- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-ARP命令
本章节下载: 01-ARP命令 (479.86 KB)
1.1.4 arp mac-interface-consistency check enable
1.1.11 arp timer aging probe-count
1.1.12 arp timer aging probe-interval
1.1.13 arp topology-change enable
1.1.14 arp user-ip-conflict record enable
1.1.15 arp user-move record enable
1.1.17 display arp entry-limit
1.1.19 display arp openflow count
1.1.20 display arp timer aging
1.1.22 display arp user-ip-conflict record
1.1.23 display arp user-move record
1.1.24 display arp vpn-instance
2.1.1 arp ip-conflict log prompt
2.1.3 gratuitous-arp mac-change retransmit
2.1.4 gratuitous-arp-learning enable
2.1.5 gratuitous-arp-sending enable
3.1.3 display proxy-arp statistics
5.1.1 arp route-direct advertise
5.1.2 arp route-direct advertise delay
5.1.3 display arp route-direct advertise
6.1 数据报文触发ARP解析时禁止主动发送ARP请求功能配置命令
arp check enable命令用来开启动态ARP表项的检查功能。
undo arp check enable命令用来关闭动态ARP表项的检查功能。
【命令】
arp check enable
undo arp check enable
【缺省情况】
动态ARP表项的检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
动态ARP表项检查功能可以控制设备上是否可以学习ARP报文中的发送端MAC地址为组播MAC的动态ARP表项。
开启ARP表项的检查功能后,设备上不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项。
关闭ARP表项的检查功能后,设备可以学习以太网源MAC地址为单播MAC且ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也可以手工添加MAC地址为组播MAC的静态ARP表项。
【举例】
# 开启动态ARP表项的检查功能。
<Sysname> system-view
[Sysname] arp check enable
arp check log enable命令开启ARP日志信息功能。
undo arp check log enable命令关闭ARP日志信息功能。
【命令】
arp check log enable
undo arp check log enable
【缺省情况】
设备ARP日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ARP日志可以方便管理员定位问题和解决问题,对处理ARP报文的信息进行的记录,包括设备未使能ARP代理功能时收到目的IP不是设备接口IP地址、VRRP备份组的虚拟IP地址或NAT转化的外部网络地址; 收到的ARP报文中源地址和接收接口地址、VRRP备份组中的虚拟IP地址或NAT转换的外部网络地址冲突,且此报文不是ARP请求报文等。
设备生成的ARP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ARP日志信息而影响设备性能,除了审计或定位问题,一般情况下建议不要打开此功能。
【举例】
# 开启ARP日志信息功能。
<Sysname> system-view
[Sysname] arp check log enable
arp hardware log enable命令用来开启ARP表项下发硬件日志功能。
undo arp hardware log enable命令用来关闭ARP表项下发硬件日志功能。
【命令】
arp hardware log enable [ count-limit count-limit-value ]
undo arp hardware log enable
【缺省情况】
ARP表项下发硬件日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
count-limit count-limit-value:每秒输出的ARP表项下发硬件的日志条目最大值,取值范围为1~2000。如果未指定本参数,则设备每秒最多输出2000条ARP表项下发硬件日志。
【使用指导】
设备学习ARP表项后,会将ARP表项下发到硬件,以供芯片转发报文时使用。开启ARP表项下发硬件日志功能后,如果ARP表项下发到硬件的过程产生异常,设备会时输出日志信息记录此事件。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的设置请参见“网络管理和监控配置指导”中的“信息中心”。
为了避免生成日志的过程占用内存,建议用户只在流量的转发产生异常,需要定位问题时开启本功能。如果每秒钟生成的日志条目达到最大值,则即使有新的ARP表项在下发到硬件的过程中产生异常,设备也不会输出此ARP表项的日志。
【举例】
# 开启ARP表项下发硬件日志功能,且每秒最多输出100条日志。
<Sysname> system-view
[Sysname] arp hardware log enable count-limit 100
arp mac-interface-consistency check enable命令用来开启ARP表项出接口和MAC地址表项出接口一致性检查功能。
undo arp mac-interface-consistency check enable命令用来关闭ARP表项出接口和MAC地址表项出接口一致性检查功能。
【命令】
arp mac-interface-consistency check enable
undo arp mac-interface-consistency check enable
【缺省情况】
ARP表项出接口和MAC地址表项出接口一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当网络环境不稳定时,设备收到某个用户发送的报文的接口可能会发生变化。这时,设备会更新该用户的MAC地址表项中的接口信息。由于该用户对应的ARP表项的出接口信息无法及时更新,匹配该ARP表项的报文会从错误的接口转发出去。开启本功能后,ARP会定时检查某个用户的ARP表项的出接口和MAC地址表项的出接口是否一致。如果不一致,ARP会在该用户的ARP表项记录的VLAN内发送ARP请求报文进行探测,并将收到ARP应答报文的接口信息更新到ARP表项中,保证了ARP表项的出接口信息能够及时更新,解决了某个用户的ARP表项出接口和MAC地址表项出接口不一致的问题。
使用display mac-address命令可以查看MAC地址表信息。
【举例】
# 开启ARP表项出接口和MAC地址表项出接口一致性检查功能。
<Sysname> system-view
[Sysname] arp mac-interface-consistency check enable
【相关命令】
· display mac-address(二层技术-以太网交换命令参考/MAC地址表)
arp max-learning-num命令用来配置接口允许学习动态ARP表项的最大数目。
undo arp max-learning-num命令用来恢复缺省情况。
【命令】
arp max-learning-num max-number [ alarm alarm-threshold ]
undo arp max-learning-num
【缺省情况】
接口允许学习的动态ARP表项最大数目为2048。
【视图】
二层以太网接口视图
二层聚合接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
max-number:接口允许学习动态ARP表项的最大数目。取值范围0~2048。
alarm alarm-threshold:设置动态ARP表项数量的告警阈值。alarm-threshold的取值范围为1~100,单位为百分比。当接口学到的动态ARP表项数到达(max-number×alarm-threshold/100)时,设备会生成日志信息。如果未指定本参数,设备不会生成日志信息。
【使用指导】
设备可以通过ARP协议自动生成动态ARP表项。为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项。
当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项。
【举例】
# 配置VLAN接口40上可以学习动态ARP表项的最大数目为10。
<Sysname> system-view
[Sysname] interface vlan-interface 40
[Sysname-Vlan-interface40] arp max-learning-num 10
# 配置接口GigabitEthernet1/0/1上可以学习动态ARP表项的最大数目为10。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp max-learning-num 10
# 配置二层聚合接口1上可以学习动态ARP表项的最大数目为10。
<Sysname> system-view
[Sysname] interface bridge-aggregation 1
[Sysname-Bridge-Aggregation1] arp max-learning-num 10
arp max-learning-number命令用来配置设备允许学习动态ARP表项的最大数目。
undo arp max-learning-number命令用来恢复缺省情况。
【命令】
arp max-learning-number max-number slot slot-number
