• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-三层技术-IP业务配置指导

目录

01-ARP配置

本章节下载 01-ARP配置  (394.72 KB)

01-ARP配置


1 ARP

说明

设备支持两种运行模式:独立运行模式和IRF模式,缺省情况为独立运行模式。有关IRF模式的介绍,请参见“IRF配置指导”中的“IRF”。

 

1.1  ARP简介

1.1.1  ARP作用

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。

1.1.2  ARP报文结构

ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。

图1-1 ARP报文结构

·     硬件类型:表示硬件地址的类型。它的值为1表示以太网地址;

·     协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址;

·     硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;

·     操作类型(OP):1表示ARP请求,2表示ARP应答;

·     发送端MAC地址:发送方设备的硬件地址;

·     发送端IP地址:发送方设备的IP地址;

·     目标MAC地址:接收方设备的硬件地址。

·     目标IP地址:接收方设备的IP地址。

1.1.3  ARP地址解析过程

假设主机A和B在同一个网段,主机A要向主机B发送信息。如图1-2所示,具体的地址解析过程如下:

(1)     主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。

(2)     如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。

(3)     主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。

(4)     主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。

图1-2 ARP地址解析过程

 

当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。

1.1.4  ARP

设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。

ARP表项分为动态ARP表项和静态ARP表项。

1. 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。

2. 静态ARP表项

静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

静态ARP表项分为长静态ARP表项、短静态ARP表项和多端口ARP表项。

·     在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。

·     在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,之后就可以用于IP数据包的转发。

·     多端口ARP表项通过配置短静态ARP表项和多端口单播MAC/组播MAC地址表项形成,当短静态ARP表项中的MAC地址与多端口单播MAC/组播MAC地址表项中的MAC地址相同时,则生成多端口ARP表项。当设备要发送IP数据包时,多端口ARP表项将指导IP数据包从多个出端口发送。

说明

·     一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

·     如果希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信,可以配置短静态ARP表项,如果进一步希望限定这个用户只在某VLAN内的某个特定接口上连接就可以配置长静态ARP表项。

 

1.2  配置ARP

1.2.1  手工添加静态ARP表项

静态ARP表项在设备正常工作时间一直有效,当设备的ARP表项所对应的VLAN或VLAN接口被删除时,如果是长静态ARP表项则被删除,如果是已经解析的短静态ARP表项则重新变为未解析状态。

表1-1 手工添加静态ARP表项

操作

命令

说明

进入系统视图

system-view

-

手工添加静态ARP表项

手工添加长静态ARP表项

arp static ip-address mac-address vlan-id interface-type interface-number [ vpn-instance vpn-instance-name ]

两者必选其一

缺省情况下,没有配置任何长静态ARP表项

手工添加短静态ARP表项

arp static ip-address mac-address [ vpn-instance vpn-instance-name ]

 

注意

·     参数vlan-id用于指定ARP表项所对应的VLAN,vlan-id必须是用户已经创建好的VLAN的ID,且vlan-id参数后面指定的以太网接口必须属于这个VLAN。VLAN对应的VLAN接口必须已经创建。

·     指定参数vlan-idip-address的情况下,参数vlan-id对应的VLAN接口的IP地址必须和参数ip-address指定的IP地址属于同一网段。

 

1.2.2  手工添加多端口ARP表项

多端口ARP表项由多端口单播/组播MAC地址表项指定VLAN和出端口,由短静态ARP表项指定VPN和IP地址。多端口ARP表项不会被其它动态、短静态或长静态ARP表项覆盖。

表1-2 手工添加多端口ARP表项

操作

命令

说明

进入系统视图

system-view

-

配置多端口单播MAC地址表项或配置组播MAC地址表项

配置多端口单播MAC地址表项

mac-address multiport mac-address interface interface-list vlan vlan-id

二者必选其一

配置组播MAC地址表项

mac-address multicast mac-address interface interface-list vlan vlan-id

手工添加短静态ARP表项

arp static ip-address mac-address [ vpn-instance vpn-instance-name ]

必选

其中mac-address应该和多端口单播MAC或组播MAC中的mac-address一致

 

