• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

06-三层技术-IP业务配置指导

目录

01-ARP配置

本章节下载 01-ARP配置  (520.14 KB)

01-ARP配置

目 

1 ARP

1.1 ARP简介

1.1.1 ARP报文结构

1.1.2 ARP地址解析过程

1.1.3 ARP表项类型

1.2 ARP配置任务简介

1.3 手工添加静态ARP表项

1.3.1 手工添加短静态ARP表项

1.3.2 手工添加长静态ARP表项

1.4 配置动态ARP表项的相关功能

1.4.1 配置设备学习动态ARP表项的最大数目

1.4.2 配置接口学习动态ARP表项的最大数目

1.4.3 配置动态ARP表项的老化时间

1.4.4 开启动态ARP表项的检查功能

1.5 将主用主控板的ARP表项同步到其他所有板

1.6 开启在地址借用的接口学习不同网段ARP表项的功能

1.7 开启ARP双向分离功能

1.8 开启ARP日志信息功能

1.9 ARP显示和维护

1.10 ARP典型配置举例

1.10.1 长静态ARP表项配置举例

1.10.2 短静态ARP表项配置举例

2 免费ARP

2.1 免费ARP简介

2.1.1 IP地址冲突检测

2.1.2 免费ARP报文学习

2.1.3 定时发送免费ARP

2.2 免费ARP配置任务简介

2.3 开启源IP地址冲突提示功能

2.4 开启免费ARP报文学习功能

2.5 开启定时发送免费ARP功能

2.6 开启设备收到非同一网段ARP请求时发送免费ARP报文功能

2.7 配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔

3 代理ARP

3.1 代理ARP简介

3.2 开启普通代理ARP

3.3 开启本地代理ARP功能

3.4 开启VLAN间代理ARP

3.5 代理ARP显示和维护

3.6 普通代理ARP典型配置举例

3.6.1 普通代理ARP基本组网配置举例

4 ARP Snooping

4.1 ARP Snooping简介

4.1.1 ARP Snooping表项建立机制

4.1.2 ARP Snooping表项老化机制

4.1.3 ARP Snooping表项冲突处理机制

4.2 开启ARP Snooping功能

4.3 ARP Snooping显示和维护

5 ARP泛洪抑制

5.1 ARP泛洪抑制简介

5.2 配置限制和指导

5.3 开启ARP泛洪抑制功能

5.4 ARP泛洪抑制显示和维护

5.5 ARP泛洪抑制典型配置举例

6 ARP直连路由通告

6.1 ARP直连路由通告简介

6.1.1 工作机制

6.1.2 三层接入组网应用

6.1.3 L2VPN接入L3VPN组网应用

6.2 开启ARP直连路由通告功能


1 ARP

1.1  ARP简介

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。在网络中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址),由于IP数据报必须封装成帧才能通过物理网络发送,因此还需要知道对方的物理地址,所以设备上需要存在一个从IP地址到物理地址的映射关系。ARP就是实现这个功能的协议。

1.1.1  ARP报文结构

ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。

图1-1 ARP报文结构

 

·     硬件类型:表示硬件地址的类型。它的值为1表示以太网地址;

·     协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址;

·     硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;

·     操作类型(OP):1表示ARP请求,2表示ARP应答;

·     发送端MAC地址:发送方设备的硬件地址;

·     发送端IP地址:发送方设备的IP地址;

·     目标MAC地址:接收方设备的硬件地址;

·     目标IP地址:接收方设备的IP地址。

1.1.2  ARP地址解析过程

假设主机A和B在同一个网段,主机A要向主机B发送信息。如图1-2所示,具体的地址解析过程如下:

(1)     主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据报进行帧封装,并将IP数据报发送给主机B。

(2)     如果主机A在ARP表中找不到对应的MAC地址,则将缓存该IP数据报,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。

(3)     主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。

(4)     主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去。

图1-2 ARP地址解析过程

 

当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。

1.1.3  ARP表项类型

设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。

ARP表项分为动态ARP表项、静态ARP表项、OpenFlow ARP表项和Rule ARP表项。

1. 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。

2. 静态ARP表项

静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

静态ARP表项分为短静态ARP表项和长静态ARP表项。

·     长静态ARP表项可以直接用于报文转发,除了包括IP地址和MAC地址外,还需要包括以下两种表项内容之一:

¡     该ARP表项所在VLAN和出接口;

¡     该ARP表项的入接口和出接口对应关系。

·     短静态ARP表项只包括IP地址和MAC地址。如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN接口,短静态ARP表项不能直接用于报文转发,需要对表项进行解析:当要发送IP数据报时,设备先发送ARP请求报文,如果收到的响应报文中的发送端IP地址和发送端MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,此时,该短静态ARP表项由未解析状态变为解析状态,之后就可以用于报文转发。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。