undo arp max-learning-number slot slot-number
【缺省情况】
设备允许学习的动态ARP表项最大数目为2048。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:设备允许学习动态ARP表项的最大数目,取值范围为0~2048。
slot slot-number:设置指定成员设备上学习动态ARP表项的最大数目,slot-number表示设备在IRF中的成员编号。
【使用指导】
设备可以通过ARP协议自动生成动态ARP表项。为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制。当设备学习动态ARP表项的数目达到所设置的值时,该设备将不再学习动态ARP表项。
当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止该设备学习动态ARP表项。
【举例】
# 限制Slot1上学习的ARP表项的最大数目为64。
<Sysname> system-view
[Sysname] arp max-learning-number 64 slot 1
arp multiport命令用来配置多端口ARP表项。
undo arp命令用来删除ARP表项。
【命令】
arp multiport ip-address mac-address vlan-id [ vpn-instance vpn-instance-name ] [ description text ]
undo arp ip-address [ vpn-instance-name ]
【缺省情况】
不存在多端口ARP表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:ARP表项的IP地址部分。
mac-address:ARP表项的MAC地址部分,格式为H-H-H。
vlan-id:ARP表项所属的VLAN,取值范围为1~4094。vlan-id必须是用户已经创建好的VLAN的ID。
vpn-instance vpn-instance-name:指定多端口ARP表项所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示多端口ARP表项位于公网中。
description text:多端口ARP表项的描述信息。text为1~255个字符的字符串,区分大小写。
【使用指导】
为多端口ARP表项配置描述信息后,可以方便管理员对表项进行审计和管理。
当多端口ARP表项所对应的VLAN、VLAN接口被删除时,该表项需删除。
用户需要先配置多端口单播MAC地址表项或组播MAC地址表项来指定所有的出接口,这两种MAC地址表项需要和多端口ARP表项有相同的MAC地址、VLAN ID,且保证多端口ARP表项中IP地址与VLAN接口的IP地址属于同一网段,此时该多端口ARP表项才能正常指导转发。
【举例】
# 配置一条多端口ARP表项,IP地址为202.38.10.2,对应的MAC地址为00e0-fc01-0000,此条ARP表项属于VLAN 10。
<Sysname> system-view
[Sysname] arp multiport 202.38.10.2 00e0-fc01-0000 10
【相关命令】
· display arp multiport
· reset arp multiport
arp smooth命令用来触发一次将IRF主设备的ARP表项同步到其他所有IRF从设备的操作。
【命令】
arp smooth
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 触发一次将IRF主设备的ARP表项同步到其他所有IRF从设备的操作。
<Sysname> arp smooth
arp static命令用来配置静态ARP表项。
undo arp命令用来删除ARP表项。
【命令】
arp static ip-address mac-address [ vlan-id interface-type interface-number | interface-type interface-number interface-type interface-number ] [ vpn-instance vpn-instance-name ] [ description text ]
undo arp ip-address [ vpn-instance-name ]
【缺省情况】
不存在静态ARP表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:ARP表项的IP地址部分。
mac-address:ARP表项的MAC地址部分,格式为H-H-H。
vlan-id:静态ARP表项所属的VLAN,取值范围为1~4094。
interface-type interface-number:指定接口类型和接口编号。
vpn-instance vpn-instance-name:指定静态ARP表项所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示静态ARP表项位于公网中。
description text:静态ARP表项的描述信息。为1~255个字符的字符串,区分大小写。
【使用指导】
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖,可以增加通信的安全性。
静态ARP表项分为短静态ARP表项和长静态ARP表项:
· 对于已经解析的短静态ARP表项,会由于外部事件,比如解析到的出接口状态down或者vlan-id所对应的VLAN和VLAN接口被删除等原因,恢复到未解析状态。
· 对于长静态ARP表项,根据设备的当前状态可能处于有效或无效两种状态。处于无效状态的原因可能是该ARP表项中的IP地址与本地IP地址冲突或设备上没有与该ARP表项中的IP地址在同一网段的接口地址等原因。处于无效状态的长静态ARP表项不能指导报文转发。
指定vlan-id interface-type interface-number参数时,需要注意:
· interface-type interface-number可以为以太网接口或聚合接口。
· vlan-id所对应的VLAN和VLAN接口必须存在,接口interface-type interface-number必须属于此VLAN。
· vlan-id对应的VLAN接口的IP地址必须和ip-address属于同一网段。
· vlan-id所对应的VLAN和VLAN接口被删除时,长静态ARP表项则会被删除。
为静态ARP表项配置描述信息后,可以方便管理员对表项进行审计和管理。
【举例】
# 配置一条长静态ARP表项,IP地址为202.38.10.2,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] arp static 202.38.10.2 00e0-fc01-0000 10 gigabitethernet 1/0/1
【相关命令】
· display arp
· reset arp
arp timer aging命令用来配置动态ARP表项的老化时间。
undo arp timer aging命令用来恢复缺省情况。
【命令】
arp timer aging { aging-minutes | second aging-seconds }
undo arp timer aging
【缺省情况】
系统视图下,动态ARP表项的老化时间为20分钟。
接口视图下,动态ARP表项的老化时间以系统视图下配置的老化时间为准。
【视图】
系统视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
aging-minutes:以分钟形式表示的动态ARP表项的老化时间,取值范围为1~1440,单位为分钟。
second aging-seconds:以秒形式表示的动态ARP表项的老化时间,取值范围为5~86400,单位为秒。
【使用指导】
为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将被从ARP表中删除,这个生存周期被称作老化时间。如果在到达老化时间前纪录被刷新,则重新计算老化时间。
系统视图和接口视图下都可以配置动态ARP表项的老化时间,接口视图下配置的动态ARP表项的老化时间优先级高于系统视图下配置的动态ARP表项的老化时间。
配置代理ARP功能后,应该减小动态ARP表项的老化时间,以便尽快删除无效的动态ARP表项,减少发给设备而设备却不能转发的报文,以尽快删除无效的动态ARP表项。
【举例】
# 配置动态ARP表项的老化时间为10分钟。
<Sysname> system-view
[Sysname] arp timer aging 10
# 配置动态ARP表项的老化时间为200秒。
<Sysname> system-view
[Sysname] arp timer aging second 200
# 在VLAN接口2上配置动态ARP表项的老化时间为200秒。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp timer aging second 200
【相关命令】
· arp timer aging probe-count
· arp timer aging probe-interval
· display arp timer aging
arp timer aging probe-count命令用来配置动态ARP表项老化探测次数。
undo arp timer aging probe-count命令用来恢复缺省情况。
【命令】
arp timer aging probe-count count
undo arp timer aging probe-count
【缺省情况】
系统视图下,动态ARP表项老化探测次数为3次。
接口视图下,动态ARP表项老化探测次数以系统视图下配置的探测次数为准。
【视图】
系统视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
count:动态ARP表项老化探测次数,取值范围为0~10。当配置为0时,则不进行动态ARP表项老化探测。
【使用指导】
某条动态ARP表项老化前,设备会向该表项中的IP地址发送ARP请求报文进行老化探测,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新,如果未收到应答,则删除此动态ARP表项。动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程。
