01-ARP配置
本章节下载: 01-ARP配置 (537.68 KB)
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。在网络中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址),由于IP数据报必须封装成帧才能通过物理网络发送,因此还需要知道对方的物理地址,所以设备上需要存在一个从IP地址到物理地址的映射关系。ARP就是实现这个功能的协议。
ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。
图1-1 ARP报文结构
· 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址;
· 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址;
· 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;
· 操作类型(OP):1表示ARP请求,2表示ARP应答;
· 发送端MAC地址:发送方设备的硬件地址;
· 发送端IP地址:发送方设备的IP地址;
· 目标MAC地址:接收方设备的硬件地址;
· 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图1-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据报进行帧封装,并将IP数据报发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该IP数据报,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去。
图1-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项、静态ARP表项、OpenFlow ARP表项和Rule ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
静态ARP表项分为短静态ARP表项、长静态ARP表项和多端口ARP表项。
· 长静态ARP表项可以直接用于报文转发,除了包括IP地址和MAC地址外,还需要包括以下两种表项内容之一:
¡ 该ARP表项所在VLAN和出接口;
¡ 该ARP表项的入接口和出接口对应关系。
· 短静态ARP表项只包括IP地址和MAC地址。
如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发。
如果出接口是VLAN接口,短静态ARP表项不能直接用于报文转发,需要对表项进行解析:当要发送IP数据报时,设备先发送ARP请求报文,如果收到的响应报文中的发送端IP地址和发送端MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,此时,该短静态ARP表项由未解析状态变为解析状态,之后就可以用于报文转发。
· 多端口ARP表项包括IP地址、MAC地址和该ARP表项所在的VLAN,当多端口ARP表项中的MAC地址和VLAN信息与多端口单播MAC/组播MAC地址表项中的MAC地址和VLAN相同时,该多端口ARP表项可用来指导IP转发。多端口ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。组播MAC的相关介绍,请参见“IP组播配置指导”的“IGMP Snooping”。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。
OpenFlow ARP表项由OpenFlow添加,不会被老化,不能通过ARP报文更新。可以直接用于转发报文。关于OpenFlow的介绍,请参见“OpenFlow配置指导”中的“OpenFlow”。
Rule ARP表项不会被老化,不能通过ARP报文更新,可以被静态ARP表项覆盖,可以直接用于转发报文。Rule ARP表项可由如下特性添加:
· Portal,Portal的详细介绍请参见“安全配置指导”中的“Portal”。
· VXLAN,VXLAN的详细介绍请参见“VXLAN配置指导”中的“VXLAN”。
· OVSDB,OVSDB的详细介绍请参见“VXLAN配置指导”中的“VXLAN”。
本节中的所有配置均为可选,请根据实际情况选择配置。
静态ARP表项在设备正常工作期间一直有效。
对于已经解析的短静态ARP表项,会由于外部事件,比如解析到的出接口状态down或设备的ARP表项所对应的VLAN或VLAN接口被删除等原因,恢复到未解析状态。
(1) 进入系统视图。
system-view
(2) 手工添加短静态ARP表项。
arp static ip-address mac-address [ vpn-instance vpn-instance-name ] [ description text ]
长静态ARP表项根据设备的当前状态可能处于有效或无效两种状态。处于无效状态的原因可能是该ARP表项中的IP地址与本地IP地址冲突或设备上没有与该ARP表项中的IP地址在同一网段的接口地址等原因。处于无效状态的长静态ARP表项不能指导报文转发。当长静态ARP表项所对应的VLAN或VLAN接口被删除时,该ARP表项会被删除。
(1) 进入系统视图。
system-view
(2) 手工添加长静态ARP表项。
arp static ip-address mac-address [ vlan-id interface-type interface-number | vsi-interface vsi-interface-id tunnel number vsi vsi-name ] [ vpn-instance vpn-instance-name ] [ description text ]
多端口ARP表项由多端口单播/组播MAC地址表项指定VLAN和出端口,由多端口ARP表项指定IP地址。多端口ARP表项可以覆盖其它动态、短静态和长静态ARP表项;短静态或长静态ARP表项也可以覆盖多端口ARP表项。
当多端口ARP表项中IP地址与VLAN接口的IP地址属于同一网段,且存在对应的多端口单播MAC/组播MAC时,该多端口ARP表项才能正常指导转发。
