第1章 IP尋址配置命令
1.1 IP尋址配置命令
IP尋址配置命令包括:
l arp
l arp timeout
l clear arp-cache
l ip address
l ip directed-broadcast
l ip forward-protocol udp
l ip helper-address
l ip host
l ip proxy-arp
l ip unnumbered
l keepalive
l show arp
l show hosts
l show ip interface
1.1.1 arp
配置靜態ARP映射,靜態ARP映射會永久保留在ARP緩存中。如果要刪除配置的靜態ARP映射的話,使用 no arp 命令。
arp [vrf vrf-name] ip-address hardware-address [alias]
no arp [vrf vrf-name] ip-address
參數
參數 | 參數說明 |
---|---|
Vrf-name | (支持VRF的版本可選)VRF名稱。 |
ip-address | 本地數據鏈路接口的IP地址。 |
hardware-address | 本地數據鏈路接口的物理地址。 |
alias | (可選)路由器回答對這一IP地址的ARP請求,就象是本身擁有這個IP地址。 |
缺省
ARP緩存中不存在永久的靜態ARP映射。
命令模式
全局配置態
使用說明
一般的主機都可以支持動態ARP解析,所以一般不需要用戶特地爲主機配置靜態ARP映射。VRF子命令指明該arp表項屬於哪個VRF。
示例
下面的這條命令配置IP地址爲1.1.1.1的主機的MAC地址爲00:12:34:56:78:90。
arp 1.1.1.1 00:12:34:56:78:90
相關命令
clear arp-cache
1.1.2 arp timeout
配置ARP緩存中動態ARP表項的存在時間。如果要恢復到缺省值的話,使用 no arp timeout 或default arp timeout命令。
arp timeout seconds
no arp timeout
default arp timeout
參數
參數 | 參數說明 |
---|---|
seconds | ARP緩存中動態ARP表項的存在時間(秒)。0 表示在這個接口動態解析得到的ARP緩存不會被超時釋放。 |
缺省
180 秒 (3分鐘)
命令模式
接口配置態
使用說明
如果在不使用ARP的接口上進行配置,則配置無效。show interface命令將顯示在這個接口上配置的ARP表項超時時間,顯示如下:
ARP type: ARPA, ARP timeout 00:03:00
示例
下面這條命令在接口Ethernet 1/0上配置動態ARP映射的生存時間是900秒,以便使ARP緩存更快地刷新。
!
interface ethernet 1/0
arp timeout 900
!
相關命令
show interface
1.1.3 clear arp-cache
清除所有動態ARP緩存。
clear arp-cache
參數
命令沒有參數或關鍵字。
命令模式
管理態
示例
下面的命令清除所有的動態ARP緩存。
clear arp-cache
相關命令
arp
1.1.4 ip address
配置接口IP地址,同時設置網絡掩碼。目前已經不再嚴格區分A,B,C類IP地址,但是,不能使用多播地址和廣播地址(主機部分全“1”)。除了以太網,其它類型的多個接口可以在同一個網段上。但是,以太網接口所配置的網段不能和其它任意類型的接口相同,除了無編號接口。一個接口上一般都可以配置一個主地址和無限多個從屬地址。從屬地址只能在配置了主地址後纔可以配置,從屬地址全部刪除之後纔可以刪除主地址。系統本身生成的IP報文,如果上層應用沒有指定源地址,路由器將使用發出接口上配置的與網關在同一網段上的IP地址作爲報文的源地址,如果不能確定這個IP地址(例如接口路由),則採用發出接口的主地址。如果一個接口沒有配置IP地址,而且也不是無編號接口(unnumbered 接口),則這個接口不處理IP報文。
如果要刪除IP地址,或者停止某個接口對IP報文的處理,可以使用no ip address命令清除接口上的某個或所有IP地址。
ip address ip-address mask [secondary]
no ip address ip-address mask
no ip address
參數
參數 | 參數說明 |
---|---|
ip-address | IP 地址。 |
mask | IP 網絡掩碼。 |
secondary | (可選) 指明配置的是IP從屬地址,如果沒有指明,則配置的是IP主地址。 |
缺省
接口上不配置任何IP地址。
命令模式
接口配置態
使用說明
如果路由器在某個物理網段上配置了從屬IP地址,其它同一物理網段上的系統也必須配置相同邏輯網段的從屬地址,否則容易很快就引起路由循環。
當使用OSPF協議時,要確保一個接口上的從屬地址和它的主地址在同一個OSPF area中。
示例
下列命令在ethernet1/0接口上配置主地址202.0.0.1,網絡掩碼255.255.255.0,另外配置了兩個IP從屬地址203.0.0.1和204.0.0.1。
interface ethernet1/0
ip address 202.0.0.1 255.255.255.0
ip address 203.0.0.1 255.255.255.0 secondary
ip address 204.0.0.1 255.255.255.0 secondary
1.1.5 ip directed-broadcast
轉發IP定向廣播,並將報文以物理廣播的形式發送。
ip directed-broadcast [access-list-namer]
no ip directed-broadcast
參數
參數 | 參數說明 |
---|---|
access-list-name | (可選)訪問表名稱。如果定義了訪問表,只有訪問表允許的廣播報文被轉發。 |
缺省
缺省情況下,不轉發IP定向廣播。
命令模式
接口配置態
示例
下面的例子在接口ethernet1/0上配置轉發IP定向廣播。
!
interface ethernet 1/0
ip directed-broadcast
!
1.1.6 ip forward-protocol udp
當接口上配置了ip helper-address後,用於指定對哪些 UDP 協議有限廣播報文進行轉發。
ip forward-protocol udp [port]
no ip forward-protocol udp [port]
default ip forward-protocol udp
參數
參數 | 參數說明 |
---|---|
port | (可選)需要被轉發的UDP報文的目的端口。 |
缺省
轉發NETBIOS名字服務(Name Service)報文。
命令模式
全局配置態
使用說明
目前缺省轉發NETBIOS名字服務報文,如果要求不轉發NETBIOS名字服務報文,可以使用下列任一命令:
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp 137
使用下面的命令停止轉發所有UDP有限廣播報文:
no ip forward-protocol udp
示例
Router_config#ip forward-protocol udp 137
相關命令
ip helper-address
1.1.7 ip helper-address
將IP定向廣播報文轉發到命令指定的IP幫助地址,可以是單目或者是廣播地址。每個接口可以配置多個幫助地址。ip helper-address address
no ip helper-address [address]
參數
參數 | 參數說明 |
---|---|
address | IP 幫助地址。 |
缺省
未配置IP幫助地址。
命令模式
接口配置態
使用說明
該命令在X.25接口上不起作用,因爲路由器不能辨別出物理廣播。
示例
下面的命令在接口ethernet1/0上配置IP幫助地址1.0.0.1。
!
interface ethernet 1/0
ip helper-address 1.0.0.1
!
相關命令
ip forward-protocol udp
1.1.8 ip host
定義靜態主機名稱—地址映射。如果要刪除主機名稱—地址映射,使用no ip host命令。
ip host name address
no ip host name
參數
參數 | 參數說明 |
---|---|
name | 主機名稱。 |
Address | IP地址。 |
缺省
沒有配置任何映射。
命令模式
全局配置態
示例
下面的例子配置IP地址爲202.96.1.3的主機名稱是dns-server。
ip host dns-server 202.96.1.3
1.1.9 ip proxy-arp
在接口上進行代理ARP。如果要關閉這項功能,使用no ip proxy arp命令。
ip proxy-arp
no ip proxy-arp
參數
命令沒有參數或關鍵字。
缺省
進行代理ARP。
命令模式
接口配置態
使用說明
當路由器收到ARP請求時,如果路由器有到被請求IP地址的路由,且路由接口和收到請求的接口不同,路由器將以自己的MAC地址發出ARP響應,然後,在收到實際數據報文時,進行轉發。這樣,即使一臺主機不完全瞭解網絡的拓撲結構,或者沒有配置準確的路由,也能和遠端通信。對它來說,遠端主機就和它直接連接在同一個物理子網中。
如果主機需要路由器提供這項服務,它和路由器必須在同一個IP網絡中,或者,至少它的IP地址必須能夠使路由器認爲它們在同一個IP子網中,也就是說,可以使用不同的掩碼。否則,路由器將不提供這項服務。
示例
下面的例子在接口ethernet1/0上打開代理ARP功能:
!
interface ethernet 1/0
ip proxy-arp
!
1.1.10 ip unnumbered
配置一個接口爲無編號接口,可以不配置IP地址就開啓IP處理功能。要停止這個接口上的IP處理,使用no ip unnumbered命令。
ip unnumbered type number
no ip unnumbered
參數
參數 | 參數說明 |
---|---|
type number | 另一個配置了IP地址的接口的類型和編號。這個接口不可以是使用其它接口IP地址的無編號接口。 |
缺省
不啓動這項功能。
命令模式
接口配置態
使用說明
對於點到點鏈路接口來說,可以不配置獨有的IP地址,而是使用這條命令在這個接口上啓動IP處理,並指定借用其它接口上的有效IP地址作爲這個接口發出報文的源地址,以便節省IP地址。這樣的點到點接口稱爲無編號(unnumbered)接口。無編號接口上生成的IP報文,例如路由更新報文,將使用命令中指定的接口上配置的有效IP地址。它還用這一地址確定哪些路由進程在該接口上發送更新報文。但是,有下列限制:
(1) 使用HDLC,PPP, LAPB,SLIP和幀中繼封裝的串行接口和隧道接口可以使用該條命令配置成無編號接口。但是,X.25和SMDS接口不能使用這條命令。
(2) 無法通過ping命令檢測這個接口是否正常工作。可以使用SNMP遠程檢測這個接口的狀態。
這條命令根據RFC 1195中關於接口可以不配置有效IP地址的規定實現。
在不同的主網之間的使用其它接口IP地址的串行鏈路,必須小心對待:任何運行在這條鏈路上的路由協議不能廣播任何有關各自子網的信息。
示例
下面的命令將接口serial0/0配置成無編號接口,使用接口ethernet0/1上配置的有效IP地址1.0.0.1作爲這個接口上發出報文的源地址:
!
interface ethernet 0/1
ip address 1.0.0.1 255.255.255.0
!
interface serial 0/0
ip unnumbered ethernet 1/0
!
1.1.11 keepalive
測試主機的可到達性和網絡的連通性。通過發送ICMP迴應請求報文給對方,但不等待對方的ICMP迴應應答報文。
keepalive [ group group-id ] [ source source-address ] [interval interval-time] [number number] destination destination-address
參數
參數 | 參數說明 |
---|---|
group group-id | 可以配置多條 keepalive 命令,命令之間以group-id區分。缺省:0 |
source source-address | 設置報文采用的源IP地址。 缺省:發送接口的主IP地址。 |
interval interval-time | 每次報文發送之間的間隔,以秒爲單位。缺省:1秒 |
number number | 每次報文發送的個數。缺省:5。 |
destination destination-address | 目的主機。 |
命令模式
管理態和全局配置態
使用說明
keepalive 命令支持廣播地址和多播地址。如果是有限廣播(255.255.255.255)或者是多播地址,將在所有支持廣播或者是多播的可用接口上發送ICMP迴應請求報文。
該命令不等待ICMP報文的應答,它只是定時向目的地址發送指定數目的ICMP報文。
示例
以下配置了兩條keepalive 命令。
配置每 10 秒鐘以源地址192.168.20.230 向目的地址 192.168.20.1 發送 10 個 ICMP request 報文。報文的發送端口由目的地址 192.168.20.1 和路由協議共同決定。
keepalive group 1 destination 192.168.20.1 source 192.168.20.230 interval 10 number 10
配置每 1 秒鐘(默認值)以源地址172.16.20.232 向目的地址 172.16.20.5 發送 5個(默認值) ICMP request 報文。報文的發送端口由目的地址 172.16.20.2 和路由協議共同決定。
keepalive group 2 destination 172.16.20.2 source 172.16.20.232
1.1.12 show arp
顯示所有ARP表項,包括接口IP地址的ARP映射,用戶配置的靜態ARP映射,動態ARP映射。者爲恐的are Address wu。
show arp [vrf vrf-name]
參數
參數 | 參數說明 |
---|---|
Vrf-name | (支持VRF版本可選)指定顯示哪個vrf的arp表項。 |
命令模式
管理態
使用說明
顯示的信息包括:
參數 | 參數說明 |
---|---|
Protocol | 協議,與物理地址映射的網絡地址的類型,例如IP。 |
Address | 地址,與物理地址相映射的網絡地址,如IP地址。 |
Age | 生存時間,ARP表項從生成到現在的時間,以分鐘爲單位。路由器使用這條ARP表項不會影響這個值。 |
Hardware Address | 物理地址,與網絡地址對應的物理地址,對於尚未解析完成的表項爲空。 |
Type | 類型,表示接口使用的報文封裝類型,包括ARPA,SNAP等。 |
Interface | 接口,與這個網絡地址相關聯的接口。 |
示例
下面的命令顯示ARP緩存:
router#show arp
Protocol IP Address Age(min) Hardware Address Type Interface
IP 192.168.20.77 11 00:30:80:d5:37:e0 ARPA Ethernet1/0
IP 192.168.20.33 0 Incomplete
IP 192.168.20.22 - 08:00:3e:33:33:8a ARPA Ethernet1/0
IP 192.168.20.124 0 00:a0:24:9e:53:36 ARPA Ethernet1/0
IP 192.168.0.22 - 08:00:3e:33:33:8b ARPA Ethernet1/1
1.1.13 show hosts
顯示主機名—地址緩存中的所有表項。
show hosts
參數
命令沒有參數或關鍵字。
命令模式
管理態
示例
下面的命令顯示所有主機名稱/地址映射:
show hosts
相關命令
clear host
1.1.14 show ip interface
顯示接口上的IP配置。
show ip interface [type number]
參數
參數 | 參數說明 |
---|---|
type | (可選) 接口類型。 |
number | (可選) 接口編號。 |
命令模式
管理態
使用說明
如果接口的鏈路層可以有效收發數據,它就是一個可用接口,狀態是“Protocol Up”。如果在這個接口上配置IP地址,路由器將在路由表中添加一條直連路由。如果鏈路層協議斷開,也就是“Protocol Down”,這條直連路由將被刪除。如果指定接口類型和編號,只顯示指定接口信息。否則,顯示所有接口的IP配置信息。
示例
下面的命令顯示接口e0/1上的IP配置:
Router#show ip interface e0/1
Ethernet1/0 is up, line protocol is up
IP address : 192.168.20.167/24
Broadcast address : 192.168.20.255
Helper address : not set
MTU : 1500(byte)
Forward Directed broadcast : OFF
Multicast reserved groups joined:
224.0.0.9 224.0.0.6 224.0.0.5 224.0.0.2
224.0.0.1
Outgoing ACL : not set
Incoming ACL : not set
IP fast switching : ON
IP fast switching on the same interface : OFF
ICMP unreachables : ON
ICMP mask replies : OFF
ICMP redirects : ON
顯示說明:
域 | 描述 |
---|---|
Ethernet1/0 is up | 如果接口硬件可用,接口被標爲“up”。 如果接口可用,它的硬件和線路協議都必須是up的。 |
line protocol is up | 如果接口可以提供雙向通信,它的線路協議被標爲“up”。如果接口可用,接口硬件和線路協議都必須是up的。 |
IP address | 接口IP地址和網絡掩碼。 |
Broadcast address | 顯示廣播地址。 |
MTU | 顯示接口設置的IP MTU。 |
Helper address | 顯示幫助地址。 |
Directed broadcast forwarding | 接口是否轉發定向廣播報文。 |
Multicast reserved groups joined | 接口加入的多播組。 |
Outgoing ACL | 接口使用的輸出訪問控制表。 |
Incoming ACL | 接口使用的輸入訪問控制表。 |
IP fast switching | 路由器在該端口上是否啓動快速轉發 |
Proxy ARP | 接口是否支持代理ARP。 |
ICMP redirects | 接口是否發出ICMP重定向報文。 |
ICMP unreachables | 接口是否發出ICMP不可到達報文。 |
ICMP mask replies | 接口是否發出ICMP掩碼應答報文。 |
第2章 NAT配置命令
2.1 NAT配置命令
NAT配置命令包括:
l ip nat
l ip nat local-service
l ip nat enable-peek
l ip nat inside destination
l ip nat inside source
l ip nat outside source
l ip nat pool
l ip nat translation
l clear ip nat statistics
l clear ip nat translation
l show ip nat statistics
l show ip nat translations
l debug ip nat
2.1.1 ip nat
ip nat {inside | outside | mss }
no ip nat {inside | outside | mss MSS-value}
參數
參數 | 參數說明 |
---|---|
inside | 表明接口連接到內部網絡(網絡服從NAT翻譯) |
outside | 表明接口連接到外部網絡(網絡服從NAT翻譯) |
mss MSS-value | 設置MSS值爲MSS-value(必須先配有ip nat outside) |
缺省
離開或到達這個接口的通信量不服從NAT。
命令模式
接口配置態
使用說明
只有那些在“內部”和“外部”接口之間傳送的報文纔可以被翻譯。必須爲每個想使用NAT的邊界路由器至少指定一個內部接口和一個外部接口。
使用IP NAT接口配置命令來指定來自接口的或發往接口的通信量服從NAT(網絡地址翻譯),如果想禁止接口的翻譯功能,使用這個命令的NO形式。
注意:
ip nat mss命令只能配在ip nat outside的接口下,它的作用是修改從內部網出去的帶有SYN標誌的TCP報文選項中的MSS(Maximum Segment Size)值。如果想禁止該接口修改MSS值的功能,使用這個命令的NO形式。
示例
下面的例子把來自192.168.1.0或192.168.2.0網絡編址的內部主機間進行通信的IP地址翻譯爲171.69.233.208/28 網絡中全局唯一的IP地址,並且修改MSS爲1432值。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
ip nat mss 1432
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
.permit 192.168.2.0 255.255.255.0
!
