收藏
下载资源下载资源 加入VIP,免费下载

57授权ARP防止终端非法地址接入典型配置举例.docx

上传人:b****4 文档编号:24313137 上传时间:2023-05-26 格式:DOCX 页数:19 大小:74.01KB
下载 相关 举报
57授权ARP防止终端非法地址接入典型配置举例.docx_第1页
第1页 / 共19页
57授权ARP防止终端非法地址接入典型配置举例.docx_第2页
第2页 / 共19页
57授权ARP防止终端非法地址接入典型配置举例.docx_第3页
第3页 / 共19页
57授权ARP防止终端非法地址接入典型配置举例.docx_第4页
第4页 / 共19页
57授权ARP防止终端非法地址接入典型配置举例.docx_第5页
第5页 / 共19页
点击查看更多>>
下载资源
资源描述

57授权ARP防止终端非法地址接入典型配置举例.docx

《57授权ARP防止终端非法地址接入典型配置举例.docx》由会员分享,可在线阅读,更多相关《57授权ARP防止终端非法地址接入典型配置举例.docx(19页珍藏版)》请在冰豆网上搜索。

57授权ARP防止终端非法地址接入典型配置举例.docx

57授权ARP防止终端非法地址接入典型配置举例

授权ARP防止终端非法地址接入典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

目录

1简介1

2配置前提1

3授权ARP功能在DHCP服务器上的配置举例1

3.1组网需求1

3.2配置步骤1

3.2.1AC的配置1

3.2.2Switch的配置3

3.3验证配置4

3.4配置文件4

4授权ARP功能在DHCP中继上的配置举例5

4.1组网需求5

4.2配置步骤6

4.2.1AC的配置6

4.2.2SwitchA的配置8

4.2.3SwitchB的配置8

4.3验证配置9

4.4配置文件9

5相关资料11

1简介

本文档介绍授权ARP防止终端非法地址接入典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN、ARP和DHCP特性。

3授权ARP功能在DHCP服务器上的配置举例

3.1组网需求

如图1所示,AC作为DHCP服务器,为AP和Client分配IP地址,现要求配置授权ARP功能,实现只有通过DHCP服务器获取IP地址的用户才能访问网络资源,增加网络安全性。

图1授权ARP功能在DHCP服务器上的配置组网图

3.2配置步骤

3.2.1AC的配置

(1)配置AC的接口

#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress192.168.10.124

[AC-Vlan-interface100]quit

#创建VLAN200作为WLAN-ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN,并为该接口配置IP地址。

[AC]vlan300

[AC-vlan300]quit

[AC]interfacevlan-interface300

[AC-Vlan-interface300]ipaddress192.168.30.124

[AC-Vlan-interface300]quit

#配置AC与Switch相连的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300的报文通过。

[AC]interfacegigabitethernet1/0/1

[AC-GigabitEthernet1/0/1]portlink-typetrunk

[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300

[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100

[AC-GigabitEthernet1/0/1]quit

#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。

[AC]interfacewlan-ess1

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

[AC-WLAN-ESS1]porthybridpvidvlan200

#在Hybrid端口上使能MACVLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

[AC-WLAN-ESS1]quit

(2)配置DHCP服务器

#创建名为300的DHCP地址池,并进入其视图。

[AC]dhcpserverip-pool300

#配置DHCP地址池300为Client动态分配的网段为192.168.30.0/24,网关地址为192.168.30.1。

[AC-dhcp-pool-300]network192.168.30.024

[AC-dhcp-pool-300]gateway-list192.168.30.1

[AC-dhcp-pool-300]quit

#使能DHCP功能。

[AC]dhcpenable

(3)配置授权ARP功能

#进入VLAN300接口视图

[AC]interfacevlan-interface300

#配置DHCP服务器支持授权ARP功能。

[AC-Vlan-interface300]dhcpupdatearp

#使能授权ARP功能。

[AC-Vlan-interface300]arpauthorizedenable

[AC-Vlan-interface300]quit

(4)配置无线服务

#创建clear类型的服务模板1。

[AC1]wlanservice-template1clear

#设置当前服务模板的SSID为service。

[AC1-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC1-wlan-st-1]bindwlan-ess1

