0 0 137 122590 - 90 - 04-网络协议配置命令 域 描述 Proto(协议) IP协议号。17是UDP,6是TCP。 Remote(远端) 远端地址。 Port(端口) 远端端口。 Local(本地) 本地地址。 Port(端口) 本地端口。 In(接收) 接收字节总数。 Out(发送) 发送字节总数。 5.1.22 show ip traffic 显示IP流量统计信息。 show ip traffic 参数 该命令没有参数或者关键字。 命令模式 管理态 示例 Router#show ip traffic IP statistics: Rcvd: 0 total, 0 local destination, 0 delivered 0 format errors, 0 checksum errors, 0 bad ttl count 0 bad destination address, 0 unknown protocol, 0 discarded 0 filtered , 0 bad options, 0 with options Opts: 0 loose source route, 0 record route, 0 strict source route 0 timestamp, 0 router alert, 0 others Frags: 0 fragments, 0 reassembled, 0 dropped 0 fragmented, 0 fragments, 0 couldn't fragment Bcast: 0 received, 0 sent Mcast: 0 received, 0 sent Sent: 230 generated, 0 forwarded 0 filtered, 0 no route, 0 discarded ICMP statistics: Rcvd: 0 total, 0 format errors, 0 checksum errors 0 redirect, 0 unreachable, 0 source quench - 91 - 04-网络协议配置命令 0 echos, 0 echo replies, 0 mask requests, 0 mask replies 0 parameter problem, 0 timestamps, 0 timestamp replies 0 time exceeded, 0 router solicitations, 0 router advertisements Sent: 0 total, 0 errors 0 redirects, 0 unreachable, 0 source quench 0 echos, 0 echo replies, 0 mask requests, 0 mask replies 0 parameter problem, 0 timestamps, 0 timestamp replies 0 time exceeded, 0 router solicitations, 0 router advertisements UDP statistics: Rcvd: 28 total, 0 checksum errors, 22 no port, 0 full sock Sent: 0 total TCP statistics: Rcvd: 0 total, 0 checksum errors, 0 no port Sent: 3 total IGMP statistics: Rcvd: 0 total, 0 format errors, 0 checksum errors 0 host queries, 0 host reports Sent: 0 host reports ARP statistics: Rcvd: 8 total, 7 requests, 1 replies, 0 reverse, 0 other Sent: 5 total, 5 requests, 0 replies (0 proxy), 0 reverse 域 描述 format errors(格式 错误) 报文格式错误,例如IP报头长度错误 bad hop count(TTL 错误) 路由器在转发报文时,发现报文的TTL值被减到0。报文将被丢弃。 no route(没有路由) 路由器没有相应路由的报文。 5.1.23 show tcp 显示所有TCP连接的状态信息。 show tcp 参数 该命令没有参数或者关键字。 - 92 - 04-网络协议配置命令 命令模式 管理态 示例 Router#show tcp TCB 0xE9ADC8 Connection state is ESTABLISHED, unread input bytes: 934 Local host: 192.168.20.22, Local port: 1023 Foreign host: 192.168.20.124, Foreign port: 513 Enqueued bytes for transmit: 0, input: 934 mis-ordered: 0 (0 packets) Timer Starts Wakeups Next(ms) Retrans 33 1 0 TimeWait 0 0 0 SendWnd 0 0 0 KeepAlive 102 0 7199500 iss: 29139463 snduna: 29139525 sndnxt: 29139525 sndwnd: 17520 irs: 709124039 rcvnxt: 709205436 rcvwnd: 4380 SRTT: 15 ms, RXT: 2500 ms, RTV: 687 ms minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms Datagrams (max data segment is 1460 bytes): Rcvd: 102 (out of order: 0), with data: 92, total data bytes: 81396 Sent: 104 (retransmit: 0), with data: 31, total data bytes: 61 域 描述 TCB 0xE77FC8 TCP连接控制块的内部标识。 Connection state is ESTABLISHED TCP连接当前状态。TCP连接可能处于下列任一状态: LISTEN---等待来自任意远端主机TCP连接请求。 SYN_SENT---发出连接请求后,等待对方的应答。 SYN_RCVD---收到对方的连接请求并发出确认,也发出了自己的连接请求, 正在等待对方的连接请求确认。 ESTABLISHED---表示连接建立成功,处于数据传送阶段,可以收发上层应 用的数据。 FIN_WAIT_1---已经向对方发出连接终止请求,等待对方的确认,以及对方 的连接终止请求。 - 93 - 04-网络协议配置命令 FIN_WAIT_2---已经向对方发出连接终止请求,并收到对方的确认,正在等 待对方的连接终止请求。 CLOSE_WAIT---收到对方的连接终止请求,发出确认,正在等待本地用户关 闭连接,一旦用户要求关闭连接,系统将发出连接终止请求。 CLOSING---已经向对方发出连接终止请求,也收到对方的连接终止请求并 发出确认,正在等待对方对本地连接终止请求的确认。 LAST_ACK---已经收到对方的连接终止请求并确认,发出连接终止请求,正 在等待确认。 TIME_WAIT---正在等待足够的时间以确定对方收到了本地对它的连接终止 请求的确认 CLOSED---表示完全没有连接或者连接已经完全关闭 如果要了解更为详细的信息,请参阅RFC 793,TRANSMISSION CONTROL PROTOCOL。 