3. OpenFlow ARP表项

OpenFlow ARP表项由OpenFlow添加,不会被老化,不能通过ARP报文更新。可以直接用于转发报文。关于OpenFlow的介绍,请参见“OpenFlow配置指导”中的“OpenFlow”。

4. Rule ARP表项

Rule ARP表项由IPoE和VXLAN等协议添加,不会被老化,不能通过ARP报文更新,可以被静态ARP表项覆盖。可以直接用于转发报文。关于IPoE的详细介绍,请参见“BRAS业务配置指导”中的“IPoE”。关于VXLAN的详细介绍,请参见“VXLAN配置指导”中的“VXLAN”。

1.2  ARP配置任务简介

本节中的所有配置均为可选,请根据实际情况选择配置。

·     (可选)手工添加静态ARP表项

¡     手工添加短静态ARP表项

¡     手工添加长静态ARP表项

·     (可选)配置动态ARP表项的相关功能

¡     配置设备学习动态ARP表项的最大数目

¡     配置接口学习动态ARP表项的最大数目

¡     配置动态ARP表项的老化时间

¡     开启动态ARP表项的检查功能

·     (可选)将主用主控板的ARP表项同步到其他所有板

·     (可选)开启在地址借用的接口学习不同网段ARP表项的功能

·     (可选)开启ARP双向分离功能

·     (可选)开启ARP日志信息功能

1.3  手工添加静态ARP表项

静态ARP表项在设备正常工作期间一直有效。

1.3.1  手工添加短静态ARP表项

1. 配置限制和指导

对于已经解析的短静态ARP表项,会由于外部事件,比如解析到的出接口状态down或设备的ARP表项所对应的VLAN或VLAN接口被删除等原因,恢复到未解析状态。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     手工添加短静态ARP表项。

arp static ip-address mac-address [ vpn-instance vpn-instance-name ] [ description text ]

1.3.2  手工添加长静态ARP表项

1. 功能简介

长静态ARP表项根据设备的当前状态可能处于有效或无效两种状态。处于无效状态的原因可能是该ARP表项中的IP地址与本地IP地址冲突或设备上没有与该ARP表项中的IP地址在同一网段的接口地址等原因。处于无效状态的长静态ARP表项不能指导报文转发。当长静态ARP表项所对应的VLAN或VLAN接口被删除时,该ARP表项会被删除。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     手工添加长静态ARP表项。

arp static ip-address mac-address [ vlan-id interface-type interface-number | interface-type interface-number interface-type interface-number | vsi-interface vsi-interface-id tunnel number vsi vsi-name | vsi-interface vsi-interface-id interface-type interface-number service-instance instance-id vsi vsi-name ] [ vpn-instance vpn-instance-name ] [ description text ]

1.4  配置动态ARP表项的相关功能

1.4.1  配置设备学习动态ARP表项的最大数目

1. 功能简介

设备可以通过ARP协议自动生成动态ARP表项。为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制。当设备学习动态ARP表项的数目达到所设置的值时,该设备上将不再学习动态ARP表项。

当本命令配置的动态ARP表项的最大数目小于设备当前已经学到的动态ARP表项数目,那么已学到的动态ARP表项数目不会被删除。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置设备允许学习动态ARP表项的最大数目。

(独立运行模式)

arp max-learning-number max-number slot slot-number [ cpu cpu-number ]

(IRF模式)

arp max-learning-number max-number chassis chassis-number slot slot-number [ cpu cpu-number ]

缺省情况下,设备允许学习动态ARP表项的最大数目为当前设备剩余资源的最大值。

当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止本设备学习动态ARP表项。

1.4.2  配置接口学习动态ARP表项的最大数目

1. 功能简介

设备可以通过ARP协议自动生成动态ARP表项。为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项。

如果二层接口及其所属的VLAN接口都配置了允许学习动态ARP表项的最大数目,则只有二层接口及VLAN接口上的动态ARP表项数目都没有超过各自配置的最大值时,才会学习ARP表项。

