MSR系列路由器
通过授权ARP实现只让DHCP获取地址PC上网的配置
关键字:MSR; 授权ARP; DHCP
一、组网需求:
MSR作为网络出口设备,对内部提供DHCP方式接入,处于安全考虑,要求禁止静态配置地址PC上网,可以通过授权ARP方式不学习静态配置地址PC的ARP表项来禁止其上网,配置授权ARP后,只允许DHCP方式学习ARP表项。
设备清单:MSR系列路由器1台
二、组网图:
三、配置步骤:
RTA配置
#
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
#
dhcp server ip-pool 0
network 192.168.0.0 mask 255.255.255.0
gateway-list 192.168.0.1
dns-list 192.168.0.1
#
interface GigabitEthernet0/0
port link-mode route
nat outbound 2000
ip address 202.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.0.1 255.255.255.0
// 使能授权ARP,必配
arp authorized enable
// 使能授权ARP表项老化时间,缺省1200秒,选配
arp authorized time-out 120
// 使能DHCP更新ARP表项,必配
dhcp update arp
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
#
dhcp enable
#
四、配置关键点:
1) 该配置为DHCP服务器+授权ARP方案,DHCP Relay + 授权ARP方案可以在操作手册中IP业务分册的ARP配置部分查看;
2) 配置DHCP相关配置;
3)在DHCP接口使能授权ARP和DHCP更新ARP;
4) 可以根据需要调节授权ARP表项老化时间。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作