(1) 进入系统视图。
system-view
(2) 配置多端口单播MAC地址表项或配置组播MAC地址表项。请选择其中一项进行配置。
¡ 配置多端口单播MAC地址表项。
mac-address multiport mac-address interface interface-list vlan vlan-id
多端口单播MAC的相关内容,请参见“二层技术-以太网交换命令参考/MAC地址表”中的命令mac-address。
¡ 配置组播MAC地址表项。
mac-address multicast mac-address interface interface-list vlan vlan-id
组播MAC的相关内容,请参见“IP组播命令参考/IGMP Snooping”中的命令mac-address multicast。
(3) 手工添加多端口ARP表项。
arp multiport ip-address mac-address vlan-id [ vpn-instance vpn-instance-name ] [ description text ]
本命令中的mac-address,vlan-id应该和多端口单播MAC或组播MAC中的mac-address,vlan-id一致。
设备可以通过ARP协议自动生成动态ARP表项。为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制。当设备学习动态ARP表项的数目达到所设置的值时,该设备上将不再学习动态ARP表项。
当本命令配置的动态ARP表项的最大数目小于设备当前已经学到的动态ARP表项数目,已学到的动态ARP表项不会被直接删除,用户可以通过执行reset arp dynamic命令直接清除动态ARP表项。
(1) 进入系统视图。
system-view
(2) 配置设备允许学习动态ARP表项的最大数目。
(独立运行模式)
arp max-learning-number max-number
(IRF模式)
arp max-learning-number max-number slot slot-number
缺省情况下,设备允许学习动态ARP表项的最大数目为65536。
当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止本设备学习动态ARP表项。
设备可以通过ARP协议自动生成动态ARP表项。为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项。
如果二层接口及其所属的VLAN接口都配置了允许学习动态ARP表项的最大数目,则只有二层接口及VLAN接口上的动态ARP表项数目都没有超过各自配置的最大值时,才会学习ARP表项。
设备各接口学习的动态ARP表项之和不会超过该设备学习动态ARP表项的最大数目。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口允许学习动态ARP表项的最大数目。
arp max-learning-num max-number
缺省情况下,接口允许学习动态ARP表项的最大数目为65536。
当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项。
为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将从ARP表中删除,这个生存周期被称作老化时间。如果在到达老化时间前记录被刷新,则重新计算老化时间。
(1) 进入系统视图。
system-view
(2) 配置动态ARP表项的老化时间。
arp timer aging aging-time
缺省情况下,动态ARP表项的老化时间为20分钟。
动态ARP表项检查功能可以控制设备上是否可以学习ARP报文中的发送端MAC地址为组播MAC的动态ARP表项。
· 开启ARP表项的检查功能后,设备上不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项。
· 关闭ARP表项的检查功能后,设备可以学习以太网源MAC地址为单播MAC且ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也可以手工添加MAC地址为组播MAC的静态ARP表项。
(1) 进入系统视图。
system-view
(2) 开启动态ARP表项的检查功能。
arp check enable
缺省情况下,动态ARP表项的检查功能处于开启状态。
在某些组网环境中,当配置某个接口借用指定接口IP地址后,由于借到的地址所在的网段和对端接口的地址可能处于不同网段,导致接口收到不同网段的ARP报文时无法学习到ARP表项。配置本功能后,可以使接口收到不在同一网段的ARP报文后学习对应的ARP表项,保证该接口和对端可以通信。
关闭本功能后,配置了地址借用功能的接口不再学习不同网段的ARP表项,已经学到的ARP表项老化后删除。
请不要在非地址借用的接口执行arp ip-unnumbered learning enable命令,否则可能会出现学习ARP表项异常的问题。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本接口借用指定接口的IP地址。
ip address unnumbered interface interface-type interface-number
缺省情况下,本接口未借用其它接口的IP地址。
(4) 开启在地址借用的接口学习不同网段ARP表项的功能。
arp ip-unnumbered learning enable
缺省情况下,在地址借用的接口学习不同网段ARP表项的功能处于关闭状态。
ARP日志可以方便管理员定位问题和解决问题,对处理ARP报文的信息进行的记录。例如,ARP日志可以记录如下事件:
· 设备未使能ARP代理功能时收到目的IP不是设备接口IP地址或NAT转换的外部网络地址;
· 收到的ARP报文中源地址和接收接口IP地址或NAT转换的外部网络地址冲突,且此报文不是ARP请求报文等。
设备生成的ARP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启ARP日志信息功能。
