• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-三层技术-IP业务命令参考

目录

01-ARP命令

本章节下载 01-ARP命令  (524.03 KB)

01-ARP命令

  录

1 ARP

1.1 ARP配置命令

1.1.1 arp check enable

1.1.2 arp check log enable

1.1.3 arp hardware log enable

1.1.4 arp mac-interface-consistency check enable

1.1.5 arp max-learning-num

1.1.6 arp max-learning-number

1.1.7 arp mode uni

1.1.8 arp multiport

1.1.9 arp smooth

1.1.10 arp static

1.1.11 arp timer aging

1.1.12 arp timer aging probe-count

1.1.13 arp timer aging probe-interval

1.1.14 arp topology-change enable

1.1.15 arp user-ip-conflict record enable

1.1.16 arp user-move record enable

1.1.17 display arp

1.1.18 display arp entry-limit

1.1.19 display arp ip-address

1.1.20 display arp openflow count

1.1.21 display arp timer aging

1.1.22 display arp usage

1.1.23 display arp user-ip-conflict record

1.1.24 display arp user-move record

1.1.25 display arp vpn-instance

1.1.26 reset arp

2 免费ARP

2.1 免费ARP配置命令

2.1.1 arp ip-conflict log prompt

2.1.2 arp local-proxy gratuitous-arp forward enable

2.1.3 arp send-gratuitous-arp

2.1.4 gratuitous-arp mac-change retransmit

2.1.5 gratuitous-arp-learning enable

2.1.6 gratuitous-arp-sending enable

3 代理ARP

3.1 代理ARP配置命令

3.1.1 display local-proxy-arp

3.1.2 display proxy-arp

3.1.3 display proxy-arp statistics

3.1.4 local-proxy-arp enable

3.1.5 proxy-arp enable

4 ARP Snooping

4.1 ARP Snooping配置命令

4.1.1 arp snooping enable

4.1.2 arp snooping uplink

4.1.3 display arp snooping

4.1.4 reset arp snooping

5 ARP快速应答

5.1 ARP快速应答配置命令

5.1.1 arp fast-reply enable

6 ARP直连路由通告

6.1 ARP直连路由通告配置命

6.1.1 arp route-direct advertise

6.1.2 arp route-direct advertise delay

6.1.3 arp route-direct advertise mad-down-single-homed

6.1.4 display arp route-direct advertise

7 数据报文触发ARP解析时禁止主动发送ARP请求功能

7.1 数据报文触发ARP解析时禁止主动发送ARP请求功能配置命令

7.1.1 arp fib-miss drop

8 ARP-Ping

8.1 ARP-Ping配置命令

8.1.1 ping arp ip

8.1.2 ping arp mac

 


1 ARP

1.1  ARP配置命令

1.1.1  arp check enable

arp check enable命令用来开启动态ARP表项的检查功能。

undo arp check enable命令用来关闭动态ARP表项的检查功能。

【命令】

arp check enable

undo arp check enable

【缺省情况】

动态ARP表项的检查功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

动态ARP表项检查功能可以控制设备上是否可以学习ARP报文中的发送端MAC地址为组播MAC的动态ARP表项。

开启ARP表项的检查功能后,设备上不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项。

关闭ARP表项的检查功能后,设备可以学习以太网源MAC地址为单播MAC且ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也可以手工添加MAC地址为组播MAC的静态ARP表项。

【举例】

# 开启动态ARP表项的检查功能。

<Sysname> system-view

[Sysname] arp check enable

1.1.2  arp check log enable

arp check log enable命令开启ARP日志信息功能。

undo arp check log enable命令关闭ARP日志信息功能。

【命令】

arp check log enable

undo arp check log enable

【缺省情况】

设备ARP日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

ARP日志可以方便管理员定位问题和解决问题,对处理ARP报文的信息进行的记录,包括设备未使能ARP代理功能时收到目的IP不是设备接口IP地址或VRRP备份组的虚拟IP地址;收到的ARP报文中源地址和接收接口地址或VRRP备份组中的虚拟IP地址冲突,且此报文不是ARP请求报文等。