设备各接口学习的动态ARP表项之和不会超过该设备学习动态ARP表项的最大数目。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口允许学习动态ARP表项的最大数目。

arp max-learning-num max-number

缺省情况下,接口允许学习动态ARP表项的最大数目为当前设备剩余资源的最大值。

当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项。

1.4.3  配置动态ARP表项的老化时间

1. 功能简介

为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将从ARP表中删除,这个生存周期被称作老化时间。如果在到达老化时间前记录被刷新,则重新计算老化时间。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置动态ARP表项的老化时间。

arp timer aging aging-time

缺省情况下,动态ARP表项的老化时间为20分钟。

1.4.4  开启动态ARP表项的检查功能

1. 功能简介

动态ARP表项检查功能可以控制设备上是否可以学习ARP报文中的发送端MAC地址为组播MAC的动态ARP表项。

·     开启ARP表项的检查功能后,设备上不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项。

·     关闭ARP表项的检查功能后,设备可以学习以太网源MAC地址为单播MAC且ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也可以手工添加MAC地址为组播MAC的静态ARP表项。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启动态ARP表项的检查功能。

arp check enable

缺省情况下,动态ARP表项的检查功能处于开启状态。

1.5  将主用主控板的ARP表项同步到其他所有板

1. 功能简介

当设备各板间出现了ARP表项不一致的异常情况时,可以执行本配置,保证设备各板上的ARP表项处于一致状态。

2. 配置限制和指导

为了防止设备在长时间工作后,各板间的ARP表项出现差异的情况,可通过schedule机制控制arp smooth命令的起始时间及执行的时间间隔,关于schedule机制的介绍,请参见“基础配置指导”中的“设备管理”。

3. 配置步骤

请在用户视图下执行本命令,将主用主控板的ARP表项同步到其他所有板。

arp smooth

1.6  开启在地址借用的接口学习不同网段ARP表项的功能

1. 功能简介

在某些组网环境中,当配置某个接口借用指定接口IP地址后,由于借到的地址所在的网段和对端接口的地址可能处于不同网段,导致接口收到不同网段的ARP报文时无法学习到ARP表项。配置本功能后,可以使接口收到不在同一网段的ARP报文后学习对应的ARP表项,保证该接口和对端可以通信。

关闭本功能后,配置了地址借用功能的接口不再学习不同网段的ARP表项,已经学到的ARP表项老化后删除。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本接口借用指定接口的IP地址。

ip address unnumbered interface interface-type interface-number

缺省情况下,本接口未借用其它接口的IP地址。

(4)     开启在地址借用的接口学习不同网段ARP表项的功能。

arp ip-unnumbered learning enable

缺省情况下,在地址借用的接口学习不同网段ARP表项的功能处于关闭状态。

1.7  开启ARP双向分离功能

1. 功能简介

本功能用于解决流量损耗类型的ARP攻击问题,开启本功能后:

·     设备会应答收到的所有ARP请求,但不会生成相应的ARP表项及状态,从而防止了使用ARP请求报文对网关设备ARP表进行地址欺骗的可能;

·     当设备发送ARP请求后并收到对应的ARP应答报文后,设备会生成对应的ARP表项;

·     当设备收到非本机发送的ARP请求对应的ARP应答报文时,丢弃该ARP应答报文,有效地保证了设备不会学到非法的ARP应答报文。

2. 配置限制和指导

仅CSPEX类单板(CSPEX-1204和CSPEX-1104-E除外)、SPE类单板和CEPC类单板支持本功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启ARP双向分离功能。

arp safe-guard enable

缺省情况下,ARP双向分离功能处于关闭状态。

1.8  开启ARP日志信息功能

1. 功能简介

ARP日志是为了满足网络管理员审计的需要,对处理ARP报文的信息进行的记录。例如,ARP日志可以记录如下事件:

·     设备未使能ARP代理功能时收到目的IP不是设备接口IP地址、VRRP备份组中的虚拟IP地址或NAT转换的外部网络地址;

·     收到的ARP报文中源地址和接收接口IP地址、VRRP备份组中的虚拟IP地址或NAT转换的外部网络地址冲突,且此报文不是ARP请求报文等。

设备生成的ARP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP日志信息功能。

arp check log enable

缺省情况下,ARP日志信息功能处于关闭状态。

1.9  ARP显示和维护

注意

清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致无法正常通信。清除前请务必仔细确认。

 

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除ARP表项。

表1-1 ARP显示和维护

操作

命令

显示ARP表项(独立运行模式)

display arp [ [ all | dynamic | static ] [ slot slot-number [ cpu cpu-number ] ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ]

显示ARP表项(IRF模式)

display arp [ [ all | dynamic | static ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ]

显示指定IP地址的ARP表项(独立运行模式)

display arp ip-address [ slot slot-number [ cpu cpu-number ] ] [ verbose ]

显示指定IP地址的ARP表项(IRF模式)

display arp ip-address [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]