系统视图和接口视图下都可以配置动态ARP表项老化探测次数,接口视图下配置的动态ARP表项老化探测次数优先级高于系统视图下配置的动态ARP表项老化探测次数。
【举例】
# 配置动态ARP表项老化探测次数为5次。
<Sysname> system-view
[Sysname] arp timer aging probe-count 5
# 在VLAN接口2上配置动态ARP表项老化探测次数为5次。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp timer aging probe-count 5
【相关命令】
· arp timer aging
· arp timer aging probe-interval
arp timer aging probe-interval命令用来配置动态ARP表项老化探测时间间隔。
undo arp timer aging probe-interval命令用来恢复缺省情况。
【命令】
arp timer aging probe-interval interval
undo arp timer aging probe-interval
【缺省情况】
系统视图下,动态ARP表项老化探测时间间隔为5秒。
接口视图下,动态ARP表项老化探测时间间隔以系统视图下配置的时间间隔为准。
【视图】
系统视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
interval:动态ARP表项老化探测时间间隔,取值范围为1~60,单位为秒。
【使用指导】
动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程。动态ARP表项老化前,设备会按照配置的老化探测时间间隔向该表项中的IP地址发送ARP请求报文进行老化探测。
· 如果在老化探测时间间隔内,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新;
· 如果在老化探测时间间隔内,设备未收到ARP应答报文,探测次数加1,开始下一次探测;
· 如果到达最大探测次数后,设备仍未收到ARP应答报文,则该动态ARP表项会被删除。
系统视图和接口视图下都可以配置动态ARP表项老化探测时间间隔,接口视图下配置的动态ARP表项老化探测时间间隔优先级高于系统视图下配置的动态ARP表项老化探测时间间隔。
【举例】
# 配置动态ARP表项老化探测时间间隔为10秒。
<Sysname> system-view
[Sysname] arp timer aging probe-interval 10
# 在VLAN接口2上配置动态ARP表项老化探测时间间隔为10秒。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp timer aging probe-interval 10
【相关命令】
· arp timer aging
· arp timer aging probe-count
arp topology-change enable命令用来开启环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能。
undo arp topology-change enable用来关闭环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能。
【命令】
arp topology-change enable
undo arp topology-change enable
【缺省情况】
环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备上配置了STP功能后,在构建树形网络拓扑场景下,当环路协议检测到网络的拓扑发生变化时,系统会通知ARP模块对已经学习到的ARP表项进行老化或者删除操作,此时设备需要重新进行ARP学习,以获取最新的ARP表项信息。如果网络的拓扑变化频繁,则设备重新学习ARP时可能会使网络中出现大量ARP报文,占用大量系统资源,从而影响其他业务正常运行。为了避免该问题,用户可以执行undo arp topology-change enable命令,这样即使网络的拓扑发生变化,设备也不会老化或者删除ARP表项。
执行undo arp topology-change enable命令后,可能会导致设备中保存的不是最新的ARP表项,从而造成用户流量发生中断,建议仅在必要时使用此命令。
【举例】
# 关闭环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能。
<Sysname> system-view
[Sysname] undo arp topology-change enable
【相关命令】
· stp enable(二层技术-以太网交换命令参考/生成树)
arp user-ip-conflict record enable命令用来开启ARP记录终端用户间IP地址冲突功能。
undo arp user-ip-conflict record enable命令用来关闭ARP记录终端用户间IP地址冲突功能。
【命令】
arp user-ip-conflict record enable
undo arp user-ip-conflict record enable
【缺省情况】
设备采用空配置启动时,ARP记录终端用户间IP地址冲突功能处于关闭状态。
设备采用出厂配置启动时,ARP记录终端用户间IP地址冲突功能处于开启状态。
关于空配置启动和出厂配置启动的详细介绍,请参见“基础配置指导”中的“配置文件管理”。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,ARP模块收到ARP报文时,会将ARP报文中的发送端IP地址和已有ARP表项中的IP地址进行比较。如果发现发送端IP地址和某条ARP表项中的IP地址相同,但MAC地址不同,则认为网络中存在终端用户间的IP地址冲突。此时,ARP模块会生成终端用户间IP地址冲突表项,同时生成对应的IP地址冲突日志。生成的IP地址冲突日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
对于单个成员设备,ARP模块一秒内最多生成10条终端用户间IP地址冲突日志。
管理员可以通过执行display arp user-ip-conflict record命令查看到更多的终端用户间源IP地址冲突表项。
【举例】
# 开启ARP记录终端用户间源IP地址冲突功能。
<Sysname> system-view
[Sysname] arp user-ip-conflict record enable
【相关命令】
· display arp user-ip-conflict record
arp user-move record enable命令用来开启ARP记录终端用户端口迁移功能。
undo arp user-move record enable命令用来关闭ARP记录终端用户端口迁移功能。
【命令】
arp user-move record enable
undo arp user-move record enable
【缺省情况】
ARP记录终端用户端口间迁移功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对于单个成员设备,ARP模块一秒内最多生成10条终端用户迁移日志。
管理员可以通过执行display arp user-move record命令查看到更多的终端用户迁移表项。
【举例】
# 开启ARP记录终端用户端口迁移功能。
<Sysname> system-view
[Sysname] arp user-move record enable
【相关命令】
· display arp user-move record
display arp命令用来显示ARP表项。
【命令】
display arp [ [ all | dynamic | multiport | static ] [ slot slot-number ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有的ARP表项。
dynamic:显示动态ARP表项。
multiport:显示多端口ARP表项。
static:显示静态ARP表项。
slot slot-number:显示指定成员设备的ARP表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的ARP表项。
vlan vlan-id:显示指定VLAN的ARP表项,vlan-id的取值范围为1~4094。
interface interface-type interface-number:显示指定接口的ARP表项。interface-type interface-number用来指定接口类型和接口编号。如果未指定本参数,则显示所有接口的ARP表项。
count:显示ARP表项的数目。
verbose:显示ARP表项的详细信息。
【使用指导】
使用本命令可以查看静态、动态和多端口ARP表项的具体内容,包括IP地址、MAC地址、VLAN ID、出接口、表项类型以及老化时间等信息。
【举例】
# 显示所有ARP表项的信息。
<Sysname> display arp all
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
1.1.1.1 02e0-f102-0023 1 GE1/0/1 -- S
1.1.1.2 00e0-fc00-0001 12 GE1/0/2 960 D
# 显示所有ARP表项的详细信息。
<Sysname> display arp all verbose
IP address : 1.1.1.1 MAC address : 02e0-f102-0023
Type : Static Aging : --
Interface : GE1/0/1 VLAN : 1
VPN instance : --
Link ID : --
Service instance : 1
VXLAN ID : --
VSI name : --
VSI interface : --
Nickname : --
Description : User1
IP address : 1.1.1.2 MAC address : 0015-e944-adc5
Type : Dynamic Aging : 960 sec
Interface : GE1/0/2 VLAN : 12
VPN instance : --