arp check log enable
缺省情况下,ARP日志信息功能处于关闭状态。
清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致无法正常通信。清除前请务必仔细确认。
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP表项。
表1-1 ARP显示和维护
操作 |
命令 |
显示ARP表项 |
(独立运行模式) display arp [ [ all | dynamic | multiport | static ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ] (IRF模式) display arp [ [ all | dynamic | multiport | static ] [ slot slot-number ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ] |
显示指定IP地址的ARP表项 |
(独立运行模式) display arp ip-address [ verbose ] (IRF模式) display arp ip-address [ slot slot-number ] [ verbose ] |
显示动态ARP表项的老化时间 |
display arp timer aging |
显示指定VPN实例的ARP表项 |
display arp vpn-instance vpn-instance-name [ count | verbose ] |
清除ARP表项 |
(独立运行模式) reset arp { all | dynamic | interface interface-type interface-number | multiport | static } (IRF模式) reset arp { all | dynamic | interface interface-type interface-number | multiport | slot slot-number | static } |
· Device B连接主机,通过接口GigabitEthernet1/0连接Device A。接口GigabitEthernet1/0属于VLAN 10。
· Device A的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加Device B和Device A通信的安全性,可以在Device B上为Device A配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址的映射关系。
图1-3 长静态ARP表项配置组网图
在Device B上进行下列配置。
# 创建VLAN 10。
<DeviceB> system-view
[DeviceB] vlan 10
[DeviceB-vlan10] quit
# 将接口GigabitEthernet1/0加入到VLAN 10中。
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] port access vlan 10
[DeviceB-GigabitEthernet1/0] quit
# 创建接口Vlan-interface10,并配置IP地址。
[DeviceB] interface vlan-interface 10
[DeviceB-vlan-interface10] ip address 192.168.1.2 8
[DeviceB-vlan-interface10] quit
# 配置一条长静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet1/0。
[DeviceB] arp static 192.168.1.1 00e0-fc01-0000 10 gigabitethernet 1/0
# 查看长静态ARP表项信息。
[DeviceB] display arp static
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface/Link ID Aging Type
192.168.1.1 00e0-fc01-0000 10 GE1/0 -- S
· Device B通过接口GigabitEthernet1/0连接主机,通过接口GigabitEthernet2/0连接Device A。
· Device A的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-001f。
网络管理员需要通过某种方法来防止恶意用户对Device B进行ARP攻击,增加Device B和Device A通信的安全性。如果Device A的IP地址和MAC地址是固定的,则可以通过在Device B上配置静态ARP表项的方法,防止恶意用户进行ARP攻击。
图1-4 短静态ARP表项配置组网图
在Device B上进行下列配置。
# 在接口GigabitEthernet2/0配置IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 2/0
[DeviceB-GigabitEthernet2/0] ip address 192.168.1.2 24
[DeviceB-GigabitEthernet2/0] quit
# 配置一条短静态ARP表项,IP地址是192.168.1.1,对应的MAC地址是00e0-fc01-001f。
[DeviceB] arp static 192.168.1.1 00e0-fc01-001f
# 查看短静态ARP表项信息。
[DeviceB] display arp static
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface/Link ID Aging Type
192.168.1.1 00e0-fc01-001f -- -- -- S
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机的IP地址。设备通过对外发送免费ARP报文来确定其他设备的IP地址是否与本机的IP地址冲突,并实现在设备硬件地址改变时通知其它设备更新ARP表项。
