关于VLAN,求救.

你发的配置都跟DHCP没关系
#
version 520, Release 6305P03
#
sysname S7503E_master
#
voice vlan 52 enable
voice vlan aging 100
#
dhcp relay server-group 1 ip 19216812
#
domain default enable system
#
telnet server enable
#
switch-mode standard-routing
#
vlan 1
#
vlan 2 to 22
#
vlan 52
#
vlan 100
#
vlan 888
#
ftth
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
dhcp server ip-pool 1
network 19216810 mask 2552552550
gateway-list 1921681254
#
dhcp server ip-pool 2
network 172150 mask 2552552550
gateway-list 17215254
#
local-user admin
password simple admin
service-type telnet
level 3
#
stp mode rstp
stp instance 0 root primary
stp enable
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
#
interface NULL0
#
interface Vlan-interface1
ip address 1921681253 2552552550
vrrp vrid 1 virtual-ip 1921681254
vrrp vrid 1 priority 110
#
interface Vlan-interface2
description bianjiewangluo
ip address 17212253 2552552550
vrrp vrid 2 virtual-ip 17212254
vrrp vrid 2 priority 110
#
interface Vlan-interface3
description zixunbu
ip address 17213253 2552552550
vrrp vrid 3 virtual-ip 17213254
vrrp vrid 3 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface4
description kaoqinshebei
ip address 17214253 2552552550
vrrp vrid 4 virtual-ip 17214254
vrrp vrid 4 priority 110
#
interface Vlan-interface5
description wuxian_A
ip address 17215253 2552552550
vrrp vrid 5 virtual-ip 17215254
vrrp vrid 5 priority 110
#
interface Vlan-interface6
description wuxian_B
ip address 17216253 2552552550
vrrp vrid 6 virtual-ip 17216254
vrrp vrid 6 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface17
description 17F
ip address 172117253 2552552550
vrrp vrid 17 virtual-ip 172117254
vrrp vrid 17 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface18
description 18F
ip address 172118253 2552552550
vrrp vrid 18 virtual-ip 172118254
vrrp vrid 18 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface19
description 19F
ip address 172119253 2552552550
vrrp vrid 19 virtual-ip 172119254
vrrp vrid 19 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface20
description 20F
ip address 172120253 2552552550
vrrp vrid 20 virtual-ip 172120254
vrrp vrid 20 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface21
description 21F
ip address 172121253 2552552550
vrrp vrid 21 virtual-ip 172121254
vrrp vrid 21 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface22
description 22F
ip address 172122253 2552552550
vrrp vrid 22 virtual-ip 172122254
vrrp vrid 22 priority 110
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface52
description voice_vlan
ip address 172160253 25525500
vrrp vrid 52 virtual-ip 1721601
vrrp vrid 52 priority 110
dhcp select relay
dhcp relay server-select 1
发我以前配置过的，你自己研究一下

本文主要介绍如何使用iptbales实现linux24下的强大的NAT功能。关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是，本文绝对不是 NAT-HOWTO的简单重复或是中文版，在整个的叙述过程中，作者都在试图用自己的语言来表达自己的理解，自己的思想。
一、概述
1 什么是NAT
在传统的标准的TCP/IP通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源MAC地址换成自己的MAC地址以外，路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的 *** 作。
2 为什么要进行NAT
我们来看看再什么情况下我们需要做NAT。
假设有一家ISP提供园区Internet接入服务，为了方便管理，该ISP分配给园区用户的IP地址都是伪IP，但是部分用户要求建立自己的配合使用成为透明代理，在对>

IP冲突通常指的是同网段内有两台主机使用了同样的IP号，也就是主机号。导致两台设备都无法使用网络或直接断线。出现此种情况的原因和解决方法如下：

我们都知道，IP地址的组成方式是一组32位标示网络中的一台计算机的二进制数，通常网络地址加主机地址成为一组完整的IP地址。如19216811，前三个字节为网络地址，后一字节为主机地址。