注意

·     当对应的VLAN接口未创建、VLAN接口down或者VLAN接口和VPN不匹配的时候,该多端口ARP表项不能正常指导转发,匹配该多端口ARP表项的报文被丢弃;当满足VLAN接口up且VLAN接口和VPN匹配时,该多端口ARP表项能正常指导转发。

·     短静态ARP按照MAC地址去查找对应的多端口单播MAC或组播MAC地址表项,当同样的MAC在多个VLAN中存在的时候,短静态ARP选择关联其中VLAN ID最小的MAC表项生成多端口ARP表项。

·     当达到多端口ARP表项的最大数目时,即使短静态ARP存在匹配的多端口单播MAC地址表项或者组播MAC地址表项,仍然会解析失败。如果后续其它多端口ARP表项被删掉,短静态ARP表项不能自动解析生成多端口ARP表项,需要手动重新配置。

·     多端口单播MAC的相关内容,请参见“二层技术-以太网交换命令参考/MAC地址表”中的命令mac-address multiport;组播MAC的相关内容,请参见“IP组播命令参考/组播路由与转发”中的命令mac-address multicast

·     当将以太网接口加入到聚合组后,多端口单播或组播MAC地址表项只能在此聚合组对应的聚合接口视图下配置,否则此功能不生效。

·     多端口单播或组播MAC地址表项中的MAC地址,只能作为报文的目的MAC地址;如果作为源MAC地址,这类报文将被接收设备丢弃、无法转发。比如:某报文的目的MAC地址为上述MAC地址,Switch A可将该报文从自己的三个物理端口同时发送到三台服务器上,但其中任一服务器向Switch A发送上述MAC地址作为源MAC地址的报文时,Switch A将会直接丢弃该报文。

 

1.2.3  配置接口学习动态ARP表项的最大数目

设备可以通过ARP协议自动生成动态ARP表项。为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的最大数目达到所设置的值时,该接口将不再学习动态ARP表项。

表1-3 配置接口学习动态ARP表项的最大数目

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口允许学习动态ARP表项的最大数目

arp max-learning-num number

可选

缺省情况下,接口允许学习动态ARP表项的最大数目为当前设备剩余资源的最大值

 

说明

如果二层接口及其所属的VLAN三层接口都配置了允许学习动态ARP表项的最大数目,则以数目小的进行限制。

 

1.2.4  配置动态ARP表项的老化时间

为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个老化时间,到达老化时间仍得不到刷新的记录将被从ARP表中删除。如果在到达老化时间前记录被刷新,则重新计算老化时间。用户可以根据网络实际情况调整老化时间。

表1-4 配置动态ARP的老化时间

操作

命令

说明

进入系统视图

system-view

-

配置动态ARP的老化时间

arp timer aging aging-time

可选

缺省情况下,动态ARP的老化时间为20分钟

 

1.2.5  使能动态ARP表项的检查功能

动态ARP表项检查功能可以控制设备上是否可以学习MAC地址为组播MAC的动态ARP表项。

·     使能ARP表项的检查功能后,设备上不能学习MAC地址为组播MAC的动态ARP表项。

·     关闭ARP表项的检查功能后,设备上可以学习MAC地址为组播MAC的动态ARP表项。

表1-5 使能动态ARP表项的检查功能

操作

命令

说明

进入系统视图

system-view

-

使能动态ARP表项的检查功能

arp check enable

可选

缺省情况下,使能动态ARP表项的检查功能

 

1.2.6  使能支持自然网段的ARP请求

学习ARP表项时,在发现ARP报文的源IP地址和入接口IP地址不在同一网段后,使用自然网段进行判断。

假设Vlan-interface10接口的IP地址为10.10.10.5/24,收到一个源IP地址为10.11.11.1/8的ARP报文,用接口的24位掩码与10.11.11.1进行与运算,得到的网段地址与接口IP地址不在同一网段,Vlan-interface10接口无法处理这个报文。如果使能支持自然网段的ARP请求功能,则通过接口IP地址所在自然网段的掩码进行判断,由于Vlan-interface10接口的IP地址为A类地址,因此默认掩码应该为8位,于是两个IP地址就在同一个网段,Vlan-interface10接口就可以学习源IP地址为10.11.11.1的ARP表项了。

表1-6 使能支持自然网段的ARP请求

操作

命令

说明

进入系统视图

system-view

-

使能支持自然网段的ARP请求

naturemask-arp enable

必选

缺省情况下,不使能支持自然网段的ARP请求

 