显示设备支持ARP表项的最大数目

display arp entry-limit

显示ARP双向分离统计信息(独立运行模式)

display arp safe-guard statistics slot slot-number

显示ARP双向分离统计信息(IRF模式)

display arp safe-guard statistics chassis chassis-number slot slot-number

显示指定VPN实例的ARP表项

display arp vpn-instance vpn-instance-name [ count ]

显示动态ARP表项的老化时间

display arp timer aging

清除ARP表项(独立运行模式)

reset arp { all | dynamic | interface interface-type interface-number |  slot slot-number [ cpu cpu-number ] | static }

清除ARP表项(IRF模式)

reset arp { all | chassis chassis-number slot slot-number [ cpu cpu-number ] | dynamic | interface interface-type interface-number | static }

清除ARP双向分离统计信息(独立运行模式)

reset arp safe-guard statistics { all | slot slot-number }

清除ARP双向分离统计信息(IRF模式)

reset arp safe-guard statistics { all | chassis chassis-number slot slot-number }

 

1.10  ARP典型配置举例

1.10.1  长静态ARP表项配置举例

1. 组网需求

·     Device B连接主机,通过接口GigabitEthernet3/1/1连接Device A。接口GigabitEthernet3/1/1属于VLAN 10。

·     Device A的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。

为了增加Device B和Device A通信的安全性,可以在Device B上为Device A配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址的映射关系。

2. 组网图

图1-3 长静态ARP表项配置组网图

3. 配置步骤

在Device B上进行下列配置。

# 创建VLAN 10。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] quit

# 将接口GigabitEthernet3/1/1加入到VLAN 10中。

[DeviceB] interface gigabitethernet 3/1/1

[DeviceB-GigabitEthernet3/1/1] port access vlan 10

[DeviceB-GigabitEthernet3/1/1] quit

# 创建接口Vlan-interface10,并配置IP地址。

[DeviceB] interface vlan-interface 10

[DeviceB-vlan-interface10] ip address 192.168.1.2 8

[DeviceB-vlan-interface10] quit

# 配置一条长静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet3/1/1。

[DeviceB] arp static 192.168.1.1 00e0-fc01-0000 10 gigabitethernet 3/1/1

4. 验证配置

# 查看长静态ARP表项信息。

[DeviceB] display arp static

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address       MAC address    VLAN/VSI name Interface                Aging Type

192.168.1.1      00e0-fc01-0000 10            GE3/1/1                  --    S

1.10.2  短静态ARP表项配置举例

1. 组网需求

·     Device B通过接口GigabitEthernet3/1/1连接主机,通过接口GigabitEthernet3/1/2连接Device A。

·     Device A的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-001f。

网络管理员需要通过某种方法来防止恶意用户对Device B进行ARP攻击,增加Device B和Device A通信的安全性。如果Device A的IP地址和MAC地址是固定的,则可以通过在Device B上配置静态ARP表项的方法,防止恶意用户进行ARP攻击。

2. 组网图

图1-4 短静态ARP表项配置组网图

 

3. 配置步骤

在Device B上进行下列配置。

# 在接口GigabitEthernet3/1/2配置IP地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 3/1/2

[DeviceB-GigabitEthernet3/1/2] ip address 192.168.1.2 24

[DeviceB-GigabitEthernet3/1/2] quit

# 配置一条短静态ARP表项,IP地址是192.168.1.1,对应的MAC地址是00e0-fc01-001f。

[DeviceB] arp static 192.168.1.1 00e0-fc01-001f

4. 验证配置

# 查看短静态ARP表项信息。

[DeviceB] display arp static

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address       MAC address    VLAN/VSI name Interface                Aging Type

192.168.1.1      00e0-fc01-001f --            --                       --    S


2 免费ARP

2.1  免费ARP简介

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机的IP地址。设备通过对外发送免费ARP报文来确定其他设备的IP地址是否与本机的IP地址冲突,并实现在设备硬件地址改变时通知其它设备更新ARP表项。

2.1.1  IP地址冲突检测

设备接口获取到IP地址时可以在接口所在局域网内广播发送免费ARP报文。如果设备收到ARP应答报文,表示局域网中存在与该设备IP地址相同的设备,则设备不会使用此IP地址,并打印日志提示管理员修改该IP地址。如果设备未收到ARP应答报文,表示局域网中不存在与该设备IP地址相同的设备,则设备可以正常使用IP地址。

2.1.2  免费ARP报文学习

开启了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:

·     如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;

·     如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。

关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。

2.1.3  定时发送免费ARP

定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:

·     防止仿冒网关的ARP攻击

如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。

为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上开启定时发送免费ARP功能。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。