2.1.2 ip nat local-service
ip nat local-service {icmp | udp | tcp } disable
no ip nat local-service {icmp | udp | tcp } disable
參數
參數 | 參數說明 |
---|---|
icmp | Icmp 報文。 |
udp | udp報文。 |
tcp | tcp報文。 |
缺省
無
命令模式
接口配置態
使用說明
此命令應用於PAT規則。默認情況下,在標記爲NAT外部端口的路由器接口,允許所有訪問路由器本地的icmp/udp/tcp報文。該命令可以有限的防止外部網絡用戶對路由器的, 惡意攻擊,當然也丟棄了正常的訪問路由器的報文。
如果想某標記爲NAT外部端口的路由器接口禁止接收訪問本地的icmp/udp/tcp報文,可以在端口狀態下配置如下命令,使用這個命令的NO形式可以恢復默認狀態。
注意:
此命令只能配置標記爲NAT外部端口所在的路由器接口下,並只能使本接口禁止接收icmp/udp/tcp本地報文。
2.1.3 ip fastaccess
ip fastaccess deny {tcp | udp | icmp} {port number}
no ip fastnat deny {tcp | udp | icmp} {port number}
參數
參數 | 參數說明 |
---|---|
deny | 定義阻止包的規則 |
tcp | 定義阻止TCP包的規則 |
udp | 定義阻止UDP包的規則 |
icmp | 定義阻止ICMP包的規則 |
Port number | TCP/UDP端口號, 範圍爲1~10000 |
缺省
無
命令模式
接口配置態
使用說明
由於ip fastaccess只能基於傳輸層限制報文轉發,如果需要基於IP地址限制,則需要用到一般訪問列表
建議:如果需要使用一般訪問列表限制內網用戶,如果使用到動態NAT規則,則強烈建議利用NAT所用的訪問列表。特別對於那些需要定義非常多規則的訪問列表,這樣可以顯著提高性能。
2.1.4 ip fastnat 1to1
ip fastnat 1to1 outside {interface-type number} [backup-outside {interface-type number}] inside {interface-type number} [privateservices] [extend]
no ip fastnat
參數
參數 | 參數說明 |
---|---|
outside interface-type number | 指定的標記爲NAT OUTSIDE的網絡接口,該網絡接口是主線路的出口。 |
backup-outside interface-type number | [可選]指定的標記爲NAT OUTSIDE的網絡接口,該網絡接口是備份線路的出口。 |
inside interface type number | 指定的標記爲NAT INSIDE的網絡接口,該網絡接口是備份線路的入口。 |
privateservices | [可選]開啓私服功能 |
extend | [可選]開啓支持擴展訪問列表功能 |
缺省
無
命令模式
全局配置態
使用說明
該命令的使用對網絡環境有限制,具體信息請參考配置說明書。
如果不使用私服或者擴展訪問列表,則建議不要配置選項privateservices和extend。
2.1.5 ip nat inside destination
用ip nat inside destination全局配置命令,開啓內部目的地址的NAT.用這個命令的NO形式,刪除和地址池的動態關聯,注意,該規則正在使用時,不能刪除。
ip nat inside destination list access-list-name pool name
no ip nat inside destination list access-list-name
參數
參數 | 參數說明 |
---|---|
list name | 標準IP訪問列表的名字。 用來自被指定的池中的全局地址對帶有目的地址的報文進行翻譯,這些包用來發送訪問列表。 |
pool name | 地址池的名字,在動態翻譯的過程中,從這個池中分配內部本地的IP地址。 |
缺省
內部目的地址不被翻譯。
命令模式
全局配置態
使用說明
這個命令用訪問列表的格式來建立動態地址翻譯。來自和標準訪問列表相匹配的地址的報文,將用指定的地址池中分配的全局地址來進行地址翻譯,這個地址池是用ip nat pool命令所指定的。
示例
下面的例子把發往171.69.233.208 網絡通信的報文翻譯爲目的地址位於192.168.2.208網段的內部主機地址。
!
ip nat pool net-208 192.168.2.208 192.168.2.223 255.255.255.240
ip nat inside destination list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standar a1
permit 171.69.233.208 255.255.255.240
!
2.1.6 ip nat inside source
使用ip nat inside source全局配置命令,開啓內部源地址的NAT。用這個命令的NO形式可以刪除靜態翻譯或刪除和池的動態關聯,注意:動態翻譯規則和靜態網段翻譯規則在使用時,不能刪除。
動態NAT:
ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload]
no ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload]
靜態單個地址NAT:
ip nat inside source {static {local-ip global-ip}
no ip nat inside source {static {local-ip global-ip}
靜態端口NAT:
ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port}
no ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port}
靜態網段NAT:
ip nat inside source {static {network local-network global-network mask}
no ip nat inside source {static {network local-network global-network mask}
參數
參數 | 參數說明 |
---|---|
List access-list-name | IP訪問列表的名字。源地址符合訪問列表的報文將被用地址池中的全局地址來翻譯。 |
pool name | 地址池的名字,從這個池中動態地分配全局IP地址。 |
interface type number | 指定網絡接口 |
overload | (可選)使路由器對多個本地地址使用一個全局的地址。當OVERLOAD被設置後,相同或者不同主機的多個會話將用TCP或UDP端口號來區分。 |
static local-ip | 建立一條獨立的靜態地址翻譯;參數爲分配給內部網主機的本地IP地址。這個地址可以自由的選擇,或從RFC 1918中分配。 |
local-port | 設置本地TCP/UDP端口號,範圍爲1~65535。 |
static global-ip | 建立一條獨立的靜態地址翻譯;這個參數爲內部主機建立一個外部的網絡可以唯一訪問的IP地址。 |
global-port | 設置全局TCP/UDP端口號,範圍爲1~65535。 |
tcp | 設置TCP端口翻譯 |
udp | 設置UDP端口翻譯 |
network local-network | 設置本地網段翻譯 |
global-network | 設置全局網段翻譯 |
mask | 設置網段翻譯的網絡掩碼 |
缺省
任何內部源地址的NAT都不存在。
命令模式
全局配置態
使用說明
這個命令有兩種形式:動態的和靜態的地址翻譯。帶有訪問列表的格式建立動態翻譯。來自和標準訪問列表相匹配的地址的報文,將用指定的池中分配的全局地址來進行地址翻譯,這個池是用ip nat pool命令所指定的。
可以作爲替代方法,帶有關鍵字STATIC的語法格式創建一條獨立的靜態地址翻譯。
靜態NAT對於FTP的PASV模式的支持需要配合overload類型的命令使用,既:當設置一個NAT的靜態FTP映射時,如果也需要使用FTP的PASV模式,也應該同時使用一個overload類型的轉換,且pat規則中的外網接口地址中應該有一個和靜態ftp的外網地址相同。
示例
下面的例子把來自192.168.1.0或192.168.2.0網絡的內部主機間進行通信的IP地址翻譯爲171.69.233.208/28 網絡中全局唯一的IP地址。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
permit 192.168.2.0 255.255.255.0
!
靜態FTP的PASV模式使用示例。
ip nat inside source static tcp 10.1.1.1 21 204.112.1.2 8021
ip nat inside source static tcp 10.1.1.1 20 204.112.1.2 8020
ip nat inside source list test1 interface f0/0
2.1.7 ip nat outside source
使用ip nat outside source全局配置命令,開啓外部源地址的NAT。用這個命令的NO形式,可以刪除靜態條目或動態關聯,注意:動態翻譯規則和靜態網段翻譯規則在使用時,不能刪除。
動態NAT:
ip nat outside source {list access-list-name} pool pool-name
no ip nat outside source {list access-list-name} pool pool-name
靜態單個地址NAT:
ip nat outside source static {global-ip local-ip}
no ip nat outside source static {global-ip local-ip}
靜態端口 NAT:
ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port}
no ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port}
靜態網段 NAT:
ip nat outside source {static networkglobal-network local-network mask}
no ip nat outside source {static network global-network local-network mask}
參數
參數 | 參數說明 |
---|---|
List access-list-name | 標準IP訪問列表的名字。目的地址符合訪問列表的報文將被用地址池中的全局地址來翻譯。。 |
pool name | 池的名字,從這個池重動態地分配全局IP地址。 |
Static global-ip | 建立一條獨立的靜態地址翻譯;參數爲建立外部網絡的主機所分配的全局IP地址。這個地址可以從全局可路由的網絡地址空間中分配。 |
global-port | 設置全局TCP/UDP端口號,範圍爲1~65535。 |
Static local-ip | 建立一條獨立的靜態地址翻譯;這個參數爲內部主機建立一個內部網絡可以唯一訪問的外部主機的本地IP地址。這個地址可以從內部網絡可路由的地址空間中分配。(多遵從RFC 1918) |
local-port | 設置本地TCP/UDP端口號,範圍爲1~65535。 |
tcp | 設置TCP端口翻譯 |
udp | 設置UDP端口翻譯 |
network global-network | 設置全局網段翻譯 |
local-network | 設置本地網段翻譯 |
mask | 設置網段翻譯的網絡掩碼 |
缺省
不存在來自外部網絡的源地址到內部網絡地址的翻譯。
命令模式
全局配置態
使用說明
可能你用了不是合法的、正式分配得到的IP地址。可能你選擇了已經被正式分配給其他網絡的IP地址。這種IP地址既被合法的使用了(外部網)又被非法的使用着(內部網絡)的情況叫做“地址重疊”(overlapping)。你可以用NAT來翻譯和外部地址重疊的內部地址。如果你的單連接網絡中的IP地址碰巧和分配給其他網絡的合法IP地址相同,並且你需要和這些主機或路由器通信,那麼你可以用這個功能。
這個命令有兩種形式:動態的和靜態的地址翻譯。帶有訪問列表的格式建立動態地址翻譯。來自和標準訪問列表相匹配的地址的報文,將用指定的地址池中分配的本地地址來進行地址翻譯,這個地址池是用ip nat pool命令所指定的。
作爲可以替代的方法,帶有關鍵字STATIC的語法格式創建一條單獨的靜態翻譯。
示例
下面的例子把來自9.114.11.0網絡的內部主機間進行通信的IP地址翻譯爲171.69.233.208/28 網絡中全局唯一的IP地址。更進一步地,來自9.114.11.0網絡(真實存在的9.114.11.0網絡)編址的外部主機的報文,被翻譯爲以來自10.0.1.0/24網絡的面目出現。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat pool net-10 10.0.1.0 10.0.1.255 255.255.255.0
ip nat inside source list a1 pool net-208
ip nat outside source list a1 pool net-10
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 9.114.11.39 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 9.114.11.0 255.255.255.0
!
2.1.8 ip nat pool
用ip nat pool全局配置命令,定義一個用於NAT的IP地址池。用這個命令的NO形式,可以刪除指定名字的IP地址池,可以配置相同名字的地址池來覆蓋已配置的地址池。
ip nat pool name start-ip end-ip netmask [rotary]
no ip nat pool name
參數
參數 | 參數說明 |
---|---|
name | 池的名字。 |
start-ip | 定義IP地址池的範圍:起始地址。 |
end-ip | 定義IP地址池的範圍:結束地址。 |
netmask | 子網掩碼。子網掩碼錶明地址中的那些位是屬於網絡和子網部分,而哪些位屬於主機部分。指定IP池中地址所屬的網絡的子網掩碼。 |
rotary | 輪循地址池 。 |
缺省
沒有定義IP池。
命令模式
全局配置態
使用說明
這個命令用起始地址,結束地址以及子網掩碼來定義一個地址池。
注意:在PAT規則下,地址池的輪循規則:只有當一個地址使用完結時(即關於這個地址的所有連接都老化後),纔去取下一個地址,即同一使用時間內,內部全局地址始終只有一個。
示例
下面的例子把來自192.168.1.0或192.168.2.0網絡的內部主機間進行通信的IP地址翻譯爲171.69.233.208/28 網絡中全局唯一的IP地址。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
permit 192.168.2.0 255.255.255.0
!
