无线应用中很多情况涉及STA的IP地址合法性问题，即防止用户私自设置静态IP地址，或者防止非法用户进行仿冒地址进行欺骗。

1. 采用授权ARP方式进行地址合法性保障

在运营商网络架构中，对于宽度接入用户一般采用模糊VLAN终结的方式进行用户地址分配和认证，而此特性会进行面向用户网段的地址扫描，如果查询不到ARP，会在终结的VLAN范围内进行复制，这样就造成了设备资源和带宽的极大消耗，所以需要关闭VLAN内复制功能。

而关闭VLAN复制功能，将会导致无法学习到用户的正常ARP报文。如下所示为正常的ARP报文交互，ARP申请报文为广播：

图1 动态ARP报文交互示例

授权ARP，是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项，而不再通过ARP报文交互生成表项。正常的DHCP报文交互中，客户端进行地址申请，服务进行地址分配，如果地址分配成功，服务器会记录下相应的地址分配租约信息，包含了IP和MAC的对应关系，以及有效时间。如果客户端和服务器处于非二层网络拓扑中，则需要部署DHCP Relay设备，而此DHCP中继设备也会相应地生成安全表项，记录服务器分配给客户端的IP和MAC对应关系。如下图DHCP交互过程：

图2 动态ARP报文交互

因此，必须先有DHCP报文的交互，才会有ARP表项的生成，如果终端采用静态配置的IP地址，则由于没有进行DHCP地址申请，也就没有DHCP报文交互，进而就不会有DHCP租约表项或中继表项，相应地ARP表项也就无从谈起，当用户的报文到达网关时，由于没有相应的ARP表项，也就不会进行响应了。如果用户仿冒其他用户的IP或者MAC时，同样由于其与DHCP租约表项中和ARP表项中的IP和MAC对应关系不符而遭到拒绝服务。

综上，授权ARP关闭了节点的动态ARP学习功能，而根据DHCP表项生成自身表项，这样就生成了一个副产品，即可以防止用户采用静态IP接入和防止用户仿冒其他用户的IP或MAC对网络进行攻击，保证只有合法的用户才能使用网络资源，增强了网络的安全性。

可在三层接口下或者子接口下开启，命令如下：

arp authorized enable

dhcp update arp

2. 采用SAVI功能进行地址合法性检查

SAVI（Source Address Validation，源地址有效性验证）特性也是一种避免非法用户冒充合法用户IP地址访问网络的手段，应用在接入设备上，通过建立MAC地址和IP地址的绑定关系，对STA发送的数据报文进行源地址过滤检查，如果地址不合法，则丢弃报文。该特性既可以针对IPv4地址生效，也可以针对IPv6地址实现。

该功能在AC上实现，需要开启DHCP Server。其能够对用户IPv4地址进行合法性检查，而且可以防止终端的使用冲突的IP地址，即当一个终端使用了某一个IP地址以后，其它的终端将不能再使用这个IP地址访问网络。下图为该需求下的基本拓扑图：

图3 无线网络用户接入基本拓扑

分别介绍一下IPv4和IPv6下的相应配置：

l 在服务模板视图下：

ip verify source

在AC设备上，也可以通过命令查看绑定信息：

l 在服务模板视图下：

ip verify source

ipv6 verify source

在AC设备上，也可以通过命令查看绑定信息：