国家 / 地区

H3C MSR系列路由器典型配置举例(V5)-6W100

70-MSR系列路由器通过授权ARP实现只让DHCP获取地址PC上网的典型配置举例

本章节下载  (131.95 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Typical_Configuration_Example/H3C_MSR_(V5)-6W100/201401/812781_30005_0.htm

70-MSR系列路由器通过授权ARP实现只让DHCP获取地址PC上网的典型配置举例

MSR系列路由器通过授权ARP实现只让DHCP获取地址主机上网的典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 验证配置

3.6 配置文件

4 相关资料


1  简介

本文档介绍使用ARP授权功能实现仅让通过DHCP获取地址的主机访问Internet的典型配置案例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解ARP授权功能特性。

3  配置举例

3.1  组网需求

图1所示,Router A作为DHCP服务器为主机分配IP地址,主机通过路由器访问Internet,网关设在接口GigabitEthernet0/1上。出于安全方面考虑,现要求通过在路由器上配置ARP授权功能以实现:

·     DHCP获取IP地址的Host A能够访问Internet。

·     静态配置IP地址的Host B不能访问Internet。

图1 通过授权ARP实现只让DHCP获取地址的主机上网的典型配置组网图

 

 

3.2  配置思路

为了使内部主机访问Internet,需要在MSR路由器上配置NAT转换使源地址通过。在路由器上配置DHCP服务器功能,为主机动态地分配IP地址。为了仅使动态主机地址能够访问Internet,要在路由器接口上配置进行ARP授权功能,从而禁止静态主机地址访问Internet

3.3  使用版本

本举例是在Release 2311版本上进行配置和验证的。

3.4  配置步骤

# 配置MSR路由器的接口IP地址。

<RouterA> system-view

[RouterA] interface gigabitethernet 0/0

[RouterA-GigabitEthernet0/0] port link-mode route

[RouterA-GigabitEthernet0/0] ip address 202.1.1.1 255.255.255.0

[RouterA-GigabitEthernet0/0] quit

[RouterA] interface gigabitethernet 0/1

[RouterA-GigabitEthernet0/1] port link-mode route

[RouterA-GigabitEthernet0/1] ip address 192.168.0.1 255.255.255.0

[RouterA-GigabitEthernet0/1] quit

# 创建ACL 2000,允许源地址为192.168.0.0/24的报文通过。

[RouterA] acl number 2000

[RouterA-acl-basic-2000] rule 0 permit source 192.168.0.0 0.0.0.255

[RouterA-acl-basic-2000] quit

# 在接口GigabitEthernet0/0绑定ACL 2000,实现NAT转换。

[RouterA] interface gigabitethernet 0/0

[RouterA-GigabitEthernet0/0] nat outbound 2000

[RouterA-GigabitEthernet0/0] quit

# 使能DHCP服务。

[RouterA] dhcp enable

# 创建DHCP普通模式地址池0,可分配的网段为192.168.0.0/24,网关地址为192.168.0.1/24,DNS服务器地址为192.168.0.1/24。

[RouterA] dhcp server ip-pool 0

[RouterA-dhcp-pool-0] network 192.168.0.0 mask 255.255.255.0

[RouterA-dhcp-pool-0] gateway-list 192.168.0.1

[RouterA-dhcp-pool-0] dns-list 192.168.0.1

[RouterA-dhcp-pool-0] quit

# 配置DHCP服务器支持授权ARP功能。

[RouterA] interface gigabitethernet 0/1

[RouterA-GigabitEthernet0/1] dhcp update arp

# 使能授权ARP功能。

[RouterA-GigabitEthernet0/1] arp authorized enable

[RouterA-GigabitEthernet0/1] quit

# 配置到Internet的缺省路由。

[RouterA] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2

3.5  验证配置

(1)     在DHCP服务器上配置授权ARP功能前,验证Host A和Host B能否访问Internet。

# Host A主机ping Router B的地址202.1.1.2/24,能够ping通

C:\Documents and Settings\Administrator> ping 202.1.1.2

 

Pinging 202.1.1.2 with 32 bytes of data:

 Reply from  202.1.1.2: bytes=32  time=8 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 

Ping statistics for 202.1.1.2:

    Packets: Sent =4, Received = 4,Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 8ms, Average = 2ms

# Host B主机ping Router B的地址202.1.1.2/24,能够ping通

C:\Documents and Settings\Administrator> ping 202.1.1.2

 

Pinging 202.1.1.2 with 32 bytes of data:

 Reply from  202.1.1.2: bytes=32  time=8 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 

Ping statistics for 202.1.1.2:

    Packets: Sent =4, Received = 4,Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 8ms, Average = 2ms

(2)     在DHCP服务器上配置授权ARP功能后,验证Host A和Host B能否访问Internet。

# 在Router A上查看ARP表项。

<RouterA> display arp all

                Type: S-Static    D-Dynamic    A-Authorized

IP Address         MAC Address     VLAN ID  Interface              Aging Type

192.168.0.2         000f-e200-0003  N/A      GE0/1                  N/A   A

202.1.1.2           000f-e23a-ff83  N/A      GE0/0                  15    D

# Host A主机ping Router B的IP地址202.1.1.2/24,能够ping通

C:\Documents and Settings\Administrator> ping 202.1.1.2

 

Pinging 202.1.1.2 with 32 bytes of data:

 Reply from  202.1.1.2: bytes=32  time=8 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 Reply from  202.1.1.2: bytes=32  time=1 ms  ttl=127

 

Ping statistics for 202.1.1.2:

    Packets: Sent =4, Received = 4,Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 8ms, Average = 2ms

# Host B主机ping Router B的IP地址202.1.1.2/24,不能ping通

C:\Documents and Settings\Administrator> ping 202.1.1.2

 

Pinging 202.1.1.2 with 32 bytes of data:

 

 Request time out

 Request time out

 Request time out

 Request time out

 

Ping statistics for 202.1.1.2:

    Packets: Sent =4, Received = 0,Lost = 4 (100% loss)

3.6  配置文件

#

acl number 2000

 rule 0 permit source 192.168.0.0 0.0.0.255

#

dhcp server ip-pool 0

 network 192.168.0.0 mask 255.255.255.0

 gateway-list 192.168.0.1

 dns-list 192.168.0.1

#

interface GigabitEthernet0/0

 port link-mode route

 nat outbound 2000

 ip address 202.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 192.168.0.1 255.255.255.0

 arp authorized enable

 dhcp update arp

#

 ip route-static 0.0.0.0 0.0.0.0 202.1.1.2

#

 dhcp enable

#

4  相关资料

·     H3C MSR 系列路由器 命令参考(V5)-R2311

·     H3C MSR 系列路由器 配置指导(V5)-R2311

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部