2.1.9 ip nat service
此命令是爲Nat支持的各種服務提供的一個入口函數,目前支持三類的服務。缺省各種服務都爲關閉狀態。
ip nat service { h323 | privateservice | peek }
no ip nat service { h323 | privateservice | peek }
參數
無
缺省
關閉
命令模式
全局配置態
使用說明
h323 對voip的支持,它用來控制Nat對h323的支持;
privateservice 是Nat對網吧設置內部遊戲服務器的支持,如:傳奇等;它可以控制Nat對於私服的支持;
peek 是Nat對網吧內部監控遊戲服務器的支持,通過搭配F-Engine公司的客戶端軟家,可以對內部用戶出網的情況進行監控。
no方式可以關閉相應的功能;
示例
ip nat service privateservice
ip nat service peek
ip nat service h323
no ip nat service peek
2.1.10 ip nat translation
ip nat translation全局配置命令,主要有以下兩種用途:
其一,改變NAT翻譯超時的時間值,用這個命令的NO形式,可以關閉超時。
ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | syn-timeout } seconds
no ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | syn-timeout }
其二,改變針對NAT翻譯表項的一些參數值,用此命令的NO形式,可以去掉配置,有默認值的恢復默認值。
ip nat translation max-entries { host [A.B.C.D | any]} numbers
no ip nat translation max-entries { host [A.B.C.D | any]}
參數
參數 | 參數說明 |
---|---|
timeout | 指定用於除OVERLOAD翻譯之外的動態翻譯的超時值。缺省值是3600秒(1小時) |
udp-timeout | 指定用於UDP端口的超時值。缺省值是300秒(5分鐘) |
dns-timeout | 指定用於連到DNS的超時值。缺省值是60秒 |
tcp-timeout | 指定用於TCP端口的超時值。缺省值是3600秒(1小時) |
finrst-timeout | 指定用於Finish and Reset TCP報文的超時值,這個值用於終止一個翻譯表項。缺省值使60秒 |
icmp-timeout | 設置ICMP的NAT超時時間,缺省值是60秒 |
max-entries | 設置NAT的最大翻譯條目數,缺省值是3000 |
syn-timeout | 設置TCP SYN狀態的NAT超時時間,缺省值是60秒 |
seconds | 指定端口翻譯的超時值。缺省值是在缺省部分所羅列出來的值 |
max-entries host A.B.C.D | 針對指定的內部IP地址,限制該IP地址能建立NAT翻譯表項的最大數目,無缺省值,當用該命令的no形式時,即不在限制該IP地址建立NAT翻譯表項的數目 |
max-entries host any | 針對所有的內部IP地址,限制單個IP地址能建立NAT翻譯表項的最大數目。缺省值與max-entries相同 |
缺省
timeoutis 3600 seconds (1 hours)
udp-timeoutis 300 seconds (5 minutes)
dns-timeoutis 60 seconds (1 minute)
tcp-timeoutis 3600 seconds (1 hours)
finrst-timeout is 60 seconds (1 minute)
命令模式
全局配置態
使用說明
當配置了端口翻譯之後,因爲每個翻譯條目包含了有關正在使用它的通信量更多的上下文信息,因此可以對翻譯條目進行更好的控制。非域名系統(DNS)的UDP翻譯在5分鐘後超時,而域名系統的UDP翻譯在1分鐘後超時。如果數據流中沒有RST或FIN,TCP翻譯在1個小時後超時;而在有RST或FIN的情況下,將在1分鐘後超時。
示例
例1:
下面的例子在10分鐘之後使UDP端口翻譯條目超時:
ip nat translation udp-timeout 600
例2:
下面的例子限制IP地址192.168.20.1建立的NAT翻譯表項的最大數目爲100:
ip nat translation max-entries host 192.168.20.1 100
2.1.11 ip nat translation max-users[不再支持]
配置nat限制上網用戶數的功能。
[no] ip nat translation max-users <0-65536>
[no] ip nat translation max-users enable
參數
參數 | 參數說明 |
---|---|
0-65536 | 設置可以上網的內網用戶數,缺省爲256個。 |
缺省
缺省內網的用戶數爲256個,缺省不開啓這個功能。
命令模式
全局配置態。
使用說明
通過這個命令可以開啓和設置nat限制內網用戶數的功能。當一個用戶上網時,如果之前在nat中沒有對應的記錄,那麼他就是一個新內網用戶。如果這時內網用戶上網數量已經達到設定值,那麼這個用戶發向外面的報文將被拋棄,該用戶將不可以上網。如果內網用戶數量沒有達到限制值,nat就記錄該用的ip地址,並進行正常的報文轉發過程。
所記錄用戶ip地址的超時時間與該用戶的最後一次發送的報文所屬的link的ttl值相同。
NO方式關閉該功能。
示例
下列命令在全局態配置nat的限制功能:
ip nat translation max-users enable
ip nat translation max-users 124
2.1.12 clear ip nat statistics
爲了清除NAT的統計信息,使用clear ip nat statistics命令。
clear ip nat statistics
參數
無
命令模式
管理態
使用說明
使用本命令可以把所有NAT統計信息置爲初始狀態。
注意:
只能清楚“Packets dropped”項後面的統計參數。
示例
Router#show ip nat statistics
Total active translations: 2 (1 static, 0 dynamic, 1 PAT)
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Dynamic mappings:
--Inside Source
access-list nat
pool natp: netmask 255.255.255.0
start 172.16.20.125 end 172.16.20.127
total addresses 3, misses 0
--Inside Destination
--Outside Source
Link items:
PAT(ICMP=5 UDP=39 TCP=224 / TOTAL=268), Dynamic=6
Packets dropped: --Protocol:
Out: tcp 123, udp 39, icmp 10, others 6
In: tcp 46, udp 109, icmp 0, others 10
--Configuration:
max entries 0, max entries for host 178
Router#clear ip nat statistics
Router#show ip nat statistic
Total active translations: 2 (1 static, 0 dynamic, 1 PAT)
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Dynamic mappings:
--Inside Source
access-list nat
pool natp: netmask 255.255.255.0
start 172.16.20.125 end 172.16.20.127
total addresses 3, misses 0
--Inside Destination
--Outside Source
Link items:
PAT(ICMP=5 UDP=39 TCP=224 / TOTAL=268), Dynamic=6
Packets dropped:
--Protocol:
Out: tcp 0, udp 0, icmp 0, others 0
In: tcp 0, udp 0, icmp 0, fragments 0
--Configuration:
max entries 0, max links for host 0
2.1.13 clear ip nat translation
爲了從翻譯表項中清除動態網絡地址翻譯(NAT),使用clear ip nat translation 執行命令。
clear ip nat translation {* | [inside local-ip global-ip ] [outside local-ip global-ip]}
clear ip nat translation {tcp|udp} inside local-ip local-port global-ip global-port [outside local-ip global-ip]
參數
參數 | 參數說明 |
---|---|
* | 清除所有的動態翻譯條目 |
Inside | 清除包含指定全局IP地址和本地IP地址的內部翻譯。 |
global-ip | 指定全局IP地址 |
local-ip | 指定本地IP地址 |
outside | 清除包含指定全局IP地址和本地IP地址的外部翻譯。 |
tcp|udp | 協議 |
global-port | 指定相應協議的全局端口。 |
local-port | 指定相應協議的本地端口。 |
命令模式
管理態
使用說明
使用本命令可以在動態翻譯條目超時之前清除他們。
示例
下面的例子先顯示NAT翻譯條目,然後將UDP翻譯條目清除:
Router# show ip nat translation
Pro Inside global Inside local Outside local Outside global
udp 171.69.233.209:1220 192.168.1.95:1220 171.69.2.132:53 171.69.2.132:53
tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23
tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23
Router# clear ip nat translation udp inside 171.69.233.209 1220 192.168.1.95 1220
171.69.2.132 53 171.69.2.132 53
Router# show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23
tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23
2.1.14 show ip nat statistics
用show ip nat statistics命令,顯示NAT統計表。
show ip nat statistics
參數
這個命令沒有參數或關鍵字
命令模式
管理態
示例
下面是使用show ip nat statistics命令的例子的輸出結果:
Router# show ip nat statistics
Total active translations: 2 (1 static, 0 dynamic, 1 PAT)
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Dynamic mappings:
--Inside Source
access-list nat
pool natp: netmask 255.255.255.0
start 172.16.20.125 end 172.16.20.127
total addresses 3, misses 0
--Inside Destination
--Outside Source
Link items:
PAT(ICMP=0 UDP=5 TCP=24 / TOTAL=29), Dynamic=0
Packets dropped:
--Protocol:
Out: tcp 0, udp 0, icmp 0, others 0
In: tcp 46, udp 100, icmp 0, others 0
--Configuration:
max entries 0, max links for host 0
表9描述了輸出結果中的重要字段:
表 2‑1 Show ip nat statistics字段描述
字段 | 描述 |
---|---|
Total active translations: | 系統中激活的指定翻譯的數量。當建立了一個地址翻譯規則時,這個數值將被加1,同時當一個地址翻譯被清除或超時,這個數值將減1。 |
Outside interfaces: | 用ip nat outside 命令標識爲外部接口的接口列表。 |
Inside interfaces: | 用ip nat outside 命令標識爲內部接口的接口列表。 |
Dynamic mappings: | 顯示跟在它後面的信息是關於動態映射的。 |
Inside Source: | 跟在它後面的是關於內部源地址翻譯的信息. |
Access-list | 用於地址翻譯的訪問列表數量。 |
Pool | 池的名字(本例中池的名字是natp) |
Netmask | 池中所使用的IP網絡掩碼 |
Start | 池中地址範圍的起始IP地址. |
End | 池中地址範圍的結束IP地址. |
Total addresses | 池中可用於地址翻譯的地址數. |
Misses | 無法從池中分配的地址數量. |
Inside Destination: | 跟在它後面的是關於內部目的地址翻譯的信息. |
Outside Source: | 跟在它後面的是關於外部源地址翻譯的信息. |
Link items: | 跟在它後面的是關於翻譯表項數目和類別的信息. |
PAT | 表示動態端口翻譯規則下的翻譯表項數目,其中madia代表H323會話中的RTP/RTCP會話. |
Dynamic | 表示動態地址翻譯規則下的翻譯表項數目,包括靜態地址翻譯爲FTP創建的翻譯表項. |
Packets dropped: | 跟在它後面的是關於因爲NAT而丟棄的報文的類型和數目,以及丟棄的原因. |
Protocol | 表示丟棄報文的數目、協議類型和報文的NAT方向. |
Configuration | 表示因爲何種配置丟棄的報文的數目:max entries指超過最大允許翻譯表項數,max links for host指超過每個或者特定地址允許的翻譯表項數. |
2.1.15 show ip nat translations
用show ip nat translations 管理態命令,顯示激活的NAT地址翻譯。
show ip nat translations [host A.B.C.D | tcp | udp | icmp | verbose]
參數
參數 | 參數說明 |
---|---|
host A.B.C.D | (可選)顯示承載本地局部地址(inside local)爲A.B.C.D的翻譯表項 |
tcp | (可選)顯示承載TCP會話的翻譯表項 |
udp | (可選)顯示承載UDP會話的翻譯表項 |
icmp | (可選)顯示承載ICMP會話的翻譯表項 |
Verbose | (可選)顯示關於每個翻譯表項的額外信息,包括它被建立了多久,還剩下多長時間超時 |
命令模式
管理態
使用說明
示例
下面是使用show ip nat translations命令的例子的輸出結果。
(1) 兩個內部主機和外部的一些主機進行報文交換,沒有超載。
Router# show ip nat translations
Pro Inside local Inside global Outside local Outside global
--- 192.168.1.95 171.69.233.209 --- ---
--- 192.168.1.89 171.69.233.210 --- --
(2) 下面是帶有超載的情況下的示例,有三條地址翻譯表項是激活的,其中一條用於一個DNS業務,另外兩條用於TELNET會話(來自兩個不同的主機)。要注意:兩個不同的內部主機能以具有相同外部地址的形式出現。
Router# show ip nat translations
Pro Inside local Inside global Outside local Outside global
udp 192.168.1.95:1220 171.69.233.209:1220 171.69.2.132:53 171.69.2.132:53
tcp 192.168.1.89:11012 171.69.233.209:11012 171.69.1.220:23 171.69.1.220:23
tcp 192.168.1.95:1067 171.69.233.209:1067 171.69.1.161:23 171.69.1.161:23
下面是帶有關鍵字verbose的輸出樣例:
Router# show ip nat translations verbose
Pro Inside local Inside global Outside local Outside global
udp 192.168.1.95:1220 171.69.233.209:1220 171.69.2.132:53 171.69.2.132:53
create time 00:00:02 , left time 00:01:10 ,
tcp 192.168.1.89:11012 171.69.233.209:11012 171.69.1.220:23 171.69.1.220:23
create time 00:01:13 , left time 00:00:50 ,
tcp 192.168.1.95:1067 171.69.233.209:1067 171.69.1.161:23 171.69.1.161:23
create time 00:00:02 , left time 00:53:19 ,
表 2‑2 Show IP NAT Translations(例 2)命令輸出結果的字段描述
字段 | 描述 |
---|---|
Pro | 確定地址的端口協議. |
Inside global | 合法的IP地址(被NIC或服務提供商所提供的),他們代表了通往外部網絡的一個或多個內部本地IP地址。 |
Inside local | 被分配給內部網絡中主機的IP地址;他們可能不是一個NIC或服務供應商所提供的合法地址。 |
Outside local | 一個外部主機當它看起來像是一個內部網絡時的IP地址;他們可能不是一個NIC或服務供應商所提供的合法地址。 |
Outside global | 被它的所有者所分配的外部主機的IP地址。 |
Create time | 地址翻譯條目是多久前建立的。(單位是 小時:分:秒) |
Left time | 地址翻譯條目經過多久會超時。 |
2.1.16 show ip nat users[不再支持]
顯示當前允許通過的內網用戶IP地址,以及數量。
show ip nat users
參數
無
缺省
無
命令模式
全局配置態。
使用說明
顯示當前允許通過的內網用戶IP地址,以及數量。
由於這個功能需要進行一定量的操作步驟,如果不是很必要,請不要開啓這個功能。
示例
下列命令在全局態執行:
show ip nat users
一個可能的顯示結果如下:
Current host count is 9, host count set is 12.
#host IP addr host ttl
172.16.20.67 20
172.16.20.70 55
172.16.20.81 3530
172.16.20.90 3600
2.1.17 debug ip nat
爲了調試網絡地址翻譯(NAT),使用debug ip nat執行命令。
debug ip nat {detail | h323}
no debug ip nat {detail | h323}
參數
無
命令模式
管理態
使用說明
使用命令debug ip nat detail可以輸出翻譯過程中的細節,包括報文的源、目的IP地址,協議、端口號,以及沒有成功的翻譯的原因等等。
使用命令debug ip nat h323可以輸出NAT在翻譯H323報文過程中的細節,主要包括NAT識別出的H323消息,以及嵌入在這些消息裏的IP地址,如果是內部地址,將會顯示翻譯後的地址。
示例
例1 :
Router# debug ip nat detail
Ethernet1/1 recv ICMP Src 194.4.4.89 Dst 10.10.10.102 no link found
Ethernet1/0 send TCP Src 194.4.4.102:2000 Dst 192.2.2.1:21 no matched rule
表 2‑3 表描述了顯示中的域。
域 | 描述 |
---|---|
Ethernet1/0 | 接口的類型、號。 |
send/recv | 發送/接收。 |
ICMP/TCP/UDP | ICMP/TCP/UDP協議 |
Src 194.4.4.102:2000 | 源IP地址和端口號。 |
Dst 192.2.2.1:21 | 目的IP地址和端口號。 |
no link found | 沒有匹配到NAT翻譯表項。 |
no matched rule | 沒有匹配到NAT規則。 |
第1條:從Ethernet1/1接口接收到的ICMP報文(源地址是194.4.4.89,目的地址是10.10.10.102;ICMP),沒有找到相應的NAT翻譯表項(已經找到匹配的NAT規則)。
第2條:從Ethernet1/0接口發送出去的TCP報文(源地址是194.4.4.102,目的地址是192.2.2.1;源端口是2000,目的端口是21),沒有找到匹配的NAT規則。
例2:
Router# debug ip nat h323
NAT:H225:[I] processing a Setup message
NAT:H225:[I] found Setup sourceCallSignalling
NAT:H225:[I] fix TransportAddress addr-192.168.122.50:11140
NAT:H225:[I] found Setup fastStart
NAT:H225:[I] Setup fastStart PDU length:18
NAT:H245:[I] processing OpenLogicalChannel message, forward channel 1
NAT:H245:[I] found OLC forward mediaControlChannel
NAT:H245:[I] fix TransportAddress addr-192.168.122.50:16517
NAT:H225:[I] Setup fastStart PDU length:29
NAT:H245:[I] processing OpenLogicalChannel message, forward channel 1
NAT:H245:[I] found OLC reverse mediaChannel
NAT:H245:[I] fix TransportAddress addr-192.168.122.50:16516
NAT:H245:[I] found OLC reverse mediaControlChannel
NAT:H245:[O] fix TransportAddress addr-192.168.122.50:16517
NAT:H225:[O] processing an Alerting message
NAT:H225:[O] found Alerting fastStart
NAT:H225:[O] Alerting fastStart PDU length:25
NAT:H245:[O] processing OpenLogicalChannel message, forward channel 1
重要域的描述見下表:
域 | 描述 |
---|---|
NAT | 表示報文已經被NAT翻譯 |
RAS/H255/H245 | 報文協議類型 |
O | 表示報文的傳輸方向:Inside to Outside |
I | 表示報文的傳輸方向:Outside to Inside |
第3章 DHCP Client配置命令
3.1 DHCP Client配置命令
DHCP Client配置命令包括:
l ip address dhcp
l ip dhcp client
l ip dhcp-server
l show dhcp lease
l show dhcp server
l debug dhcp
3.1.1 ip address dhcp
要通過Dynamic Host Configuration Protocol(DHCP)爲以太網接口獲得一個IP地址,使用ip address dhcp接口配置命令。要刪除所獲得的IP地址,可以使用這條命令的no格式。
ip address dhcp
no ip address dhcp
參數
無
缺省
無
命令模式
接口配置態
使用說明
ip address dhcp命令允許接口通過DHCP協議獲得IP地址,這對通過以太網接口動態連接Internet服務提供商(ISP)非常有用。一旦獲得了動態的IP地址,這個以太網接口便可以使用端口轉換技術(PAT)來實現網絡地址翻譯(NAT)。
如果路由器上配置了ip address dhcp命令,路由器將向網絡上的DHCP服務器發送DHCPDISCOVER消息。
如果路由器上配置了no ip address dhcp命令,路由器將發送DHCP RELEASE消息。
示例
以下例子使得Ethernet1/1接口通過DHCP協議來獲得接口的IP地址。
!
interface Ethernet1/1
ip address dhcp
!