设备接口获取到IP地址时可以在接口所在局域网内广播发送免费ARP报文。如果设备收到ARP应答报文,表示局域网中存在与该设备IP地址相同的设备,则设备不会使用此IP地址,并打印日志提示管理员修改该IP地址。如果设备未收到ARP应答报文,表示局域网中不存在与该设备IP地址相同的设备,则设备可以正常使用IP地址。
开启了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
· 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上开启定时发送免费ARP功能。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
· 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上开启定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
本节中的所有配置均为可选,请根据实际情况选择配置。当以下功能均未开启时,免费ARP的冲突地址检测功能仍然生效。
· 开启设备收到非同一网段ARP请求时发送免费ARP报文功能
· 配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔
设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:
· 如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,只有收到对应的ARP应答后才提示存在IP地址冲突。
· 如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突。
(1) 进入系统视图。
system-view
(2) 开启源IP地址冲突提示功能。
arp ip-conflict log prompt
缺省情况下,源IP地址冲突提示功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启免费ARP报文学习功能。
gratuitous-arp-learning enable
缺省情况下,免费ARP报文的学习功能处于开启状态。
· 设备最多允许同时在1024个接口上开启定时发送免费ARP功能。
· 开启定时发送免费ARP功能后,只有当接口链路状态up并且配置IP地址后,此功能才真正生效。
· 如果修改了免费ARP报文的发送时间间隔,则在下一个发送时间间隔才能生效。
· 如果同时在很多接口下开启定时发送免费ARP功能,或者每个接口有大量的从IP地址,又或者是两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户设定的时间间隔。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启定时发送免费ARP功能。
arp send-gratuitous-arp [ interval interval ]
缺省情况下,定时发送免费ARP功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启设备收到非同一网段ARP请求时发送免费ARP报文功能。
gratuitous-arp-sending enable
缺省情况下,设备收到非同一网段的ARP请求时发送免费ARP报文功能处于关闭状态。
当设备的MAC地址发生变化后,设备会通过免费ARP报文将修改后的MAC地址通告给其他设备。由于目前免费ARP报文没有重传机制,其他设备可能无法收到免费ARP报文。为了解决这个问题,用户可以配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔,保证其他设备可以收到该免费ARP报文。
(1) 进入系统视图。
system-view
(2) 配置当接口MAC地址变化时,重新发送免费ARP报文的次数和时间间隔
gratuitous-arp mac-change retransmit times interval seconds
缺省情况下,当设备的接口MAC地址变化时,该接口只会发送一次免费ARP报文。
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
· 普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
· 本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
普通代理ARP功能可在VLAN接口视图/三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图下进行配置。
(3) 开启普通代理ARP功能。
proxy-arp enable
缺省情况下,普通代理ARP功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
本地代理ARP功能可在VLAN接口视图/三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图下进行配置。
(3) 开启本地代理ARP功能。
local-proxy-arp enable [ ip-range start-ip-address to end-ip-address ]
缺省情况下,本地代理ARP功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后代理ARP的运行情况,查看显示信息验证配置的效果。
表3-1 代理ARP显示和维护
操作 |
命令 |
显示本地代理ARP的状态 |
display local-proxy-arp [ interface interface-type interface-number ] |
显示普通代理ARP的状态 |
display proxy-arp [ interface interface-type interface-number ] |