1.3  ARP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除ARP表中除授权类型外的ARP表项。

表1-7 ARP显示和维护

操作

命令

显示ARP表项(独立运行模式)

display arp [ [  all | dynamic | static ] [ slot slot-number ] | vlan vlan-id | interface interface-type  interface-number ] [ count | verbose ] [ | { begin | exclude | include } regular-expression ]

显示ARP表项(IRF模式)

display arp [ [  all | dynamic | static ] [ chassis chassis-number slot slot-number ] | vlan vlan-id | interface interface-type  interface-number ] [ count | verbose ] [ | { begin | exclude | include } regular-expression ]

显示指定IP地址的ARP表项(独立运行模式)

display arp ip-address [ slot slot-number] [ verbose ] [ | { begin | exclude | include } regular-expression ]

显示指定IP地址的ARP表项(IRF模式)

display arp ip-address [ chassis chassis-number slot slot-number ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

显示指定VPN实例的ARP表项

display arp vpn-instance vpn-instance-name [ | { begin | exclude | include } regular-expression | count ]

显示动态ARP表项的老化时间

display arp timer aging [ | { begin | exclude | include } regular-expression ]

清除ARP表项(独立运行模式)

reset arp { all | dynamic | static | slot slot-number | interface interface-type interface-number }

清除ARP表项(IRF模式)

reset arp { all | dynamic | static | chassis chassis-number slot slot-number | interface interface-type interface-number }

 

说明

清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致设备无法正常通信。清除前请务必仔细确认。

 

1.4  ARP典型配置举例

说明

缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

 

1.4.1  静态ARP表项配置举例

1. 组网需求

·     Switch连接主机,通过接口GigabitEthernet 3/0/1连接Router。接口GigabitEthernet 3/0/1属于VLAN 10。

·     Router的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。

为了增加Switch和Router通信的安全性,可以在Switch上配置静态ARP表项。

2. 组网图

图1-3 配置静态ARP表项组网图

3. 配置步骤

在Switch上进行下列配置。

# 创建VLAN 10。

<Switch> system-view

[Switch] vlan 10

[Switch-vlan10] quit

# 将接口GigabitEthernet 3/0/1加入到VLAN 10中。

[Switch] interface GigabitEthernet 3/0/1

[Switch- GigabitEthernet3/0/1] port access vlan 10

[Switch- GigabitEthernet3/0/1] quit

# 创建接口Vlan-interface10,并配置IP地址。

[Switch] interface vlan-interface 10

[Switch-vlan-interface10] ip address 192.168.1.2 24

[Switch-vlan-interface10] quit

# 配置一条静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet3/0/1。

[Switch] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet3/0/1

# 查看静态ARP表项信息。

[Switch] display arp static

                Type: S-Static    D-Dynamic    A-Authorized

IP Address       MAC Address     VLAN ID  Interface              Aging Type

192.168.1.1      00e0-fc01-0000  10       GE3/0/1                 N/A   S 

1.4.2  多端口ARP表项配置举例

1. 组网需求

·     Switch连接服务器群,通过属于VLAN 10的三个接口GigabitEthernet3/0/1、GigabitEthernet3/0/2和GigabitEthernet3/0/3分别连接三台服务器。

·     服务器群的共享IP地址为192.168.1.1/24,共享MAC地址为00e0-fc01-0000。

配置多端口ARP表项使目的IP为192.168.1.1的IP数据报文能同时发送到三台服务器上。

2. 组网图

图1-4 配置多端口ARP表项组网图

 