相關命令
ip dhcp client
ip dhcp-server
show dhcp lease
show dhcp server
3.1.2 ip dhcp client
配置本地路由器DHCP客戶端的參數。
ip dhcp client { minlease seconds | retransmit count | retry_interval | select seconds }
no ip dhcp client { minlease | retransmit | retry_interval | select }
參數
參數 | 參數說明 |
---|---|
minlease seconds | (可選)可接受的最小租用時間,範圍從60~86400秒。 |
retransmit count | (可選)協議報文的重傳次數,範圍從1~10。 |
retry_interval | (可選) 重新發起DHCP請求的時間間隔,範圍從1~1440分鐘。 |
select seconds | (可選)SELECT的時間間隔,範圍從0~30。 |
缺省
minlease參數缺省值爲60秒。
retransmit參數缺省值爲4次。
retry_interval參數缺省值爲5分鐘。
select參數缺省值爲0秒。
命令模式
全局配置態。
使用說明
根據網絡結構和DHCP服務器的需要,來調整這些參數。
如果配置了這些命令的no格式命令,則這些參數恢復成系統定義的缺省值。
示例
以下例子設置了路由器上DHCP客戶端可接受的最小租用時間爲100秒。
ip dhcp client minlease 100
以下例子設置了路由器上DHCP客戶端協議報文重傳次數爲3次。
ip dhcp client retransmit 3
以下例子設置了路由器上DHCP客戶端重新發起DHCP請求的時間間隔爲10分鐘。
ip dhcp client retry_interval 10
以下例子設置了路由器上DHCP客戶端SELECT的時間間隔爲10秒。
ip dhcp client select 10
相關命令
ip address dhcp
ip dhcp-server
show dhcp lease
show dhcp server
3.1.3 ip dhcp-server
要指定已知的DHCP服務器,可以使用ip dhcp-server命令來指定DHCP服務器的IP地址。
ip dhcp-server ip-address
no ip dhcp-server ip-address
參數
參數 | 參數說明 |
---|---|
ip-address | DHCP服務器的IP地址。 |
缺省
無任何缺省的DHCP服務器IP地址。
命令模式
全局配置態。
使用說明
使用此命令可以指定一個DHCP服務器的IP地址,該命令不會覆蓋以前指定的DHCP服務器IP地址。
使用此命令的no格式命令可以用來清除以前配置的DHCP服務器IP地址。
示例
下面的例子顯示了在路由器上如何指定IP地址爲192.168.20.1的服務器爲DHCP服務器:
ip dhcp-server 192.168.20.1
相關命令
ip address dhcp
ip dhcp client
show dhcp lease
show dhcp server
3.1.4 show dhcp lease
要查看當前路由器所使用的DHCP服務器分配的信息,可以用show dhcp lease命令來實現。
Show dhcp lease
參數
無
缺省
無
命令模式
管理態
使用說明
使用此命令可以查看當前路由器所使用的DHCP服務器分配的信息。
示例
下面的例子顯示了路由器所使用DHCP分配的信息:
router#show dhcp lease
Temp IP addr: 192.168.20.3 for peer on Interface: Ethernet1/1
Temp sub net mask: 255.255.255.0
DHCP Lease server: 192.168.1.3, state: 4 Rebinding
DHCP transaction id: 2049
Lease: 86400 secs, Renewal: 43200 secs, Rebind: 75600 secs
Temp default-gateway addr: 192.168.1.2
Next timer fires after: 02:34:26
Retry count: 1 Client-ID: router-0030.80bb.e4c0-Et1/1
相關命令
ip address dhcp
ip dhcp client
ip dhcp-server
show dhcp server
debug dhcp
3.1.5 show dhcp server
要顯示已知的DHCP服務器信息,可以使用show dhcp server命令來實現。
show dhcp server
參數
無
缺省
無
命令模式
管理態
使用說明
使用此命令可以顯示已知的DHCP服務器信息。
示例
下面的例子已知的DHCP服務器信息。
router#show dhcp sever
DHCP server: 255.255.255.255
Leases: 0
Discovers: 62 Requests: 0 Declines: 0 Releases: 0
Offers: 0 Acks: 0 Naks: 0 Bad: 0
Subnet: 0.0.0.0, Domain name:
相關命令
ip address dhcp
ip dhcp client
ip dhcp-server
show dhcp lease
3.1.6 debug dhcp
當路由器上dhcp運行時,要查看dhcp協議的處理狀況,可以運行debug dhcp命令。
debug dhcp <detail>
no debug dhcp <detail>
參數
參數 | 參數說明 |
---|---|
detail | 顯示DHCP協議報文內容。 |
缺省
缺省情況下不顯示相關信息。
命令模式
管理態
使用說明
顯示和DHCP處理相關的一些重要處理信息,舉例如下:
router#debug dhcp
router#2000-4-22 10:50:40 DHCP: Move to INIT state, xid: 0x7
2000-4-22 10:50:40 DHCP: SDISCOVER attempt # 1, sending 277 byte DHCP packet
2000-4-22 10:50:40 DHCP: B'cast on Ethernet1/1 interface from 0.0.0.0
2000-4-22 10:50:40 DHCP: Move to SELECTING state, xid: 0x7
2000-4-22 10:50:46 DHCP: SDISCOVER attempt # 2, sending 277 byte DHCPpacket
2000-4-22 10:50:46 DHCP: B'cast on Ethernet1/1 interface from 0.0.0.0
2000-4-22 10:50:54 DHCP: SDISCOVER attempt # 3, sending 277 byte DHCPpacket
相關命令
show dhcp lease
第4章 DHCP Server配置命令
4.1 DHCPD配置命令
DHCPD配置命令包括:
l ip dhcpd ping packet
l ip dhcpd ping timeout
l ip dhcpd write-time
l ip dhcpd database-agent
l ip dhcpd pool
l ip dhcpd enable
l ip dhcpd disable
4.1.1 ip dhcpd ping packet
ip dhcpd ping packet pkgs
參數
參數 | 參數說明 |
---|---|
pkgs | DHCP服務器用於檢測地址是否已經分配所發送的ICMP包個數。 |
缺省
2
命令模式
全局配置態
使用說明
用戶可以使用如下命令來配置DHCP服務器在檢查地址是否已經分配時,發送n個ICMP包。
ip dhcpd ping packets n
示例
以下命令配置DHCP服務器在檢查地址是否已經分配時,發送1個ICMP包。
ip dhcpd ping packets 1
4.1.2 ip dhcpd ping timeout
參數
參數 | 參數說明 |
---|---|
timeout | DHCP服務器用於檢測地址是否已經分配時,等待ICMP包響應的超時時間(以100毫秒爲單位)。 |
缺省
5
命令模式
全局配置態
使用說明
用戶可以使用如下命令來配置DHCP服務器在檢查地址是否已經分配時,等待ICMP包響應的超時時間爲n*100ms。
ip dhcpd ping timeout n
示例
以下命令配置DHCP服務器在檢查地址是否已經分配時,等待ICMP包響應的超時時間爲300ms。
ip dhcpd ping timeout 3
4.1.3 ip dhcpd write-time
參數
參數 | 參數說明 |
---|---|
time | DHCP服務器將地址分配信息保存到數據庫中的間隔時間(以分鐘爲單位)。 |
缺省
0
命令模式
全局配置態
使用說明
用戶可以使用如下命令來配置DHCP服務器每隔n分鐘就將地址分配信息寫入數據庫中
ip dhcpd write-time n
示例
以下命令配置DHCP服務器每隔1天將就將地址分配信息寫入數據庫中
ip dhcpd write-time 1440
4.1.4 ip dhcpd database-agent
參數
參數 | 參數說明 |
---|---|
Ip address | DHCP服務器將地址分配信息以文件形式保存到PC的地址 |
缺省
無
命令模式
全局配置態
使用說明
用戶可以使用如下命令來配置保存DHCP服務器的地址分配信息的PC的地址。
ip dhcpd database-agent X.X.X.X
如果沒有配置該地址,則將地址分配信息保存到flash。
備註:完成保存地址分配信息需要該PC啓動TFTP服務器且該PC與DHCP服務器正確連接。
示例
ip dhcpd database-agent 192.168.1.1
4.1.5 ip dhcp snooping arp
參數
無
缺省
無
命令模式
全局配置態
使用說明
使用ip dhcp snooping arp命令可以開啓ARP映射保護作用。當配置該命令後,DHCP server 將 DHCP client的MAC地址和分配的IP地址建立ARP映射並進行保護。
示例
ip dhcp snooping arp
4.1.6 ip dhcp snooping information option [ format snmp-ifindex ]
DHCP relay傳遞DHCP option82選項時需要配置該命令。使用該命令的NO形式取消配置。Option82包含DHCP relay與client的接口的信息。DHCP relay通過該選項將接口信息上傳到DHCP server,DHCP server根據該信息區分對待client。
參數
無
缺省
無
命令模式
全局配置態
使用說明
ip dhcp snooping information option配置DHCP relay在option82選項中按標準格式傳遞端口信息。
ip dhcp snooping information option format snmp-ifindex配置DHCP relay在option82選項中按SNMP接口索引格式傳遞端口信息。
示例
ip dhcp snooping information option
ip dhcp snooping information option format snmp-ifindex
4.1.7 ip dhcpd pool
參數
參數 | 參數說明 |
---|---|
name | DHCP地址池的名稱。 |
缺省
無
命令模式
全局配置態
使用說明
用戶可以使用如下命令來增加名爲name的DHCP地址池,並進入DHCP地址池配置模式
ip dhcpd pool name
示例
以下命令增加名爲test的DHCP地址池,同時進入DHCP地址池配置模式。
ip dhcpd pool test
4.1.8 ip dhcpd enable
參數
無
缺省
缺省情況下,關閉DHCP服務
命令模式
全局配置態
使用說明
用戶可以使用如下命令來打開DHCP服務。 此時,DHCP服務器也支持relay操作,對於自身不能分配的地址請求,配置了ip helper-address的端口將轉發DHCP請求。
ip dhcpd pool name
示例
以下命令打開DHCP服務。
ip dhcpd enable
4.2 DHCPD地址池的配置命令
DHCPD地址池的配置命令包括:
l network
l range
l default-router
l dns-server
l domain-name
l lease
l netbios-name-server
l ip-bind
4.2.1 network
network ip-addr netmask
參數
參數 | 參數說明 |
---|---|
ip-addr | 用於自動分配的地址池的網絡地址。 |
netmask | 子網掩碼。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置用於自動分配的地址池的網絡地址。
在配置該命令時,務必確保接收DHCP協議報文的端口上有一個端口IP地址的網絡號和network相同。
示例
以下命令配置DHCP地址池的網絡地址爲192.168.20.0,子網掩碼爲255.255.255.0。
network 192.168.20.0 255.255.255.0
4.2.2 range
range low-addr high-addr
參數
參數 | 參數說明 |
---|---|
low-addr | 用於自動分配地址區域的起始地址。 |
hogh-addr | 用於自動分配地址區域的終止地址。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置用於自動分配的地址區域。每個地址池最多可配置8個range,每個range均必須在network範圍內。此命令只用於自動分配方式,
示例
以下命令配置DHCP地址池的地址分配區域爲192.168.20.210-192.168.20.219。
range 192.168.20.210 192.168.20.219
4.2.3 default-router
default-router ip-addr
參數
參數 | 參數說明 |
---|---|
ip-addr | 分配給客戶機的缺省路由。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置分配給客戶機的缺省路由,最多可配置4個缺省路由,中間用空格分隔
示例
以下命令配置分配給DHCP客戶機的缺省路由爲192.168.20.1。
default-router 192.168.20.1
4.2.4 dns-server
dns-server ip-addr …
參數
參數 | 參數說明 |
---|---|
ip-addr | 分配給客戶機的DNS服務器地址。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置分配給客戶機的DNS服務器地址,最多可配置4個DNS服務器,中間用空格分隔。
示例
以下命令配置分配給客戶機的DNS服務器地址爲192.168.1.3
dns-server 192.168.1.3
4.2.5 domain-name
domain-name name
參數
參數 | 參數說明 |
---|---|
name | 分配給客戶機的域名。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置分配給客戶機的域名
示例
以下命令配置分配給客戶機的域名爲test.domain
domain-name test.domain
4.2.6 lease
lease {days [hours][minutes] | infinite}
參數
參數 | 參數說明 |
---|---|
days | 地址分配的天數。 |
hours | 地址分配的小時數。 |
minutes | 地址分配的分鐘數。 |
infinite | 地址永久分配。 |
缺省
1天
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置分配給客戶機的地址的時間期限。
示例
以下命令配置分配客戶機的地址的時間期限爲2天12小時。
Lease 2 12
4.2.7 netbios-name-server
netbios-name-server ip-addr
參數
參數 | 參數說明 |
---|---|
ip-addr | 分配客戶機的netbios名字服務器地址。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置分配給客戶機的netbios名字服務器地址,最多可配置4個netbios名字服務器,中間用空格分隔。
示例
以下命令配置分配給客戶機的netbios名字服務器地址爲192.168.1.10
netbios-name-server 192.168.1.10
4.2.8 ip-bind
ip-bind ip-addr [hardware-address][identifier] [host-name]
參數
參數 | 參數說明 |
---|---|
ip-addr | 用於手動分配的主機地址 |
hardware-address | 將IP地址與跟在後面的主機硬件地址綁定,硬件地址爲線分十六進制數格式:00-12-3F-28-AE-35 |
identifier | 將IP地址與跟在後面的主機標識符綁定,主機標識符爲線分十六進制數格式或單引號字符串格式 |
host-name | 將IP地址與跟在後面的主機名稱綁定,主機名稱採用字符串格式 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置用於手動分配的地址池的主機地址。
示例
以下命令配置手動分配地址192.168.20.200與硬件地址00-12-3F-28-AE-35綁定。
Ip-bind 192.168.20.200 hardware-address 00-12-3F-28-AE-35
以下命令配置手動分配地址192.168.20.200與主機名稱F-Engine-315綁定。
Ip-bind 192.168.20.200 host-name F-Engine-315
4.2.9 hardware-address
hardware-address hardware-address{ type}
參數
參數 | 參數說明 |
---|---|
hardware-address | 用於匹配客戶機的硬件地址。 |
type | 硬件地址類型。 |
缺省
type缺省值爲1 ,表示以太網
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置用於匹配客戶機的硬件地址,地址格式爲冒號分隔的兩位16進制數ab:cd:ef:gh。此命令只用於手動分配方式
示例
以下命令配置DHCP手動分配地址池的硬件地址爲10:a0:0c:13:64:7d
hardware-address 10:a0:0c:13:64:7d
4.2.10 client-identifier
client-identifier unique-identifier
參數
參數 | 參數說明 |
---|---|
unique-identifier | 用於匹配客戶機的客戶端ID。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置用於匹配客戶機的客戶端ID,格式爲點分兩位16進制數ab.cd.ef.gh。此命令只用於手動分配方式。
示例
以下命令配置DHCP手動分配地址池的客戶端ID爲01:10:a0:0c:13:64:7d
client-identifier 01.10.a0.0c.13.64.7d
4.2.11 client-name
client-name name
參數
參數 | 參數說明 |
---|---|
name | 分配給客戶機的名稱。 |
缺省
無
命令模式
DHCP地址池配置模式
使用說明
用戶可以使用此命令來配置用於手動分配給客戶機的主機名。此命令只用於手動分配方式 。
示例
以下命令配置分配給客戶機的主機名爲test。
client-name test
4.3 DHCPD的調試命令
DHCPD的調試命令包括:
l debug ip dhcpd packet
l debug ip dhcpd event
4.3.1 debug ip dhcpd packet
debug ip dhcpd packet
參數
無
缺省
無
命令模式
管理態
使用說明
用戶可以使用此命令來打開DHCPD數據包信息的debug開關。
示例
以下命令打開對DHCPD數據包的調試信息輸出開關。
debug ip dhcpd packet
4.3.2 debug ip dhcpd event
debug ip dhcpd event
參數
無
缺省
無
命令模式
管理態
使用說明
用戶可以使用此命令來打開DHCPD事件信息的debug開關。
示例
以下命令打開對DHCPD事件的調試信息輸出開關。
debug ip dhcpd event
4.4 DHCPD的管理命令
DHCPD的管理命令包括:
l show ip dhcpd statistic
l show ip dhcpd binding
l clear ip dhcpd statistic
l clear ip dhcpd binding
4.4.1 show ip dhcpd statistic
參數
無
缺省
無
命令模式
除了用戶態以外的其它狀態
使用說明
用戶可以使用此命令來顯示DHCPD的統計信息,包括各類報文的數量和自動分配、手動分配的地址數
示例
以下命令顯示DHCPD的統計信息。
Show ip dhcpd statistic
4.4.2 show ip dhcpd binding
show ip dhcpd binding{ip-addr}
參數
參數 | 參數說明 |
---|---|
ip-addr | 需要顯示綁定信息的地址. |
缺省
顯示所有的地址綁定信息。
命令模式
除了用戶態以外的其它狀態
使用說明
用戶可以使用此命令來顯示DHCPD的地址綁定信息,IP地址、硬件地址、綁定類型和超時時間
示例
以下命令顯示DHCPD的綁定信息。
Show ip dhcpd binding
4.4.3 show ip dhcpd pool
參數
無
缺省
無
命令模式
除了用戶態以外的其它狀態
使用說明
用戶可以使用此命令來顯示DHCPD的地址池信息,包括地址池的網絡號、地址範圍、已分配地址的數目、暫時廢棄的地址的數目、可以用來分配的地址數目、手動分配的IP地址和硬件地址。
示例
以下命令顯示DHCPD的地址池統計信息。
show ip dhcpd pool
4.4.4 clear ip dhcpd statistic
參數
無
缺省
無
命令模式
管理態
使用說明
用戶可以使用此命令來刪除DHCPD的關於報文數量的統計信息 。
示例
以下命令刪除DHCPD關於報文數量的統計信息。
Clear ip dhcpd statistic
4.4.5 clear ip dhcpd binding
clear ip dhcpd binding {ip-addr|*}
參數
參數 | 參數說明 |
---|---|
ip-addr | 需要刪除綁定信息的地址。 |
* | 刪除所有的綁定信息。 |
缺省
刪除指定地址綁定信息。
命令模式
管理態
使用說明
用戶可以使用此命令來刪除指定地址的綁定信息 。
示例
以下命令刪除192.168.20.210的綁定信息。
clear ip dhcpd binding 192.168.20.210
以下命令刪除192.168.20.210和192.168.20.211的綁定信息。
clear ip dhcpd binding 192.168.20.210 192168.20.211
以下命令刪除所有的綁定信息。
clear ip dhcpd binding *
4.4.6 clear ip dhcpd abandoned
參數
無
缺省
無
命令模式
管理態
使用說明
用戶可以使用此命令來清除abandon標誌。
示例
以下命令清除abandon標誌。
Clear ip dhcpd abandoned
第5章 IP服務配置命令
5.1 IP Server配置命令
IP Server配置命令包括:
l clear tcp
l clear tcp statistics
l debug arp
l debug ip icmp
l debug ip packet
l debug ip raw
l debug ip rtp
l debug ip tcp packet
l debug ip tcp transactions
l debug ip udp
l ip mask-reply
l ip mtu
l ip redirects
l ip route-cache
l ip source-route
l ip tcp synwait-time
l ip tcp window-size
l ip unreachables
l show ip cache
l show ip irdp
l show ip sockets
l show ip traffic
l show tcp
l show tcp brief
l show tcp statistics
l show tcp tcb
5.1.1 clear tcp
清除一個TCP連接。
clear tcp {local host-name port remote host-name port | tcb address}
參數
參數 | 參數說明 |
---|---|
local host-name port | 本地主機IP地址和TCP端口。 |
remote host-name port | 遠端主機IP地址和TCP端口。 |
tcb address | 要清除的TCP連接的傳輸控制塊(TCB)地址。TCB是系統內部對TCP連接的標識,可以用命令show tcp brief得到。 |
命令模式
管理態
使用說明