· Host A的IP地址是192.168.10.100/16,所在局域网的网络号为192.168.0.0/16。
· Host D的IP地址是192.168.20.200/16,所在局域网的网络号为192.168.0.0/16。
· Host A和Host D互相认为处于同一子网,但实际却被设备Router分在两个不同的子网。
· Host A和Host D没有配置缺省网关,要求在设备Router上开启普通代理ARP功能,使处在两个子网的Host A和Host D能互通。
图3-1 配置普通代理ARP组网图
# 配置接口GigabitEthernet2/0的IP地址。
<Router> system-view
[Router] interface gigabitethernet 2/0
[Router-GigabitEthernet2/0] ip address 192.168.10.99 255.255.255.0
# 开启接口GigabitEthernet2/0的代理ARP功能。
[Router-GigabitEthernet2/0] proxy-arp enable
[Router-GigabitEthernet2/0] quit
# 配置接口GigabitEthernet1/0的IP地址。
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 192.168.20.99 255.255.255.0
# 开启接口GigabitEthernet1/0的普通代理ARP功能。
[Router-GigabitEthernet1/0] proxy-arp enable
[Router-GigabitEthernet1/0] quit
配置完成后,Host A和Host D可以互相ping通。
ARP Snooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARP Snooping表项,从而提供给ARP快速应答和MFF(MAC-Forced Forwarding,MAC强制转发等使用。关于MFF的详细介绍,请参见“安全配置指导”中的“MFF”。
设备上在一个VLAN中启用ARP Snooping后,该VLAN内接收的ARP报文都会被上送到CPU。CPU对上送的ARP报文进行分析,获取ARP报文的发送端IP地址、发送端MAC地址、VLAN和入端口信息,建立记录用户信息的ARP Snooping表项。
ARP Snooping表项的老化时间为25分钟,有效时间为15分钟。
如果一个ARP Snooping表项自最后一次更新后12分钟内没有收到ARP更新报文,设备会向外主动发送一个ARP请求进行探测;若ARP Snooping表项自最后一次更新后15分钟时,还没有收到ARP更新报文,则此表项开始进入失效状态,不再对外提供服务,其他特性查找此表项将会失败。当收到发送端IP地址和发送端MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时,此ARP Snooping表项进行更新,重新开始生效,并重新老化计时。
当ARP Snooping表项达到老化时间后,则将此ARP Snooping表项删除。
如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARP Snooping表项处于冲突状态,表项失效,不再对外提供服务,并在1分钟后删除此表项。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 开启ARP Snooping功能。
arp snooping enable
缺省情况下,ARP Snooping功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP Snooping的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP Snooping表中的表项。
表4-1 ARP Snooping显示和维护
操作 |
命令 |
显示ARP Snooping表项 |
(独立运行模式) display arp snooping [ vlan vlan-id ] [ count ] display arp snooping ip ip-address (IRF模式) display arp snooping [ vlan vlan-id ] [ slot slot-number ] [ count ] display arp snooping ip ip-address [ slot slot-number ] |
清除ARP Snooping表项 |
reset arp snooping [ ip ip-address | vlan vlan-id ] |
ARP快速应答功能根据设备上生成的IP Source Guard表项或者ARP Snooping表项包含的信息,在指定的VLAN内,对ARP请求进行应答,从而减少ARP广播报文。
设备收到ARP请求报文后,进行如下处理:
(1) 如果请求报文的目的IP地址是设备的VLAN接口的IP地址,则由ARP特性进行处理。如果ARP请求报文的目的IP地址不是VLAN接口的IP地址,则进行如下操作。
(2) ARP快速应答根据报文中的目的IP地址查找IP Source Guard表项。如果查找成功,当接口是无线网接口时,不管查找到的表项的接口和收到请求报文的接口是否一致,都直接进行应答;当接口是以太网接口时,当查找到的表项的接口和收到请求报文的接口一致,不进行应答,否则立即进行应答。如果查找失败,则继续进行如下步骤。关于IP Source Guard的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。
(3) 当设备上开启了ARP Snooping,则继续查找ARP Snooping表项,如果查找成功,当接口是无线网接口时,不管查找到的表项的接口和收到请求报文的接口是否一致,都直接进行应答;当接口是以太网接口时,当查找到的表项的接口和收到请求报文的接口一致,不进行应答,否则立即进行应答。如果查找失败,则继续进行如下步骤。
(4) ARP向指定VLAN内除收到请求报文的接口外的其他接口转发该请求报文或将报文交于其他特性处理。