3. 配置步骤

在Switch上进行下列配置。

# 创建VLAN 10。

<Switch> system-view

[Switch] vlan 10

[Switch-vlan10] quit

# 将接口GigabitEthernet3/0/1、GigabitEthernet3/0/2、GigabitEthernet3/0/3加入到VLAN 10中。

[Switch] interface GigabitEthernet 3/0/1

[Switch-GigabitEthernet3/0/1] port access vlan 10

[Switch-GigabitEthernet3/0/1] quit

[Switch] interface GigabitEthernet 3/0/2

[Switch-GigabitEthernet3/0/2] port access vlan 10

[Switch-GigabitEthernet3/0/2] quit

[Switch] interface GigabitEthernet 3/0/3

[Switch-GigabitEthernet3/0/3] port access vlan 10

[Switch-GigabitEthernet3/0/3] quit

# 创建接口Vlan-interface10,并配置IP地址。

[Switch] interface vlan-interface 10

[Switch-vlan-interface10] ip address 192.168.1.2 24

[Switch-vlan-interface10] quit

# 配置多端口单播MAC表项,MAC地址为00e0-fc01-0000,VLAN为10,对应的出接口为GigabitEthernet3/0/1、GigabitEthernet3/0/2和GigabitEthernet3/0/3。

[Switch] mac-address multiport 00e0-fc01-0000 interface GigabitEthernet 3/0/1 to GigabitEthernet 3/0/3 vlan 10

# 配置一条短静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000。

[Switch] arp static 192.168.1.1 00e0-fc01-0000

# 查看静态ARP表项信息。

[Switch] display arp

                Type: S-Static    D-Dynamic    A-Authorized    M-Multiport

IP Address       MAC Address     VLAN ID  Interface              Aging Type

192.168.1.1      00e0-fc01-0000  N/A      N/A                    N/A   M


 

2 免费ARP

2.1  免费ARP简介

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。

设备通过对外发送免费ARP报文来实现以下功能:

·     确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

·     设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。

1. 免费ARP报文学习功能的作用

使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:

·     如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;

·     如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。

关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。

2. 定时发送免费ARP功能的作用

定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:

(1)     防止仿冒网关的ARP攻击

如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。

为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上使能定时发送免费ARP功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。

(2)     防止主机ARP表项老化

在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。

为了解决上述问题,可以在网关的接口上使能定时发送免费ARP功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。

(3)     防止VRRP虚拟IP地址冲突

当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,从而确保网络中不会存在IP地址与VRRP虚拟IP地址相同的设备。

由于用户可以设定VRRP虚拟IP地址和MAC地址对应关系,因此有以下两种情况:

·     如果当前VRRP虚拟IP地址和虚拟MAC地址对应,则免费ARP报文中的源MAC地址为VRRP虚拟路由器对应的虚拟MAC地址。

·     如果当前VRRP虚拟IP地址和实际MAC地址对应,则免费ARP报文中的源MAC地址为VRRP备份组中Master路由器接口的MAC地址。

(4)     及时更新模糊终结VLAN内设备的MAC地址表

三层以太网子接口上同时配置了模糊终结多个VLAN和VRRP备份组时,为了避免发送过多的VRRP通告报文,需要关闭VLAN终结支持广播/组播功能,并配置VRRP控制VLAN。此时,为了及时更新各个模糊终结VLAN内设备的MAC地址表项,可以在三层以太网子接口上使能定时发送免费ARP功能。使能该功能后,三层以太网子接口将按照配置的时间间隔周期性发送VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,当VRRP主备状态切换时,各个模糊终结VLAN内设备上可以及时更新为正确的MAC地址表项。

说明

关于VRRP的详细介绍,请参见“可靠性配置指导”中的“VRRP”。 关于VLAN终结的详细介绍,请参见“以太网交换配置指导”中的“VLAN终结”。

 

2.2  配置免费ARP

表2-1 配置免费ARP

操作

命令

说明

进入系统视图

system-view

-

使能免费ARP报文学习功能

gratuitous-arp-learning enable

可选

缺省情况下,设备免费ARP报文的学习功能处于开启状态

使能收到非同一网段ARP请求时发送免费ARP报文功能

gratuitous-arp-sending enable

可选

缺省情况下,设备收到非同一网段的ARP请求时不发送免费ARP报文

 

 


3 代理ARP

3.1  代理ARP简介

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

·     普通代理ARP的应用环境为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

·     本地代理ARP的应用环境为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

说明

如无特殊说明,本章后续描述中的代理ARP均指普通代理ARP。

 

3.1.1  代理ARP

处于同一网段内的主机,当连接到设备的不同三层接口时,可以利用设备的代理ARP功能,通过三层转发实现互通。

代理ARP的典型应用环境如图3-1所示。设备Router通过VLAN 10和VLAN20连接两个网络,两个VLAN接口的IP地址不在同一个网段,接口地址分别为192.168.10.99/24、192.168.20.99/24。但是两个网络内的主机Host A和Host B的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。