设备生成的ARP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

为了防止设备输出过多的ARP日志信息而影响设备性能,除了审计或定位问题,一般情况下建议不要打开此功能。

【举例】

# 开启ARP日志信息功能。

<Sysname> system-view

[Sysname] arp check log enable

1.1.3  arp hardware log enable

arp hardware log enable命令用来开启ARP表项下发硬件日志功能。

undo arp hardware log enable命令用来关闭ARP表项下发硬件日志功能。

【命令】

arp hardware log enable [ count-limit count-limit-value ]

undo arp hardware log enable

【缺省情况】

ARP表项下发硬件日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

count-limit count-limit-value:每秒输出的ARP表项下发硬件的日志条目最大值,取值范围为1~2000。如果未指定本参数,则设备每秒最多输出2000条ARP表项下发硬件日志。

【使用指导】

设备学习ARP表项后,会将ARP表项下发到硬件,以供芯片转发报文时使用。开启ARP表项下发硬件日志功能后,如果ARP表项下发到硬件的过程产生异常,设备会时输出日志信息记录此事件。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的设置请参见“网络管理和监控配置指导”中的“信息中心”。

为了避免生成日志的过程占用内存,建议用户只在流量的转发产生异常,需要定位问题时开启本功能。如果每秒钟生成的日志条目达到最大值,则即使有新的ARP表项在下发到硬件的过程中产生异常,设备也不会输出此ARP表项的日志。

【举例】

# 开启ARP表项下发硬件日志功能,且每秒最多输出100条日志。

<Sysname> system-view

[Sysname] arp hardware log enable count-limit 100

1.1.4  arp mac-interface-consistency check enable

arp mac-interface-consistency check enable命令用来开启ARP表项出接口和MAC地址表项出接口一致性检查功能。

undo arp mac-interface-consistency check enable命令用来关闭ARP表项出接口和MAC地址表项出接口一致性检查功能。

【命令】

arp mac-interface-consistency check enable

undo arp mac-interface-consistency check enable

【缺省情况】

ARP表项出接口和MAC地址表项出接口一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

当网络环境不稳定时,设备收到某个用户发送的报文的接口可能会发生变化。这时,设备会更新该用户的MAC地址表项中的接口信息。由于该用户对应的ARP表项的出接口信息无法及时更新,匹配该ARP表项的报文会从错误的接口转发出去。开启本功能后,ARP会定时检查某个用户的ARP表项的出接口和MAC地址表项的出接口是否一致。如果不一致,ARP会在该用户的ARP表项记录的VLAN内发送ARP请求报文进行探测,并将收到ARP应答报文的接口信息更新到ARP表项中,保证了ARP表项的出接口信息能够及时更新,解决了某个用户的ARP表项出接口和MAC地址表项出接口不一致的问题。

使用display mac-address命令可以查看MAC地址表信息。

【举例】

# 开启ARP表项出接口和MAC地址表项出接口一致性检查功能。

<Sysname> system-view

[Sysname] arp mac-interface-consistency check enable

【相关命令】

·     display mac-address(二层技术-以太网交换命令参考/MAC地址表)

1.1.5  arp max-learning-num

arp max-learning-num命令用来配置接口允许学习动态ARP表项的最大数目。

undo arp max-learning-num命令用来恢复缺省情况。

【命令】

arp max-learning-num max-number [ alarm alarm-threshold ]

undo arp max-learning-num

【缺省情况】

接口允许学习动态ARP表项的最大个数为设备ARP表的容量值。可以通过display hardware-resource命令查看设备的ARP表的容量,关于display hardware-resource命令的详细情况请参见“基础配置命令参考”中的“设备管理”。

【视图】

二层以太网接口视图

二层聚合接口视图

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

max-number:接口允许学习动态ARP表项的最大数目。取值范围为0~N(N的值为设备的ARP表容量值)。

alarm alarm-threshold:设置动态ARP表项数量的告警阈值。alarm-threshold的取值范围为1~100,单位为百分比。当接口学到的动态ARP表项数到达(max-number×alarm-threshold/100)时,设备会生成日志信息。如果未指定本参数,设备不会生成日志信息。

【使用指导】

设备可以通过ARP协议自动生成动态ARP表项。为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项。

当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项。

【举例】

# 配置VLAN接口40上可以学习动态ARP表项的最大数目为10。

<Sysname> system-view

[Sysname] interface vlan-interface 40

[Sysname-Vlan-interface40] arp max-learning-num 10

# 配置接口Twenty-FiveGigE1/0/1上可以学习动态ARP表项的最大数目为10。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] arp max-learning-num 10