·     防止主机ARP表项老化

在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。

为了解决上述问题,可以在网关的接口上开启定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。

·     防止VRRP虚拟IP地址冲突

当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,从而确保网络中不会存在IP地址与Master路由器VRRP虚拟IP地址相同的设备。免费ARP报文中的发送端MAC为VRRP虚拟路由器对应的虚拟MAC地址。关于VRRP的详细介绍,请参见“可靠性配置指导”中的“VRRP”。

·     及时更新模糊的Dot1q/QinQ终结VLAN内设备的MAC地址表

三层以太网子接口上同时配置了模糊的Dot1q/QinQ终结多个VLAN和VRRP备份组时,为了避免发送过多的VRRP通告报文,需要关闭VLAN终结支持广播/组播功能,并配置VRRP控制VLAN。此时,为了及时更新各个模糊的Dot1q/QinQ终结VLAN内设备的MAC地址表项,可以在三层以太网子接口上开启定时发送免费ARP功能。开启该功能后,三层以太网子接口将按照配置的时间间隔周期性发送VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,当VRRP主备状态切换时,各个模糊的Dot1q/QinQ终结VLAN内设备上可以及时更新为正确的MAC地址表项。关于VLAN模糊的Dot1q/QinQ终结的详细介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN终结”。

2.2  免费ARP配置任务简介

本节中的所有配置均为可选,请根据实际情况选择配置。当以下功能均未开启时,免费ARP的冲突地址检测功能仍然生效。

·     (可选)开启源IP地址冲突提示功能

·     (可选)开启免费ARP报文学习功能

·     (可选)开启定时发送免费ARP功能

·     (可选)开启设备收到非同一网段ARP请求时发送免费ARP报文功能

·     (可选)配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔

2.3  开启源IP地址冲突提示功能

1. 功能简介

设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:

·     如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,只有收到对应的ARP应答后才提示存在IP地址冲突。

·     如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启源IP地址冲突提示功能。

arp ip-conflict log prompt

缺省情况下,源IP地址冲突提示功能处于关闭状态。

2.4  开启免费ARP报文学习功能

(1)     进入系统视图。

system-view

(2)     开启免费ARP报文学习功能。

gratuitous-arp-learning enable

缺省情况下,免费ARP报文的学习功能处于开启状态。

2.5  开启定时发送免费ARP功能

1. 配置限制和指导

·     设备最多允许同时在1024个接口上开启定时发送免费ARP功能。

·     开启定时发送免费ARP功能后,只有当接口链路状态up并且配置IP地址后,此功能才真正生效。

·     如果修改了免费ARP报文的发送时间间隔,则在下一个发送时间间隔才能生效。

·     如果同时在很多接口下开启定时发送免费ARP功能,或者每个接口有大量的从IP地址,又或者是两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户设定的时间间隔。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启定时发送免费ARP功能。

arp send-gratuitous-arp [ interval interval ]

缺省情况下,定时发送免费ARP功能处于关闭状态。

2.6  开启设备收到非同一网段ARP请求时发送免费ARP报文功能

(1)     进入系统视图。

system-view

(2)     开启设备收到非同一网段ARP请求时发送免费ARP报文功能。

gratuitous-arp-sending enable

缺省情况下,设备收到非同一网段的ARP请求时发送免费ARP报文功能处于关闭状态。

2.7  配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔

1. 功能简介

当设备的MAC地址发生变化后,设备会通过免费ARP报文将修改后的MAC地址通告给其他设备。由于目前免费ARP报文没有重传机制,其他设备可能无法收到免费ARP报文。为了解决这个问题,用户可以配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔,保证其他设备可以收到该免费ARP报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置当接口MAC地址变化时,重新发送免费ARP报文的次数和时间间隔

gratuitous-arp mac-change retransmit times interval seconds

缺省情况下,当设备的接口MAC地址变化时,该接口只会发送一次免费ARP报文。


3 代理ARP

3.1  代理ARP简介

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP、本地代理ARP和VLAN间代理ARP。

3.2  开启普通代理ARP

1. 功能简介

普通代理ARP的典型应用环境如图3-1所示。设备Device通过两个三层接口Interface A和Interface B连接两个网络,两个三层接口的IP地址不在同一个网段,接口地址分别为192.168.10.99/24、192.168.20.99/24。但是两个网络内的主机Host A和Host D的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。

图3-1 普通代理ARP的应用环境

 

在这种组网环境下,当Host A需要与Host D通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A会直接发出请求Host D的MAC地址的ARP请求。但是,此时的两台主机处于不同的广播域中,Host D无法收到Host A的ARP请求报文,当然也就无法应答。