因为网络IP协议分ABCDE五大类，而我们通常家用或小型团体使用的都是较少主机的C类网络。它由前3位为110，IP范围为192001~255255255254，其前3组为网络号（共2^21=2097150个网络号），后一组为主机号（每个网络可容纳254台主机），所以，也就是说，在同网段内的主机可以有254个主机号，而0为网络号，是不能分配IP的，255为网络检测号，也不能分配IP。所以就可以在1-254中选一个数字作为计算机的主机号，和网络号相组合组成一组合适的IP地址。

因此，在同网络的局域网，如有两台电脑都使用同一个主机号，就会发生IP冲突的情况，这时只要其中一台把IP地址最后一个字节的主机号修改成和另一台主机号不同的IP就行了。当然，主机号一定是要在1-254的数字内挑选。但此时最好把IP地址设置成静态，也就是我们常说的手动输入。

[H3C]dis cu
#
sysname H3C
#
firewall packet-filter enable
firewall packet-filter default permit
#
insulate
#
firewall statistic system enable
#
radius scheme system
server-type extended
#
domain system
#
local-user admin
password simple admin
service-type telnet
level 3
#
acl number 2001
rule 10 permit
#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 192168131 2552552550
#
interface Ethernet0/1
ip address 192168141 2552552550
#
interface Ethernet0/2
ip address 192168151 2552552550
#
interface Ethernet0/3
ip address 192168161 2552552550
#
interface Ethernet1/0
ip address 2228221234 255255255224
nat outbound 2001
#
interface Ethernet1/1
ip address 192168111 2552552550
#
interface Ethernet1/2
ip address 192168121 2552552550
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/1
add interface Ethernet0/2
add interface Ethernet0/3
add interface Ethernet1/1
add interface Ethernet1/2
set priority 85
#
firewall zone untrust
add interface Ethernet1/0
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
ip route-static 0000 0000 2228221233 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
[H3C]

IP+MAC+端口 做不了

IP+MAC+端口+VLAN  做不了

13  配置ARP防止IP报文攻击功能

131  ARP防止IP报文攻击功能简介

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备，则会造成下面的危害：

l              设备向目的网段发送大量ARP请求报文，加重目的网段的负载。

l              设备会试图反复地对目标IP地址进行解析，增加了CPU的负担。

为避免这种IP报文攻击所带来的危害，设备提供了下列两个功能：

l              如果发送攻击报文的源是固定的，可以采用ARP源抑制功能。开启该功能后，如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文，当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值，那么对于由此主机发出的IP报文，设备不允许其触发ARP请求，直至5秒后再处理，从而避免了恶意攻击所造成的危害。

l              如果发送攻击报文的源不固定，可以采用ARP黑洞路由功能。开启该功能后，一旦接收到目标IP地址不能解析的IP报文，设备立即产生一个黑洞路由，使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后，如有报文触发则再次发起解析，如果解析成功则进行转发，否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击，减轻CPU的负担。

132  配置ARP防止IP报文攻击功能

1 配置ARP源抑制功能

表1-2 配置ARP源抑制功能

*** 作

命令

说明

进入系统视图

system-view

-

使能ARP源抑制功能

arp source-suppression enable

必选

缺省情况下，关闭ARP源抑制功能

配置ARP源抑制的阈值

arp source-suppression limit limit-value

可选

缺省情况下，ARP源抑制的阈值为10

133  ARP防止IP报文攻击显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况，通过查看显示信息验证配置的效果。

表1-3 ARP源抑制显示和维护

*** 作

命令

显示ARP源抑制的配置信息

display arp source-suppression [ | { begin | exclude | include } regular-expression ]