# 配置二层聚合接口1上可以学习动态ARP表项的最大数目为10。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] arp max-learning-num 10

# 配置三层聚合接口1上可以学习动态ARP表项的最大数目为10。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] arp max-learning-num 10

1.1.6  arp max-learning-number

arp max-learning-number命令用来配置设备允许学习动态ARP表项的最大数目。

undo arp max-learning-number命令用来恢复缺省情况。

【命令】

arp max-learning-number max-number slot slot-number

undo arp max-learning-number slot slot-number

【缺省情况】

设备允许学习动态ARP表项的最大个数为设备ARP表的容量值。可以通过display hardware-resource命令查看设备的ARP表的容量,关于display hardware-resource命令的详细情况请参见“基础配置命令参考”中的“设备管理”。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-number:设备允许学习动态ARP表项的最大数目,取值范围为0~N(N的值为设备的ARP表容量值)。

slot slot-number:设置指定成员设备上学习动态ARP表项的最大数目,slot-number表示设备在IRF中的成员编号。

【使用指导】

设备可以通过ARP协议自动生成动态ARP表项。为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制。当设备学习动态ARP表项的数目达到所设置的值时,该设备将不再学习动态ARP表项。

当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止该设备学习动态ARP表项。

【举例】

# 限制Slot1上学习的ARP表项的最大数目为64。

<Sysname> system-view

[Sysname] arp max-learning-number 64 slot 1

1.1.7  arp mode uni

arp mode uni命令用来配置接口为用户侧接口。

undo arp mode命令用来恢复缺省情况。

【命令】

arp mode uni

undo arp mode

【缺省情况】

接口为网络侧接口。

【视图】

VLAN接口视图

【缺省用户角色】

network-admin

【使用指导】

当接口连接终端主机时,可以配置接口为用户侧接口。对于这种接口上学到的ARP表项,不再和设备上的路由信息相关联。

当接口连接网络设备时,需要配置接口为网络侧接口。对于这种接口上学到的ARP表项,可以与设备上的路由信息关联,可作为路由信息的下一跳。

为VLAN接口配置arp mode uni后,通过该VLAN接口接收的ARP报文,下发驱动会占用双倍表项资源,从而导致设备ARP表项的实际生效数目低于最大规格。请用户根据实际使用情况,正确配置接口的工作模式,适当的节省硬件资源。

【举例】

# 配置VLAN接口2角色为用户侧接口。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp mode uni

1.1.8  arp multiport

arp multiport命令用来配置多端口ARP表项。

undo arp命令用来删除ARP表项。

【命令】

arp multiport ip-address mac-address { vlan-id | vsi-interface vsi-interface-id vsi vsi-name } [ vpn-instance vpn-instance-name ] [ description text ]

undo arp ip-address [ vpn-instance-name ]

【缺省情况】

不存在多端口ARP表项。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:ARP表项的IP地址部分。

mac-address:ARP表项的MAC地址部分,格式为H-H-H。

vlan-id:ARP表项所属的VLAN,取值范围为1~4094。vlan-id必须是用户已经创建好的VLAN的ID。

vsi-interface vsi-interface-id:ARP表项的VSI虚接口信息。vsi-interface-id为VSI虚接口编号,取值为已创建的VSI虚接口的编号。

vsi vsi-name:ARP表项的VSI信息。vsi-name为1~31个字符的字符串,区分大小写。

vpn-instance vpn-instance-name:指定多端口ARP表项所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示多端口ARP表项位于公网中。

description text:多端口ARP表项的描述信息。text为1~255个字符的字符串,区分大小写。

【使用指导】

为多端口ARP表项配置描述信息后,可以方便管理员对表项进行审计和管理。

当多端口ARP表项所对应的VLAN、VLAN接口、VSI虚接口信息或VSI信息被删除时,该表项需删除。

用户需要先配置多端口单播MAC地址表项或组播MAC地址表项来指定所有的出接口,这两种MAC地址表项需要和多端口ARP表项有相同的MAC地址、VLAN ID和VSI信息,且保证多端口ARP表项中IP地址与VLAN接口的IP地址属于同一网段,此时该多端口ARP表项才能正常指导转发。