图3-1 代理ARP的应用环境

 

在这种组网情况下,当Host A需要与Host B通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A广播发送ARP请求报文,请求Host B的MAC地址。但是,此时的两台主机处于不同的广播域中,Host B无法收到Host A的ARP请求报文,当然也就无法应答。

通过在Router上启用代理ARP功能,可以解决此问题。启用代理ARP后,Router可以应答Host A的ARP请求。同时,Router相当于Host B的代理,把从其他主机发送过来的报文转发给它。

代理ARP的优点是,它可以只被应用在一个设备上(此时该设备的作用相当于网关),不会影响到网络中其他设备的路由表。代理ARP功能可以在主机没有配置缺省网关或者主机没有任何路由能力的情况下使用。

3.1.2  本地代理ARP

本地代理ARP的应用场景如图3-2所示。VLAN 10为Super VLAN,VLAN 2和VLAN 3为VLAN 10的Sub VLAN。Host A和Host B分别属于VLAN 2和VLAN 3,且分别连接到被二层隔离的端口GigabitEthernet3/0/3和GigabitEthernet3/0/1上。

图3-2 本地代理ARP的应用环境

 

 

在这种组网情况下,当Host A需要与Host B通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A会直接发出请求Host B硬件地址的ARP请求。但是,因为连接两台主机的端口属于不同的VLAN,Host B无法收到Host A的ARP请求报文。

通过在Switch A上启用本地代理ARP功能,可以解决此问题。在三层接口GigabitEthernet3/0/2上启用本地代理ARP后,Switch A会代替Host B回应ARP报文,Host A发给Host B的报文就会通过Switch A进行转发,从而实现Host A与Host B之间的通信。

本地代理ARP可以在下列二种情况下实现主机之间的三层互通:

·     想要互通的主机分别连接到同一个VLAN中的不同二层隔离端口下;

·     使能Super VLAN功能后,想要互通的主机属于不同的Sub VLAN。

3.2  配置代理ARP功能

代理ARP和本地代理ARP功能均可在VLAN接口视图/三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图下进行配置。

表3-1 配置代理ARP功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

开启代理ARP功能

proxy-arp enable

必选

缺省情况下,关闭代理ARP功能

 

表3-2 配置本地代理ARP功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

开启本地代理ARP功能

local-proxy-arp enable [ ip-range startIP to endIP ]

必选

缺省情况下,关闭本地代理ARP功能

 

3.3  代理ARP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后代理ARP的运行情况,查看显示信息验证配置的效果。

表3-3 代理ARP显示和维护

操作

命令

显示代理ARP的状态

display proxy-arp [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

显示本地代理ARP的状态

display local-proxy-arp [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

 

3.4  代理ARP典型配置举例

说明

缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP状态。

 

3.4.1  代理ARP配置举例

1. 组网需求

Host A和Host D配置为同一网段的主机(Host A的IP地址是192.168.10.100/16,Host D的IP地址是192.168.20.200/16),但却被设备Switch分在两个不同的子网(Host A属于VLAN 1,Host D属于VLAN 2)。

当Host A需要与Host D通信时,由于目的IP地址与本机的IP地址属于同一网段,Host A会直接发出请求Host D硬件地址的ARP请求。但是,因为两台主机处于不同的广播域中,Host D无法收到Host A的ARP请求报文,当然也就无法应答。通过在Switch上启用代理ARP功能,可以使得处在两个子网的Host A和Host D互通。

2. 组网图

图3-3 配置代理ARP组网图

 

3. 配置步骤

# 创建VLAN 2。

<Switch> system-view

[Switch] vlan 2

[Switch-vlan2] quit

# 配置接口Vlan-interface1IP地址。

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0

# 开启接口Vlan-interface1的代理ARP功能。

[Switch-Vlan-interface1] proxy-arp enable

[Switch-Vlan-interface1] quit

# 配置接口Vlan-interface2的IP地址。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0

# 开启接口Vlan-interface2的代理ARP功能。

[Switch-Vlan-interface2] proxy-arp enable

配置完成后,Host A和Host D可以互相ping通。

3.4.2  端口隔离时的本地代理ARP配置举例

1. 组网需求

·     Host A和Host B属于同一个VLAN,分别与设备Switch B的端口GigabitEthernet3/0/3和GigabitEthernet3/0/1相连;