clear tcp命令主要是用於清除已經終止的TCP連接。在某些情況下,例如通信線路故障,TCP連接或對方主機重啓,TCP連接實際已經終止,但是由於TCP連接上一直沒有通信,系統無法及時發現這種情況,這時可以使用clear tcp命令關閉已經無效的TCP連接。其中,clear tcp local host-name port remote host-name port 命令用於終止指定的本地主機IP地址/端口和遠端主機IP地址/端口之間的TCP連接。clear tcp tcb address 命令用於終止指定TCB地址所標識的TCP連接。
示例
下面的例子清除192.168.20.22:23(本地)和192.168.20.120:4420(遠端)之間的TCP連接。show tcp brief命令顯示了當前TCP連接的本地和遠端主機信息。
Router#show tcp brief
TCB Local Address Foreign Address State
0xE85AC8 192.168.20.22:23 192.168.20.120:4420 ESTABLISHED
0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED
Router#clear tcp local 192.168.20.22 23 remote 192.168.20.120 4420
Router#show tcp brief
TCB Local Address Foreign Address State
0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED
下面的例子清除TCB地址爲0xea38c8的TCP連接。show tcp brief命令顯示了TCP連接的TCB地址。
Router#show tcp brief
TCB Local Address Foreign Address State
0xEA38C8 192.168.20.22:23 192.168.20.125:1583 ESTABLISHED
Router#clear tcp tcb 0xea38c8
Router#show tcp brief
TCB Local Address Foreign Address State
相關命令
show tcp
show tcp brief
show tcp tcb
5.1.2 clear tcp statistics
清除TCP統計數據。
clear tcp statistics
參數
該命令沒有參數或關鍵字。
命令模式
管理態
示例
用下列命令清除TCP統計數據:
Router#clear tcp statistics
相關命令
show tcp statistics
5.1.3 debug arp
顯示ARP交互信息,例如發出ARP請求,收到ARP響應,收到ARP請求,發出ARP響應等。當路由器和主機無法通信時,可以用於分析ARP交互情況。用no debug arp停止顯示信息。
debug arp
no debug arp
參數
該命令沒有參數或關鍵字。
命令模式
管理態
示例
Router#debug arp
Router#IP ARP: rcvd req src 192.168.20.116 00:90:27:a7:a9:c2, dst 192.168.20.111, Ethernet1/0
IP ARP: req filtered src 192.168.20.139 00:90:27:d5:a9:1f, dst 192.168.20.82 00:
00:00:00:00:00, wrong cable, Ethernet1/1
IP ARP: created an incomplete entry for IP address 192.168.20.77, Ethernet1/0
IP ARP: sent req src 192.168.20.22 08:00:3e:33:33:8a, dst 192.168.20.77, Ethernet1/0
IP ARP: rcvd reply src 192.168.20.77 00:30:80:d5:37:e0, dst 192.168.20.22, Ethernet1/0
第一條信息表明:路由器在接口Ethernet 1/0上收到一個ARP請求,發出請求的主機IP地址爲192.168.20.116,MAC地址爲00:90:27:a7:a9:c2,它請求IP地址爲192.168.20.111的主機的MAC地址:
IP ARP: rcvd req src 192.168.20.116 00:90:27:a7:a9:c2, dst 192.168.20.111, Ethernet1/0
第二條信息表明:路由器在接口Ethernet 1/1上收到一個來自192.168.20.139的ARP地址請求。但是,根據路由器的接口配置,這個接口並不在這臺主機所宣稱的網絡上。所以,可能是主機配置不正確。路由器如果根據這條信息建立了ARP緩存,就可能無法和連接在正常接口上的某臺配置了相同地址的主機通信。
IP ARP: req filtered src 192.168.20.139 00:90:27:d5:a9:1f, dst 192.168.20.82 00:
00:00:00:00:00, wrong cable, Ethernet1/1
第三條信息表明,路由器要解析主機192.168.20.77的MAC地址,所以在ARP緩存中爲它建立了一條不完整的ARP表項,等收到ARP應答時再填入MAC地址。根據路由器的配置,這臺主機連接在接口Ethernet 1/0上。
IP ARP: created an incomplete entry for IP address 192.168.20.77, Ethernet1/0
第四條信息表明,路由器在接口Ethernet 1/0上發出ARP請求,所帶的路由器的IP地址是192.168.20.22,接口的MAC地址是08:00:3e:33:33:8a,所請求的主機IP地址是192.168.20.77。這條信息和第三條信息是相關的。
IP ARP: sent req src 192.168.20.22 08:00:3e:33:33:8a, dst 192.168.20.77, Ethernet1/0
第五條信息表明,路由器在接口Ethernet1/0上收到了192.168.20.77發給路由器接口192.168.20.22的ARP響應,告知它的MAC地址爲00:30:80:d5:37:e0。這條信息是和第三、四條信息相關的。
IP ARP: rcvd reply src 192.168.20.77 00:30:80:d5:37:e0, dst 192.168.20.22, Ethernet1/0
5.1.4 debug ip icmp
顯示Internet控制信息協議(ICMP)的交互信息。使用命令no debug ip icmp關閉調試輸出。
debug ip icmp
no debug ip icmp
參數
該命令沒有參數或關鍵字。
命令模式
管理態
使用說明
該命令可以顯示系統收到和發出的ICMP報文,從而解決網絡端到端到的連接問題。如果要了解debug ip icmp命令輸出的詳細含義,請參見RFC 792,“Internet Control Message Protocol”。
示例
Router#debug ip icmp
Router#ICMP: sent pointer indicating to 192.168.20.124 (dst was 192.168.20.22), len 48
ICMP: rcvd echo from 192.168.20.125, len 40
ICMP: sent echo reply, src 192.168.20.22, dst 192.168.20.125, len 40
ICMP: sent dst (202.96.209.133) host unreachable to 192.168.20.124, len 36
ICMP: sent dst (192.168.20.22) protocol unreachable to 192.168.20.124, len 36
ICMP: rcvd host redirect from 192.168.20.77, for dst 22.0.0.3 use gw 192.168.20.26, len 36
ICMP: rcvd dst (22.0.0.3) host unreachable from 192.168.20.26, len 36
ICMP: sent host redirect to 192.168.20.124, for dst 22.0.0.5 use gw 192.168.20.77, len 36
ICMP: rcvd dst (2.2.2.2) host unreachable from 192.168.20.26, len 36
關於第一條信息的說明如下:
ICMP: sent pointer indicating to 192.168.20.124 (dst was 192.168.20.22), len 48
域 | 描述 |
---|---|
ICMP: | 顯示的是Internet控制信息協議(ICMP)報文的信息。 |
Sent | 發送ICMP報文。 |
pointer indicating | ICMP報文類型,這個ICMP報文表示原始IP報文參數錯誤,並指出錯誤的域。其它類型的ICMP報文有: echo reply(迴應應答) dst unreachable(目的不可到達),包括: ---net unreachable(網絡不可到達) ---host unreachable(主機不可到達) ---protocol unreachable(協議不可到達) ---port unreachable(端口不可到達) ---fragmentation needed and DF set(需要分片,但DF位被置位) ---source route failed(源路由失敗) ---net unknown(未知網絡) ---destination host unknown(未知主機) ---source host isolated(源主機被隔離) ---net prohibited(與網絡的通信被禁止) ---host prohibited(與主機的通信被禁止) ---net tos unreachable(對請求的服務類型,網絡不可到達) ---host tos unreachable(對請求的服務類型,主機不可到達) source quench(源抑制) redirect(重定向),包括: ---net redirect(網絡重定向) ---host redirect(主機重定向) ---net tos redirect(對服務類型和網絡的重定向) ---host tos redirect(對服務類型和主機的重定向) echo(迴應請求) router advertisement(路由器廣告) router solicitation(路由器請求) time exceeded(超時),包括: ---ttl exceeded(ttl超時) ---reassembly timeout(重組超時) parameter problem(一般參數問題),包括: ---pointer indicating(指出錯誤參數) ---option missed(缺少選項) ---bad length(長度錯誤) timestamp(時戳) timestamp reply(時戳應答) information request(信息請求) information reply(信息應答) mask request(掩碼請求) mask reply(掩碼應答) 如果是系統未知的ICMP類型,系統將顯示ICMP類型和代碼的值。 |
to 192.168.20.124 | ICMP報文的目的地址是192.168.20.124,這也是引起這個ICMP報文的原始報文的源地址。 |
(dst was 192.168.20.22) | 引起ICMP報文的原始報文的目的地址是192.168.20.22。 |
len 48 | ICMP報文的長度是48字節,其中不包括IP報頭長度。 |
關於第二條信息的說明如下:
ICMP: rcvd echo from 192.168.20.125, len 40
域 | 描述 |
---|---|
rcvd | 收到ICMP報文。 |
echo | ICMP報文類型,是迴應請求報文。 |
from 192.168.20.125 | ICMP報文的源地址是192.168.20.125。 |
關於第三條信息的說明如下:
ICMP: sent echo reply, src 192.168.20.22, dst 192.168.20.125, len 40
域 | 命令 |
---|---|
src 192.168.20.22 | ICMP報文的源地址是192.168.20.22。 |
dst 192.168.20.125 | ICMP報文的目的地址是192.168.20.125。 |
根據ICMP報文類型的不同,產生的ICMP報文信息採用不同的格式,以便顯示報文內容。
例如,對於ICMP重定向報文,採用下列格式打印:
ICMP: rcvd host redirect from 192.168.20.77, for dst 22.0.0.3 use gw 192.168.20.26, len 36
ICMP: sent host redirect to 192.168.20.124, for dst 22.0.0.5 use gw 192.168.20.77, len 36
其中第一條信息表示,收到來自主機192.168.20.77的ICMP主機重定向報文,建議使用網關192.168.20.26到達目的主機22.0.0.3,ICMP報文長度36字節。
第二條信息表示,發送ICMP主機重定向報文到192.168.20.124,通知它使用網關192.168.20.77到達主機22.0.0.5, ICMP報文長度36字節。
對於ICMP目的不可到達報文,採用下列格式打印:
ICMP: sent dst (202.96.209.133) host unreachable to 192.168.20.124, len 36
ICMP: rcvd dst (2.2.2.2) host unreachable from 192.168.20.26, len 36
其中,第一條信息表示,路由器無法路由某個IP報文,所以向報文的源主機192.168.20.124發送ICMP目的主機(202.96.209.133)不可到達報文, ICMP報文長度36字節。
第二條信息表示,路由器收到一個來自主機192.168.20.26的ICMP報文,通知目的主機(2.2.2.2)不可到達, ICMP報文長度36字節。
5.1.5 debug ip packet
顯示Internet協議(IP)的交互信息。使用no debug ip packet停止顯示信息。
debug ip packet [detail] [ip-access-list-name]
no debug ip packet
參數
參數 | 參數說明 |
---|---|
detail | (可選)輸出IP報文封裝的協議信息,如協議號,UDP、TCP端口號,ICMP報文類型等。 |
ip-access-list-name | (可選)用於過濾輸出信息的IP訪問表名稱。只有滿足指定IP訪問表的IP報文的信息纔會被輸出。 |
access-group | (可選)用於過濾輸出信息的IP訪問表名稱。只有滿足指定IP訪問表的IP報文的信息纔會被輸出。 |
interface | (可選)用於過濾輸出信息的端口名稱。只有滿足指定端口的IP報文的信息纔會被輸出。 |
命令模式
管理態
使用說明
這條命令可以幫助瞭解每個收到的或是本地產生的IP報文的最終流向,瞭解通信發生問題的原因。
可能的情況有:
l 被轉發
l 被作爲廣播報文或多播報文轉發
l 轉發時尋徑失敗
l 發送redirect報文
l 由於帶有源路由選項被拒絕
l 由於非法的IP options被拒絕
l 源路由
l 本地發送報文需要分片,但是DF位被置位
l 收到報文
l 收到IP分片
l 發送報文
l 發送廣播/多播
l 本地生成報文尋徑失敗
l 本地生成報文被分片
l 收到報文被過濾
l 發送報文被過濾
l 鏈路層封裝失敗(只限於以太網)
l 未知協議
使用這條命令可能會有大量的輸出信息,所以最好在路由器比較空閒的時候使用,否則將嚴重影響系統性能。另外,儘可能使用訪問表過濾輸出,使系統只顯示用戶感興趣的報文信息。
命令模式
管理態
示例
router#debug ip packet
router#IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.1, len=60, redirected
IP: s=192.168.20.22 (local), d=192.168.20.120 (Ethernet1/0), g=192.168.20.120, len=56, sending
IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.1, len=60, forward
IP: s=192.168.20.81 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=56, rcvd
域 | 描述 |
---|---|
IP | 表示這條信息是關於IP報文的。 |
s=192.168.20.120 (Ethernet1/0) | IP報文的源地址和收到報文的接口名稱(如果不是本地生成的報文)。 |
d=19.0.0.9 (Ethernet1/0) | IP報文的目的地址和發送報文的接口名稱(如果路由成功的話)。 |
g=192.168.20.1 | IP報文的下一跳目的地址,可能是網關地址,也可能就是目的地址。 |
len | IP報文的長度。 |
redirected | 表示路由器將向這個報文的源主機發送ICMP重定向報文。其它情況還有: forward---報文被轉發。 forward directed broadcast---報文作爲定向廣播被轉發,報文將在發送接口上轉成物理廣播。 unroutable---報文尋徑失敗,將被丟棄。 source route---源路由。 rejected source route---系統當前不支持源路由,因此拒絕帶IP源路由選項的報文。 bad options---IP選項錯誤,報文被丟棄。 need frag but DF set---本地報文需要分片,但是DF被置位。 rcvd---報文被本地接收。 rcvd fragment---收到報文分片。 sending---發送本地生成報文。 sending broad/multicast---發送本地生成的廣播/多播報文。 sending fragment---發送在本地分片的IP報文。 denied by in acl---被接收接口的接收訪問表拒絕。 denied by out acl---被髮送接口的發送訪問表拒絕。 unknown protocol---未知協議。 encapsulation failed---協議封裝失敗,只限於以太網。當要在以太網接口上發送的報文由於ARP解析失敗而被丟棄時,顯示這條信息。 |
第一條信息表明,路由器收到一個IP報文,它的源地址是192.168.20.120,來自接口Ethernet1/0所連接的網段,目的地址是19.0.0.9,根據路由表確定的發送接口是Ethernet1/0,網關地址是192.168.20.1,報文長度爲60字節。發現網關和發出IP報文的源主機直連在同一網絡上,也就是路由器的接口Ethernet1/0所連接的網絡上,所以路由器發出 ICMP 重定向報文。
IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.1, len=60, redirected
第二條信息,描述了ICMP重定向報文的發送,源地址是本地地址192.168.20.22,目的地址是上述報文的源地址192.168.20.120,從接口Ethernet1/0發出,由於是直接到達目的地,所以網關地址就是目的地址192.168.20.120,ICMP重定向報文長度爲56字節。
IP: s=192.168.20.22 (local), d=192.168.20.120 (Ethernet1/0), g=192.168.20.120, len=56, sending
第三條信息表明,IP層收到一個IP報文,報文的源地址是192.168.20.120,接收接口爲Ethernet1/0,報文的目的地址是19.0.0.9,通過查找路由表,發現需要轉發這個報文到接口Ethernet1/0,網關是192.168.20.77,報文長度爲60字節。這條信息顯示的是系統在發出ICMP重定向報文以後,轉發第一條信息顯示的報文。
IP: s=192.168.20.120 (Ethernet1/0), d=19.0.0.9 (Ethernet1/0), g=192.168.20.77, len=60, forward
第四條信息表示,IP層收到一個IP報文,源地址是192.168.20.81,接收接口是Ethernet1/0, 目的地址是192.168.20.22,是在路由器接口Ethernet1/0上配置的一個IP地址,報文長度是56字節,本地接收。
IP: s=192.168.20.81 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=56, rcvd
下面介紹debug ip packet detail命令的輸出,只說明其中新增的部分:
router#debug ip packet detail
router#IP: s=192.168.12.8 (Ethernet1/0), d=255.255.255.255 (Ethernet1/0), len=328, rcvd, UDP: src=68, dst=67
IP: s=192.168.20.26 (Ethernet1/0), d=224.0.0.5 (Ethernet1/0), len=68, rcvd, proto=89
IP: s=192.168.20.125 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=84, rcvd, ICMP: type=0, code = 0
IP: s=192.168.20.22 (local), d=192.168.20.124 (Ethernet1/0), g=192.168.20.124, len=40, sending, TCP: src=1024, dst=23, seq=75098622, ack=161000466, win=17520, ACK
域 | 描述 |
---|---|
UDP | 協議名稱,例如UDP, ICMP, TCP等。其它協議用協議號表示。 |
type, code | ICMP報文的類型和代碼值。 |
src, dst | UDP和TCP報文的源端口和目的端口。 |
seq | TCP報文的序列號。 |
ack | TCP報文的確認號。 |
win | TCP報文的窗口值。 |
ACK | TCP報文的控制比特中ACK被置位,表明確認序列號有效。其它的控制比特是SYN, URG, FIN, PSH, RST。 |
第一條信息表明,收到UDP報文,源端口是68,目的端口是67。
IP: s=192.168.12.8 (Ethernet1/0), d=255.255.255.255 (Ethernet1/0), len=328, rcvd, UDP: src=68, dst=67
第二條信息表明,收到報文的協議號爲89。
IP: s=192.168.20.26 (Ethernet1/0), d=224.0.0.5 (Ethernet1/0), len=68, rcvd, proto=89
第三條信息表明,收到ICMP報文,報文類型爲0,代碼爲0。
IP: s=192.168.20.125 (Ethernet1/0), d=192.168.20.22 (Ethernet1/0), len=84, rcvd, ICMP: type=0, code = 0
第四條信息表明,發送TCP報文,源端口爲1024,目的端口爲23,序列號爲75098622,確認號爲161000466,接收窗口尺寸爲17520,ACK標誌位被置位。關於這些域的含義,請參見RFC 793— TRANSMISSION CONTROL PROTOCOL。
IP: s=192.168.20.22 (local), d=192.168.20.124 (Ethernet1/0), g=192.168.20.124, len=40, sending, TCP: src=1024, dst=23, seq=75098622, ack=161000466, win=17520, ACK
下面介紹如何使用訪問控制表。例如,要求只顯示源地址是192.168.20.125的報文信息,首先定義標準訪問控制表abc,只允許源地址是192.168.20.125的IP報文。然後,在debug ip packet命令中使用該訪問控制表。
Router#config
Router_config#ip access-list standard abc
Router_config_std_nacl#permit 192.168.20.125
Router_config_std_nacl#exit
Router_config#exit
Router#debug ip packet abc
Router#IP: s=192.168.20.125 (Ethernet0/1), d=192.168.20.22 (Ethernet0/1), len=48, rcvd
上述命令使用的是標準的訪問控制表,也可以使用擴展訪問控制表。
相關命令
debug ip tcp packet
5.1.6 debug ip raw
顯示Internet協議(IP)的交互信息。使用no debug ip raw停止顯示信息。
debug ip raw [detail] [access-list-group] [interface]
no debug ip raw
參數
參數 | 參數說明 |
---|---|
detail | (可選)輸出IP報文封裝的協議信息,如協議號,UDP、TCP端口號,ICMP報文類型等。 |
access-group | (可選)用於過濾輸出信息的IP訪問表名稱。只有滿足指定IP訪問表的IP報文的信息纔會被輸出。 |
interface | (可選)用於過濾輸出信息的端口名稱。只有滿足指定端口的IP報文的信息纔會被輸出。 |
命令模式
管理態
使用說明
這條命令可以幫助瞭解每個收到的或是本地產生的IP報文的最終流向,瞭解通信發生問題的原因。
可能的情況有:
l 被轉發