unread input bytes: 经下层TCP处理后可以提交给上层应用,但是上层应用还没有接收的数据。 Local host: 本地IP地址。 Local port: 本地TCP端口。 Foreign host: 远端IP地址。 Foreign port: 远端TCP端口。 Enqueued bytes for transmit: 发送队列中的字节数,包括已经发送但还没有被对方确认的数据和还没有发 送的数据。 input: 接收队列中的字节数,这些数据经过排序后等待被上层应用接收。 mis-ordered: 错序队列中的字节数和报文数,这些数据必须等待其它的一些数据收到后, 才能顺序进入接收队列被上层应用接收。例如,收到报文1,2,4,5和6, 报文1和2可以进入接收队列,但是4,5和6只能进入错序队列等待报文3的到 达。 接着显示当前连接的定时器使用情况,包括定时器启动的次数,定时器超时的次数和定 时器距离下次超时的时间(0表示定时器当前不再运行)。每个连接都使用独立的定时器。 定时器的超时次数一般小于定时器的启动次数,因为定时器在运行过程中有可能被重置。 例如,重发定时器运行时系统收到对方对所有发送数据的确认,重发定时器将停止运行。 Timer Starts Wakeups Next(ms) Retrans 33 1 0 TimeWait 0 0 0 SendWnd 0 0 0 KeepAlive 102 0 7199500 域 描述 Timer 定时器名称。 Starts 定时器的启动次数。 - 94 - 04-网络协议配置命令 Wakeups 定时器的超时次数。 Next(ms) 定时器距离下次超时的时间(以毫秒为单位),0表示定时器不在运行。 Retrans 重发定时器,用于触发数据重发。定时器在发送数据后被启动,如果超时时 间内数据未被对方确认,则重发数据。 TimeWait 时间等待定时器,用于确保对方收到连接终止请求确认。 SendWnd 发送窗口定时器,用于确保发送窗口在TCP确认丢失的情况下恢复到正常大 小。 KeepAlive 保持活动定时器,用于确保通信链路正常和对方仍旧处于连接状态。它将触 发测试报文的发送,以检测通信链路状态和对方状态。 接着显示TCP连接使用的序列号。TCP使用序列号来保证可靠有序的数据传输。本地和 远端主机还根据序列号来进行流量控制和发送确认。 iss: 29139463 snduna: 29139525 sndnxt: 29139525 sndwnd: 17520 irs: 709124039 rcvnxt: 709205436 rcvwnd: 4380 域 描述 iss: 初始发送序列号。 snduna: 已经发送但是还没有收到对方确认的数据的第一个字节的发送序列号。 sndnxt: 以后发送的数据的第一个字节的发送序列号。 sndwnd: 远端主机的TCP窗口尺寸。 irs: 初始接收序列号,也就是远端主机的初始发送序列号。 rcvnxt: 最近确认的接收序列号。 rcvwnd: 本地主机的TCP窗口尺寸。 接着显示本地主机记录的发送时间,系统可以根据这些数据调整系统以适应不同的网络。 SRTT: 15 ms, RXT: 2500 ms, RTV: 687 ms minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms 域 描述 SRTT: 平滑处理后的往返时间。 RXT: 重传超时时间。 RTV: 往返时间的变化值。 MinRXT: 允许的最小重传超时。 MaxRXT: 允许的最大重传超时。 ACK hold: 延迟确认以便和数据一起发送的最大延迟时间。 Datagrams (max data segment is 1460 bytes): Rcvd: 102 (out of order: 0), with data: 92, total data bytes: 81396 Sent: 104 (retransmit: 0), with data: 31, total data bytes: 61 域 描述 - 95 - 04-网络协议配置命令 max data segment is 该连接允许的最大数据段长度。 Rcvd: 本地主机在这个连接过程中收到的报文数,以及其中错序的报文数。 with data: 包含有效数据的报文数。 total data bytes: 报文中包含的数据字节数。 Sent: 本地主机在这个连接过程中发送的报文总数,以及重发的报文数。 with data: 包含有效数据的报文数。 total data bytes: 报文中包含的数据字节数。 相关命令 show tcp brief show tcp tcb 5.1.24 show tcp brief 显示TCP连接的简要信息。 show tcp brief [all] 参数 参数 参数说明 all (可选)显示所有端口。如果不输入这个关键字,系统不显示处于LISTEN 状态的端口。 命令模式 管理态 示例 Router#show tcp brief TCB Local Address Foreign Address State 0xE9ADC8 192.168.20.22:1023 192.168.20.124:513 ESTABLISHED 0xEA34C8 192.168.20.22:23 192.168.20.125:1472 ESTABLISHED 域 描述 TCB TCP连接的内部标识。 Local Address 本地IP地址和TCP端口。 Foreign Address 远端IP地址和TCP端口。 - 96 - 04-网络协议配置命令 State 连接状态。详细说明参见show tcp命令。 相关命令 show tcp show tcp tcb 5.1.25 show tcp statistics 显示TCP统计数据。 show tcp statistics 参数 该命令没有参数或者关键字。 命令模式 管理态 示例 Router#show tcp statistics Rcvd: 148 Total, 0 no port 0 checksum error, 0 bad offset, 0 too short 131 packets (6974 bytes) in sequence 0 dup packets (0 bytes) 0 partially dup packets (0 bytes) 0 out-of-order packets (0 bytes) 0 packets (0 bytes) with data after window 0 packets after close 0 window probe packets, 0 window update packets 0 dup ack packets, 0 ack packets with unsend data 127 ack packets (247 bytes) Sent: 239 Total, 0 urgent packets 6 control packets 123 data packets (245 bytes) 0 data packets (0 bytes) retransmitted 110 ack only packets (101 delayed) 0 window probe packets, 0 window update packets 4 Connections initiated, 0 connections accepted, 2 connections established 3 Connections closed (including 0 dropped, 1 embryonic dropped) 5 Total rxmt timeout, 0 connections dropped in rxmt timeout 1 Keepalive timeout, 0 keepalive probe, 1 Connections dropped in keepalive - 97 - 04-网络协议配置命令 域 描述 Rcvd: 关于路由器收到报文的统计数据。 