14  配置源MAC地址固定的ARP攻击检测功能

141  源MAC地址固定的ARP攻击检测功能简介

本特性根据ARP报文的源MAC地址进行统计，在5秒内，如果收到同一源MAC地址的ARP报文超过一定的阈值，则认为存在攻击，系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前，如果设置的检查模式为过滤模式，则会打印告警信息并且将该源MAC地址发送的ARP报文过滤掉；如果设置的模式为监控模式，则只打印告警信息，不会将该源MAC地址发送的ARP报文过滤掉。

对于网关或一些重要的服务器，可能会发送大量ARP报文，为了使这些ARP报文不被过滤掉，可以将这类设备的MAC地址配置成保护MAC地址，这样，即使该MAC地址存在攻击也不会被检测、过滤。

只对上送CPU的ARP报文进行统计。

142  配置源MAC地址固定的ARP攻击检测功能

表1-4 配置源MAC地址固定的ARP攻击检测功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能源MAC地址固定的ARP攻击检测功能，并选择检查模式

arp anti-attack source-mac { filter | monitor }

必选

缺省情况下，源MAC地址固定的ARP攻击检测功能处于关闭状态

配置源MAC地址固定的ARP报文攻击检测的阈值

arp anti-attack source-mac threshold threshold-value

可选

配置源MAC地址固定的ARP防攻击检测表项的老化时间

arp anti-attack source-mac aging-time time

可选

缺省情况下，源MAC地址固定的ARP防攻击检测表项的老化时间为300秒，即5分钟

配置保护MAC地址

arp anti-attack source-mac exclude-mac mac-address&<1-n>

可选

缺省情况下，没有配置任何保护MAC地址

n的取值范围和设备相关，请以设备的实际情况为准

对于已添加到源MAC地址固定的ARP防攻击检测表项中的MAC地址，在等待设置的老化时间后，会重新恢复成普通MAC地址。

143  源MAC地址固定的ARP攻击检测显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后源MAC地址固定的ARP攻击检测的运行情况，通过查看显示信息验证配置的效果。

表1-5 源MAC地址固定的ARP攻击检测显示和维护

*** 作

命令

显示检测到的源MAC地址固定的ARP防攻击检测表项

display arp anti-attack source-mac [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

15  配置ARP报文源MAC地址一致性检查功能

151  ARP报文源MAC地址一致性检查功能简介

ARP报文源MAC地址一致性检查功能主要应用于网关设备上，防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后，网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。

152  配置ARP报文源MAC地址一致性检查功能

表1-6 配置ARP报文源MAC地址一致性检查功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能ARP报文源MAC地址一致性检查功能

arp anti-attack valid-check enable

必选

缺省情况下，关闭ARP报文源MAC地址一致性检查功能

16  配置ARP主动确认功能

161  ARP主动确认功能简介

ARP的主动确认功能主要应用于网关设备上，防止攻击者仿冒用户欺骗网关设备。

启用ARP主动确认功能后，设备在新建或更新ARP表项前需进行主动确认，防止产生错误的ARP表项。关于工作原理的详细介绍请参见“ARP攻击防范技术白皮书”。

162  配置ARP主动确认功能

表1-7 配置ARP主动确认功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能ARP主动确认功能

arp anti-attack active-ack enable

必选

缺省情况下，关闭ARP主动确认功能

17  配置授权ARP功能

l    本特性目前仅支持三层以太网接口。

l    关于DHCP服务器和DHCP中继的介绍，请参见“三层技术-IP业务配置指导”中的“DHCP”。

171  授权ARP功能简介

所谓授权ARP（Authorized ARP），就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。

使能接口的授权ARP功能后：

l              系统会启动接口下授权ARP表项的老化探测功能，可以检测用户的非正常下线；

l              系统会禁止该接口学习动态ARP表项，可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击，保证只有合法的用户才能使用网络资源，增加了网络的安全性。