为了提高ARP快速应答的应答几率,可以在应用ARP快速应答功能的场合同时开启ARP Snooping功能。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 开启ARP快速应答功能。
arp fast-reply enable
缺省情况下,ARP快速应答功能处于关闭状态。
Client 1~Client 32通过Switch接入网络,所有客户端接入VLAN为VLAN 2。
当Client 1需要访问Client 32时,Client 1发送ARP请求报文,ARP请求报文在Switch上被复制其他所有接口上发送(除了与Client 1直连的接口),在设备上具有多个接口的情况下,这种复制的广播会占用接口资源。
为减少对接口资源的占用,可以在VLAN 2上开启ARP快速应答。启用ARP快速应答,当Client 32通过DHCP服务器获得IP地址后,Client 1需要访问Client 32时,ARP请求报文可以在Switch上得到应答,而Switch不会再对报文进行广播,从而减少了对接口资源的占用。
图5-1 开启ARP快速应答组网图
(1) 开启Switch上VLAN2开启ARP Snooping功能。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] arp snooping enable
(2) 开启Switch上VLAN 2开启ARP快速应答功能。
[Switch-vlan2] arp fast-reply enable
[Switch-vlan2] quit
即插即用网关功能主要用于屏蔽设备IP地址和本地网段地址的差异,以实现设备在不改变现有IP配置的情况下,即可通过网关连接外网。
在网关上开启了即插即用网关功能后,虽然设备的IP地址和网关接口地址不在同一网段,网关收到设备发送的ARP请求后,仍然会以网关的MAC地址应答该ARP请求。从设备处收到报文时,网关会为设备分配一个与接口IP地址同网段的代理IP地址,并把报文中的源IP地址替换成代理IP地址。网关收到目的为设备的应答报文后,会把报文中的目的IP地址由分配的代理IP地址替换回用户IP地址。这样,就可以保证设备可以正常访问外网。
在设备上开启即插即用网关功能前,需要先完成以下操作:
(1) 在设备的下行接口上配置一个主IP地址和掩码。即插即用网关功能会根据主IP地址和掩码生成与主IP地址同网段的代理IP地址。
(2) 配置reset arp命令清除接口上所有的ARP表项。
(3) 在设备上配置NAT功能,即在设备上创建NAT池并添加地址组成员,在设备的上行口配置出方向动态地址转换等。关于NAT的相关介绍请参考“三层技术-IP业务配置指导”中的“NAT”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
指定的接口应为网关设备的下行接口。接口类型可以是三层以太网接口、三层以太网子接口。
(3) 开启即插即用网关功能。
arp pnp
缺省情况下,接口的即插即用功能处于关闭状态。
开启该功能后会导致该接口路由及ARP部分特性(如ARP代理功能)不可使用。
在完成上述配置后,在任意视图下执行display命令可以显示配置后即插即用网关特性的运行情况,通过查看显示信息验证配置的效果。
表6-1 即插即用网关显示和维护
操作 |
命令 |
显示设备的即插即用网关用户信息 |
display arp pnp [ interface interface-type interface-number ] |
用户入住宾馆,需要用自己携带的电脑访问服务器,用户电脑的IP地址为:1.2.3.4/24,宾馆网关Router的接口GigabitEthernet1/0的IP地址为192.168.0.2/24,接口GigabitEthernet2/0的IP地址为202.38.1.100/24。现在需要实现用户的电脑IP地址不做任何修改即可访问服务器。
图6-1 开启即插即用网关组网图
(1) 配置NAT
# 配置各设备的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 192.168.0.2 24
[Router-GigabitEthernet1/0] quit
[Router] interface gigabitethernet 2/0
[Router-GigabitEthernet2/0] ip address 202.38.1.100 24
[Router-GigabitEthernet2/0] quit
# 配置ACL2000,仅允许对192.168.0.0/24网段用户的报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.0.0 0.0.0.255
[Router-acl-ipv4 basic-2000] quit
# 配置地址组1,并添加地址组成员地址202.38.1.100。
[Router] nat address-group 1
[Router-nat-address-group-1] address 202.38.1.100 202.38.1.100
[Router-nat-address-group-1] quit
# 在接口GigabitEthernet2/0上配置出方向动态地址转换,允许对匹配ACL 2000的报文使用地址组1中的地址进行地址转换,且在转换的时候使用TCP/UDP的端口信息。
[Router] interface gigabitethernet 2/0
[Router-GigabitEthernet2/0] nat outbound 2000 address-group 1
(2) 开启即插即用网关功能
# 在接口GigabitEthernet1/0上开启即插即用网关功能。
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] arp pnp
[Router-GigabitEthernet1/0] quit
配置完成后,在Router上执行display arp pnp命令可以查询到设备的即插即用网关的用户表项。
以接口GigabitEthernet1/0为例
[Router] display arp pnp interface gigabitethernet 1/0
Total number of entries : 1