Total 收到报文总数。 no port 收到报文中目的端口不存在的报文数。 checksum error 收到报文中校验和错误的报文数。 bad offset 收到报文中数据偏移量错误的报文数。 too short 收到报文中长度小于最小有效长度的报文数。 packets in sequence 按序收到的数据报文数。 dup packets 收到的重复报文数。 partially dup packets 收到的部分重复的报文数。 out-of-order packets 不是按顺序收到的报文数。 packets with data after window 收到的报文中数据超出路由器的接收窗口的报文 数。 packets after close 连接关闭后收到的报文数。 window probe packets 收到的窗口探测报文数。 window update packets 收到的窗口更新报文数。 dup ack packets 收到的重复确认报文数。 ack packets with unsent data 收到的确认未发送数据的报文数。 ack packets 收到的确认报文数。 Sent 关于路由器发出报文的统计数据。 Total 发出报文总数。 urgent packets 发出的紧急报文数。 control packets 发出的控制(SYN、FIN或RST)报文数。 data packets 发出的数据报文数。 data packets retransmitted 重发的数据报文数。 ack only packets 发出的纯确认报文数。 window probe packets 发出的窗口探测报文数。 window update packets 发出的窗口更新报文数。 Connections initiated 本地发起的连接数。 connections accepted 本地接受的连接数。 connections established 本地建立连接数。 Connections closed 本地关闭连接数。 - 98 - 04-网络协议配置命令 Total rxmt timeout 重发超时总数。 Connections dropped in rxmit timeout 重发超时导致的连接断开数。 Keepalive timeout Keepalive超时数。 keepalive probe 发出的Keepalive探测报文数。 Connections dropped in keepalive 由于Keepalive被断开的连接数。 相关命令 clear tcp statistics 5.1.26 show tcp tcb 显示某个TCP连接的状态信息。 show tcp tcb address 参数 参数 参数说明 address 要显示的TCP连接的传输控制块(TCB)地址。TCB是系统内部对TCP连接的 标识,可以用命令show tcp brief得到。 命令模式 管理态 示例 下列显示的具体说明参见show tcp命令。 Router_config#show tcp tcb 0xea38c8 TCB 0xEA38C8 Connection state is ESTABLISHED, unread input bytes: 0 Local host: 192.168.20.22, Local port: 23 Foreign host: 192.168.20.125, Foreign port: 1583 Enqueued bytes for transmit: 0, input: 0 mis-ordered: 0 (0 packets) Timer Starts Wakeups Next(ms) Retrans 4 0 0 TimeWait 0 0 0 SendWnd 0 0 0 KeepAlive +5 0 6633000 - 99 - 04-网络协议配置命令 iss: 10431492 snduna: 10431573 sndnxt: 10431573 sndwnd: 17440 irs: 915717885 rcvnxt: 915717889 rcvwnd: 4380 SRTT: 2812 ms, RXT: 18500 ms, RTV: 4000 ms minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms Datagrams (max data segment is 1460 bytes): Rcvd: 5 (out of order: 0), with data: 1, total data bytes: 3 Sent: 4 (retransmit: 0), with data: 3, total data bytes: 80 相关命令 show tcp show tcp brief 5.2 访问列表配置命令 访问列表配置命令包括: null deny null ip access-group null ip access-list null permit null show ip access-list 5.2.1 deny 在IP访问列表配置模式中可使用此命令配置禁止规则,要从IP访问列表中删除deny规 则,在命令前加no前缀。 deny source [source-mask] [log] no deny source [source-mask] [log] deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log] no deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log] 对于互联网控制报文协议(ICMP),也可以使用以下句法: deny icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log] - 100 - 04-网络协议配置命令 对于Internet 组管理协议(IGMP),可以使用以下句法: deny igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log] 对于TCP,可以使用以下句法: deny tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log] 对于数据报协议(UDP),可以使用以下句法: deny udp source source-mask [operator port] destination destination-mask [operator port] [precedence precedence] [tos tos] [log] 参数 参数 参数说明 protocol 协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或 udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议 (包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定,如下描 述。 