- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-IP轉發基礎配置
本章節下載: 02-IP轉發基礎配置 (251.59 KB)
目 錄
FIB(Forwarding Information Base,轉發信息庫)表用來指導IP報文轉發。
路由器通過路由表選擇路由,把優選路由下發到FIB表中,通過FIB表指導IP報文轉發。FIB表中每條轉發表項都指明了要到達某子網或某主機的報文的下一跳IP地址以及出接口。
關於路由表的詳細介紹,請參見“三層技術-IP路由配置指導”中的“IP路由基礎”。
通過命令display fib可以查看FIB表的信息,例如:
<Sysname> display fib
Destination count: 4 FIB entry count: 4
Flag:
U:Useable G:Gateway H:Host B:Blackhole D:Dynamic S:Static
R:Relay F:FRR
Destination/Mask Nexthop Flag OutInterface/Token Label
10.2.0.0/16 10.2.1.1 U GE1/0/1 Null
10.2.1.1/32 127.0.0.1 UH InLoop0 Null
127.0.0.0/8 127.0.0.1 U InLoop0 Null
127.0.0.1/32 127.0.0.1 UH InLoop0 Null
FIB表中包含了下列關鍵項:
· Destination:目的地址。用來標識IP報文的目的地址或目的網絡。
· Mask:網絡掩碼。與目的地址一起來標識目的主機或路由器所在的網段的地址。將目的地址和網絡掩碼“邏輯與”後可得到目的主機或路由器所在網段的地址。例如:目的地址為192.168.1.40、掩碼為255.255.255.0的主機或路由器所在網段的地址為192.168.1.0。掩碼由若幹個連續“1”構成,既可以用點分十進製法表示,也可以用掩碼中連續“1”的個數來表示。
· NextHop:轉發的下一跳地址。
· Flag:路由的標誌。
· OutInterface:轉發接口。指明IP報文將從哪個接口轉發。
· Token:LSP(Label Switched Path,標簽交換路徑)索引號。
· Label:內層標簽值。
接口上開啟保持上一跳功能後,當該接口接收到正向流量的第一個IP報文,設備會根據流量特征以及上一跳信息,建立相反方向的快速轉發表項,當反向流量報文到達設備進行轉發時,可以直接通過該快速轉發表項指導報文進行轉發,使對端到本端的正向流量和本端到對端的反向流量走的是相同的路徑,從而保證同一會話的流量能夠進行相同的業務處理。
如圖1-1所示,外網服務器向內網服務器發起業務請求,請求報文通過ISP1到達Device設備,訪問內網服務器。用戶希望相同會話或連接的正向流量與反向流量保持相同的轉發路徑,即回應報文到達Device設備後,通過接收請求報文的Interface A接口轉發出去,經過ISP1到達外網服務器。未開啟保持上一跳功能時,Device設備會選擇最佳鏈路進行報文的轉發,這樣就無法保證正反向流量路徑一致。這種情況下,用戶可以在接收正向流量的Interface A接口上開啟保持上一跳功能。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、 F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
· 保持上一跳功能依賴於快速轉發表項的建立,對於以太網類型的鏈路,如果上一跳的MAC地址發生變化,對應的快速轉發表項需要重建才能使保持上一跳功能正常工作。
· 本特性不適用於IRF組網中,跨成員設備轉發的業務報文。
· 本特性不適用於RBM雙機熱備組網中非對稱流量的場景。有關RBM雙機熱備的詳細介紹,請參考“高可靠性配置指導”中的“雙機熱備(RBM)”。
· 在支持部署多安全業務板的設備上,本特性對外部主動訪問設備的流量不生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type { interface-number | interface-number.subnumber }
(3) 開啟保持上一跳功能。
ip last-hop hold
缺省情況下,轉發保持上一跳功能處於關閉狀態。
在IRF環境下,為了使對端設備到本端設備的正向流量和本端設備到對端設備的反向流量走相同的路徑,可以在主設備的接口上開啟轉發保持上一跳功能,並在全局開啟備份上一跳功能和會話熱備功能(配置session synchronization enable命令)後,當該接口接收到正向流量的第一個IP報文,會保存上一跳信息,同時將該上一跳信息備份到從設備,當反向流量報文到達從設備上時可以直接通過該上一跳信息進行轉發。關於session synchronization enable命令的詳細解釋請參見“安全命令參考”中的“會話管理”。