Link ID : --
Service instance : --
VXLAN ID : --
VSI name : --
VSI interface : --
Nickname : --
Description : --
# 显示所有ARP表项的数目。
<Sysname> display arp all count
Total number of entries : 4
表1-1 display arp命令显示信息描述表
|
字段 |
描述 |
|
IP address |
ARP表项的IP地址 |
|
MAC address |
ARP表项的MAC地址 |
|
VLAN/VSI name |
ARP表项所属的VLAN ID(当表项类型为静态表项时,“--”表示未解析的短静态ARP表项;如果ARP表项中的接口不属于某个VLAN,也显示“--”) |
|
Interface |
ARP表项所对应的出接口(当表项类型为静态表项时,“--”表示未解析的短静态ARP表项;当表项类型为多端口表项时,“--”表示ARP表项不持有端口信息,需要参考对应的多端口MAC地址) |
|
Link ID |
(暂不支持)出链路标识符,如果ARP表项不属于VSI,则显示为“--” |
|
ARP表项的老化时间,对于静态ARP表项,本字段取值为“N/A”,表示没有老化时间;对于动态ARP表项,取值包括: · 具体老化时间值,单位为秒 · “--”表示老化时间不可知 |
|
|
Type |
ARP表项类型:动态,用D表示;静态,用S表示;OpenFlow,用O表示;Rule,用R表示;多端口,用M表示;无效,用I表示 |
|
VPN instance |
VPN实例名称,“--”表示未配置相应ARP的VPN实例 |
|
Service instance |
以太网服务实例,如果ARP表项未指定二层以太网接口或二层聚合接口上以太网服务实例,则显示“--” |
|
VXLAN ID |
ARP表项对应的VXLAN ID,又称VNI(VXLAN网络标识符)。“--”表示该表项不属于任何VXLAN |
|
VSI name |
(暂不支持)ARP表项的VSI的名称,“--”表示该表项不属于VSI |
|
VSI interface |
(暂不支持)与VSI关联的VSI虚接口,如果未指定VSI关联的VSI虚接口,则显示“--” |
|
Nickname |
ARP表项的NickName(长度为4的十六进制数字,例如012a),关于Nickname的详细介绍,请参见“TRILL配置指导”中的“TRILL” |
|
Description |
ARP表项的描述信息,如果不存在描述信息,则显示为“--” |
|
Total number of entries |
ARP表项数目 |
【相关命令】
· arp multiport
· arp static
· reset arp
display arp entry-limit命令用来显示设备支持ARP表项的最大数目。
【命令】
display arp entry-limit
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示设备支持ARP表项的最大数目。
<Sysname> display arp entry-limit
ARP entries: 2048
display arp ip-address命令用来显示指定IP地址的ARP表项。
【命令】
display arp ip-address [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip-address:显示指定IP地址的ARP表项。
slot slot-number:显示指定成员设备的ARP表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的ARP表项。
verbose:显示ARP表项的详细信息。
【使用指导】
用户可以通过本命令查看指定IP地址的ARP表项的具体内容,包括IP地址、MAC地址、VLAN ID、出接口、表项类型以及老化时间等信息。
【举例】
# 显示IP地址为20.1.1.1的ARP表项的信息。
<Sysname> display arp 20.1.1.1
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
20.1.1.1 00e0-fc00-0001 -- -- -- S
【相关命令】
· arp static
· reset arp
display arp openflow count命令用来显示OpenFlow类型ARP表项个数。
【命令】
display arp openflow count [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备的OpenFlow类型ARP表项个数。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的OpenFlow类型ARP表项个数。
【举例】
# 显示OpenFlow类型ARP表项个数。
<Sysname> display arp openflow count
Total number of OpenFlow ARP entries: 6
display arp timer aging命令用来显示动态ARP表项的老化时间。
【命令】
display arp timer aging
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
不论通过arp timer aging命令配置的老化时间使用哪种时间单位,本命令显示的老化时间单位均为秒。
【举例】
# 显示动态ARP表项的老化时间。
<Sysname> display arp timer aging
Current ARP aging time is 1200 seconds
以上显示信息表示动态ARP表项的缺省老化时间为1200秒。
【相关命令】
· arp timer aging
display arp usage命令用来显示ARP表项数的使用率。
【命令】
display arp usage
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
通过本命令可以查看到设备支持的ARP表项最大数目,和ARP表项数目的历史使用率信息。管理员通过查看此统计数据,可对设备上的ARP表项数进行实时监控,提前避免ARP表项数达到上限的问题。另外,管理员也可以通过表项学习的速度可以判断网络中是否存在ARP泛洪攻击等问题。
设备最多支持显示前一小时内ARP表项数的统计信息。
【举例】
# 显示ARP表项数的使用率。
<Sysname> display arp usage
ARP table upper limit: 65000
Time ARP entry count Usage
Current 52000 80%
1 min ago 51351 79%
2 min ago 50711 78%
3 min ago 47748 77%
…
59 min ago 13656 21%
60 min ago 13007 20%
表1-2 display arp usage命令显示信息描述表
|
字段 |
描述 |
|
ARP table upper limit |
设备支持ARP表项的最大数目 |
|
Time |
统计ARP表项数的时间点,Current表示当前 |
|
ARP entry count |
ARP表项个数 |
|
Usage |
ARP表项的使用率 |
display arp user-ip-conflict record命令用来显示ARP记录的终端用户间IP地址冲突表项信息。
【命令】
display arp user-ip-conflict record [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备上ARP记录的终端用户间IP地址冲突表项信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上ARP记录的终端用户间IP地址冲突表项信息。
【使用指导】
单个成员设备最多支持保存200条终端用户间IP地址冲突日志。
当保存的冲突表项数超过上限时,新的表项会覆盖生成时间最早的表项。
【举例】
# 显示设备上所有ARP记录的终端用户间IP地址冲突表项信息。
<Sysname> display arp user-ip-conflict record
IP address: 10.1.1.1
System time: 2018-02-02 11:22:29
Conflict count: 1
Log suppress count: 0
Old interface: GigabitEthernet1/0/1
New interface: GigabitEthernet1/0/2
Old SVLAN/CVLAN: 100/2
New SVLAN/CVLAN: 100/2
Old MAC: 00e0-ca63-8141
New MAC: 00e0-ca63-8142
IP address: 10.1.1.2
System time: 2018-02-02 10:20:30
Conflict count: 1
Log suppress count: 0
Old interface: GigabitEthernet1/0/1
New interface: GigabitEthernet1/0/2
Old SVLAN/CVLAN: 100/--
New SVLAN/CVLAN: 100/--
Old MAC: 00e0-ca63-8141
New MAC: 00e0-ca63-8142
表1-3 display arp user-ip-conflict record命令显示信息描述表
|
字段 |
描述 |
|
IP address |
终端用户的IP地址 |
|
System time |
冲突发生的系统时间 |
|
Conflict count |
冲突发生的次数 |
|
Log suppress count |
抑制生成冲突日志的次数 |
|
Old interface |
旧ARP表项中的接口信息 |
|
New interface |
新ARP表项中的接口信息 |
|
Old SVLAN/CVLAN |
旧ARP表项中的外层VLAN/内层VLAN,内外层VLAN都可能显示为“--” |
|
New SVLAN/CVLAN |
新ARP表项中的外层VLAN/内层VLAN,内外层VLAN都可能显示为“--” |
|
Old MAC |
旧ARP表项中的MAC地址 |
|
New MAC |