source 源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十进 制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 source-mask 源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 destination 目标网络或主机号。有两种方法指定: 使用四个点隔开的十进制数表示的32位二进制数。 使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。 destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和目标地 址掩码缩写。 precedence precedence (可选)包可以由优先级过滤,用0到7的数字指定。 tos tos (可选) 数据包可以使用服务层过滤。使用数字0-15指定。 icmp-type (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。 igmp-type (可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。 operator (可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),neq(不 等于)。如果操作符放在source和source-mask之后,那么它必须匹配这个源 端口。如果操作符放在destination和destination-mask之后,那么它必须匹配 目标端口。 port (可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数 - 101 - 04-网络协议配置命令 字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端 口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用 TCP端口名。当过滤UDP时, 只可使用UDP端口名。 established (可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST 位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连接。 log (可选)可以进行日志记录。 命令模式 IP访问列表配置态 使用说明 可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新 的内容。在匹配发生以后停止检查扩展的访问表。分段IP包,而不是初始段,立即由任 何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新 的内容,不必匹配TCP源端口、服务值的类型或包的优先权。 注意: 在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。 以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关 参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。 null bgp null ftp null ftp-data null login null pop2 null pop3 null smtp null telnet null www 以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些协议的有关 参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。 null domain null snmp null syslog - 102 - 04-网络协议配置命令 null tftp 示例 下面示例禁止192.168.5.0这个网段: ip access-list standard filter deny 192.168.5.0 255.255.255.0 注意: IP访问表由一个隐含的deny规则结束。 相关命令 ip access-group ip access-list permit show ip access-list 5.2.2 ip access-group 为了控制访问一个接口,使用ip access-group接口配置命令。为了删除这个指定的访问组, 使用no格式命令。 ip access-group {access-list-name}{in | out} no ip access-group {access-list-name}{in | out} 参数 参数 参数说明 access-list-name 访问表名。这是一个最长为20个字符的字符串。 in 在进接口时使用访问列表。 out 在出接口时使用访问列表。 命令模式 接口配置态 使用说明 访问列表既可用在出接口也可用在入接口。对于标准的入口访问列表,在接收到包之后, 对照访问列表检查包的源地址。对于扩展的访问列表,该路由器也检查目标地址。如果 - 103 - 04-网络协议配置命令 访问表允许该地址,那么软件继续处理该包。如果访问表不允许该地址,该软件放弃包 并返回一个ICMP主机不可到达报文。 对于标准的出口访问表,在接收和路由一个包到控制接口以后,软件对照访问列表检查包 的源地址。对于扩展的访问表,路由器还检查接收端访问表。如果访问表允许该软件就 传送这个包。如果访问列表不允许该地址,软件放弃这个包并返回一个ICMP主机不可 达报文。 如果指定的访问列表不存在,所有的包允许通过。 示例 下例在以太网接口0的包出口上应用列表filter: interface ethernet 0 ip access-group filter out 相关命令 ip access-list show ip access-list 5.2.3 ip access-list 使用此命令后,进入的IP访问列表配置模式。在这状态下可以增加和删除访问规则。命 令exit返回配置状态。 使用no前缀,删除IP访问列表。 ip access-list {standard | extended} name no ip access-list {standard | extended} name 参数 参数 参数说明 standard 指定为标准访问列表 extended 指定为扩展访问列表 name 访问表名。这是一个最长20的字符串。 缺省 没有IP访问列表被定义。 - 104 - 04-网络协议配置命令 命令模式 全局配置态 使用说明 使用此命令将进入IP访问列表配置模式,在IP访问列表配置模式中,可以用deny或 permit命令来配置访问规则。 示例 以下的例子配置一个标准访问列表 ip access-list standard filter deny 192.168.1.0 255.255.255.0 permit any 相关命令 deny ip access-group permit show ip access-list 5.2.4 permit 在IP访问列表配置模式中可使用此命令配置允许规则,要从IP访问列表中删除permit 规则,在命令前加no前缀。 