70-MSR系列路由器通过授权ARP实现只让DHCP获取地址PC上网的典型配置举例
本章节下载: 70-MSR系列路由器通过授权ARP实现只让DHCP获取地址PC上网的典型配置举例 (131.95 KB)
MSR系列路由器通过授权ARP实现只让DHCP获取地址主机上网的典型配置举例
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍使用ARP授权功能实现仅让通过DHCP获取地址的主机访问Internet的典型配置案例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解ARP授权功能特性。
如图1所示,Router A作为DHCP服务器为主机分配IP地址,主机通过路由器访问Internet,网关设在接口GigabitEthernet0/1上。出于安全方面考虑,现要求通过在路由器上配置ARP授权功能以实现:
· DHCP获取IP地址的Host A能够访问Internet。
· 静态配置IP地址的Host B不能访问Internet。
图1 通过授权ARP实现只让DHCP获取地址的主机上网的典型配置组网图
为了使内部主机访问Internet,需要在MSR路由器上配置NAT转换使源地址通过。在路由器上配置DHCP服务器功能,为主机动态地分配IP地址。为了仅使动态主机地址能够访问Internet,要在路由器接口上配置进行ARP授权功能,从而禁止静态主机地址访问Internet。
本举例是在Release 2311版本上进行配置和验证的。
# 配置MSR路由器的接口IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 0/0
[RouterA-GigabitEthernet0/0] port link-mode route
[RouterA-GigabitEthernet0/0] ip address 202.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0] quit
[RouterA] interface gigabitethernet 0/1
[RouterA-GigabitEthernet0/1] port link-mode route
[RouterA-GigabitEthernet0/1] ip address 192.168.0.1 255.255.255.0
[RouterA-GigabitEthernet0/1] quit
# 创建ACL 2000,允许源地址为192.168.0.0/24的报文通过。
[RouterA] acl number 2000
[RouterA-acl-basic-2000] rule 0 permit source 192.168.0.0 0.0.0.255
[RouterA-acl-basic-2000] quit
# 在接口GigabitEthernet0/0绑定ACL 2000,实现NAT转换。
[RouterA] interface gigabitethernet 0/0
[RouterA-GigabitEthernet0/0] nat outbound 2000
[RouterA-GigabitEthernet0/0] quit
# 使能DHCP服务。
[RouterA] dhcp enable
# 创建DHCP普通模式地址池0,可分配的网段为192.168.0.0/24,网关地址为192.168.0.1/24,DNS服务器地址为192.168.0.1/24。
[RouterA] dhcp server ip-pool 0
[RouterA-dhcp-pool-0] network 192.168.0.0 mask 255.255.255.0
[RouterA-dhcp-pool-0] gateway-list 192.168.0.1
[RouterA-dhcp-pool-0] dns-list 192.168.0.1
[RouterA-dhcp-pool-0] quit
# 配置DHCP服务器支持授权ARP功能。
[RouterA] interface gigabitethernet 0/1
[RouterA-GigabitEthernet0/1] dhcp update arp
# 使能授权ARP功能。
[RouterA-GigabitEthernet0/1] arp authorized enable
[RouterA-GigabitEthernet0/1] quit
# 配置到Internet的缺省路由。
[RouterA] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
(1) 在DHCP服务器上配置授权ARP功能前,验证Host A和Host B能否访问Internet。
# Host A主机ping Router B的地址202.1.1.2/24,能够ping通
C:\Documents and Settings\Administrator> ping 202.1.1.2
Pinging 202.1.1.2 with 32 bytes of data:
Reply from 202.1.1.2: bytes=32 time=8 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Ping statistics for 202.1.1.2:
Packets: Sent =4, Received = 4,Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 8ms, Average = 2ms
# Host B主机ping Router B的地址202.1.1.2/24,能够ping通
C:\Documents and Settings\Administrator> ping 202.1.1.2
Pinging 202.1.1.2 with 32 bytes of data:
Reply from 202.1.1.2: bytes=32 time=8 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Ping statistics for 202.1.1.2:
Packets: Sent =4, Received = 4,Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 8ms, Average = 2ms
(2) 在DHCP服务器上配置授权ARP功能后,验证Host A和Host B能否访问Internet。
# 在Router A上查看ARP表项。
<RouterA> display arp all
Type: S-Static D-Dynamic A-Authorized
IP Address MAC Address VLAN ID Interface Aging Type
192.168.0.2 000f-e200-0003 N/A GE0/1 N/A A
202.1.1.2 000f-e23a-ff83 N/A GE0/0 15 D
# Host A主机ping Router B的IP地址202.1.1.2/24,能够ping通
C:\Documents and Settings\Administrator> ping 202.1.1.2
Pinging 202.1.1.2 with 32 bytes of data:
Reply from 202.1.1.2: bytes=32 time=8 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Reply from 202.1.1.2: bytes=32 time=1 ms ttl=127
Ping statistics for 202.1.1.2:
Packets: Sent =4, Received = 4,Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 8ms, Average = 2ms
# Host B主机ping Router B的IP地址202.1.1.2/24,不能ping通
C:\Documents and Settings\Administrator> ping 202.1.1.2
Pinging 202.1.1.2 with 32 bytes of data:
Request time out
Request time out
Request time out
Request time out
Ping statistics for 202.1.1.2:
Packets: Sent =4, Received = 0,Lost = 4 (100% loss)
#
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
#
dhcp server ip-pool 0
network 192.168.0.0 mask 255.255.255.0
gateway-list 192.168.0.1
dns-list 192.168.0.1
#
interface GigabitEthernet0/0
port link-mode route
nat outbound 2000
ip address 202.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.0.1 255.255.255.0
arp authorized enable
dhcp update arp
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
#
dhcp enable
#
· H3C MSR 系列路由器 命令参考(V5)-R2311
· H3C MSR 系列路由器 配置指导(V5)-R2311
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!