新ARP表项中的MAC地址 |
【相关命令】
· arp user-ip-conflict record enable
display arp user-move record命令用来显示ARP记录的终端用户迁移表项信息。
【命令】
display arp user-move record [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备上ARP记录的终端用户迁移表项信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上ARP记录的终端用迁移表项信息。
【使用指导】
单个成员设备最多支持显示200条终端用户迁移表项信息。
当保存的冲突表项数超过上限时,新的表项会覆盖生成时间最早的表项。
【举例】
# 显示设备上所有ARP记录的终端用户迁移表项信息。
<Sysname> display arp user-move record
IP address: 10.1.1.1
MAC address: 0001-0201-0e81
System time: 2018-02-02 11:22:29
Move count: 1
Log suppress count: 0
Before:
interface: GigabitEthernet1/0/1
SVLAN/CVLAN: 100/2
After:
interface: GigabitEthernet1/0/2
SVLAN/CVLAN: 100/2
IP address: 10.1.1.2
MAC address: 0001-0201-0e82
System time: 2018-02-02 10:20:30
Move count: 1
Log suppress count: 0
Before:
interface: GigabitEthernet1/0/1
SVLAN/CVLAN: 100/--
After:
interface: GigabitEthernet1/0/2
SVLAN/CVLAN: 100/--
表1-4 display arp user-move record命令显示信息描述表
|
字段 |
描述 |
|
IP address |
终端用户的IP地址 |
|
MAC address |
终端用户的MAC地址 |
|
System time |
端口迁移发生的系统时间,每次端口迁移后都会刷新该系统时间 |
|
Move count |
端口迁移发生的次数 |
|
Log suppress count |
抑制生成端口迁移日志的次数 |
|
Before |
端口迁移前 |
|
interface |
ARP表项中的接口信息 |
|
SVLAN/CVLAN |
用户所在的外层VLAN/内层VLAN,内外层VLAN都可能显示为“--” |
|
After |
端口迁移后 |
【相关命令】
· arp user-move record enable
display arp vpn-instance命令用来显示指定VPN实例的ARP表项。
【命令】
display arp vpn-instance vpn-instance-name [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vpn-instance-name:显示指定VPN实例的ARP表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,不可以包含空格,区分大小写。
count:显示ARP表项的数目。
verbose:显示ARP表项的详细信息。
【使用指导】
用户可以通过本命令查看指定VPN实例的ARP表项的具体内容,包括IP地址、MAC地址、VLAN ID、出接口、表项类型以及老化时间等信息。
【举例】
# 显示VPN实例名为test的ARP表项。
<Sysname> display arp vpn-instance test
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
20.1.1.1 00e0-fc00-0001 -- -- -- S
【相关命令】
· arp static
· reset arp
reset arp命令用来清除ARP表项。
【命令】
reset arp { all | dynamic | interface interface-type interface-number | multiport | slot slot-number | static }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:表示清除所有的ARP表项。
dynamic:表示清除动态ARP表项。
multiport:表示清除多端口ARP表项。
static:表示清除静态ARP表项。
slot slot-number:表示清除指定成员设备的ARP表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除主设备上的ARP表项。
interface interface-type interface-number:表示清除指定接口的ARP表项。interface-type interface-number用来指定接口的类型和编号。如果未指定本参数,则清除所有接口的ARP表项。
【使用指导】
执行本命令会清除设备上已有的ARP表项,可能会导致外部流量无法及时发给局域网中的用户。
【举例】
# 清除静态ARP表项。
<Sysname> reset arp static
【相关命令】
· arp static
· display arp
arp ip-conflict log prompt命令用来开启源IP地址冲突提示功能。
undo arp ip-conflict log prompt命令用来关闭源IP地址冲突提示功能。
【命令】
arp ip-conflict log prompt
undo arp ip-conflict log prompt
【缺省情况】
设备采用空配置启动时,源IP地址冲突提示功能处于关闭状态。
设备采用出厂配置启动时,源IP地址冲突提示功能处于开启状态。
关于空配置启动和出厂配置启动的详细介绍,请参见“基础配置指导”中的“配置文件管理”。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:
· 如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,如果收到对应的ARP应答后才提示存在IP地址冲突。
· 如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突。
【举例】
# 在设备上开启源IP地址冲突提示功能。
<Sysname> system-view
[Sysname] arp ip-conflict log prompt
arp send-gratuitous-arp命令用来在接口上开启定时发送免费ARP功能。
undo arp send-gratuitous-arp命令用来关闭定时发送免费ARP功能。
【命令】
arp send-gratuitous-arp [ interval interval ]
undo arp send-gratuitous-arp
【缺省情况】
定时发送免费ARP功能处于关闭状态。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
interval interval:发送免费ARP报文的时间间隔,取值范围为200~200000,单位为毫秒,缺省值为2000。
【使用指导】
配置本命令后,只有当接口链路状态up并且配置IP地址后,此功能才真正生效。
只能为VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址发送免费ARP。主IP地址可以是手工配置或者通过其他方式获取的,但是从IP地址必须是手工配置的。
如果修改了免费ARP报文的发送时间间隔,则在下一个发送时间间隔才能生效。
如果同时在很多接口下开启本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户设定的时间间隔。
【举例】
# 在VLAN接口2上开启定时发送免费ARP功能,发送免费ARP报文的时间间隔为300毫秒。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp send-gratuitous-arp interval 300
gratuitous-arp mac-change retransmit命令用来配置当接口MAC地址变化时,重新发送免费ARP报文的次数和时间间隔。
undo gratuitous-arp mac-change retransmit命令用来恢复缺省情况。
【命令】
gratuitous-arp mac-change retransmit times interval seconds
undo gratuitous-arp mac-change retransmit
【缺省情况】
当设备的接口MAC地址变化时,该接口只会发送一次免费ARP报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
times:重发免费ARP报文的次数,取值范围为1~10。
interval seconds:重发免费ARP报文的时间间隔,seconds取值范围为1~10,单位为秒。
【使用指导】
当设备的MAC地址发生变化后,设备会通过免费ARP报文将修改后的MAC地址通告给其他设备。由于目前免费ARP报文没有重传机制,其他设备可能无法收到免费ARP报文。为了解决这个问题,用户可以配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔,保证其他设备可以收到该免费ARP报文。
执行本命令后,设备会按照指定的时间间隔重发免费ARP报文,直到到达配置的发送次数为止。
【举例】
# 配置当接口MAC地址变化时,该接口重新发送3次免费ARP报文,重新发送免费ARP报文时间间隔为5秒。
<Sysname> system-view
[Sysname] gratuitous-arp mac-change retransmit 3 interval 5
gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。
undo gratuitous-arp-learning enable命令用来关闭免费ARP报文学习功能。
【命令】
gratuitous-arp-learning enable