在Device的Interface A开启普通代理ARP功能,可以解决此问题。当Device收到Host A请求Host D的MAC地址的ARP请求后,Device可以应答该ARP请求。这时,Host A会将目的为Host B的流量发送给Device,如果Device已经有了Host D的ARP表项信息,则直接按照ARP表转发报文;如果Device上不存在Host D的ARP表项,则对Host D先发起ARP解析,解析成功后转发报文。同理,在Interface B上开启普通代理ARP后,可以将Host D发送目的为Host A的报文转发给Host A。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启普通代理ARP功能。

proxy-arp enable

缺省情况下,普通代理ARP功能处于关闭状态。

3.3  开启本地代理ARP功能

1. 功能简介

本地代理ARP的应用场景如图3-2所示。Host A、Host B与Device B属于相同VLAN。Host A和Host B分别连接到端口Port B1和 Port B3上,Port B1和 Port B3是同一个端口隔离组内的二层隔离端口。

图3-2 本地代理ARP的应用环境

在这种组网情况下,当Host A需要与Host B通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A会直接发出请求Host B的MAC地址的ARP请求。由于两台主机接到同一个隔离组内的不同二层隔离端口下,Host B无法收到Host A的ARP请求报文。

通过在Device A接口Interface A上开启本地代理ARP功能,可以解决此问题。当Device A收到Host A请求Host B的MAC地址的ARP请求后,会代替Host B回应ARP应答报文。这时,Host A会将目的为Host B的流量发送给DeviceA,如果Device A已经有了Host B的ARP表项信息,则直接按照ARP表转发报文;如果Device A上不存在Host B的ARP表项,则对Host B先发起ARP解析,解析成功后转发报文。

2. 配置限制和指导

本地代理ARP可以在下列几种情况下实现主机之间的三层互通:

·     想要互通的主机分别连接到同一个VLAN中的同一个隔离组内的不同二层隔离端口下;

·     开启Super VLAN功能后,想要互通的主机属于不同的Sub VLAN;

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启本地代理ARP功能。

local-proxy-arp enable [ ip-range start-ip-address to end-ip-address ]

缺省情况下,本地代理ARP功能处于关闭状态。

3.4  开启VLAN间代理ARP

1. 功能简介

VLAN间代理ARP的应用场景如图3-3所示。Host A属于VLAN 2,Host B属于VLAN 3。Host A和Host B分别连接在Device B上。Device B的上行口连接Device A,在Device A的子接口Interface A开启VLAN终结功能。

图3-3 VLAN间代理ARP的应用环境

在这种组网情况下,当Host A需要与Host B通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A会直接发出请求Host B的MAC地址的ARP请求。由于连接两台主机属于不同的VLAN中,Host B无法收到Host A的ARP请求报文。

通过在Device A的接口Interface A.1上开启VLAN间代理ARP功能,可以解决此问题。当Device A收到Host A请求Host B的MAC地址的ARP请求后,先检查是否已经学到了Host B的ARP表项。如果Device A上不存在Host B的ARP表项,则先向所有终结的VLAN发起对Host B的ARP解析。当Device A学习到Host B的ARP表项后,进行如下操作:

·     如果发现Host B和Host A在同一个VLAN内,则Device A不应答ARP请求;

·     如果Host B和Host A不在同一个VLAN内,Device A才会应答ARP请求。DeviceA收到Host A发送的目的为Host B的数据报文后,转发给Host B。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入子接口视图。

interface interface-type interface-number.subnumber

(3)     开启VLAN间代理ARP功能。

proxy-arp inter-vlan enable

缺省情况下,VLAN间代理ARP功能处于关闭状态。

3.5  代理ARP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后代理ARP的运行情况,查看显示信息验证配置的效果。

表3-1 代理ARP显示和维护

操作

命令

显示普通代理ARP的状态

display proxy-arp [ interface interface-type interface-number ]

显示本地代理ARP的状态

display local-proxy-arp [ interface interface-type interface-number ]

 

3.6  普通代理ARP典型配置举例

3.6.1  普通代理ARP基本组网配置举例

1. 组网需求

·     Host A的IP地址是192.168.10.100/16,所在局域网的网络号为192.168.0.0/16。

·     Host D的IP地址是192.168.20.200/16,所在局域网的网络号为192.168.0.0/16。

·     Host A和Host D互相认为处于同一子网,但实际却被设备Router分在两个不同的子网。

·     Host A和Host D没有配置缺省网关,要求在设备Router上开启普通代理ARP功能,使处在两个子网的Host A和Host D能互通。

2. 组网图

图3-4 配置普通代理ARP组网图

 