静态ARP表项可以覆盖授权ARP表项，授权ARP表项可以覆盖动态ARP表项，但是授权ARP表项不能覆盖静态ARP表项，动态ARP表项不能覆盖授权ARP表项。

172  配置授权ARP功能

表1-8 配置授权ARP功能

*** 作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置DHCP服务器（DHCP中继）支持授权ARP功能

dhcp update arp

必选

缺省情况下，DHCP服务器（DHCP中继）不支持授权ARP功能

使能授权ARP功能

arp authorized enable

必选

缺省情况下，接口下没有使能授权ARP功能

配置授权ARP表项的老化时间

arp authorized time-out seconds

可选

缺省情况下，接口下授权ARP表项的老化时间为1200秒

如果DHCP服务器（DHCP中继）不支持授权ARP功能，当配置了arp authorized enable命令后，只是会禁止该接口学习动态ARP表项，不会同步生成授权ARP表项。

173  授权ARP功能在DHCP服务器上的典型配置举例

1 组网需求

l              Router A是DHCP服务器，为同一网段中的客户端动态分配IP地址，地址池网段为10110/24。通过在接口Ethernet1/1上启用授权ARP功能对客户端进行老化探测，并保证客户端的合法性。

l              Router B是DHCP客户端，通过DHCP协议从DHCP服务器获取IP地址。

2 组网图

图1-1 授权ARP功能典型配置组网图

3 配置步骤

(1)        配置Router A

# 配置接口的IP地址。

<RouterA> system-view

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] ip address 10111 24

[RouterA-Ethernet1/1] quit

# 使能DHCP服务。

[RouterA] dhcp enable

[RouterA] dhcp server ip-pool 1

[RouterA-dhcp-pool-1] network 10110 mask 2552552550

[RouterA-dhcp-pool-1] quit

# 进入三层以太网接口视图。

[RouterA] interface ethernet 1/1

# 使能DHCP同步ARP表项功能。

[RouterA-Ethernet1/1] dhcp update arp

# 使能接口授权ARP功能。

[RouterA-Ethernet1/1] arp authorized enable

# 配置接口下授权ARP的老化时间。

[RouterA-Ethernet1/1] arp authorized time-out 120

[RouterA-Ethernet1/1] quit

(2)        配置Router B

<RouterB> system-view

[RouterB] interface ethernet 1/1

[RouterB-Ethernet1/1] ip address dhcp-alloc

[RouterB-Ethernet1/1] quit

(3)        Router B获得Router A分配的IP后，在Router A查看授权ARP信息。

[RouterA] display arp all

Type: S-Static    D-Dynamic    A-Authorized

IP Address       MAC Address     VLAN ID  Interface          Aging  Type

10112         0012-3f86-e94c  N/A      Eth1/1             2      A

从以上信息可以获知Router A为Router B动态分配的IP地址为10112。

此后，Router B与Router A通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致，否则将无法通信，保证了客户端的合法性。