undo gratuitous-arp-learning enable
【缺省情况】
免费ARP报文的学习功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息对自身维护的ARP表进行修改(新建或者更新ARP表项)。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
【举例】
# 开启免费ARP报文的学习功能。
<Sysname> system-view
[Sysname] gratuitous-arp-learning enable
gratuitous-arp-sending enable命令用来开启设备收到非同一网段的ARP请求时发送免费ARP报文功能。
undo gratuitous-arp-sending enable命令用来关闭设备收到非同一网段的ARP请求时发送免费ARP报文功能。
【命令】
gratuitous-arp-sending enable
undo gratuitous-arp-sending enable
【缺省情况】
设备收到非同一网段的ARP请求时发送免费ARP报文功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 关闭设备收到非同一网段的ARP请求时发送免费ARP报文功能。
<Sysname> system-view
[Sysname] undo gratuitous-arp-sending enable
display local-proxy-arp命令用来显示本地代理ARP的状态。
【命令】
display local-proxy-arp [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的本地代理ARP的状态。interface-type interface-number指定接口类型和接口编号。如果未指定本参数,则显示所有接口的本地代理ARP的状态。
【使用指导】
使用本命令可以查看本地代理ARP是处于开启(enabled)状态还是关闭(disabled)状态。
【举例】
# 显示VLAN接口2的本地代理ARP状态。
<Sysname> display local-proxy-arp interface vlan-interface 2
Interface Vlan-interface2
Local Proxy ARP status: enabled
【相关命令】
· local-proxy-arp enable
display proxy-arp命令用来显示代理ARP的状态。
【命令】
display proxy-arp [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type Interface-number:显示指定接口的代理ARP的状态。interface-type interface-number用来指定接口类型和接口编号。如果未指定本参数,则显示所有接口的代理ARP的状态。
【使用指导】
使用本命令可以查看代理ARP是处于开启(enabled)状态还是关闭(disabled)状态。
【举例】
# 显示VLAN接口2的代理ARP状态。
<Sysname> display proxy-arp interface vlan-interface 2
Interface Vlan-interface2
Proxy ARP status: disabled
【相关命令】
· proxy-arp enable
display proxy-arp statistics命令用来显示代理ARP应答报文数的统计信息。
【命令】
display proxy-arp statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
通过本命令可以查看到代理ARP应答报文数目的历史统计信息。
最近1分钟内的统计信息以秒为间隔进行显示,1分钟以前的统计信息以5分钟为间隔进行显示。设备最多支持显示最近一小时内的代理ARP功能应答报文数。
【举例】
# 显示代理ARP应答报文数的统计信息。
<Sysname> display proxy-arp statistics
Last 1 sec proxy count: 200
Last 2 sec proxy count: 400
…
Last 1 min proxy count: 12000
Last 5 min proxy count: 18000
Last 10 min proxy count: 24000
…
Last 60 min proxy count: 182445
表3-1 display proxy-arp statistics命令显示信息描述表
|
字段 |
描述 |
|
Last n sec proxy count: |
前n秒内代理ARP功能应答报文数 |
|
Last n min proxy count: |
前n分钟内代理ARP功能应答报文数 |
local-proxy-arp enable命令用来开启本地代理ARP功能。
undo local-proxy-arp enable命令用来关闭本地代理ARP功能。
【命令】
local-proxy-arp enable [ ip-range start-ip-address to end-ip-address ]
undo local-proxy-arp enable
【缺省情况】
本地代理ARP功能处于关闭状态。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
ip-range start-ip-address to end-ip-address:配置对指定IP地址范围进行本地代理ARP。start-ip-address表示起始IP地址。end-ip-address表示结束IP地址。start-ip-address必须小于等于end-ip-address。
【使用指导】
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
· 普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
· 本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
需要注意的是,多次执行本命令配置不同的IP地址范围进行本地代理ARP时,最后一次执行的命令生效。
【举例】
# 在VLAN接口2上开启本地代理ARP功能。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] local-proxy-arp enable
# 在VLAN接口2上开启本地代理ARP功能,并指定进行ARP代理的IP地址范围。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] local-proxy-arp enable ip-range 1.1.1.1 to 1.1.1.20
【相关命令】
· display local-proxy-arp
proxy-arp enable命令用来开启代理ARP功能。
undo proxy-arp enable命令用来关闭代理ARP功能。
【命令】
proxy-arp enable
undo proxy-arp enable
【缺省情况】
代理ARP功能处于关闭状态。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【使用指导】
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
· 普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
· 本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
【举例】
# 在VLAN接口2上开启代理ARP。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] proxy-arp enable
【相关命令】
· display proxy-arp
arp snooping enable命令用来开启ARP Snooping功能。
undo arp snooping enable命令用来关闭ARP Snooping功能。
【命令】
arp snooping enable
undo arp snooping enable
【缺省情况】
ARP Snooping功能处于关闭状态。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【使用指导】
在二层交换网络环境中,若设备收到大量ARP请求报文,且将这些ARP请求报文都进行广播转发,则网络中会出现大量的ARP请求报文,导致网络拥塞,从而造成其他业务无法正常运行。为了解决该问题,用户可以配置ARP Snooping功能。
ARP Snooping功能通过侦听ARP报文建立ARP Snooping表项,从而提供给MFF(MAC-Forced Forwarding,MAC强制转发)等使用。关于MFF的详细介绍,请参见“安全配置指导”中的“MFF”。
【举例】
# 开启VLAN 2下的ARP Snooping功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp snooping enable
arp snooping uplink命令用来配置接口为ARP Snooping上行接口,以禁止该接口学习ARP Snooping表项。
undo arp snooping uplink命令用来恢复缺省情况。
【命令】
arp snooping uplink
undo arp snooping uplink
【缺省情况】
接口不指定为ARP Snooping的上行接口。开启ARP Snooping功能后,接口上允许学习ARP Snooping表项。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
接入设备上通过arp snooping enable命令开启ARP Snooping功能后,接入设备会通过侦听ARP报文建立ARP Snooping表项。在网关位于汇聚设备上的组网环境中,如果网关设备上通过local-proxy-arp enable命令开启了本地代理ARP功能,则接入设备的上行接口也会学习到ARP Snooping表项。这会导致ARP Snooping表项所对应的入接口在上行接口和下行接口之间来回变化的问题。为了避免此问题,用户可以在接入设备上配置本功能。
