• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C低端以太网交换机 典型配置指导(V1.01)

21-ARP典型配置指导

本章节下载  (147.3 KB)

21-ARP典型配置指导


第1章  ARP典型配置指导

1.1  ARP入侵检测与ARP报文限速配置举例

1.1.1  组网图

图1-1 配置ARP入侵检测与端口ARP报文限速组网图

1.1.2  组网需求

图1-1所示,Switch A的端口Ethernet1/0/1连接DHCP服务器,端口Ethernet1/0/2和Ethernet1/0/3分别连接Client A和Client B,且三个端口都属于VLAN 1。

l              开启交换机的DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

l              为防止ARP中间人攻击,配置VLAN 1的ARP入侵检测功能,设置Switch A的端口Ethernet1/0/1为ARP信任端口;

l              开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能,防止来自Client A和Client B的ARP报文流量攻击。

l              开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为200秒。

1.1.3  适用产品、版本

表1-1 配置适用的产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1602软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1602软件版本

全系列硬件版本

S3100-EI系列

Release 2104、Release 2107软件版本

全系列硬件版本

S3100-52P

Release 1602软件版本

S3100-52P

S2000-EA系列

Release 2107软件版本

全系列硬件版本

E352&E328

Release 1602软件版本

E352&E328

E152

Release 1602软件版本

E152

E126A

Release 2104、Release 2107软件版本

E126A

 

1.1.4  配置过程和解释

# 开启交换机DHCP Snooping功能。

<SwitchA> system-view

[SwitchA] dhcp-snooping

# 设置端口Ethernet1/0/1为DHCP Snooping信任端口,ARP信任端口。

[SwitchA] interface Ethernet1/0/1

[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] arp detection trust

[SwitchA-Ethernet1/0/1] quit

# 开启VLAN 1内所有端口的ARP入侵检测功能。

[SwitchA] vlan 1

[SwitchA-vlan1] arp detection enable

[SwitchA-vlan1] quit

# 开启端口Ethernet1/0/2上的ARP报文限速功能,设置ARP报文通过的最大速率为20pps。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20

[SwitchA-Ethernet1/0/2] quit

# 开启端口Ethernet1/0/3上ARP报文限速功能,设置ARP报文通过的最大速率为50pps。

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 50

[SwitchA-Ethernet1/0/3] quit

# 配置端口状态自动恢复功能,恢复时间间隔为200秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 200

1.1.5  完整配置

#

 arp protective-down recover enable

 arp protective-down recover interval 200

#

vlan 1

 arp detection enable

#

interface Ethernet1/0/1

 dhcp-snooping trust

 arp detection trust

#

interface Ethernet1/0/2

 arp rate-limit enable

 arp rate-limit 20

#

interface Ethernet1/0/3

 arp rate-limit enable

 arp rate-limit 50

#

 dhcp-snooping

#

1.1.6  配置注意事项

l              配置ARP入侵检测功能之前,需要先在交换机上开启DHCP Snooping功能,并设置DHCP Snooping信任端口。

l              用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间。

l              一般情况下,需要配置交换机的上行端口作为ARP信任端口。

l              建议用户不要在汇聚组中的端口或Fabric端口上配置ARP入侵检测、ARP报文限速功能。

1.2  代理ARP典型配置指导

1.2.1  组网图

图1-2 配置代理ARP组网图

1.2.2  应用要求

l              Host A属于VLAN 1,IP地址为192.168.10.100/16,Host D属于VLAN 2,IP地址为192.168.20.200/16。

l              交换机VLAN接口1的IP地址为192.168.10.99/24,VLAN接口2的IP地址为192.168.20.99/24。

l              为实现Host A和Host D的正常通信,需要在交换机的VLAN接口1和VLAN接口2上启用代理ARP功能,。

1.2.3  适用产品、版本

表1-2 配置适用的产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1602软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1602软件版本

全系列硬件版本

E352&E328

Release 1602软件版本

E352&E328

 

1.2.4  配置过程和解释

# 配置VLAN1接口的IP地址,并开启代理ARP功能。

<Switch> system-view

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0

[Switch-Vlan-interface1] arp proxy enable

[Switch-Vlan-interface1] quit

# 配置VLAN2接口的IP地址,并开启代理ARP功能。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0

[Switch-Vlan-interface2] arp proxy enable

[Switch-Vlan-interface2] quit

1.2.5  完整配置

#

interface Vlan-interface1

 arp proxy enable

 ip address 192.168.10.99 255.255.255.0

#

interface Vlan-interface2

 arp proxy enable

 ip address 192.168.20.99 255.255.255.0

#

1.2.6  配置注意事项

1.3  端口隔离时的代理ARP典型配置指导

1.3.1  组网图

图1-3 配置端口隔离时的代理ARP组网图

1.3.2  应用要求

l              Switch A通过端口Ethernet1/0/1与Switch B相连;

l              Switch B的端口Ethernet1/0/2和Ethernet1/0/3属于同一VLAN,但配置了端口隔离,且分别与Host A和Host B相连;

l              通过Switch A的代理ARP功能,实现Host A和Host B之间的三层互通。

1.3.3  适用产品、版本

表1-3 配置适用的产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1602软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1602软件版本

全系列硬件版本

E352&E328

Release 1602软件版本

E352&E328

 

1.3.4  配置过程和解释

l              配置Switch B

# 配置Switch B的端口Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3属于VLAN2。

<SwitchB> system-view

[SwitchB] vlan 2

[SwitchB-vlan2] port ethernet 1/0/1

[SwitchB-vlan2] port ethernet 1/0/2

[SwitchB-vlan2] port ethernet 1/0/3

[SwitchB-vlan2] quit

# 配置Switch B的端口Ethernet1/0/2和Ethernet1/0/3隔离。

[SwitchB] interface ethernet 1/0/2

[SwitchB-Ethernet1/0/2] port isolate

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface ethernet 1/0/3

[SwitchB-Ethernet1/0/3] port isolate

[SwitchB-Ethernet1/0/3] quit

l              配置Switch A

# 配置Switch A的VLAN接口2的IP地址。

[SwitchA] vlan 2

[SwitchA-vlan2] port ethernet 1/0/1

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.10.100 255.255.0.0

# 配置代理ARP,实现Host A和Host B之间的三层互通。

[SwitchA-Vlan-interface2] arp proxy enable

[SwitchA-Vlan-interface2] quit

1.3.5  完整配置

l              Switch B上的配置

#

vlan 2

#

interface Ethernet1/0/1

 port access vlan 2

#

interface Ethernet1/0/2

 port access vlan 2

 port isolate

#

interface Ethernet1/0/3

 port access vlan 2

 port isolate

#

l              Switch A上的配置

#

vlan 2

#

interface Vlan-interface2

 arp proxy enable

 ip address 192.168.10.100 255.255.0.0

#

interface Ethernet1/0/1

 port access vlan 2

#

1.3.6  配置注意事项

关于端口隔离的具体配置请参考“端口隔离典型配置指导”部分。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们