3. 配置步骤

# 配置接口GigabitEthernet3/1/2的IP地址。

<Router> system-view

[Router] interface gigabitethernet 3/1/2

[Router-GigabitEthernet3/1/2] ip address 192.168.10.99 255.255.255.0

# 开启接口GigabitEthernet3/1/2的代理ARP功能。

[Router-GigabitEthernet3/1/2] proxy-arp enable

[Router-GigabitEthernet3/1/2] quit

# 配置接口GigabitEthernet3/1/1的IP地址。

[Router] interface gigabitethernet 3/1/1

[Router-GigabitEthernet3/1/1] ip address 192.168.20.99 255.255.255.0

# 开启接口GigabitEthernet3/1/1的普通代理ARP功能。

[Router-GigabitEthernet3/1/1] proxy-arp enable

[Router-GigabitEthernet3/1/1] quit

4. 验证配置

配置完成后,Host A和Host D可以互相ping通。

 


4 ARP Snooping

4.1  ARP Snooping简介

ARP Snooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARP Snooping表项

4.1.1  ARP Snooping表项建立机制

设备上在一个VLAN中启用ARP Snooping后,该VLAN内接收的ARP报文都会被上送到CPU。CPU对上送的ARP报文进行分析,获取ARP报文的发送端IP地址、发送端MAC地址、VLAN和入端口信息,建立记录用户信息的ARP Snooping表项。

4.1.2  ARP Snooping表项老化机制

ARP Snooping表项的老化时间为25分钟,有效时间为15分钟。

如果一个ARP Snooping表项自最后一次更新后12分钟内没有收到ARP更新报文,设备会向外主动发送一个ARP请求进行探测;若ARP Snooping表项自最后一次更新后15分钟时,还没有收到ARP更新报文,则此表项开始进入失效状态,不再对外提供服务,其他特性查找此表项将会失败。当收到发送端IP地址和发送端MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时,此ARP Snooping表项进行更新,重新开始生效,并重新老化计时。

当ARP Snooping表项达到老化时间后,则将此ARP Snooping表项删除。

4.1.3  ARP Snooping表项冲突处理机制

如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARP Snooping表项处于冲突状态,表项失效,不再对外提供服务,并在1分钟后删除此表项。

4.2  开启ARP Snooping功能

(1)     进入系统视图。

system-view

(2)     进入VLAN视图。

vlan vlan-id

(3)     开启ARP Snooping功能。

arp snooping enable

缺省情况下,ARP Snooping功能处于关闭状态。

4.3  ARP Snooping显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP Snooping的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除ARP Snooping表中的表项。

表4-1 ARP Snooping显示和维护

操作

命令

显示ARP Snooping表项(独立运行模式)

display arp snooping [ vlan vlan-id ] [ slot slot-number [ cpu cpu-number ] ] [ count ]

display arp snooping ip ip-address [ slot slot-number [ cpu cpu-number ] ]

显示ARP Snooping表项(IRF模式)

display arp snooping [ vlan vlan-id ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ count ]

display arp snooping ip ip-address [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

清除ARP Snooping表项

reset arp snooping [ ip ip-address | vlan vlan-id ]

 


5 ARP泛洪抑制

5.1  ARP泛洪抑制简介

图5-1所示,基站、PE和PE-agg建立L2VPN连接。这时,在PE设备上开启ARP泛洪抑制功能,PE就能够侦听经过它的ARP报文。当基站或PE-Agg再次发起ARP解析时,PE可以对ARP请求进行代答,从而可以抑制设备发起ARP解析时引起的网络泛洪。

PE还可以固定的时间间隔以免费ARP报文的形式,向基站和PE-agg设备推送ARP泛洪抑制表项信息。

图5-1 ARP泛洪抑制组网图

 

5.2  配置限制和指导

当设备上开启了QinQ功能后,配置ARP泛洪抑制功能不生效。

L2VPN接入L3VPN组网中,如果在PE-agg设备上配置的AC口是L2VE子接口,则关联的交叉连接组不支持配置ARP泛洪抑制功能。

standard工作模式下,仅CSPEX-1802X、CSPEX-1812X-E、CEPC-CQ8L单板支持本功能。

sdn-wan工作模式下,仅CSPEX类单板(CSPEX-1204和CSPEX-1104-E单板除外)、SPE类单板和CEPC类单板支持本功能。

5.3  开启ARP泛洪抑制功能

(1)     进入系统视图。

system-view

(2)     (可选)开启主动推送ARP泛洪抑制表项功能,并配置推送时间间隔。

arp suppression push interval interval

缺省情况下,主动推送ARP泛洪抑制表项功能处于关闭状态。

(3)     创建一个交叉连接组,并进入交叉连接组视图。

xconnect-group group-name

关于xconnect-group命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L2VPN”。

(4)     创建交叉连接,进入交叉连接视图。

connection connection-name

关于connection命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L2VPN”。

(5)     开启ARP泛洪抑制功能。

arp suppression enable

缺省情况下,ARP泛洪抑制功能处于关闭状态。

5.4  ARP泛洪抑制显示和维护

在完成上述配置后,在任意视图下执行display命令可以查看ARP泛洪抑制配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除ARP泛洪抑制表中的表项。

