登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C 中低端以太网交换机 三层技术-IP业务典型配置指导-6W100

目录

03-ARP典型配置指导

本章节下载 03-ARP典型配置指导  (154.1 KB)

03-ARP典型配置指导

目 

1 ARP典型配置指导

1.1 ARP典型配置指导

1.1.1 应用要求

1.1.2 配置思路

1.1.3 适用产品、版本

1.1.4 配置过程和解释

1.1.5 完整配置

1.1.6 配置注意事项

1.2 代理ARP典型配置指导

1.2.1 应用要求

1.2.2 配置思路

1.2.3 适用产品、版本

1.2.4 配置过程和解释

1.2.5 完整配置

1.2.6 配置注意事项

1.3 端口隔离时的本地代理ARP典型配置指导

1.3.1 应用要求

1.3.2 配置思路

1.3.3 适用产品、版本

1.3.4 配置过程和解释

1.3.5 完整配置

1.3.6 配置注意事项

 

1 ARP典型配置指导

1.1  ARP典型配置指导

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。

1.1.1  应用要求

Switch连接主机,通过接口GigabitEthernet1/0/1连接Router。接口GigabitEthernet1/0/1属于VLAN 10。Router的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000,网络环境如图1-1所示:

图1-1 ARP典型配置组网图

 

网络管理员希望通过某种方法来防止恶意用户对Switch进行ARP攻击,增加Switch和Router通信的安全性。

1.1.2  配置思路

在保证Router安全性的前提下,如果Router上的IP地址和MAC地址是固定的,为了防止恶意用户进行ARP攻击,可以在Switch上配置静态ARP表项。

1.1.3  适用产品、版本

表1-1 配置适用的产品与软件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,

Release 6610系列,Release 6600系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101,Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.1.4  配置过程和解释

在Switch上进行下列配置。

# 创建VLAN 10。

<Switch> system-view

[Switch] vlan 10

[Switch-vlan10] quit

# 将接口GigabitEthernet1/0/1加入到VLAN 10中。

[Switch] interface GigabitEthernet 1/0/1

[Switch-GigabitEthernet1/0/1] port access vlan 10

[Switch-GigabitEthernet1/0/1] quit

# 创建接口Vlan-interface10,并配置IP地址。

[Switch] interface vlan-interface 10

[Switch-vlan-interface10] ip address 192.168.1.2 8

[Switch-vlan-interface10] quit

# 配置一条静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet1/0/1。

[Switch] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet 1/0/1

# 查看静态ARP表项信息。

[Switch] display arp static

                Type: S-Static    D-Dynamic    A-Authorized

IP Address       MAC Address     VLAN ID  Interface              Aging Type

192.168.1.1      00e0-fc01-0000  10       GE1/0/1                  N/A   S 

1.1.5  完整配置

#

vlan 10

#

interface Vlan-interface10

 ip address 192.168.1.2 255.0.0.0

#

interface GigabitEthernet1/0/1

 port access vlan 10

#

 arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet1/0/1

#

1.1.6  配置注意事项

当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。

1.2  代理ARP典型配置指导

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

l              普通代理ARP的应用环境为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

l              本地代理ARP的应用环境为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

1.2.1  应用要求

网络环境如图1-2所示:

图1-2 代理ARP典型配置组网图

要求:Host A和Host D能互通。

1.2.2  配置思路

l              Host A和Host D为同一网段的主机(Host A的IP地址是192.168.10.100/16,Host D的IP地址是192.168.20.200/16)

l              被设备Switch分在两个不同的子网(Host A属于VLAN 1,Host D属于VLAN 2)。

当Host A需要与Host D通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A会直接发出请求Host D硬件地址的ARP请求。但是,因为两台主机处于不同的广播域中,Host D无法收到Host A的ARP请求报文,当然也就无法应答。可通过在Switch上启用代理ARP功能。

1.2.3  适用产品、版本

表1-2 配置适用的产品与软件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,Release 6600系列,

Release 6610系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

 

1.2.4  配置过程和解释

# 创建VLAN 2。

<Switch> system-view

[Switch] vlan 2

[Switch-vlan2] quit

# 配置接口Vlan-interface1的IP地址。

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0

# 开启接口Vlan-interface1的代理ARP功能。

[Switch-Vlan-interface1] proxy-arp enable

[Switch-Vlan-interface1] quit

# 配置接口Vlan-interface2的IP地址。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0

# 开启接口Vlan-interface2的代理ARP功能。

[Switch-Vlan-interface2] proxy-arp enable

配置完成后,Host A和Host D可以互相ping通。

1.2.5  完整配置

#

vlan 1

#

vlan 2

#

interface Vlan-interface1

 ip address 192.168.10.99 255.255.255.0

 proxy-arp enable

#

interface Vlan-interface2

 ip address 192.168.20.99 255.255.255.0

 proxy-arp enable

#

1.2.6  配置注意事项

1.3  端口隔离时的本地代理ARP典型配置指导

1.3.1  应用要求

网络环境如图1-3所示:

图1-3 端口隔离时的本地代理ARP典型配置组网图

l              Host A和Host B属于同一个VLAN,分别与设备Switch B的端口GigabitEthernet1/0/2和 GigabitEthernet1/0/3相连;

l              设备Switch B通过端口GigabitEthernet1/0/1端口与Switch A相连;

要求:Host A和Host B之间不能二层互通,Host A的广播报文不能被Host B接收到,但正常的三层通信仍然可以进行。

1.3.2  配置思路

l              可以配置端口隔离实现Host A和Host B之间不能二层互通的目的;

l              通过本地代理ARP功能实现Host A和Host B正常的三层通信。

1.3.3  适用产品、版本

表1-3 配置适用的产品与软件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,Release 6600系列,

Release 6610系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

 

 

1.3.4  配置过程和解释

(1)        配置Switch B

# 在Switch B上端口GigabitEthernet1/0/3、 GigabitEthernet1/0/1、 GigabitEthernet1/0/2属于同一VLAN 2;Host A和Host B彼此之间二层报文不能互通。

<SwitchB> system-view

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1

[SwitchB-vlan2] port gigabitethernet 1/0/2

[SwitchB-vlan2] port gigabitethernet 1/0/3

[SwitchB-vlan2] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] port-isolate enable

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] port-isolate enable

[SwitchB-GigabitEthernet1/0/3] quit

(2)        配置SwitchA

# 配置VLAN接口2的IP地址。

<SwitchA> system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port gigabitethernet 1/0/2

[SwitchA-vlan2] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.10.100 255.255.255.0

从Host A上ping不通Host B,表明Host A和Host B二层隔离。

# 配置本地代理ARP,实现Host A和Host B之间的三层互通。

[SwitchA-Vlan-interface2] local-proxy-arp enable

从Host A上可以ping通Host B,表明Host A和Host B三层互通了。

1.3.5  完整配置

l              SwitchB上的配置

#

vlan 2

#

interface GigabitEthernet1/0/1

 port access vlan 2

#

interface GigabitEthernet1/0/2

 port access vlan 2

 port-isolate enable

#

interface GigabitEthernet1/0/3

 port access vlan 2

 port-isolate enable

#

l              SwitchA上的配置

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.10.100 255.255.255.0

 local-proxy-arp enable

#

interface GigabitEthernet1/0/2

 port access vlan 2

#

1.3.6  配置注意事项

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们