當設備上存在多個業務板,且板間有業務備份時,在接口上開啟保持上一跳功能,並在全局開啟備份上一跳功能和會話引流功能(配置session flow-redirect enable命令)後,當該接口接收到正向流量的第一個IP報文後,接收到該報文的業務板會保存上一跳信息,同時將該上一跳信息備份到所有業務板上,當反向流量報文到達本業務板或其他業務板上時可以直接通過該上一跳信息進行轉發。關於session flow-redirect enable命令的詳細解釋請參見“安全命令參考”中的“會話管理”。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、 F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
(1) 進入係統視圖。
system-view
(2) 開啟備份上一跳功能。
last-hop backup enable
缺省情況下,備份上一跳功能處於開啟狀態。
當NetStream的統計信息由內聯接口發送時,必須開啟此功能,否則會由於內聯接口無法學習ARP/ND表項,而導致內聯接口發送NetStream的統計信息失敗。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、 F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、 F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
(1) 進入係統視圖。
system-view
(2) 開啟內聯接口學習ARP/ND表項功能。
inner-interface learn arp-nd
缺省情況下,內聯接口學習ARP/ND表項功能處於關閉狀態。
查看轉發表的信息是定位轉發問題的基本方法。在任意視圖下執行display命令可以顯示轉發表信息。
表1-1 IP轉發表顯示和維護
|
操作 |
命令 |
|
顯示FIB表項的信息 |
display fib [ vpn-instance vpn-instance-name ] [ ip-address [ mask | mask-length ] ] |
對同一路由協議來說,允許配置多條目的地相同且開銷也相同的路由。當到同一目的地的路由中,沒有更高優先級的路由時,這幾條路由都被采納,在轉發去往該目的地的報文時,依次通過各條路徑發送,從而實現網絡的負載分擔。
配置負載分擔的內容包括:
· 配置負載分擔方式:設備上存在多條等價路由時,可以根據報文中的信息(源IP地址、目的IP地址、源端口、目的端口和IP協議號)配置逐流進行負載分擔,或者根據報文進行逐包負載分擔。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、 F1005、F1005-GM、F1010、F1010-GM |
支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK1025、F1000-AK1115、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9150 |
不支持 |
|
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1235、F1000-AK1140、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
LSU3FWCEA0、LSUM1FWCEAB0、LSX1FWCEA1 |
支持 |
|
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSUM1FWDEC0、LSWM1FWD0、LSXM1FWDF1 |
不支持 |
|
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
逐包負載分擔功能僅對上送CPU處理的報文生效,對快速轉發報文不生效。有關快速轉發報文的負載分擔功能,請參見“三層技術—IP業務配置指導”中的“快速轉發”。
(1) 進入係統視圖。
system-view
(2) 配置負載分擔方式。
ip load-sharing mode { per-flow [ dest-ip | dest-port | ip-pro | src-ip | src-port ] * | per-packet } { global | slot slot-number }
缺省情況下,設備基於報文逐流進行負載分擔。
當IRF設備轉發報文時,如果查詢到的是等價路由且出接口在不同成員設備上,可能會將報文透傳到某個成員設備再發送,這會使報文轉發效率變低,也會影響成員設備間的數據處理能力。當配置了等價路由負載分擔本地優先的功能以後,如果在處理報文的成員設備上存在等價路由的出接口,就隻從當前設備發送報文,而不會再透傳到其他成員設備發送。
(1) 進入係統視圖。
system-view
(2) 開啟等價路由負載分擔本地優先功能。
ip load-sharing local-first enable
缺省情況下,等價路由負載分擔本地優先功能處於關閉狀態。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