#启用无线服务。

[AC1-wlan-st-1]service-templateenable

[AC1-wlan-st-1]quit

(5)配置AP

#创建AP的管理模板,名称为testap,型号名称选择WA2620E-AGN。

[AC1]wlanaptestapmodelWA2620E-AGN

#设置AP的序列号为21023529G007C000020。

[AC1-wlan-ap-testap]serial-id21023529G007C000020

#进入radio2射频视图。

[AC1-wlan-ap-testap]radio2

#将在AC上配置clear类型的服务模板1与射频2进行关联,同时设置绑定到该射频的VLAN为VLAN300。

[AC1-wlan-ap-testap-radio-2]service-template1vlan-id300

#使能AP的radio2。

[AC1-wlan-ap-testap-radio-2]radioenable

[AC1-wlan-ap-testap-radio-2]return

3.2.2Switch的配置

#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。

system-view

[Switch]vlan100

[Switch-vlan100]quit

[Switch]vlan300

[Switch-vlan300]quit

#配置Switch与AC相连的GigabitEthernet1/0/1接口链路类型为Trunk,PVID为100,允许VLAN100通过。

[Switch]interfacegigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100

[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/1]quit

#配置Switch与AP相连的GigabitEthernet1/0/2接口链路类型为Access,并允许VLAN100通过,并使能PoE功能。

[Switch]interfacegigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2]portlink-typeaccess

[Switch-GigabitEthernet1/0/2]portaccessvlan100

[Switch-GigabitEthernet1/0/2]poeenable

[Switch-GigabitEthernet1/0/2]quit

3.3验证配置

#在Client成功上线后,在AC上通过displaydhcpserverip-in-useall命令查看DHCP地址池的地址绑定信息,可以看到AC为Client动态分配的IP地址为192.168.30.2,绑定Client的MAC地址为001e-583f-0895。

[AC]displaydhcpserverip-in-useall

Poolutilization:

0.00%

IPaddressClient-identifier/LeaseexpirationType

Hardwareaddress

192.168.30.2001e-583f-0895Mar29201317:

18:

50Auto:

COMMITTED

#通过displayarpall命令查看AC上的ARP表项,授权ARP根据AC为Client动态分配的IP地址生成ARP表项。

[AC]displayarpall

Type:

S-StaticD-DynamicA-Authorized

IPAddressMACAddressVLANIDInterfaceAgingType

192.168.30.2001e-583f-0895300WLAN-DBSS1:

0N/AA

3.4配置文件

∙AC:

#

vlan100

#

vlan200

#

vlan300

#

dhcpserverip-pool300

network192.168.30.0255.255.255.0

#

wlanservice-template1clear

ssidservice

bindWLAN-ESS1

service-templateenable

#

interfaceVlan-interface100

ipaddress192.168.10.1255.255.255.0

#

interfaceVlan-interface300

ipaddress192.168.30.1255.255.255.0

arpauthorizedenable

dhcpupdatearp

#

interfaceGigabitEthernet1/0/1

portlink-typetrunk

porttrunkpermitvlan100300

porttrunkpvidvlan100

#

interfaceWLAN-ESS1

portlink-typehybrid

undoporthybridvlan1

porthybridvlan200untagged

porthybridpvidvlan200

mac-vlanenable

#

wlanapap1modelWA2620E-AGNid1

serial-id21023529G007C000020

radio1

radio2

service-template1vlan-id300

radioenable

#

dhcpenable

#

∙Switch:

#

vlan100

#

vlan300

#

interfaceGigabitEthernet1/0/1

portlink-typetrunk

porttrunkpermitvlan100

porttrunkpvidvlan100

#

interfaceGigabitEthernet1/0/2

portlink-typeaccess

portaccessvlan100

poeenable

#

4授权ARP功能在DHCP中继上的配置举例

4.1组网需求

如3.1图1所示,SwitchA作为DHCP服务器,AC作为DHCP中继,AP和Client通过AC从SwitchA获取IP地址,现要求配置授权ARP功能,实现只有通过DHCP服务器获取IP地址的用户才能访问网络资源,增加网络安全性。

图1授权ARP功能在DHCP中继上的配置组网图

4.2配置步骤

4.2.1AC的配置

(1)配置AC的接口

#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress192.168.10.124

[AC-Vlan-interface100]quit

#创建VLAN200作为WLAN-ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN,并为该接口配置IP地址。