·     设备Switch B通过端口GigabitEthernet3/0/2端口与Switch A相连;

·     实现被二层隔离的端口GigabitEthernet3/0/3和GigabitEthernet3/0/1能够三层互通。

2. 组网图

图3-4 配置端口隔离时的本地代理ARP组网图

 

说明

本配置举例为Switch B对所有流量进行隔离,所以通过Switch A的Vlan-interface2接口上启用本地代理ARP功能来实现Host A和Host B的互通;如果Switch B只是二层隔离,那么可以直接在Switch B的Vlan-interface2接口上启用本地代理ARP功能就可以实现Host A和Host B的互通。

 

3. 配置步骤

(1)     配置Switch B

# 在Switch B上端口GigabitEthernet3/0/3、GigabitEthernet3/0/1、GigabitEthernet3/0/2属于同一VLAN 2;Host A和Host B彼此之间二层报文不能互通。

<Switch B> system-view

[Switch B] port-isolate group 2

[Switch B] vlan 2

[Switch B-vlan2] port GigabitEthernet 3/0/3

[Switch B-vlan2] port GigabitEthernet 3/0/1

[Switch B-vlan2] port GigabitEthernet 3/0/2

[Switch B-vlan2] quit

[Switch B] interface GigabitEthernet 3/0/3

[Switch B-GigabitEthernet3/0/3] port-isolate enable group 2

[Switch B-GigabitEthernet3/0/3] interface GigabitEthernet 3/0/1

[Switch B-GigabitEthernet3/0/1] port-isolate enable group 2

[Switch B-GigabitEthernet3/0/1] interface GigabitEthernet 3/0/2

[Switch B-GigabitEthernet3/0/2] port-isolate uplink-port group 2

(2)     配置设备SwitchA

# 创建VLAN 2,添加端口GigabitEthernet3/0/2到VLAN 2。

<SwitchA> system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port GigabitEthernet 3/0/2

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.10.100 255.255.0.0

从Host A上ping不通Host B,表明Host A和Host B二层隔离。

# 配置本地代理ARP,实现Host A和Host B之间的三层互通。

[SwitchA-Vlan-interface2] local-proxy-arp enable

从Host A上可以ping通Host B,表明Host A和Host B三层互通了。

3.4.3  Super VLAN中的本地代理ARP配置举例

1. 组网需求

·     创建Super VLAN:VLAN 10,VLAN接口的IP地址为192.168.10.100/16。

·     创建Sub VLAN:VLAN 2、VLAN 3。

·     端口GigabitEthernet3/0/2属于VLAN 2,端口GigabitEthernet3/0/1属于VLAN 3。

·     Host A属于VLAN 2,与Switch的端口GigabitEthernet3/0/2相连;Host B属于VLAN 3,与Switch的端口GigabitEthernet3/0/1相连。

由于Host A和Host B属于不同的Sub VLAN,Host A和Host B之间二层隔离。通过在Switch上配置本地代理ARP功能,可以实现Host A和Host B之间的三层互通。

2. 组网图

图3-5 配置Super VLAN中的本地代理ARP组网图

 

3. 配置步骤

# 创建Super VLAN,Sub VLAN;添加端口GigabitEthernet3/0/2到VLAN 2,端口GigabitEthernet3/0/1到VLAN 3;配置VLAN 10接口的IP地址为192.168.10.100/16。

<Switch> system-view

[Switch] vlan 2

[Switch-vlan2] port GigabitEthernet 3/0/2

[Switch-vlan2] quit

[Switch] vlan 3

[Switch-vlan3] port GigabitEthernet 3/0/1

[Switch-vlan3] quit

[Switch] vlan 10

[Switch-vlan10] supervlan

[Switch-vlan10] subvlan 2 3

[Switch-vlan10] interface vlan-interface 10

[Switch-Vlan-interface10] ip address 192.168.10.100 255.255.0.0

从Host A上ping不通Host B,表明Host A和Host B二层隔离。

# 配置本地代理ARP,实现Sub VLAN之间的三层互通。

[Switch-Vlan-interface10] local-proxy-arp enable

从Host A上可以ping通Host B,表明Host A和Host B三层互通了。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们