通过授权ARP实现只让DHCP获取地址PC上网的案例

　　一、组网需求

　　MSR路由器作为网络出口设备，对内部提供DHCP方式接入，网络管理员近期发现部分公司员工手动配置IP地址上网，导致IP地址混乱、与网络打印机等产生IP地址冲突。

　　出于安全和可维护角度考虑，管理员禁止静态配置地址PC上网，通过授权ARP方式不学习静态配置地址PC的ARP表项来禁止其上网，配置授权ARP后，只允许DHCP方式学习ARP表项。

　　设备清单：MSR系列路由器1台、二层交换机若干。

　　二、 组网图

　　三、主要配置

　　acl number 2000

　　rule 0 permit source 192.168.0.0 0.0.0.255

　　dhcp server ip-pool 0

　　network 192.168.0.0 mask 255.255.255.0

　　gateway-list 192.168.0.254

　　dns-list 192.168.0.253

　　#

　　interface Ethernet0/0

　　port link-mode route

　　nat outbound 2000

　　ip address 201.1.1.1 255.255.255.0

　　#

　　interface Ethernet0/1

　　port link-mode route

　　ip address 192.168.0.254 255.255.255.0

　　arp authorized enable

　　arp authorized time-out 120

　　dhcp update arp

　　#

　　ip route-static 0.0.0.0 0.0.0.0 201.1.1.2

　　#

　　dhcp enable

　　注解：arp authorized enable命令用来使能接口下的授权ARP功能。arp authorized time-out命令用来配置该接口下授权ARP表项的老化时间。缺省情况下，授权ARP表项的老化时间为1200秒。dhcp update arp命令用来配置DHCP服务器支持授权ARP功能。

　　配置完成后测试发现手动配置的IP地址无法和网关通信，自动获取的IP地址可以正常访问外网。

　　四、配置关键点

　　1、该配置为DHCP服务器+授权ARP方案，DHCP Relay + 授权ARP方案可以在操作手册中IP业务分册的ARP配置部分查看;

　　2、配置DHCP相关配置;

　　3、在DHCP接口使能授权ARP和DHCP更新ARP;

　　4、可以根据需要调节授权ARP表项老化时间。

2015年07月