[AC]vlan300

[AC-vlan300]quit

[AC]interfacevlan-interface300

[AC-Vlan-interface300]ipaddress192.168.30.124

[AC-Vlan-interface300]quit

#创建VLAN400作为AC上行链路的出口VLAN,并为该接口配置IP地址。

[AC]vlan400

[AC-vlan400]quit

[AC]interfacevlan-interface400

[AC-Vlan-interface400]ipaddress192.168.40.124

[AC-Vlan-interface400]quit

#配置AC的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300的报文通过。

[AC]interfacegigabitethernet1/0/1

[AC-GigabitEthernet1/0/1]portlink-typetrunk

[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300

[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100

[AC-GigabitEthernet1/0/1]quit

#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。

[AC]interfacewlan-ess1

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

[AC-WLAN-ESS1]porthybridpvidvlan200

#在Hybrid端口上使能MACVLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

[AC-WLAN-ESS1]quit

(2)配置DHCP中继

#使能DHCP功能。

[AC]dhcpenable

#配置DHCP服务器组1中的服务器的IP地址。

[AC]dhcprelayserver-group1ip192.168.40.2

#配置VLAN接口300工作在DHCP中继模式。

[AC]interfacevlan-interface300

[AC-Vlan-interface300]dhcpselectrelay

#配置VLAN接口300与DHCP服务器组1的归属关系。

[AC-Vlan-interface300]dhcprelayserver-select1

(3)配置授权ARP功能

#配置DHCP服务器支持授权ARP功能。

[AC-Vlan-interface300]dhcpupdatearp

#使能授权ARP功能。

[AC-Vlan-interface300]arpauthorizedenable

[AC-Vlan-interface300]quit

(4)配置无线服务

#创建clear类型的服务模板1。

[AC1]wlanservice-template1clear

#设置当前服务模板的SSID为service。

[AC1-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC1-wlan-st-1]bindwlan-ess1

#启用无线服务。

[AC1-wlan-st-1]service-templateenable

[AC1-wlan-st-1]quit

(5)配置AP

#创建AP的管理模板,名称为testap,型号名称选择WA2620E-AGN。

[AC1]wlanaptestapmodelWA2620E-AGN

#设置AP的序列号为21023529G007C000020。

[AC1-wlan-ap-testap]serial-id21023529G007C000020

#进入radio2射频视图。

[AC1-wlan-ap-testap]radio2

#将在AC上配置clear类型的服务模板1与射频2进行关联,同时设置绑定到该射频的VLAN为VLAN300。

[AC1-wlan-ap-testap-radio-2]service-template1vlan-id300

#使能AP的radio2。

[AC1-wlan-ap-testap-radio-2]radioenable

[AC1-wlan-ap-testap-radio-2]return

4.2.2SwitchA的配置

#创建VLAN400作为与AC通信的VLAN,并为该接口配置IP地址。

system-view

[SwitchA]vlan400

[SwitchA-vlan400]quit

[SwitchA]interfacevlan-interface400

[SwitchA-Vlan-interface400]ipaddress192.168.40.224

[SwitchA-Vlan-interface400]quit

#配置Switch使能DHCP服务。

[SwitchA]dhcpenable

#创建名为300的DHCP地址池,配置动态分配的网段为192.168.30.0/24,网关地址为192.168.30.1,为Client分配IP地址。

[SwitchA]dhcpserverip-pool300

[SwitchA-dhcp-pool-300]network192.168.30.024

[SwitchA-dhcp-pool-300]gateway-list192.168.30.1

[SwitchA-dhcp-pool-300]quit

#配置SwitchA到AP和Client所在网段的静态路由。

[SwitchA]iproute-static192.168.30.024192.168.40.1

4.2.3SwitchB的配置

#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。

system-view

[SwitchB]vlan100

[SwitchB-vlan100]quit

[SwitchB]vlan300

[SwitchB-vlan300]quit

#配置Switch与AC相连的GigabitEthernet1/0/1接口链路类型为Trunk,PVID为100,允许VLAN100通过。

[SwitchB]interfacegigabitethernet1/0/1

[SwitchB-GigabitEthernet1/0/1]portlink-typetrunk

[SwitchB-GigabitEthernet1/0/1]porttrunkpermitvlan100

[SwitchB-GigabitEthernet1/0/1]porttrunkpvidvlan100

[SwitchB-GigabitEthernet1/0/1]quit

#配置Switch与AP相连的GigabitEthernet1/0/2接口链路类型为Access,并允许VLAN100通过,并使能PoE功能。

[SwitchB]interfacegigabitethernet1/0/2

[SwitchB-GigabitEthernet1/0/2]portlink-typeaccess

[SwitchB-GigabitEthernet1/0/2]portaccessvlan100

[SwitchB-GigabitEthernet1/0/2]poeenable

[SwitchB-GigabitEthernet1/0/2]quit

4.3验证配置

#在Clien

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 自然科学 > 物理

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1