表5-1 ARP泛洪抑制显示和维护

操作

命令

显示ARP泛洪抑制表项(独立运行模式)

display arp suppression xconnect-group [ name group-name ] [ slot slot-number [ cpu cpu-number ] ] [ count ]

显示ARP泛洪抑制表项(IRF模式)

display arp suppression xconnect-group [ name group-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ count ]

清除ARP泛洪抑制表项

reset arp suppression xconnect-group [ name group-name ]

 

5.5  ARP泛洪抑制典型配置举例

1. 组网需求

基站、Router A和Router B之间由L2VPN连接,基站设备与Router B设备的L3VE口之间路由可达。为了减少网络中的ARP报文数,开启ARP泛洪抑制功能,Router A不再转发ARP请求报文,而是代答基站请求Router B信息的ARP报文。

2. 组网图

图5-2 开启ARP泛洪抑制组网图

 

3. 配置步骤

(1)     配置IP地址和路由

请按照组网图配置各接口的IP地址,并且配置路由保证基站设备和Router B设备的L3VE口之间路由可达。具体配置过程略。

(2)     开启泛洪抑制功能

# 在Router A上创建交叉连接组vpna,在该交叉连接组内创建名称为svc的交叉连接。在该交叉连接视图下配置泛洪抑制功能。

<RouterA> system-view

[RouterA] xconnect-group vpna

[RouterA-xcg-vpna] connection svc

[RouterA-xcg-vpna-svc] arp suppression enable

4. 验证配置

# 清除基站的ARP表项,从基站ping Router B的L3VE口,ping通后在Router A上查看泛洪抑制表项

[RouterA-xcg-vpna-svc] display arp suppression xconnect-group

IP address      MAC address     Xconnect-group       Connection           Aging

10.1.1.1        00e0-fc04-582c  vpna                 svc                  25

10.1.1.3        0023-89b7-0861  vpna                 svc                  25

# 打开Router B的ARP调试开关,清除基站的ARP表项,从基站ping Router B的L3VE口,在Router B上看不到ARP解析的过程。


6 ARP直连路由通告

6.1  ARP直连路由通告简介

6.1.1  工作机制

ARP直连路由通告功能用于使设备从ARP表中学到对应的直连路由信息,以便其他路由协议发布该直连路由或指导报文转发。

6.1.2  三层接入组网应用

图6-1所示,Server A和Server B通过三层接口接入到Device A与Device B。在Device A的Interface A和Device B的Interface B下开启ARP直连路由通告功能后,Device A可以通过ARP表项生成到Server A的主机路由,Device B可以通过ARP表项生成到Server B的主机路由。其他路由协议可以仅发布该主机路由,减少由于发布网段路由而引入的无效流量,节约带宽。在公网或VPN内开启ARP直连路由通告功能后,公网中或该VPN内的所有接口的直连路由通告功能均已开启。

图6-1 三层接入组网图

 

6.1.3  L2VPN接入L3VPN组网应用

图6-2所示,基站设备、PE分别与PE-agg1、PE-agg2建立L2VPN连接。在PE-agg1和PE-agg2上开启ARP直连路由通告功能,这两台设备才能将基站的主机路由对L3VPN内的PE设备发布。这时,该PE设备到基站设备上会生成经过PE-agg1和PE-agg2的两条等价路由,PE发往基站设备的流量同时经过PE-agg1和PE-agg2。如果PE-agg1设备发生故障,从PE发往基站设备的流量能快速地完全切换到由PE-agg2转发。

图6-2 ARP直连路由通告功能组网图

 

6.2  开启ARP直连路由通告功能

(1)     进入系统视图。

system-view

(2)     开启ARP直连路由通告功能。

¡     系统试图下开启ARP直连路由通告功能。

arp route-direct advertise

¡     请依次执行以下命令在接口视图下开启ARP直连路由通告功能。

interface interface-type interface-number

arp route-direct advertise

¡     请依次执行以下命令在VPN视图下开启ARP直连路由通告功能。

ip vpn-instance vpn-instance-name

arp route-direct advertise

缺省情况下,ARP直连路由通告功能处于关闭状态。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们