57授权ARP防止终端非法地址接入典型配置举例.docx
《57授权ARP防止终端非法地址接入典型配置举例.docx》由会员分享,可在线阅读,更多相关《57授权ARP防止终端非法地址接入典型配置举例.docx(19页珍藏版)》请在冰豆网上搜索。
57授权ARP防止终端非法地址接入典型配置举例
授权ARP防止终端非法地址接入典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录
1简介1
2配置前提1
3授权ARP功能在DHCP服务器上的配置举例1
3.1组网需求1
3.2配置步骤1
3.2.1AC的配置1
3.2.2Switch的配置3
3.3验证配置4
3.4配置文件4
4授权ARP功能在DHCP中继上的配置举例5
4.1组网需求5
4.2配置步骤6
4.2.1AC的配置6
4.2.2SwitchA的配置8
4.2.3SwitchB的配置8
4.3验证配置9
4.4配置文件9
5相关资料11
1简介
本文档介绍授权ARP防止终端非法地址接入典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WLAN、ARP和DHCP特性。
3授权ARP功能在DHCP服务器上的配置举例
3.1组网需求
如图1所示,AC作为DHCP服务器,为AP和Client分配IP地址,现要求配置授权ARP功能,实现只有通过DHCP服务器获取IP地址的用户才能访问网络资源,增加网络安全性。
图1授权ARP功能在DHCP服务器上的配置组网图
3.2配置步骤
3.2.1AC的配置
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress192.168.10.124
[AC-Vlan-interface100]quit
#创建VLAN200作为WLAN-ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN,并为该接口配置IP地址。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress192.168.30.124
[AC-Vlan-interface300]quit
#配置AC与Switch相连的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300的报文通过。
[AC]interfacegigabitethernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100
[AC-GigabitEthernet1/0/1]quit
#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
[AC-WLAN-ESS1]porthybridpvidvlan200
#在Hybrid端口上使能MACVLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
[AC-WLAN-ESS1]quit
(2)配置DHCP服务器
#创建名为300的DHCP地址池,并进入其视图。
[AC]dhcpserverip-pool300
#配置DHCP地址池300为Client动态分配的网段为192.168.30.0/24,网关地址为192.168.30.1。
[AC-dhcp-pool-300]network192.168.30.024
[AC-dhcp-pool-300]gateway-list192.168.30.1
[AC-dhcp-pool-300]quit
#使能DHCP功能。
[AC]dhcpenable
(3)配置授权ARP功能
#进入VLAN300接口视图
[AC]interfacevlan-interface300
#配置DHCP服务器支持授权ARP功能。
[AC-Vlan-interface300]dhcpupdatearp
#使能授权ARP功能。
[AC-Vlan-interface300]arpauthorizedenable
[AC-Vlan-interface300]quit
(4)配置无线服务
#创建clear类型的服务模板1。
[AC1]wlanservice-template1clear
#设置当前服务模板的SSID为service。
[AC1-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板1。
[AC1-wlan-st-1]bindwlan-ess1
#启用无线服务。
[AC1-wlan-st-1]service-templateenable
[AC1-wlan-st-1]quit
(5)配置AP
#创建AP的管理模板,名称为testap,型号名称选择WA2620E-AGN。
[AC1]wlanaptestapmodelWA2620E-AGN
#设置AP的序列号为21023529G007C000020。
[AC1-wlan-ap-testap]serial-id21023529G007C000020
#进入radio2射频视图。
[AC1-wlan-ap-testap]radio2
#将在AC上配置clear类型的服务模板1与射频2进行关联,同时设置绑定到该射频的VLAN为VLAN300。
[AC1-wlan-ap-testap-radio-2]service-template1vlan-id300
#使能AP的radio2。
[AC1-wlan-ap-testap-radio-2]radioenable
[AC1-wlan-ap-testap-radio-2]return
3.2.2Switch的配置
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。
system-view
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch与AC相连的GigabitEthernet1/0/1接口链路类型为Trunk,PVID为100,允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口链路类型为Access,并允许VLAN100通过,并使能PoE功能。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
3.3验证配置
#在Client成功上线后,在AC上通过displaydhcpserverip-in-useall命令查看DHCP地址池的地址绑定信息,可以看到AC为Client动态分配的IP地址为192.168.30.2,绑定Client的MAC地址为001e-583f-0895。
[AC]displaydhcpserverip-in-useall
Poolutilization:
0.00%
IPaddressClient-identifier/LeaseexpirationType
Hardwareaddress
192.168.30.2001e-583f-0895Mar29201317:
18:
50Auto:
COMMITTED
#通过displayarpall命令查看AC上的ARP表项,授权ARP根据AC为Client动态分配的IP地址生成ARP表项。
[AC]displayarpall
Type:
S-StaticD-DynamicA-Authorized
IPAddressMACAddressVLANIDInterfaceAgingType
192.168.30.2001e-583f-0895300WLAN-DBSS1:
0N/AA
3.4配置文件
∙AC:
#
vlan100
#
vlan200
#
vlan300
#
dhcpserverip-pool300
network192.168.30.0255.255.255.0
#
wlanservice-template1clear
ssidservice
bindWLAN-ESS1
service-templateenable
#
interfaceVlan-interface100
ipaddress192.168.10.1255.255.255.0
#
interfaceVlan-interface300
ipaddress192.168.30.1255.255.255.0
arpauthorizedenable
dhcpupdatearp
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkpermitvlan100300
porttrunkpvidvlan100
#
interfaceWLAN-ESS1
portlink-typehybrid
undoporthybridvlan1