配置本功能后,在接入设备上开启ARP Snooping功能,当ARP Snooping上行接口收到ARP报文时,不会学习ARP Snooping表项。
【举例】
# 配置二层以太网接口GigabitEthernet1/0/1为ARP Snooping上行接口,以禁止该接口学习ARP Snooping表项。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp snooping uplink
# 配置二层聚合接口Bridge-Aggregation1为ARP Snooping上行接口,以禁止该接口学习ARP Snooping表项。
<Sysname> system-view
[Sysname] interface bridge-aggregation 1
[Sysname-Bridge-Aggregation1] arp snooping uplink
【相关命令】
· arp snooping enable
display arp snooping命令用来显示ARP Snooping表项。
【命令】
display arp snooping { interface [ interface-type interface-number ] | vlan [ vlan-id ] } [ slot slot-number ] [ count ]
display arp snooping { interface | vlan } ip ip-address [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface:显示接口下的ARP Snooping表项。
interface-type interface-number:指定接口类型和接口编号。如果未指定本参数,则显示所有二层以太网接口和二层聚合接口下的ARP Snooping表项。
vlan:显示VLAN内的ARP Snooping表项。
vlan-id:显示指定VLAN内的ARP Snooping表项,取值范围为1~4094。如果未指定本参数,则显示所有VLAN下的ARP Snooping表项。
count:显示当前ARP Snooping表项的计数。如果未指定本参数,则显示的是ARP Snooping表项。
ip ip-address:显示接口或VLAN下指定IP地址的ARP Snooping表项。
slot slot-number:显示指定成员设备上的所有ARP Snooping表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的ARP Snooping表项。
【举例】
# 显示VLAN 2下的ARP Snooping表项。
<Sysname> display arp snooping vlan 2
IP address MAC address VLAN ID Interface Aging Status
3.3.3.3 0003-0003-0003 2 GE1/0/1 20 Valid
3.3.3.4 0004-0004-0004 2 GE1/0/2 5 Invalid
# 显示VLAN下IP地址为1.1.1.1的ARP Snooping表项。
<Sysname> display arp snooping vlan ip 1.1.1.1
IP address MAC address VLAN ID Interface Aging Status
1.1.1.1 001f-e201-0111 2 GE1/0/1 15 Valid
表4-1 display arp snooping命令显示信息描述表
|
字段 |
描述 |
|
IP address |
ARP Snooping表项的IP地址 |
|
MAC address |
ARP Snooping表项的MAC地址 |
|
VLAN ID |
ARP Snooping表项所属的VLAN的编号 |
|
Interface |
ARP Snooping表项所对应的入接口 |
|
Aging |
ARP Snooping表项的老化时间,单位为分钟。当显示N/A时,表示当前槽位不是创建ARP Snooping表项的端口所在的槽位 |
|
Status |
ARP Snooping表项的状态,分为以下三种: · Valid:有效 · Invalid:无效 · Collision:冲突 |
|
Total entries |
ARP Snooping表项数目 |
【相关命令】
· reset arp snooping
reset arp snooping命令用来清除ARP Snooping表项。
【命令】
reset arp snooping { interface [ interface-type interface-number ] | vlan [ vlan-id ]}
reset arp snooping { interface | vlan } ip ip-address
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface:清除接口下的ARP Snooping表项。
interface-type interface-number:指定接口类型和接口编号。如果未指定本参数,则清除所有二层以太网接口和二层聚合接口下的ARP Snooping表项。
vlan:清除VLAN内的ARP Snooping表项。
vlan-id:清除指定VLAN的ARP Snooping表项。取值范围为1~4094。如果未指定本参数,则清除所有VLAN下的ARP Snooping表项。
ip ip-address:清除接口或VLAN下指定IP地址的ARP Snooping表项。
【举例】
# 清除VLAN 2下的ARP Snooping表项。
<Sysname> reset arp snooping vlan 2
This command will delete all ARP snooping entries for the specified VLAN. Continue? [Y/N]: y
<Sysname>
【相关命令】
· display arp snooping
arp route-direct advertise命令用来开启ARP直连路由通告功能。
undo arp route-direct advertise命令用来关闭ARP直连路由通告功能。
【命令】
arp route-direct advertise [ preference preference-value | tag tag-value ] *
undo arp route-direct advertise
【缺省情况】
ARP直连路由通告功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
preference preference-value:ARP通告的直连路由的路由优先级,preference-value的取值范围为1~255,缺省值为0。preference-value值越小,ARP直连路由的优先级越高。
tag tag-value:ARP直连路由的路由标记值,tag-value的取值范围为1~4294967295,缺省值为0。
【使用指导】
开启本功能后,ARP模块将ARP表项信息通告给路由管理模块,生成对应的直连路由条目。通过路由优先级,可以确定生成的直连路由条目的匹配顺序;通过路由标记值,以便于动态路由协议引用对应标记值的直连路由,从而实现将该直连路由通告到对应的网络中的目的。
多次执行本命令,最后一次执行的命令生效。
arp route-direct advertise命令与arp route-direct advertise mad-down-single-homed命令互斥,如果同时配置,以最后一次执行的命令生效。
【举例】
# 在VLAN接口10下开启ARP直连路由通告功能。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] arp route-direct advertise
【相关命令】
· display arp route-direct advertise
arp route-direct advertise delay命令用来配置ARP直连路由生成的延迟时间。
undo arp route-direct advertise delay命令用来恢复缺省情况。
【命令】
arp route-direct advertise delay delay-time
undo arp route-direct advertise delay
【缺省情况】
ARP直连路由不延迟生成。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
delay-time:ARP直连路由生成的延迟时间,取值范围为0~3600,单位为秒。
【使用指导】
通过arp route-direct advertise命令开启ARP直连路由通告功能后,设备可以通过ARP表项生成到对端设备的直连路由及相关的邻接表。当直连路由先于邻接表生成时,会因报文封装时缺少二层信息产生丢包情况。为了避免这种情况发生,可以通过本命令配置ARP直连路由生成的延迟时间,设备学到ARP表项后会等待delay-time再生成直连路由。
开启ARP直连路由通告功能与配置ARP直连路由生成的延迟时间,两者无先后顺序要求。如果先配置ARP直连路由生成的延迟时间,然后开启ARP直连路由通告功能,则系统会等待配置的delay-time后再生成直连路由。
如果开启了ARP直连路由通告功能且配置了ARP直连路由生成的延迟时间,那么设备学到ARP表项后会开始计时,计时达到delay-time后会生成直连路由。如果在计时达到delay-time之前修改了ARP直连路由通告功能的配置,设备会立即根据修改后的配置发送ARP直连路由通告。如果在计时达到delay-time之前配置了新的delay-time值,计时不会刷新:
· 如果此时的计时超过了新的delay-time,则直接生成直连路由。
· 如果此时计时没有达到delay-time,则会继续等待直到达到delay-time再生成直连路由。
【举例】
# 在VLAN接口10下指定ARP直连路由通告延迟时间。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] arp route-direct advertise delay 200
【相关命令】
· arp route-direct advertise
display arp route-direct advertise命令用来显示通过ARP模块通告生成的直连路由的相关信息。
【命令】