l 被作爲廣播報文或多播報文轉發
l 轉發時尋徑失敗
l 發送redirect報文
l 由於帶有源路由選項被拒絕
l 由於非法的IP options被拒絕
l 源路由
l 本地發送報文需要分片,但是DF位被置位
l 收到報文
l 收到IP分片
l 發送報文
l 發送廣播/多播
l 本地生成報文尋徑失敗
l 本地生成報文被分片
l 收到報文被過濾
l 發送報文被過濾
l 鏈路層封裝失敗(只限於以太網)
l 未知協議
使用這條命令可能會有大量的輸出信息,所以最好在路由器比較空閒的時候使用,否則將嚴重影響系統性能。另外,儘可能使用訪問表過濾輸出,使系統只顯示用戶感興趣的報文信息。
示例
與debug ip packet一至,故略。
相關命令
debug ip tcp packet
5.1.7 debug ip rtp
顯示頭部壓縮的交互信息。使用no debug ip rtp停止顯示信息。
debug ip rtp {header-compression|packets |rtcp}
no debug ip rtp {header-compression|packets |rtcp}
參數
參數 | 參數說明 |
---|---|
header-compress | RTP/UDP/IP頭部壓縮事件。 |
packets | RTP/UDP/IP頭部壓縮交互數據報。 |
rtcp | TCP/IP頭部壓縮交互數據報。 |
命令模式
管理態
使用說明
這條命令可以幫助瞭解頭部壓縮交互的具體過程。
使用這條命令可能會有大量的輸出信息,所以最好在路由器比較空閒的時候使用,否則將嚴重影響系統性能。
示例
router#debug ip rtp header-compress
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: new connection, conn 0,
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7078, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7079, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7080, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7081, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7082, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7083, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7084, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7085, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7086, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4024, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7087, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4025, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4026, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7088, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7089, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4027, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7090, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4028, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7091, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4029, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7092, Gen = 0
2002-1-9 21:36:42
21:32:05: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4030, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7093, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7094, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4032, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7095, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4033, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7096, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4034, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7097, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7098, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4036, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7099, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4037, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7100, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4038, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7101, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: tossing error packet
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7102, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4040, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7103, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4041, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7104, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4042, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7105, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7106, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4044, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7107, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4045, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output uncompressed, conn 0, cksum 0x0000, seq 7108, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv COMPRESSED_RTP, conn 0, cksum 0x0000, seq 4046, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7109, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: output COMPRESSED_RTP, conn 0, cksum 0x0000, seq 7110, Gen = 0
2002-1-9 21:36:43
21:32:06: RHC Serial1/0: recv uncompress, conn 0, cksum 0x0000, seq 4048, Gen = 0
no deb all
5.1.8 debug ip tcp packet
顯示傳輸控制協議(TCP)報文的收發信息。用no debug ip tcp packet停止顯示。
debug ip tcp packet
no debug ip tcp packet
參數
該命令沒有參數或關鍵字。
命令模式
管理態
示例
Router#debug ip tcp packet
Router#tcp: O ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 50659460
DATA 1 ACK 3130379810 PSH WIN 4380
tcp: I ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 3130379810
DATA 2 ACK 50659460 PSH WIN 16372
tcp: O ESTABLISHED 192.168.20.22:23 192.168.20.125:3828 seq 50659461
DATA 50 ACK 3130379812 PSH WIN 4380
tcp: O FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 50659511
ACK 3130379812 FIN WIN 4380
tcp: I FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 3130379812
ACK 50659511 WIN 16321
tcp: I FIN_WAIT_1 192.168.20.22:23 192.168.20.125:3828 seq 3130379812
ACK 50659512 WIN 16321
tcp: I FIN_WAIT_2 192.168.20.22:23 192.168.20.125:3828 seq 3130379812
ACK 50659512 FIN WIN 16321
tcp: O TIME_WAIT 192.168.20.22:23 192.168.20.125:3828 seq 50659512
ACK 3130379813 WIN 4380
tcp: I LISTEN 0.0.0.0:23 0.0.0.0:0 seq 3813109318
DATA 2 ACK 8057944 PSH WIN 17440
tcp: O LISTEN 0.0.0.0:23 0.0.0.0:0 seq 8057944
RST
域 | 描述 |
---|---|
tcp: | 表示關於TCP報文的信息。 |
O | 發送TCP報文。 |
ESTABLISHED | TCP連接的當前狀態。關於TCP連接狀態的描述,參見debug ip tcp transactions命令說明。 |
192.168.20.22:23 | 報文的源地址是192.168.20.22,源端口是23。 |
192.168.20.125:3828 | 報文的目的地址是192.168.20.125,目的端口是3828。 |
seq 50659460 | 報文的序列號是50659460。 |
DATA 1 | 報文包含的有效數據字節數是1個。 |
ACK 3130379810 | 報文的確認號是3130379810。 |
PSH | 報文的控制比特中PSH被置位。 其它的控制比特位有ACK, FIN, SYN, URG, RST。 |
WIN 4380 | 報文的窗口域用於通知對方接收端接收緩存區大小,目前是4380字節。 |
I | 接收TCP報文。 |
如果上述某些域沒有出現在顯示中,說明在這個TCP報文中該域沒有有效值。
相關命令
debug ip tcp transactions
5.1.9 debug ip tcp transactions
顯示傳輸控制協議(TCP)的重要交互信息,例如TCP連接狀態改變等。用no debug ip tcp transactions停止顯示。
debug ip tcp transactions
no debug ip tcp transactions
參數
該命令沒有參數或關鍵字。
命令模式
管理態
示例
Router#debug ip tcp transactions
Router#TCP: rcvd connection attempt to port 23
TCP: TCB 0xE88AC8 created
TCP: state was LISTEN -> SYN_RCVD [23 -> 192.168.20.125:3828]
TCP: sending SYN, seq 50658312, ack 3130379657 [23 -> 192.168.20.125:3828]
TCP: state was SYN_RCVD -> ESTABLISHED [23 -> 192.168.20.125:3828]
TCP: connection closed by user, state was LISTEN [23 -> 0.0.0.0:0]
TCP: state was TIME_WAIT -> CLOSED [23 -> 192.168.20.125:3827]
TCP: TCB 0xE923C8 deleted
TCP: TCB 0xE7DBC8 created
TCP: connection to 192.168.20.124:513 from 192.168.20.22:1022, state was CLOSED to SYN_SENT
TCP: sending SYN, seq 52188680, ack 0 [1022 -> 192.168.20.124:513]
TCP: state was SYN_SENT -> ESTABLISHED [1022 -> 192.168.20.124:513]
TCP: rcvd FIN, state was ESTABLISHED -> CLOSE_WAIT [1022 -> 192.168.20.124:513]
TCP: connection closed by user, state was CLOSE_WAIT [1022 -> 192.168.20.124:513]
TCP: sending FIN [1022 -> 192.168.20.124:513]
TCP: connection closed by user, state was LAST_ACK [1022 -> 192.168.20.124:513]
TCP: state was LAST_ACK -> CLOSED [1022 -> 192.168.20.124:513]
TCP: TCB 0xE7DBC8 deleted
域 | 描述 |
---|---|
TCP: | 表示顯示TCP交互信息。 |
rcvd connection attempt to port 23 | 收到對端口23(telnet端口)的連接請求。 |
TCB 0xE88AC8 created | 生成一個新的TCP連接控制塊,其標識爲0xE88AC8。 |
state was LISTEN -> SYN_RCVD | 表示TCP狀態機的狀態從LISTEN 轉到 SYN_RCVD。 可能的TCP狀態有: LISTEN---等待來自任意遠端主機的TCP連接請求。 SYN_SENT---發出連接請求以發起TCP連接協商,正在等待對方的應答。 SYN_RCVD---收到對方的連接請求併發出確認,也發出了自己的連接請求,正在等待對方的連接請求確認。 ESTABLISHED---表示連接建立成功,處於數據傳送階段,可以收發上層應用的數據。 FIN_WAIT_1---已經向對方發出連接終止請求,等待對方的確認,以及對方的連接終止請求。 FIN_WAIT_2---已經向對方發出連接終止請求,並收到對方的確認,正在等待對方的連接終止請求。 CLOSE_WAIT---收到對方的連接終止請求,發出確認,正在等待本地用戶關閉連接,一旦用戶要求關閉連接,系統將發出連接終止請求。 CLOSING---已經向對方發出連接終止請求,也收到對方的連接終止請求併發出確認,正在等待對方對本地連接終止請求的確認。 LAST_ACK---已經收到對方的連接終止請求並確認,發出連接終止請求,正在等待確認。 TIME_WAIT---正在等待足夠的時間以確定對方收到了本地對它的連接終止請求的確認,以及仍在網絡中傳輸的有關這個連接的報文到達目的地或是被丟棄。 CLOSED---表示完全沒有連接或者連接已經完全關閉。 如果要了解更爲詳細的信息,請參閱RFC 793,TRANSMISSION CONTROL PROTOCOL。 |
[23 -> 192.168.20.125:3828] | 在括號中: 第一個域(23)表示本地TCP端口。 第二個域(192.168.20.125)表示遠端IP地址。 第三個域(3828)表示遠端TCP端口。 |
sending SYN | 發出一個連接請求報文(TCP報頭控制比特中的SYN置位)。其它的TCP控制比特包括SYN, ACK, FIN, PSH, RST和URG。 |
seq 50658312 | 發出報文的序列號爲50658312。 |
ack 3130379657 | 發出報文的確認號爲3130379657。 |
rcvd FIN | 收到連接終止請求(TCP報頭控制比特中的FIN置位)。 |
connection closed by user | 上層應用要求關閉TCP連接。 |
connection timed out | 連接超時被關閉。 |
相關命令
debug ip tcp packet
5.1.10 debug ip udp
顯示用戶數據報協議(UDP)的交互信息。使用命令no debug ip udp停止顯示。
debug ip udp
no debug ip udp
參數
該命令沒有參數或關鍵字。
命令模式
管理態
示例
Router#debug ip udp
Router#UDP: rcvd src 192.168.20.99(520), dst 192.168.20.255(520), len = 32
UDP: sent src 192.168.20.22(20001), dst 192.168.20.43(1001), len = 1008
域 | 描述 |
---|---|
UDP: | 表示這條信息是關於UDP報文的。 |
rcvd | 收到報文。 |
sent | 發出報文。 |
src | UDP報文的源IP地址和UDP端口。 |
dst | UDP報文的目的IP地址和UDP端口。 |
len | UDP報文的長度。 |
所以,第一條信息說明收到一個UDP報文,來自主機192.168.20.99,端口爲520,目的地址是192.168.20.255,目的端口是520,報文長度爲32字節。
第二條信息說明發出一個UDP報文,本地地址是192.168.20.22,端口是20001,目的地址是192.168.20.43,目的端口是1001,報文長度爲1008字節。
5.1.11 ip mask-reply
要求路由器在指定接口上回應 IP 地址掩碼請求。如果要關閉這項功能,使用no ip mask-reply。
ip mask-reply
no ip mask-reply
default ip mask-reply
參數
該命令沒有參數或關鍵字。
缺省
不應答IP地址掩碼請求。
命令模式
接口配置態
示例
!
interface ethernet 1/1
ip mask-reply
!
5.1.12 ip mtu
設置接口發出的IP報文的最大發送單元(MTU)長度,使用ip mtu命令。如果要重新使用MTU缺省值,使用no ip mtu命令。
ip mtu bytes
no ip mtu
參數
參數 | 參數說明 |
---|---|
bytes | 以字節計算的IP最大傳輸長度。 |
缺省
根據接口物理介質的不同,和接口上的最大傳輸長度(mtu)相同。最小是68字節。
命令模式
接口配置態
使用說明
如果IP報文長度超過接口設置的IP MTU,路由器將對報文分片。所有連在同一物理介質上的設備,應該設置相同的協議MTU才能通信。MTU值(通過接口配置命令mtu設置)會影響IP MTU值。如果IP MTU值和MTU值相同,當改變MTU值時,IP MTU的值會自動改變爲新的MTU值。反之,改變IP MTU值不會影響MTU值。
IP MTU最小值爲68字節,最大值不超過接口配置的MTU。
示例
下列命令把接口的IP MTU設爲200:
!
interface serial0/0
ip mtu 200
!
相關命令
mtu
5.1.13 ip redirects
發送IP ICMP重定向報文。不發送ICMP重定向報文,用命令no ip redirects。
ip redirects
no ip redirects
參數
命令沒有參數或關鍵字。
缺省
一般情況下,IP重定向報文是缺省被髮送的。但是,如果用戶在接口上配置了熱備份路由器協議,該項功能將被自動關閉。而且,如果以後熱備份路由器協議的配置被取消,這項功能不會自動打開。
命令模式
接口配置態
使用說明
當路由器在轉發報文時發現網關所在的轉發接口和收到報文的接口相同,而且發送報文的主機就直連在這個接口的邏輯網絡上的話,根據協議,它可以發出一個ICMP重定向報文,通知源主機直接把那個路由器作爲到報文目的地址的網關,而不再經過這臺路由器轉發。
如果接口配置了熱備份路由器協議,發送IP重定向報文可能導致報文丟失。
示例
下面的命令在接口ethernet1/0上打開發送ICMP重定向報文的功能:
!
interface ethernet 1/0
ip redirects
!
5.1.14 ip route-cache
在接口上設置是否允許使用路由緩存來轉發IP報文。使用no ip route-cache命令禁止使用路由緩存。
ip route-cache
no ip route-cache
ip route-cache same-interface
no ip route-cache same-interface
參數
參數 | 參數說明 |
---|---|
same-interface | 允許IP報文被快速交換出接收接口。 |
缺省
在接口上允許快速交換,禁止同一接口的快速交換。
命令模式
接口配置態
使用說明
路由緩存基於源地址/目的地址對轉發報文進行負載均衡。
允許路由緩存會提高路由器的報文轉發性能。但是在低速線路(64k或更低)上,通常應該禁止路由緩存。
用戶可以用命令ip route-cache same-interface允許同一接口的IP快速交換,即接收接口和發送接口相同。通常情況下,建議不要開啓這一功能,因爲和路由器的重定向功能衝突。如果用戶有一個不完全連接的網絡,例如幀中繼,可以在幀中繼接口開啓這項功能。例如路由器A, B, C共同構成一個幀中繼網絡,但只有A—B和B—C的鏈路,A和C的通信必須由B中轉:A—B—C,B從接口的一個DLCI收到A的報文,然後又從同一接口經另一個DLCI發送到C。
示例
下列命令允許同一接口的快速交換:
ip route-cache same-interface
下列命令禁止快速交換,包括同一接口的快速交換:
no ip route-cache
下列命令只禁止同一接口的快速交換:
no ip route-cache same-interface
下列命令使系統回到缺省配置(允許快速交換,禁止同一接口的快速交換):
ip route-cache
相關命令
show ip cache
5.1.15 ip source-route
允許路由器處理帶IP源路由選項的IP報文。如果要求路由器丟棄任何帶IP源路由選項的IP報文,使用no ip source-route命令。
ip source-route
no ip source-route
參數
該命令沒有參數或關鍵字。
缺省
處理帶IP源路由選項的IP報文。
命令模式
全局配置態
示例
下列命令要求處理帶IP源路由選項的IP報文:
ip source-route
相關命令
ping
5.1.16 ip tcp synwait-time
設置路由器等待TCP連接成功的超時時間。如果要回到缺省時間,使用no ip tcp synwait-time命令。
ip tcp synwait-time seconds
no ip tcp synwait-time
參數
參數 | 參數說明 |
---|---|
seconds | 以秒爲單位的TCP連接等待時間。有效取值在5 ~ 300秒之間。缺省是75秒。 |
缺省
75秒
命令模式
全局配置態
使用說明
當路由器發起TCP連接時,如果在TCP連接等待時間之後連接仍沒有建立成功,則路由器認爲連接失敗,並把這一結果返回給上層應用程序。用戶可以設置TCP等待連接建立成功的時間,缺省是75秒。這個選項與經過路由器轉發的TCP連接報文無關,而只與路由器本機的TCP連接有關。
如果要知道當前值,使用命令ip tcp synwait-time ?,在方括號[]中的值就是當前值。
示例
下面的例子把TCP連接等待時間設爲30秒:
Router_config#ip tcp synwait-time 30
Router_config#ip tcp synwait-time ?