Agent IP address User IP address MAC address Interface Aging
192.168.0.3 1.2.3.4 00e0-fc00-0001 GE1/0 10
可以看出Router为IP地址1.2.3.4的用户分配的代理IP地址为192.168.0.3。
如图7-1所示,基站、PE和PE-agg建立L2VPN连接。这时,在PE设备上开启ARP泛洪抑制功能,PE就能够侦听经过它的ARP报文。当基站或PE-Agg再次发起ARP解析时,PE可以对ARP请求进行代答,从而可以抑制设备发起ARP解析时引起的网络泛洪。
PE还可以固定的时间间隔以免费ARP报文的形式,向基站和PE-agg设备推送ARP泛洪抑制表项信息。
图7-1 ARP泛洪抑制组网图
(1) 进入系统视图。
system-view
(2) (可选)开启主动推送ARP泛洪抑制表项功能,并配置推送时间间隔。
arp suppression push interval interval
缺省情况下,主动推送ARP泛洪抑制表项功能处于关闭状态。
(3) 创建一个交叉连接组,并进入交叉连接组视图。
xconnect-group group-name
关于xconnect-group命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L2VPN”。
(4) 创建交叉连接,进入交叉连接视图。
connection connection-name
关于connection命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L2VPN”。
(5) 开启ARP泛洪抑制功能。
arp suppression enable
缺省情况下,ARP泛洪抑制功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以查看ARP泛洪抑制配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP泛洪抑制表中的表项。
表7-1 ARP泛洪抑制显示和维护
操作 |
命令 |
显示ARP泛洪抑制表项 |
(独立运行模式) display arp suppression xconnect-group [ name group-name ] [ count ] (IRF模式) display arp suppression xconnect-group [ name group-name ] [ slot slot-number ] [ count ] |
清除ARP泛洪抑制表项 |
reset arp suppression xconnect-group [ name group-name ] |
基站、Router A和Router B之间由L2VPN连接,基站设备与Router B设备的L3VE口之间路由可达。为了减少网络中的ARP报文数,开启ARP泛洪抑制功能,Router A不再转发ARP请求报文,而是代答基站请求Router B信息的ARP报文。
图7-2 开启ARP泛洪抑制组网图
(1) 配置IP地址和路由
请按照组网图配置各接口的IP地址,并且配置路由保证基站设备和Router B设备的L3VE口之间路由可达。具体配置过程略。
(2) 开启泛洪抑制功能
# 在Router A上创建交叉连接组vpna,在该交叉连接组内创建名称为svc的交叉连接。在该交叉连接视图下配置泛洪抑制功能。
<RouterA> system-view
[RouterA] xconnect-group vpna
[RouterA-xcg-vpna] connection svc
[RouterA-xcg-vpna-svc] arp suppression enable
# 清除基站的ARP表项,从基站ping Router B的L3VE口,ping通后在Router A上查看泛洪抑制表项
[RouterA-xcg-vpna-svc] display arp suppression xconnect-group
IP address MAC address Xconnect-group Connection Aging
10.1.1.1 00e0-fc04-582c vpna svc 25
10.1.1.3 0023-89b7-0861 vpna svc 25
# 打开Router B的ARP调试开关,清除基站的ARP表项,从基站ping Router B的L3VE口,在Router B上看不到ARP解析的过程。
ARP直连路由通告功能用于使设备从ARP表中学到对应的直连路由信息,以便其他路由协议发布该直连路由或指导报文转发。
如图8-1所示,Server A和Server B通过三层接口接入到Device A与Device B。在Device A的Interface A和Device B的Interface B下开启ARP直连路由通告功能后,Device A可以通过ARP表项生成到Server A的主机路由,Device B可以通过ARP表项生成到Server B的主机路由。其他路由协议可以仅发布该主机路由,减少由于发布网段路由而引入的无效流量,节约带宽。
如图8-2所示,基站设备、PE分别与PE-agg1、PE-agg2建立L2VPN连接。在PE-agg1和PE-agg2上开启ARP直连路由通告功能,这两台设备才能将基站的主机路由对L3VPN内的PE设备发布。这时,该PE设备到基站设备上会生成经过PE-agg1和PE-agg2的两条等价路由,PE发往基站设备的流量同时经过PE-agg1和PE-agg2。如果PE-agg1设备发生故障,从PE发往基站设备的流量能快速地完全切换到由PE-agg2转发。
图8-2 ARP直连路由通告功能组网图
关于“L2VPN接入L3VPN”功能的详细介绍,请参见“MPLS配置指导”中的“L2VPN接入L3VPN或IP骨干网”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启ARP直连路由通告功能。
arp route-direct advertise
缺省情况下,ARP直连路由通告功能处于关闭状态。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!