display arp route-direct advertise interface interface-type interface-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口下的通过ARP模块通告生成的直连路由的相关信息,interface-type interface-number表示接口类型和接口编号。
【使用指导】
管理员开启ARP直连路由通告功能后,设备从ARP表中学到对应的直连路由信息,以便其他路由协议发布该直连路由或指导报文转发。管理员可以使用本命令查看ARP模块通告的直连路由是否在路由管理模块生成了对应的直连路由表项。
当Result字段显示为“Unknown”时,表示路由管理模块状态忙,ARP模块未获取到的ARP表项是否生成直连路由条目的信息。建议管理员等待一段时间后,再执行本命令查询相关信息。
【举例】
# 显示VLAN接口10通过ARP模块通告生成的直连路由的相关信息。
<Sysname> display arp route-direct advertise interface vlan-interface 10
IP address MAC address VLAN/VSI Interface Route
1.1.1.1 02e0-f102-0023 1 Vlan10 Yes
1.1.1.2 00e0-fc00-0001 12 Vlan10 No
表5-1 display arp route-direct advertise命令显示信息描述表
|
字段 |
描述 |
|
IP address |
ARP表项的IP地址 |
|
MAC address |
ARP表项的MAC地址 |
|
VLAN/VSI |
ARP表项所属的VLAN ID(当表项类型为静态表项时,“--”表示未解析的短静态ARP表项;如果ARP表项中的接口不属于某个VLAN,也显示“--”) |
|
Interface |
ARP表项所对应的出接口 |
|
Route |
查询路由生成结果,取值包括: · Unknown:未知情况 · Yes:生成了对应的直连路由条目 · No:未生成对应的直连路由条目 |
【相关命令】
· arp route-direct advertise
arp fib-miss drop命令用来配置数据报文触发ARP解析时,禁止设备主动发送ARP请求报文进行ARP表项学习。
undo arp fib-miss drop命令用来恢复缺省情况。
【命令】
arp fib-miss drop
undo arp fib-miss drop
【缺省情况】
数据报文触发ARP解析时,设备会主动发送ARP请求报文进行ARP表项学习。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,当设备收到目的IP地址非本机的数据报文时,如果查询不到该报文下一跳对应的ARP表项,则会发送ARP请求报文去学习该下一跳的MAC地址,以便根据学习到的MAC地址生成对应的ARP表项。
当网络中出现大量的ARP请求报文时,会占用过多的网络资源,影响用户业务的正常运行。可以通过配置本功能,当IP数据报文触发ARP解析时,禁止设备主动发送ARP请求报文进行ARP表项学习,减少网络内的ARP报文,从而起到抑制ARP泛洪的作用。
配置本功能后,当设备收到目的IP地址为非本机的数据报文时,如果查询不到该报文下一跳对应的ARP表项,设备不会再主动发送ARP请求报文去主动学习该主机的ARP表项。
配置本功能后,即使设备主动发送数据报文触发ARP解析,设备也不会主动发送ARP请求报文进行ARP表项学习,建议仅在发现有ARP泛洪攻击的情况下配置本功能。
【举例】
# 在VLAN接口100上配置数据报文触发ARP解析时,禁止设备主动发送ARP请求报文进行ARP表项学习。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] arp fib-miss drop
ping arp ip命令用来在局域网内通过ARP报文探测IPv4地址是否被其它设备使用。
【命令】
ping arp ip host [ interface interface-type interface-number [ vlan vlan-id ] ] [ timeout timeout ] [ count count ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
host:目的端的IP地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
interface interface-type interface-number:指定发送ARP请求报文的接口,interface-type interface-number表示接口类型和接口编号。不指定该参数时,设备使用路由出接口发送ARP请求报文。
vlan vlan-id:指定发送ARP请求报文出接口所属的VLAN。vlan-id取值范围为1~4094。
timeout timeout:指定一个ARP请求报文的超时时间,单位为毫秒,取值范围为0~65535,缺省值为3000。
count count:指定ARP请求报文的发送次数,取值范围为1~4294967295,缺省值为5。
【使用指导】
ping arp ip命令是利用ARP报文在局域网内探测IPv4地址是否被其他设备使用的一种方法。
设备向目的IPv4地址发送一个ARP请求报文后,如果在timeout毫秒内未收到对应的ARP应答报文,且未达到指定的发送次数count,则继续发送下一个ARP请求报文;如果已达到指定的发送次数,则认为此IPv4地址未被其他设备使用,将停止发送探测用途的ARP请求报文。
通过ping命令也可以探测IPv4地址是否被网络上的其他设备使用。但是如果目的端设备带有防火墙功能且配置为对ICMP报文不进行回复时,就不会响应ICMP报文,造成探测结果不准确。由于ARP报文是二层协议,大多数情况下报文不会被防火墙拦下,从而避免了此类情况的发生。另外,ARP请求报文长度小于ICMP报文长度,占用的网络资源更少,所以推荐使用ping arp ip命令。
如果要使用目的端的主机名执行ping arp ip命令,请事先在设备上配置DNS功能。关于DNS的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。
当局域网内有多台设备时,执行本命令可能会消耗较多时间。可以在执行命令过程中,输入<Ctrl+C>终止ping arp ip命令。
【举例】
# 在局域网内通过ARP报文探测1.1.1.3是否被其他设备使用。(假设IP地址已被其它设备使用)
<Sysname> ping arp ip 1.1.1.3
1.1.1.3 is used by 0003-0003-0003.
# 在局域网内通过ARP报文探测1.1.1.3是否被其他设备使用。(假设IP地址未被其它设备使用)
<Sysname> ping arp ip 1.1.1.3
The IP address is not used by anyone.
ping arp mac命令用来通过ICMP报文探测指定网段内MAC地址是否存在或查看MAC地址对应的IPv4地址。
【命令】
ping arp mac mac-address { interface interface-type interface-number | ip ipv4-address [ vpn-instance vpn-instance-name ] } [ timeout timeout ] [ count count ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
mac-address:目的端的MAC地址,格式为H-H-H。在配置时,可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。该MAC地址不可以是组播或广播地址,也不能是设备的虚MAC地址。
interface interface-type interface-number:指定发送ICMP回显请求报文的接口,查询接口所在网段内MAC地址是否存在。interface-type interface-number表示接口类型和接口编号。
ip ipv4-address:指定IPv4形式的目的网段地址,查询此网段内MAC地址是否存在。
vpn-instance vpn-instance-name:探测指定VPN实例的MAC地址。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则探测公网的MAC地址。
timeout timeout:指定一个ICMP回显请求报文的超时时间,单位为毫秒,取值范围为0~65535,缺省值为3000。
count count:指定ICMP回显请求报文的发送次数,取值范围为1~4294967295,缺省值为5。
【使用指导】
当已知某网段一个特定的MAC地址而不知道其对应的IPv4地址时,通过本命令发送广播形式的三层ICMP报文可以得到该MAC所对应的IPv4地址。
设备发送ICMP回显请求报文后,如果在timeout毫秒内未收到ICMP回显应答报文,且未达到指定的发送次数count,则继续发送ICMP回显请求报文;如果已达到指定的发送次数,则认为此MAC地址不存在,不再发送ICMP回显请求报文。
当指定网段内有多台设备时,执行本命令可能会消耗较多时间。可以在执行命令过程中,输入<Ctrl+C>终止ping arp mac命令。
【举例】
# 查询GigabitEthernet1/0/1接口所在网段内是否存在MAC地址为0003-0003-0003的主机。
<Sysname> ping arp mac 0003-0003-0003 interface gigabitethernet 1/0/1
ARP-Ping MAC statistics:
1 packet(s) transmitted
1 packet(s) received
IP address MAC address
1.1.1.3 0003-0003-0003
# 查询1.1.1.0网段内是否存在MAC地址为0003-0003-0003的主机。
<Sysname> ping arp mac 0003-0003-0003 ip 1.1.1.0
ARP-Ping MAC statistics:
5 packet(s) transmitted
0 packet(s) received
MAC[0003-0003-0003] not in use
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