<5-300>[30] seconds -- wait time
5.1.17 ip tcp window-size
設置TCP窗口尺寸。 如果要回到缺省值,使用no ip tcp window-size命令。
ip tcp window-size bytes
no ip tcp window-size
參數
參數 | 參數說明 |
---|---|
bytes | 以字節爲單位的窗口尺寸。最大是65535字節。缺省是2000字節。 |
缺省
2000字節
命令模式
全局配置態
使用說明
除非明確知道爲什麼要改變缺省值,否則不要輕易改變。如果要知道當前值,使用命令ip tcp window-size ?,在方括號[]中的值就是當前值。
示例
下面的例子把TCP窗口尺寸設爲6000字節:
Router_config#ip tcp window-size 6000
Router_config#ip tcp window-size ?
<1-65535>[6000] bytes -- Window size
5.1.18 ip unreachables
設置路由器發出ICMP不可到達報文。如果要求路由器停止發送,使用no ip unreachables命令。
ip unreachable
no ip unreachable
參數
該命令沒有參數或者關鍵字。
缺省
發送ICMP unreachable報文。
命令模式
接口配置態
使用說明
路由器在轉發IP報文的時候,可能發現路由表中沒有相關路由,導致報文被丟棄,這時,路由器可以向源主機發出ICMP不可到達報文,通知源主機這一情況,以便源主機及時發現錯誤,並進行更正。
示例
下面的例子設置在接口ethernet 1/0上發送ICMP不可到達報文:
!
interface ethernet 1/0
ip unreachables
!
5.1.19 show ip cache
顯示用於IP快速交換的路由緩存。
show ip cache [prefix mask] [type number]
參數
參數 | 參數說明 |
---|---|
prefix mask | (可選)只顯示錶項的目的地址和用戶所鍵入指定的前綴/掩碼相匹配的表項。 |
type number | (可選)只顯示錶項的發送接口和用戶所鍵入指定的接口類型/編號相匹配的表項。 |
rsvp | (可選)只顯示與RSVP相關的表項,說明此表項RSVP正在使用。 |
命令模式
管理態
示例
下面的例子顯示路由緩存:
Router#show ip cache
Source Destination Interface Next Hop
192.168.20.125 2.0.0.124 Serial1/0 2.0.0.124
192.168.20.124 192.168.30.124 Serial1/0 2.0.0.124
2.0.0.124 192.168.20.125 Ethernet1/1 192.168.20.125
域 | 描述 |
---|---|
Source | 源地址。 |
Destination | 目的地址。 |
Interface | 發送接口的類型和編號。 |
Next Hop | 網關地址。 |
下面的例子顯示目的地址和指定前綴/掩碼匹配的路由緩存:
Router#show ip cache 192.168.20.0 255.255.255.0
Source Destination Interface Next Hop
2.0.0.124 192.168.20.125 Ethernet0/1 192.168.20.125
下面的例子顯示發送接口和指定的接口類型/掩碼匹配的路由緩存:
Router#show ip cache s1/0
Source Destination Interface Next Hop
192.168.20.125 2.0.0.124 Serial1/0 2.0.0.124
192.168.20.124 192.168.30.124 Serial1/0 2.0.0.124
5.1.20 show ip irdp
顯示irdp protocl信息。
參數
該命令沒有參數或者關鍵字。
命令模式
管理態
示例
xuhao_config_e1/0# show ip irdp
Async0/0 ICMP router discovery protocol(IRDP) : OFF
Ethernet1/0 ICMP router discovery protocol(IRDP) : ON
Advertisements occur between every 450 and 600 seconds
Advertisements are sent as broadcasts
Advertisements valid in 1800 seconds
Default preference : 0
Ethernet1/1 ICMP router discovery protocol(IRDP) : OFF
Null0 ICMP router discovery protocol(IRDP) : OFF
Loopback7 ICMP router discovery protocol(IRDP) : OFF
Loopback10 ICMP router discovery protocol(IRDP) : OFF
5.1.21 show ip sockets
顯示socket信息。
show ip sockets
參數
該命令沒有參數或者關鍵字。
命令模式
管理態
示例
Router#show ip sockets
Proto | Local | Port | Remote | Port | In | Out | ||
---|---|---|---|---|---|---|---|---|
17 | 0.0.0.0 | 0 | 0.0.0.0 | 0 | 161 | 0 | ||
6 | 0.0.0.0 | 0 | 0.0.0.0 | 0 | 513 | 0 | ||
17 | 0.0.0.0 | 0 | 0.0.0.0 | 0 | 1698 | 0 | ||
17 | 0.0.0.0 | 0 | 0.0.0.0 | 0 | 69 | 0 | ||
6 | 0.0.0.0 | 0 | 0.0.0.0 | 0 | 23 | 0 | ||
17 | 0.0.0.0 | 0 | 0.0.0.0 | 0 | 137 | 122590 | ||
域 | 描述 | |||||||
Proto(協議) | IP協議號。17是UDP,6是TCP。 | |||||||
Remote(遠端) | 遠端地址。 | |||||||
Port(端口) | 遠端端口。 | |||||||
Local(本地) | 本地地址。 | |||||||
Port(端口) | 本地端口。 | |||||||
In(接收) | 接收字節總數。 | |||||||
Out(發送) | 發送字節總數。 | |||||||
5.1.22 show ip traffic
顯示IP流量統計信息。
show ip traffic
參數
該命令沒有參數或者關鍵字。
命令模式
管理態
示例
Router#show ip traffic
IP statistics:
Rcvd: 0 total, 0 local destination, 0 delivered
0 format errors, 0 checksum errors, 0 bad ttl count
0 bad destination address, 0 unknown protocol, 0 discarded
0 filtered , 0 bad options, 0 with options
Opts: 0 loose source route, 0 record route, 0 strict source route
0 timestamp, 0 router alert, 0 others
Frags: 0 fragments, 0 reassembled, 0 dropped
0 fragmented, 0 fragments, 0 couldn't fragment
Bcast: 0 received, 0 sent
Mcast: 0 received, 0 sent
Sent: 230 generated, 0 forwarded
0 filtered, 0 no route, 0 discarded
ICMP statistics:
Rcvd: 0 total, 0 format errors, 0 checksum errors
0 redirect, 0 unreachable, 0 source quench
0 echos, 0 echo replies, 0 mask requests, 0 mask replies
0 parameter problem, 0 timestamps, 0 timestamp replies
0 time exceeded, 0 router solicitations, 0 router advertisements
Sent: 0 total, 0 errors
0 redirects, 0 unreachable, 0 source quench
0 echos, 0 echo replies, 0 mask requests, 0 mask replies
0 parameter problem, 0 timestamps, 0 timestamp replies
0 time exceeded, 0 router solicitations, 0 router advertisements
UDP statistics:
Rcvd: 28 total, 0 checksum errors, 22 no port, 0 full sock
Sent: 0 total
TCP statistics:
Rcvd: 0 total, 0 checksum errors, 0 no port
Sent: 3 total
IGMP statistics:
Rcvd: 0 total, 0 format errors, 0 checksum errors
0 host queries, 0 host reports
Sent: 0 host reports
ARP statistics:
Rcvd: 8 total, 7 requests, 1 replies, 0 reverse, 0 other
Sent: 5 total, 5 requests, 0 replies (0 proxy), 0 reverse
域 | 描述 |
---|---|
format errors(格式錯誤) | 報文格式錯誤,例如IP報頭長度錯誤 |
bad hop count(TTL錯誤) | 路由器在轉發報文時,發現報文的TTL值被減到0。報文將被丟棄。 |
no route(沒有路由) | 路由器沒有相應路由的報文。 |
5.1.23 show tcp
顯示所有TCP連接的狀態信息。
show tcp
參數
該命令沒有參數或者關鍵字。
命令模式
管理態
示例
Router#show tcp
TCB 0xE9ADC8
Connection state is ESTABLISHED, unread input bytes: 934
Local host: 192.168.20.22, Local port: 1023
Foreign host: 192.168.20.124, Foreign port: 513
Enqueued bytes for transmit: 0, input: 934 mis-ordered: 0 (0 packets)
Timer Starts Wakeups Next(ms)
Retrans 33 1 0
TimeWait 0 0 0
SendWnd 0 0 0
KeepAlive 102 0 7199500
iss: 29139463 snduna: 29139525 sndnxt: 29139525 sndwnd: 17520
irs: 709124039 rcvnxt: 709205436 rcvwnd: 4380
SRTT: 15 ms, RXT: 2500 ms, RTV: 687 ms
minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms
Datagrams (max data segment is 1460 bytes):
Rcvd: 102 (out of order: 0), with data: 92, total data bytes: 81396
Sent: 104 (retransmit: 0), with data: 31, total data bytes: 61
域 | 描述 |
---|---|
TCB 0xE77FC8 | TCP連接控制塊的內部標識。 |
Connection state is ESTABLISHED | TCP連接當前狀態。TCP連接可能處於下列任一狀態: LISTEN---等待來自任意遠端主機TCP連接請求。 SYN_SENT---發出連接請求後,等待對方的應答。 SYN_RCVD---收到對方的連接請求併發出確認,也發出了自己的連接請求,正在等待對方的連接請求確認。 ESTABLISHED---表示連接建立成功,處於數據傳送階段,可以收發上層應用的數據。 FIN_WAIT_1---已經向對方發出連接終止請求,等待對方的確認,以及對方的連接終止請求。 FIN_WAIT_2---已經向對方發出連接終止請求,並收到對方的確認,正在等待對方的連接終止請求。 CLOSE_WAIT---收到對方的連接終止請求,發出確認,正在等待本地用戶關閉連接,一旦用戶要求關閉連接,系統將發出連接終止請求。 CLOSING---已經向對方發出連接終止請求,也收到對方的連接終止請求併發出確認,正在等待對方對本地連接終止請求的確認。 LAST_ACK---已經收到對方的連接終止請求並確認,發出連接終止請求,正在等待確認。 TIME_WAIT---正在等待足夠的時間以確定對方收到了本地對它的連接終止請求的確認 CLOSED---表示完全沒有連接或者連接已經完全關閉 如果要了解更爲詳細的信息,請參閱RFC 793,TRANSMISSION CONTROL PROTOCOL。 |
unread input bytes: | 經下層TCP處理後可以提交給上層應用,但是上層應用還沒有接收的數據。 |
Local host: | 本地IP地址。 |
Local port: | 本地TCP端口。 |
Foreign host: | 遠端IP地址。 |
Foreign port: | 遠端TCP端口。 |
Enqueued bytes for transmit: | 發送隊列中的字節數,包括已經發送但還沒有被對方確認的數據和還沒有發送的數據。 |
input: | 接收隊列中的字節數,這些數據經過排序後等待被上層應用接收。 |
mis-ordered: | 錯序隊列中的字節數和報文數,這些數據必須等待其它的一些數據收到後,才能順序進入接收隊列被上層應用接收。例如,收到報文1,2,4,5和6,報文1和2可以進入接收隊列,但是4,5和6只能進入錯序隊列等待報文3的到達。 |
接着顯示當前連接的定時器使用情況,包括定時器啓動的次數,定時器超時的次數和定時器距離下次超時的時間(0表示定時器當前不再運行)。每個連接都使用獨立的定時器。定時器的超時次數一般小於定時器的啓動次數,因爲定時器在運行過程中有可能被重置。例如,重發定時器運行時系統收到對方對所有發送數據的確認,重發定時器將停止運行。
Timer Starts Wakeups Next(ms)
Retrans 33 1 0
TimeWait 0 0 0
SendWnd 0 0 0
KeepAlive 102 0 7199500
域 | 描述 |
---|---|
Timer | 定時器名稱。 |
Starts | 定時器的啓動次數。 |
Wakeups | 定時器的超時次數。 |
Next(ms) | 定時器距離下次超時的時間(以毫秒爲單位),0表示定時器不在運行。 |
Retrans | 重發定時器,用於觸發數據重發。定時器在發送數據後被啓動,如果超時時間內數據未被對方確認,則重發數據。 |
TimeWait | 時間等待定時器,用於確保對方收到連接終止請求確認。 |
SendWnd | 發送窗口定時器,用於確保發送窗口在TCP確認丟失的情況下恢復到正常大小。 |
KeepAlive | 保持活動定時器,用於確保通信鏈路正常和對方仍舊處於連接狀態。它將觸發測試報文的發送,以檢測通信鏈路狀態和對方狀態。 |
接着顯示TCP連接使用的序列號。TCP使用序列號來保證可靠有序的數據傳輸。本地和遠端主機還根據序列號來進行流量控制和發送確認。
iss: 29139463 snduna: 29139525 sndnxt: 29139525 sndwnd: 17520
irs: 709124039 rcvnxt: 709205436 rcvwnd: 4380
域 | 描述 |
---|---|
iss: | 初始發送序列號。 |
snduna: | 已經發送但是還沒有收到對方確認的數據的第一個字節的發送序列號。 |
sndnxt: | 以後發送的數據的第一個字節的發送序列號。 |
sndwnd: | 遠端主機的TCP窗口尺寸。 |
irs: | 初始接收序列號,也就是遠端主機的初始發送序列號。 |
rcvnxt: | 最近確認的接收序列號。 |
rcvwnd: | 本地主機的TCP窗口尺寸。 |
接着顯示本地主機記錄的發送時間,系統可以根據這些數據調整系統以適應不同的網絡。
SRTT: 15 ms, RXT: 2500 ms, RTV: 687 ms
minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms
域 | 描述 |
---|---|
SRTT: | 平滑處理後的往返時間。 |
RXT: | 重傳超時時間。 |
RTV: | 往返時間的變化值。 |
MinRXT: | 允許的最小重傳超時。 |
MaxRXT: | 允許的最大重傳超時。 |
ACK hold: | 延遲確認以便和數據一起發送的最大延遲時間。 |
Datagrams (max data segment is 1460 bytes):
Rcvd: 102 (out of order: 0), with data: 92, total data bytes: 81396
Sent: 104 (retransmit: 0), with data: 31, total data bytes: 61
域 | 描述 |
---|---|
max data segment is | 該連接允許的最大數據段長度。 |
Rcvd: | 本地主機在這個連接過程中收到的報文數,以及其中錯序的報文數。 |
with data: | 包含有效數據的報文數。 |
total data bytes: | 報文中包含的數據字節數。 |
Sent: | 本地主機在這個連接過程中發送的報文總數,以及重發的報文數。 |
with data: | 包含有效數據的報文數。 |
total data bytes: | 報文中包含的數據字節數。 |
相關命令
show tcp brief
show tcp tcb
5.1.24 show tcp brief
顯示TCP連接的簡要信息。
show tcp brief [all]
參數
參數 | 參數說明 |
---|---|
all | (可選)顯示所有端口。如果不輸入這個關鍵字,系統不顯示處於LISTEN狀態的端口。 |
命令模式
管理態
示例
Router#show tcp brief
TCB Local Address Foreign Address State
0xE9ADC8 192.168.20.22:1023 192.168.20.124:513 ESTABLISHED
0xEA34C8 192.168.20.22:23 192.168.20.125:1472 ESTABLISHED
域 | 描述 |
---|---|
TCB | TCP連接的內部標識。 |
Local Address | 本地IP地址和TCP端口。 |
Foreign Address | 遠端IP地址和TCP端口。 |
State | 連接狀態。詳細說明參見show tcp命令。 |
相關命令
show tcp
show tcp tcb
5.1.25 show tcp statistics
顯示TCP統計數據。
show tcp statistics
參數
該命令沒有參數或者關鍵字。
命令模式
管理態
示例
Router#show tcp statistics
Rcvd: 148 Total, 0 no port
0 checksum error, 0 bad offset, 0 too short
131 packets (6974 bytes) in sequence
0 dup packets (0 bytes)
0 partially dup packets (0 bytes)
0 out-of-order packets (0 bytes)
0 packets (0 bytes) with data after window
0 packets after close
0 window probe packets, 0 window update packets
0 dup ack packets, 0 ack packets with unsend data
127 ack packets (247 bytes)
Sent: 239 Total, 0 urgent packets
6 control packets
123 data packets (245 bytes)
0 data packets (0 bytes) retransmitted
110 ack only packets (101 delayed)
0 window probe packets, 0 window update packets
4 Connections initiated, 0 connections accepted, 2 connections established
3 Connections closed (including 0 dropped, 1 embryonic dropped)
5 Total rxmt timeout, 0 connections dropped in rxmt timeout
1 Keepalive timeout, 0 keepalive probe, 1 Connections dropped in keepalive
域 | 描述 |
---|---|
Rcvd: | 關於路由器收到報文的統計數據。 |
Total | 收到報文總數。 |
no port | 收到報文中目的端口不存在的報文數。 |
checksum error | 收到報文中校驗和錯誤的報文數。 |
bad offset | 收到報文中數據偏移量錯誤的報文數。 |
too short | 收到報文中長度小於最小有效長度的報文數。 |
packets in sequence | 按序收到的數據報文數。 |
dup packets | 收到的重複報文數。 |
partially dup packets | 收到的部分重複的報文數。 |
out-of-order packets | 不是按順序收到的報文數。 |
packets with data after window | 收到的報文中數據超出路由器的接收窗口的報文數。 |
packets after close | 連接關閉後收到的報文數。 |
window probe packets | 收到的窗口探測報文數。 |
window update packets | 收到的窗口更新報文數。 |
dup ack packets | 收到的重複確認報文數。 |
ack packets with unsent data | 收到的確認未發送數據的報文數。 |
ack packets | 收到的確認報文數。 |
Sent | 關於路由器發出報文的統計數據。 |
Total | 發出報文總數。 |
urgent packets | 發出的緊急報文數。 |
control packets | 發出的控制(SYN、FIN或RST)報文數。 |
