所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R011C10 配置指南-IP业务

本文档介绍了IP业务的配置,具体包括IP地址配置、ARP配置、DHCP配置、DHCP策略VLAN配置、DNS配置、mDNS网关配置、mDNS中继配置、UDP Helper配置、IP性能优化配置、IPv6基础配置、DHCPv6配置、IPv6 DNS配置、IPv6 over IPv4隧道配置和IPv4 over IPv6隧道配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置出口ARP检测示例

配置出口ARP检测示例

组网需求

图4-31所示,Switch_2通过接口GE0/0/3上行连接Switch_1(DHCP Server),通过接口GE0/0/1、GE0/0/2连接用户主机Host_1和Host_2,Host_1和Host_2通过DHCP方式获取IP地址。Switch_1的接口GE0/0/3和Switch_2的接口GE0/0/1、GE0/0/2、GE0/0/3同属于VLAN2。管理员提出以下需求:
  • 希望同属于VLAN2的Host_1和Host_2之间二层隔离三层互通。
  • 希望Switch_2不要在VLAN内广播ARP请求报文,减小VLAN内的网络负荷。
图4-31  配置出口ARP检测组网图

配置思路

采用如下思路在Switch_1和Switch_2上进行配置:

  1. 在Switch_2的接口GE0/0/1、GE0/0/2上配置端口隔离功能,在Switch_1上使能VLAN内Proxy ARP功能,实现Host_1和Host_2之间二层隔离三层互通。

  2. 在Switch_2上配置DHCP Snooping功能并使能出口ARP检测EAI功能,实现Switch_2利用ARP请求报文的目的IP地址匹配DHCP Snooping动态绑定表来确定该报文的出接口,避免其在VLAN内广播。

  3. 在Switch_2上使能端口隔离后ARP报文转发功能,实现在配置了出口ARP检测EAI功能的前提下,Host_1和Host_2仍然可以二层隔离三层互通。

操作步骤

  1. 在Switch_1上创建VLAN,将接口加入到VLAN中;并配置DHCP服务器功能

    # 创建VLAN2,并将接口GE0/0/3加入VLAN2中。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch_1
    [Switch_1] vlan batch 2
    [Switch_1] interface gigabitethernet 0/0/3
    [Switch_1-GigabitEthernet0/0/3] port link-type trunk
    [Switch_1-GigabitEthernet0/0/3] port trunk allow-pass vlan 2
    [Switch_1-GigabitEthernet0/0/3] quit
    

    # 创建VLANIF2接口,配置VLANIF2接口的IP地址,并使能VLANIF2接口的DHCP服务功能。

    [Switch_1] dhcp enable
    [Switch_1] interface vlanif 2
    [Switch_1-Vlanif2] ip address 10.10.10.1 24
    [Switch_1-Vlanif2] dhcp select interface
    

  2. 在Switch_2上创建VLAN,并将接口加入到VLAN中。

    # 创建VLAN2,并将接口GE0/0/1、GE0/0/2、GE0/0/3加入VLAN2中。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch_2
    [Switch_2] vlan batch 2
    [Switch_2] interface gigabitethernet 0/0/1
    [Switch_2-GigabitEthernet0/0/1] port link-type access
    [Switch_2-GigabitEthernet0/0/1] port default vlan 2
    [Switch_2-GigabitEthernet0/0/1] quit
    [Switch_2] interface gigabitethernet 0/0/2
    [Switch_2-GigabitEthernet0/0/2] port link-type access
    [Switch_2-GigabitEthernet0/0/2] port default vlan 2
    [Switch_2-GigabitEthernet0/0/2] quit
    [Switch_2] interface gigabitethernet 0/0/3
    [Switch_2-GigabitEthernet0/0/3] port link-type trunk
    [Switch_2-GigabitEthernet0/0/3] port trunk allow-pass vlan 2
    [Switch_2-GigabitEthernet0/0/3] quit
    

  3. 在Switch_2上配置DHCP Snooping功能

    # 全局使能DHCP Snooping功能,并在VLAN2内使能DHCP Snooping功能。

    [Switch_2] dhcp enable 
    [Switch_2] dhcp snooping enable 
    [Switch_2] vlan 2
    [Switch_2-vlan2] dhcp snooping enable 
    [Switch_2-vlan2] quit