porthybridvlan200untagged
porthybridpvidvlan200
mac-vlanenable
#
wlanapap1modelWA2620E-AGNid1
serial-id21023529G007C000020
radio1
radio2
service-template1vlan-id300
radioenable
#
dhcpenable
#
∙Switch:
#
vlan100
#
vlan300
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkpermitvlan100
porttrunkpvidvlan100
#
interfaceGigabitEthernet1/0/2
portlink-typeaccess
portaccessvlan100
poeenable
#
4授权ARP功能在DHCP中继上的配置举例
4.1组网需求
如3.1图1所示,SwitchA作为DHCP服务器,AC作为DHCP中继,AP和Client通过AC从SwitchA获取IP地址,现要求配置授权ARP功能,实现只有通过DHCP服务器获取IP地址的用户才能访问网络资源,增加网络安全性。
图1授权ARP功能在DHCP中继上的配置组网图
4.2配置步骤
4.2.1AC的配置
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress192.168.10.124
[AC-Vlan-interface100]quit
#创建VLAN200作为WLAN-ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN,并为该接口配置IP地址。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress192.168.30.124
[AC-Vlan-interface300]quit
#创建VLAN400作为AC上行链路的出口VLAN,并为该接口配置IP地址。
[AC]vlan400
[AC-vlan400]quit
[AC]interfacevlan-interface400
[AC-Vlan-interface400]ipaddress192.168.40.124
[AC-Vlan-interface400]quit
#配置AC的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300的报文通过。
[AC]interfacegigabitethernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100
[AC-GigabitEthernet1/0/1]quit
#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
[AC-WLAN-ESS1]porthybridpvidvlan200
#在Hybrid端口上使能MACVLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
[AC-WLAN-ESS1]quit
(2)配置DHCP中继
#使能DHCP功能。
[AC]dhcpenable
#配置DHCP服务器组1中的服务器的IP地址。
[AC]dhcprelayserver-group1ip192.168.40.2
#配置VLAN接口300工作在DHCP中继模式。
[AC]interfacevlan-interface300
[AC-Vlan-interface300]dhcpselectrelay
#配置VLAN接口300与DHCP服务器组1的归属关系。
[AC-Vlan-interface300]dhcprelayserver-select1
(3)配置授权ARP功能
#配置DHCP服务器支持授权ARP功能。
[AC-Vlan-interface300]dhcpupdatearp
#使能授权ARP功能。
[AC-Vlan-interface300]arpauthorizedenable
[AC-Vlan-interface300]quit
(4)配置无线服务
#创建clear类型的服务模板1。
[AC1]wlanservice-template1clear
#设置当前服务模板的SSID为service。
[AC1-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板1。
[AC1-wlan-st-1]bindwlan-ess1
#启用无线服务。
[AC1-wlan-st-1]service-templateenable
[AC1-wlan-st-1]quit
(5)配置AP
#创建AP的管理模板,名称为testap,型号名称选择WA2620E-AGN。
[AC1]wlanaptestapmodelWA2620E-AGN
#设置AP的序列号为21023529G007C000020。
[AC1-wlan-ap-testap]serial-id21023529G007C000020
#进入radio2射频视图。
[AC1-wlan-ap-testap]radio2
#将在AC上配置clear类型的服务模板1与射频2进行关联,同时设置绑定到该射频的VLAN为VLAN300。
[AC1-wlan-ap-testap-radio-2]service-template1vlan-id300
#使能AP的radio2。
[AC1-wlan-ap-testap-radio-2]radioenable
[AC1-wlan-ap-testap-radio-2]return
4.2.2SwitchA的配置
#创建VLAN400作为与AC通信的VLAN,并为该接口配置IP地址。
system-view
[SwitchA]vlan400
[SwitchA-vlan400]quit
[SwitchA]interfacevlan-interface400
[SwitchA-Vlan-interface400]ipaddress192.168.40.224
[SwitchA-Vlan-interface400]quit
#配置Switch使能DHCP服务。
[SwitchA]dhcpenable
#创建名为300的DHCP地址池,配置动态分配的网段为192.168.30.0/24,网关地址为192.168.30.1,为Client分配IP地址。
[SwitchA]dhcpserverip-pool300
[SwitchA-dhcp-pool-300]network192.168.30.024
[SwitchA-dhcp-pool-300]gateway-list192.168.30.1
[SwitchA-dhcp-pool-300]quit
#配置SwitchA到AP和Client所在网段的静态路由。
[SwitchA]iproute-static192.168.30.024192.168.40.1
4.2.3SwitchB的配置
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。
system-view
[SwitchB]vlan100
[SwitchB-vlan100]quit
[SwitchB]vlan300
[SwitchB-vlan300]quit
#配置Switch与AC相连的GigabitEthernet1/0/1接口链路类型为Trunk,PVID为100,允许VLAN100通过。
[SwitchB]interfacegigabitethernet1/0/1
[SwitchB-GigabitEthernet1/0/1]portlink-typetrunk
[SwitchB-GigabitEthernet1/0/1]porttrunkpermitvlan100
[SwitchB-GigabitEthernet1/0/1]porttrunkpvidvlan100
[SwitchB-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口链路类型为Access,并允许VLAN100通过,并使能PoE功能。
[SwitchB]interfacegigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2]portlink-typeaccess
[SwitchB-GigabitEthernet1/0/2]portaccessvlan100
[SwitchB-GigabitEthernet1/0/2]poeenable
[SwitchB-GigabitEthernet1/0/2]quit
4.3验证配置
#在Clien