data packets | 發出的數據報文數。 |
data packets retransmitted | 重發的數據報文數。 |
ack only packets | 發出的純確認報文數。 |
window probe packets | 發出的窗口探測報文數。 |
window update packets | 發出的窗口更新報文數。 |
Connections initiated | 本地發起的連接數。 |
connections accepted | 本地接受的連接數。 |
connections established | 本地建立連接數。 |
Connections closed | 本地關閉連接數。 |
Total rxmt timeout | 重發超時總數。 |
Connections dropped in rxmit timeout | 重發超時導致的連接斷開數。 |
Keepalive timeout | Keepalive超時數。 |
keepalive probe | 發出的Keepalive探測報文數。 |
Connections dropped in keepalive | 由於Keepalive被斷開的連接數。 |
相關命令
clear tcp statistics
5.1.26 show tcp tcb
顯示某個TCP連接的狀態信息。
show tcp tcb address
參數
參數 | 參數說明 |
---|---|
address | 要顯示的TCP連接的傳輸控制塊(TCB)地址。TCB是系統內部對TCP連接的標識,可以用命令show tcp brief得到。 |
命令模式
管理態
示例
下列顯示的具體說明參見show tcp命令。
Router_config#show tcp tcb 0xea38c8
TCB 0xEA38C8
Connection state is ESTABLISHED, unread input bytes: 0
Local host: 192.168.20.22, Local port: 23
Foreign host: 192.168.20.125, Foreign port: 1583
Enqueued bytes for transmit: 0, input: 0 mis-ordered: 0 (0 packets)
Timer Starts Wakeups Next(ms)
Retrans 4 0 0
TimeWait 0 0 0
SendWnd 0 0 0
KeepAlive +5 0 6633000
iss: 10431492 snduna: 10431573 sndnxt: 10431573 sndwnd: 17440
irs: 915717885 rcvnxt: 915717889 rcvwnd: 4380
SRTT: 2812 ms, RXT: 18500 ms, RTV: 4000 ms
minRXT: 1000 ms, maxRXT: 64000 ms, ACK hold: 200 ms
Datagrams (max data segment is 1460 bytes):
Rcvd: 5 (out of order: 0), with data: 1, total data bytes: 3
Sent: 4 (retransmit: 0), with data: 3, total data bytes: 80
相關命令
show tcp
show tcp brief
5.2 訪問列表配置命令
訪問列表配置命令包括:
l deny
l ip access-group
l ip access-list
l permit
l show ip access-list
5.2.1 deny
在IP訪問列表配置模式中可使用此命令配置禁止規則,要從IP訪問列表中刪除deny規則,在命令前加no前綴。
deny source [source-mask] [log]
no deny source [source-mask] [log]
deny src_range source-begin source-end [log]
no deny src_range source-begin source-end [log]
deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
no deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
deny protocol src_range source-begin source-end dst_range destination-begin destination-end [precedence precedence] [tos tos] [log]
no deny protocol src_range source-begin source-end dst_range destination-begin destination-end [precedence precedence] [tos tos] [log]
對於互聯網控制報文協議(ICMP),也可以使用以下句法:
deny icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
deny icmp src_range source-begin source-end dst_range destination-begin destination-end [icmp-type][precedence precedence] [tos tos] [log]
對於Internet 組管理協議(IGMP),可以使用以下句法:
deny igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
deny igmp src_range source-begin source-end dst_range destination-begin destination-end [igmp-type][precedence precedence] [tos tos] [log]
對於TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
deny tcp src_range source-begin source-end [src_portrange port-begin port-end] dst_range destination-begin destination-end [dst_portrange port-begin port-end][established] [precedence precedence] [tos tos] [log]
對於數據報協議(UDP),可以使用以下句法:
deny udp source source-mask [operator port] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
deny udp src_range source-begin source-end [src_portrange port-begin port-end] dst_range destination-begin destination-end [dst_portrange port-begin port-end][precedence precedence] [tos tos] [log]
參數
參數 | 參數說明 |
---|---|
protocol | 協議名字或IP協議號。它可以是關鍵字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP協議號的0到255的一個整數。爲了匹配任何Internet協議(包括ICMP、TCP和UDP)使用關鍵字ip。某些協議允許進一步限定,如下描述。 |
source | 源網絡或主機號。有兩種方法指定源:32位二進制數,用四個點隔開的十進制數表示。使用關鍵字any作爲0.0.0.0 0.0.0.0的源和源掩碼縮寫。 |
source-mask | 源地址網絡掩碼。使用關鍵字any作爲0.0.0.0 0.0.0.0的源和源掩碼縮寫。 |
destination | 目標網絡或主機號。有兩種方法指定: 使用四個點隔開的十進制數表示的32位二進制數。 使用關鍵字any作爲0.0.0.0 0.0.0.0的目標和目標掩碼的縮寫。 |
destination-mask | 目標地址網絡掩碼。使用關鍵字any作爲0.0.0.0 0.0.0.0的目標地址和目標地址掩碼縮寫。 |
precedence precedence | (可選)包可以由優先級過濾,用0到7的數字指定。 |
tos tos | (可選) 數據包可以使用服務層過濾。使用數字0-15指定。 |
icmp-type | (可選)ICMP包可由ICMP報文類型過濾。類型是數字0到255。 |
igmp-type | (可選)IGMP包可由IGMP報文類型或報文名過濾。 類型是0到15的數字。 |
operator | (可選)比較源或目標端口。操作包括lt(小於), gt(大於),eq(等於),neq(不等於)。如果操作符放在source和source-mask之後,那麼它必須匹配這個源端口。如果操作符放在destination和destination-mask之後,那麼它必須匹配目標端口。 |
port | (可選)TCP或UDP端口的十進制數字或名稱。端口號是一個0到65535的數字。TCP端口名列在“使用方針”部分。當過濾TCP時,可以只使用TCP端口名稱。UDP端口名稱也列在“使用說明”部分。當過濾TCP時,只可使用TCP端口名。當過濾UDP時, 只可使用UDP端口名。 |
established | (可選)只對TCP協議,表示一個已建立的連接。如果TCP數據報ACK或RST位設置時,出現匹配。非匹配的情況是初始化TCP數據報,以形成一個連接。 |
log | (可選)可以進行日誌記錄。 |
Source-begin | 啓始源地址。 |
Source-end | 結束源地址。 |
Destination-begin | 啓始目的地址。 |
Destination-end | 結束目的地址。 |
Port-begin | 啓始端口 |
Port-end | 結束端口。 |
命令模式
IP訪問列表配置態
使用說明
可以使用訪問表控制包在接口上的傳輸,控制虛擬終端線路訪問以及限制路由選擇更新的內容。在匹配發生以後停止檢查擴展的訪問表。分段IP包,而不是初始段,立即由任何擴展的IP訪問表接收。擴展的訪問表用於控制訪問虛擬終端線路或限制路由選擇更新的內容,不必匹配TCP源端口、服務值的類型或包的優先權。
注意:
在初始建立一個訪問表後,任何後續的添加內容(可能由終端鍵入)放置在列表的尾部。
以下顯示用於替換端口號的TCP端口名。參看當前的分配號RFC找到這些協議的有關參考。與這些協議相應的端口號也可以通過以鍵入一個?替代端口號的方式來尋找。
l bgp
l ftp
l ftp-data
l login
l pop2
l pop3
l smtp
l telnet
l www
以下顯示用於替換端口號的UDP端口名。參看當前的分配號RFC找到這些協議的有關參考。與這些協議相應的端口號也可以通過以鍵入一個?替代端口號的方式來尋找。
l domain
l snmp
l syslog
l tftp
示例
下面示例禁止192.168.5.0這個網段:
!
ip access-list standard filter
deny 192.168.5.0 255.255.255.0
!
注意:
IP訪問表由一個隱含的deny規則結束。
相關命令
ip access-group
ip access-list
permit
show ip access-list
5.2.2 ip access-group
爲了控制訪問一個接口,使用ip access-group接口配置命令。爲了刪除這個指定的訪問組,使用no格式命令。
ip access-group {access-list-name}{in | out}
no ip access-group {access-list-name}{in | out}
參數
參數 | 參數說明 |
---|---|
access-list-name | 訪問表名。這是一個最長爲20個字符的字符串。 |
in | 在進接口時使用訪問列表。 |
out | 在出接口時使用訪問列表。 |
命令模式
接口配置態
使用說明
訪問列表既可用在出接口也可用在入接口。對於標準的入口訪問列表,在接收到包之後,對照訪問列表檢查包的源地址。對於擴展的訪問列表,該路由器也檢查目標地址。如果訪問表允許該地址,那麼軟件繼續處理該包。如果訪問表不允許該地址,該軟件放棄包並返回一個ICMP主機不可到達報文。
對於標準的出口訪問表,在接收和路由一個包到控制接口以後,軟件對照訪問列表檢查包的源地址。對於擴展的訪問表,路由器還檢查接收端訪問表。如果訪問表允許該軟件就傳送這個包。如果訪問列表不允許該地址,軟件放棄這個包並返回一個ICMP主機不可達報文。
如果指定的訪問列表不存在,所有的包允許通過。
示例
下例在以太網接口0的包出口上應用列表filter:
!
interface ethernet 0
ip access-group filter out
!
相關命令
ip access-list
show ip access-list
5.2.3 ip access-list
使用此命令後,進入的IP訪問列表配置模式。在這狀態下可以增加和刪除訪問規則。命令exit返回配置狀態。
使用no前綴,刪除IP訪問列表。
ip access-list {standard | extended} name
no ip access-list {standard | extended} name
參數
參數 | 參數說明 |
---|---|
standard | 指定爲標準訪問列表 |
extended | 指定爲擴展訪問列表 |
name | 訪問表名。這是一個最長20的字符串。 |
缺省
沒有IP訪問列表被定義。
命令模式
全局配置態
使用說明
使用此命令將進入IP訪問列表配置模式,在IP訪問列表配置模式中,可以用deny或permit命令來配置訪問規則。
示例
以下的例子配置一個標準訪問列表
!
ip access-list standard filter
deny 192.168.1.0 255.255.255.0
permit any
!
相關命令
deny
ip access-group
permit
show ip access-list
5.2.4 permit
在IP訪問列表配置模式中可使用此命令配置允許規則,要從IP訪問列表中刪除permit規則,在命令前加no前綴。
permit source [source-mask] [log]
no permit source [source-mask] [log]
permit src_range source-begin source-end [log]
no permit src_range source-begin source-end [log]
permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
no permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
permit protocol src_range source-begin source-end dst_range destination-begin destination-end [precedence precedence] [tos tos] [log]
no permit protocol src_range source-begin source-end dst_range destination-begin destination-end [precedence precedence] [tos tos] [log]
對於互聯網控制報文協議(ICMP),也可以使用以下句法:
permit icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
permit icmp src_range source-begin source-end dst_range destination-begin destination-end [icmp-type][precedence precedence] [tos tos] [log]
對於Internet 組管理協議(IGMP),可以使用以下句法:
permit igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
permit igmp src_range source-begin source-end dst_range destination-begin destination-end [igmp-type][precedence precedence] [tos tos] [log]
對於TCP,可以使用以下句法:
permit tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
permit tcp src_range source-begin source-end [src_portrange port-begin port-end] dst_range destination-begin destination-end [dst_portrange port-begin port-end][established] [precedence precedence] [tos tos] [log]
對於數據報協議(UDP),可以使用以下句法:
permit udp source source-mask [operator port [port]] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
permit udp src_range source-begin source-end [src_portrange port-begin port-end] dst_range destination-begin destination-end [dst_portrange port-begin port-end][precedence precedence] [tos tos] [log]
參數
參數 | 參數說明 |
---|---|
protocol | 協議名字或IP協議號。它可以是關鍵字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP協議號的0到255的一個整數。爲了匹配任何Internet協議(包括ICMP、TCP和UDP)使用關鍵字ip。某些協議允許進一步限定,如下描述。 |
source | 源網絡或主機號。有兩種方法指定源:32位二進制數,用四個點隔開的十進制數表示。使用關鍵字any作爲0.0.0.0 0.0.0.0的源和源掩碼縮寫。 |
source-mask | 源地址網絡掩碼。使用關鍵字any作爲0.0.0.0 0.0.0.0的源和源掩碼縮寫。 |
destination | 目標網絡或主機號。有兩種方法指定: 使用四個點隔開的十進制數表示的32位二進制數。 使用關鍵字any作爲0.0.0.0 0.0.0.0的目標和目標掩碼的縮寫。 |
destination-mask | 目標地址網絡掩碼。使用關鍵字any作爲0.0.0.0 0.0.0.0的目標地址和目標地址掩碼縮寫。 |
precedence precedence | (可選)包可以由優先級過濾,用0到7的數字指定。 |
tos tos | (可選) 數據包可以使用服務層過濾。使用數字0-15指定。 |
icmp-type | (可選)ICMP包可由ICMP報文類型過濾。類型是數字0到255。 |
igmp-type | (可選)IGMP包可由IGMP報文類型或報文名過濾。 類型是0到15的數字。 |
operator | (可選)比較源或目標端口。操作包括lt(小於), gt(大於),eq(等於),neq(不等於)。如果操作符放在source和source-mask之後,那麼它必須匹配這個源端口。如果操作符放在destination和destination-mask之後,那麼它必須匹配目標端口。 |
port | (可選)TCP或UDP端口的十進制數字或名稱。端口號是一個0到65535的數字。TCP端口名列在“使用方針”部分。當過濾TCP時,可以只使用TCP端口名稱。UDP端口名稱也列在“使用說明”部分。當過濾TCP時,只可使用TCP端口名。當過濾UDP時, 只可使用UDP端口名。 |
established | (可選)只對TCP協議,表示一個已建立的連接。如果TCP數據報ACK或RST位設置時,出現匹配。非匹配的情況是初始化TCP數據報,以形成一個連接。 |
log | (可選)可以進行日誌記錄。 |
Source-begin | 啓始源地址。 |
Source-end | 結束源地址。 |
Destination-begin | 啓始目的地址。 |
Destination-end | 結束目的地址。 |
Port-begin | 啓始端口 |
Port-end | 結束端口。 |
命令模式
IP訪問列表配置態
使用說明
可以使用訪問表控制包在接口上的傳輸,控制虛擬終端線路訪問以及限制路由選擇更新的內容。在匹配發生以後停止檢查擴展的訪問表。
分段IP包,而不是初始段,立即由任何擴展的IP訪問表接收。擴展的訪問表用於控制訪問虛擬終端線路或限制路由選擇更新的內容,不必匹配TCP源端口、服務值的類型或包的優先權。
注意:
在初始建立一個訪問表後,任何後續的添加內容(可能由終端鍵入)放置在列表的尾部。
以下顯示用於替換端口號的TCP端口名。參看當前的分配號RFC找到這些協議的有關參考。與這些協議相應的端口號也可以通過以鍵入一個?替代端口號的方式來尋找。
l bgp
l ftp
l ftp-data
l login
l pop2
l pop3
l smtp
l telnet
l www
以下顯示用於替換端口號的UDP端口名。參看當前的分配號RFC找到這些協議的有關參考。與這些協議相應的端口號也可以通過以鍵入一個?替代端口號的方式來尋找。
l domain
l snmp
l syslog
l tftp
示例
下面示例允許192.168.5.0這個網段:
!
ip access-list standard filter
permit 192.168.5.0 255.255.255.0
!
注意:
IP訪問表由一個隱含的deny規則結束。
相關命令
deny
ip access-group
ip access-list
show ip access-list
5.2.5 show ip access-list
要顯示當前的IP訪問列表內容,使用show ip access-list命令。
show ip access-list[access-list-name]
參數
參數 | 參數說明 |
---|---|
access-list-name | 訪問表名。這是一個最長20的字符串。 |
缺省
顯示所有標準的和擴展的IP訪問列表。
命令模式
管理態
使用說明
show ip access-list命令允許你指定一個特定的訪問列表。
示例
以下是不指定名時show ip access-list 命令的示例輸出:
Router# show ip access-list
ip access-list standard aaa
permit 192.2.2.1
permit 192.3.3.0 255.255.255.0
ip access-list extended bbb
permit tcp any any eq www
permit ip any any
以下是指定訪問表名時,show ip access-list命令的示例輸出:
ip access-list extended bbb
permit tcp any any eq www
permit ip any any