    # 配置接口GE0/0/3为信任接口。

    [Switch_2] interface gigabitethernet 0/0/3
    [Switch_2-GigabitEthernet0/0/3] dhcp snooping trusted
    [Switch_2-GigabitEthernet0/0/3] quit
    

    配置成功后,DHCP客户端Host_1和Host_2就可以上线了,同时Host_1和Host_2之间可以相互Ping通,Switch_2上会生成DHCP Snooping动态绑定表。

  4. 在Switch_2上配置端口隔离

    # 配置端口隔离模式为二层隔离三层互通,并配置接口GE0/0/1、GE0/0/2的端口隔离功能。

    [Switch_2] port-isolate mode l2
    [Switch_2] interface gigabitethernet 0/0/1
    [Switch_2-GigabitEthernet0/0/1] port-isolate enable
    [Switch_2-GigabitEthernet0/0/1] quit
    [Switch_2] interface gigabitethernet 0/0/2
    [Switch_2-GigabitEthernet0/0/2] port-isolate enable
    [Switch_2-GigabitEthernet0/0/2] quit

    配置成功后,Host_1和Host_2之间不能相互Ping通,表明Host_1和Host_2已经二层隔离。

  5. 在Switch_1上使能VLAN内Proxy ARP功能。

    # 在VLANIF2接口上使能VLAN内ARP代理功能。

    [Switch_1-Vlanif2] arp-proxy inner-sub-vlan-proxy enable
    [Switch_1-Vlanif2] quit
    

    配置成功后,Host_1和Host_2之间可以相互Ping通,表明Host_1和Host_2已经三层互通。

  6. 在Switch_2上使能出口ARP检测EAI功能

    # 在VLAN2内使能出口ARP检测EAI功能。

    [Switch_2] vlan 2
    [Switch_2-vlan2] dhcp snooping arp security enable
    

    配置完该步骤后,若Host_1上Host_2对应的ARP表项已经老化,则Host_1在Ping Host_2时会首先发送ARP请求报文。

    因使能了EAI功能,Switch_2会使用该ARP请求报文的目的IP地址匹配DHCP Snooping动态绑定表来确定该报文的出接口,于是Switch_2会将该ARP请求报文转发至接口GE0/0/1。这使得之前ARP报文经GE0/0/3到Switch_1触发的VLAN内Proxy ARP功能无法生效。同时,EAI功能确定的出接口GE0/0/1和报文入接口GE0/0/2之间已配置隔离,因此Switch_2最终会丢弃该ARP请求报文造成Host_1的ARP学习失败。

    此时,Host_1与Host_2之间不能相互Ping通。

  7. 在Switch_2上使能端口隔离后ARP报文转发功能

    # 在VLAN2内使能端口隔离后ARP报文转发功能。

    [Switch_2-vlan2] dhcp snooping arp security isolate-forwarding-trust
    [Switch_2-vlan2] quit
    

    配置完该步骤后,Switch_2会直接将Host_1发送的ARP请求报文转发到信任接口GE0/0/3,通过Switch_1上的VLAN内Proxy ARP功能,Host_1和Host_2之间可以相互Ping通,表明端口隔离后ARP报文转发功能已配置成功。

  8. 验证配置结果

    Host_1和Host_2之间可以相互Ping通。

配置文件

  • Switch_1的配置文件

    #
    sysname Switch_1
    #
    vlan batch 2 
    #
    dhcp enable 
    #
    interface Vlanif2
     ip address 10.10.10.1 255.255.255.0
     arp-proxy inner-sub-vlan-proxy enable
     dhcp select interface 
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2
    #
    return
    
  • Switch_2的配置文件

    #
    sysname Switch_2
    #
    vlan batch 2
    #                                                                               
    dhcp enable                                                                     
    #                                                                               
    dhcp snooping enable                                                            
    #
    vlan 2                                                                          
     dhcp snooping enable                                                           
     dhcp snooping arp security enable                                              
     dhcp snooping arp security isolate-forwarding-trust    
    #   
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 2
     port-isolate enable group 1 
    #   
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 2
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/3
     port link-type trunk                                                           
     port trunk allow-pass vlan 2                                                   
     dhcp snooping trusted       
    #   
    return
    
翻译
下载文档
更新时间:2019-03-28

文档编号:EDOC1000178148

浏览量:59738

下载量:1478

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页