- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
38-H3C MSR系列路由器 授权ARP功能典型配置举例
本章节下载: 38-H3C MSR系列路由器 授权ARP功能典型配置举例 (224.64 KB)
H3C MSR系列路由器
授权ARP功能配置举例
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍MSR系列路由器授权ARP功能典型配置举例。
本文档适用于使用Comware V9软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解授权ARP特性。
如图3-1所示,Router是DHCP服务器,为同一网段中的主机动态分配IP地址。现要求:启用授权ARP功能保证必须是通过Router分配IP地址的主机才能够通过Router访问外网。
图3-1 授权ARP功能在DHCP服务器上配置举例组网图
本举例是在MSR2630E-X1设备的R9119P16版本上进行配置和验证的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[Router-GigabitEthernet0/0/1] quit
# 使能DHCP服务。
[Router] dhcp enable
# 配置DHCP地址池1动态分配的主地址网段为10.1.1.0/24。
[Router] dhcp server ip-pool 1
[Router-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[Router-dhcp-pool-1] quit
# 使能接口授权ARP功能。
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] arp authorized enable
[Router-GigabitEthernet0/0/1] quit
配置主机Host的网卡自动获取IP地址。
按照如上配置,主机通过DHCP获取IP地址,Router记录授权ARP表项。
# 在主机Host上发现网卡通过DHCP方式动态获取到IP地址。
C:\Windows\System32>ipconfig
Windows IP Configuration
Ethernet adapter ???? 3:
Connection-specific DNS Suffix :
Link-local IPv6 Address : fe80::d083:44cb:9d9b:71b7%21
IPv4 Address : 10.1.1.2
Subnet Mask : 255.255.255.0
Default Gateway : 10.1.1.1
# Host获得Router分配的IP后,在Router上查看授权ARP信息。
[Router] display arp all
Type: S-Static D-Dynamic M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 000f-e123-4568 N/A GE0/0/1 18 D
# 将Host与Switch断开连接,修改Host的IP地址为静态地址,且与Router在同一网段,重新连接Host与Switch,发现Host与Router不能互通。
C:\Windows\System32>ping 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.1.1.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
# 通过命令display arp all查看Router的ARP授权表项。
[Router] display arp all
Type: S-Static D-Dynamic M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
#
dhcp enable
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-mode route
ip address 10.1.1.1 255.255.255.0
arp authorized enable
#
如图4-1所示,主机Host通过DHCP中继Router B与DHCP服务器Router A通信获取IP地址。现要求:在DHCP Relay上启用授权ARP功能保证客户端的合法性。
图4-1 授权ARP功能在DHCP中继上配置举例组网图
配置DHCP中继用户地址表项记录功能与授权ARP配合,实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。
本举例是在MSR2630E-X1设备的R9119P16版本上进行配置和验证的。
# 配置接口的IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[RouterA-GigabitEthernet0/0/1] quit
# 使能DHCP服务。
[RouterA] dhcp enable
# 配置DHCP地址池1动态分配的主地址网段为10.10.1.0/24。
[RouterA] dhcp server ip-pool 1
[RouterA-dhcp-pool-1] network 10.10.1.0 mask 255.255.255.0
[RouterA-dhcp-pool-1] gateway-list 10.10.1.1
[RouterA-dhcp-pool-1] quit
# 配置静态路由,其目的地址为10.10.1.0/24,下一跳为10.1.1.2。
[RouterA] ip route-static 10.10.1.0 24 10.1.1.2
# 使能DHCP服务。
<RouterB> system-view
[RouterB] dhcp enable
# 配置接口的IP地址。
[RouterB] interface gigabitethernet 0/0/1
[RouterB-GigabitEthernet0/0/1] ip address 10.1.1.2 24
[RouterB-GigabitEthernet0/0] quit
[RouterB] interface GigabitEthernet 0/0/2
[RouterB-GigabitEthernet0/0/2] ip address 10.10.1.1 24
# 配置GigabitEthernet0/0/2接口工作在DHCP中继模式。
[RouterB-GigabitEthernet0/0/1] dhcp select relay
# 配置GigabitEthernet1/0/2接口对应DHCP服务器地址。
[RouterB-GigabitEthernet0/0/2] dhcp relay server-address 10.1.1.1
# 使能接口授权ARP功能。
[RouterB-GigabitEthernet0/0/2] arp authorized enable
[RouterB-GigabitEthernet0/0/2] quit
# 开启DHCP中继用户地址表项记录功能。
[RouterB] dhcp relay client-information record
配置主机Host的网卡自动获取IP地址。
# 在主机Host上发现网卡通过DHCP方式动态获取到IP地址。
C:\Windows\System32>ipconfig
Windows IP Configuration
Ethernet adapter ???? 3:
Connection-specific DNS Suffix :
Link-local IPv6 Address : fe80::d083:44cb:9d9b:71b7%21
IPv4 Address : 10.10.1.2
Subnet Mask : 255.255.255.0
Default Gateway : 10.10.1.1
# Host获得Router A分配的IP后,在Router B查看授权ARP信息。
[RouterB] display arp all
Type: S-Static D-Dynamic M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.1 0cda-41c7-057e N/A GE0/0/1 15 D
10.10.1.2 0066-61e2-f7f2 N/A GE0/0/2 20 D
# 将Host与Router B断开连接,修改Host的IP地址为静态地址,且与Router B在同一网段,重新连接Host与Router B,发现Host与Router B不能互通。
C:\Windows\System32> ping 10.10.1.1
Pinging 10.10.1.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.10.1.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
# 通过命令display arp all在Router B查看授权ARP信息。
[RouterB] display arp all
Type: S-Static D-Dynamic M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.1 0cda-41c7-057e N/A GE0/0/1 15 D
· Router A:
#
dhcp enable
#
dhcp server ip-pool 1
network 10.10.1.0 mask 255.255.255.0
gateway-list 10.10.1.1
#
interface GigabitEthernet0/0/1
port link-mode route
combo enable copper
ip address 10.1.1.1 255.255.255.0
#
ip route-static 10.10.1.0 24 10.1.1.2
#
· Router B:
#
dhcp enable
dhcp relay client-information record
#
interface GigabitEthernet0/0/1
port link-mode route
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/2
port link-mode route
ip address 10.10.1.1 255.255.255.0
arp authorized enable
dhcp select relay
dhcp relay server-address 10.1.1.1
#
· 《H3C MSR1000[2600][3600]路由器 配置指导(V9)》中的“三层技术-IP业务配置指导”
· 《H3C MSR1000[2600][3600]路由器 命令参考(V9)》中的“三层技术-IP业务命令参考”
· 《H3C MSR1000[2600][3600]路由器 配置指导(V9)》中的“安全配置指导”
· 《H3C MSR1000[2600][3600]路由器 命令参考(V9)》中的“安全命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