permit source [source-mask] [log] no permit source [source-mask] [log] permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log] no permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log] 对于互联网控制报文协议(ICMP),也可以使用以下句法: permit icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log] 对于Internet 组管理协议(IGMP),可以使用以下句法: - 105 - 04-网络协议配置命令 permit igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log] 对于TCP,可以使用以下句法: permit tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log] 对于数据报协议(UDP),可以使用以下句法: permit udp source source-mask [operator port [port]] destination destination-mask [operator port] [precedence precedence] [tos tos] [log] 参数 参数 参数说明 protocol 协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或 udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议 (包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定,如下描 述。 source 源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十进 制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 source-mask 源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 destination 目标网络或主机号。有两种方法指定: 使用四个点隔开的十进制数表示的32位二进制数。 使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。 destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和目标地 址掩码缩写。 precedence precedence (可选)包可以由优先级过滤,用0到7的数字指定。 tos tos (可选) 数据包可以使用服务层过滤。使用数字0-15指定。 icmp-type (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。 igmp-type (可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。 operator (可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),neq(不 等于)。如果操作符放在source和source-mask之后,那么它必须匹配这个源 端口。如果操作符放在destination和destination-mask之后,那么它必须匹配 目标端口。 port (可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数 字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端 口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用 TCP端口名。当过滤UDP时, 只可使用UDP端口名。 - 106 - 04-网络协议配置命令 established (可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST 位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连接。 log (可选)可以进行日志记录。 命令模式 IP访问列表配置态 使用说明 可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新 的内容。在匹配发生以后停止检查扩展的访问表。 分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访 问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包 的优先权。 注意: 在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。 以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关 参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。 null bgp null ftp null ftp-data null login null pop2 null pop3 null smtp null telnet null www 以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些协议的有关 参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。 null domain null snmp null syslog - 107 - 04-网络协议配置命令 null tftp 示例 下面示例允许192.168.5.0这个网段: ip access-list standard filter permit 192.168.5.0 255.255.255.0 注意: IP访问表由一个隐含的deny规则结束。 相关命令 deny ip access-group ip access-list show ip access-list 5.2.5 show ip access-list 要显示当前的IP访问列表内容,使用show ip access-list命令。 show ip access-list[access-list-name] 参数 参数 参数说明 access-list-name 访问表名。这是一个最长20的字符串。 缺省 显示所有标准的和扩展的IP访问列表。 命令模式 管理态 使用说明 show ip access-list命令允许你指定一个特定的访问列表。 - 108 - 04-网络协议配置命令 - 109 - 示例 以下是不指定名时show ip access-list 命令的示例输出: Router# show ip access-list ip access-list standard aaa permit 192.2.2.1 permit 192.3.3.0 255.255.255.0 ip access-list extended bbb permit tcp any any eq www permit ip any any 以下是指定访问表名时, show ip access-list命令的示例输出: ip access-list extended bbb permit tcp any any eq www permit ip any any