如果Router B非正常下线（比如，异常断电），待老化时间过后，Router A将删除相应的授权ARP表项。

174  授权ARP功能在DHCP中继上的典型配置举例

1 组网需求

l              Router A是DHCP服务器，为不同网段中的客户端动态分配IP地址，地址池网段为101010/24。

l              Router B是DHCP中继，通过在接口Ethernet1/2上启用授权ARP功能对客户端进行老化探测，并保证客户端的合法性。

l              Router C是DHCP客户端，通过DHCP中继从DHCP服务器获取IP地址。

2 组网图

图1-2 授权ARP功能典型配置组网图

3 配置步骤

(1)        配置Router A

# 配置接口的IP地址。

<RouterA> system-view

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] ip address 10111 24

[RouterA-Ethernet1/1] quit

# 使能DHCP服务。

[RouterA] dhcp enable

[RouterA] dhcp server ip-pool 1

[RouterA-dhcp-pool-1] network 101010 mask 2552552550

[RouterA-dhcp-pool-1] gateway-list 101011

[RouterA-dhcp-pool-1] quit

[RouterA] ip route-static 101010 24 10112

(2)        配置Router B

# 使能DHCP服务。

<RouterB> system-view

[RouterB] dhcp enable

# 配置接口的IP地址。

[RouterB] interface ethernet 1/1

[RouterB-Ethernet1/1] ip address 10112 24

[RouterB-Ethernet1/1] quit

[RouterB] interface ethernet 1/2

[RouterB-Ethernet1/2] ip address 101011 24

# 配置Ethernet1/2接口工作在DHCP中继模式。

[RouterB-Ethernet1/2] dhcp select relay

[RouterB-Ethernet1/2] quit

# 配置DHCP服务器的地址。

[RouterB] dhcp relay server-group 1 ip 10111

# 配置Ethernet1/2接口对应DHCP服务器组1。

[RouterB] interface ethernet 1/2

[RouterB-Ethernet1/2] dhcp relay server-select 1

# 使能DHCP同步ARP表项功能。

[RouterB-Ethernet1/2] dhcp update arp

# 使能接口授权ARP功能。

[RouterB-Ethernet1/2] arp authorized enable

# 配置接口下授权ARP的老化时间。

[RouterB-Ethernet1/2] arp authorized time-out 120

[RouterB-Ethernet1/2] quit

(3)        配置Router C

<RouterC> system-view

[RouterC] ip route-static 10110 24 101011

[RouterC] interface ethernet 1/2

[RouterC-Ethernet1/2] ip address dhcp-alloc

[RouterC-Ethernet1/2] quit

(4)        Router C获得Router A分配的IP后，在Router B查看授权ARP信息。

[RouterB] display arp all

Type: S-Static    D-Dynamic    A-Authorized

IP Address       MAC Address     VLAN ID  Interface          Aging Type

101012        0012-3f86-e94c  N/A      Eth1/2             2     A

从以上信息可以获知Router A为Router C动态分配的IP地址为101012。

此后，Router C与Router B通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致，否则将无法通信，保证了客户端的合法性。

如果Router C非正常下线（比如，异常断电），待老化时间过后，Router B将删除相应的授权ARP表项。

18  配置ARP自动扫描、固化功能

181  ARP自动扫描、固化功能简介

ARP自动扫描功能一般与ARP固化功能配合使用：

l              启用ARP自动扫描功能后，设备会对局域网内的邻居自动进行扫描（向邻居发送ARP请求报文，获取邻居的MAC地址，从而建立动态ARP表项）。

l              ARP固化功能用来将当前的ARP动态表项（包括ARP自动扫描生成的动态ARP表项）转换为静态ARP表项。通过对动态ARP表项的固化，可以有效的防止攻击者修改ARP表项。

推荐在网吧这种环境稳定的小型网络中使用这两个功能。

182  配置ARP自动扫描、固化功能

表1-9 配置ARP自动扫描、固化功能

*** 作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

启动ARP自动扫描功能

arp scan [ start-ip-address to end-ip-address ]

必选

退回系统视图

quit

-

配置ARP固化功能

arp fixup

可选

l    对于已存在ARP表项的IP地址不进行扫描。

l    扫描 *** 作可能比较耗时，用户可以通过Ctrl_C来终止扫描（在终止扫描时，对于已经收到的邻居应答，会建立该邻居的动态ARP表项）。

l    固化后的静态ARP表项与配置产生的静态ARP表项相同。

l    通过arp fixup命令将当前的动态ARP表项转换为静态ARP表项后，后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。

l    固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制，由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

l    通过固化生成的静态ARP表项，可以通过命令行undo arp ip-address [ -instance-name ]逐条删除，也可以通过命令行reset arp all或reset arp static全部删除。

4011 - Logon failed -登陆失败
4012 - Logon failed due to server configuration-基于服务器配置的登陆失败
4013 - Unauthorized due to ACL on resource-资源访问控制列表返回未授权
4014 - Authorization failed by filter-服务器filter返回未授权
4015 - Authorization failed by ISAPI/CGI application-服务器ISAPI/CGI返回未授权

---