多端口ARP表项中的VSI和VSI虚接口共同确定一个VXLAN网关,当VSI和VSI虚接口的对应关系不正确时,配置多端口ARP表项失败。VSI虚接口和VSI的描述请参见“VXLAN使用指导”中的“配置VXLAN”。

为使手工添加的多端口ARP表项生效,还必须创建Multiport类型业务环回组,VXLAN组网中必须创建VSI gateway类型业务环回组,并将设备的若干空闲端口加入该业务环回组。关于业务环回组的创建和配置,请参见“二层技术-以太网交换配置指导”中的“业务环回组”。

请避免使用shutdown命令来关闭多端口单播/组播MAC地址表项内对应的出接口,以免导致报文转发异常。

【举例】

# 配置一条多端口ARP表项,IP地址为202.38.10.2,对应的MAC地址为00e0-fc01-0000,此条ARP表项属于VLAN 10。

<Sysname> system-view

[Sysname] arp multiport 202.38.10.2 00e0-fc01-0000 10

# 配置一条多端口ARP表项,IP地址为1.1.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项的入接口为VSI虚接口1,VSI名称为a。

<Sysname> system-view

[Sysname] arp multiport 1.1.1.1 00e0-fc01-0000 vsi-interface 1 vsi a

【相关命令】

·     display arp multiport

·     reset arp multiport

1.1.9  arp smooth

arp smooth命令用来触发一次将IRF主设备的ARP表项同步到其他所有IRF从设备的操作。

【命令】

arp smooth

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 触发一次将IRF主设备的ARP表项同步到其他所有IRF从设备的操作。

<Sysname> arp smooth

1.1.10  arp static

arp static命令用来配置静态ARP表项。

undo arp命令用来删除ARP表项。

【命令】

arp static ip-address mac-address [ vlan-id interface-type interface-number | vsi-interface vsi-interface-id tunnel number vsi vsi-name | vsi-interface vsi-interface-id interface-type interface-number service-instance instance-id vsi vsi-name ] [ vpn-instance vpn-instance-name ] [ description text ]

undo arp ip-address [ vpn-instance-name ]

【缺省情况】

不存在静态ARP表项。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:ARP表项的IP地址部分。

mac-address:ARP表项的MAC地址部分,格式为H-H-H。

vlan-id:静态ARP表项所属的VLAN,取值范围为1~4094。

interface-type interface-number:指定接口类型和接口编号。

vsi-interface vsi-interface-id:指定VSI虚接口,vsi-interface-id为VSI虚接口编号,取值为已创建的VSI虚接口的编号。

tunnel number:指定Tunnel接口,number为Tunnel接口编号,取值为已创建的Tunnel接口的编号。

vsi vsi-name:表示VSI的名称,vsi-name为1~31个字符的字符串,区分大小写。

service-instance instance-id:ARP表项的以太网服务实例,instance-id为以太网服务实例ID,取值范围为1~4096。如果本参数前配置的是二层以太网接口,则必须配置本参数;如果本参数前配置的是其他类型接口,则无法配置本参数。

vpn-instance vpn-instance-name:指定静态ARP表项所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示静态ARP表项位于公网中。

description text:静态ARP表项的描述信息。为1~255个字符的字符串,区分大小写。

【使用指导】

静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖,可以增加通信的安全性。

静态ARP表项分为短静态ARP表项和长静态ARP表项:

·     对于已经解析的短静态ARP表项,会由于外部事件,比如解析到的出接口状态down或者vlan-id所对应的VLAN和VLAN接口被删除等原因,恢复到未解析状态。

·     对于长静态ARP表项,根据设备的当前状态可能处于有效或无效两种状态。处于无效状态的原因可能是该ARP表项中的IP地址与本地IP地址冲突或设备上没有与该ARP表项中的IP地址在同一网段的接口地址等原因。处于无效状态的长静态ARP表项不能指导报文转发。

指定vlan-id interface-type interface-number参数时,需要注意:

·     interface-type interface-number可以为以太网接口或聚合接口。

·     vlan-id所对应的VLAN和VLAN接口必须存在,接口interface-type interface-number必须属于此VLAN。

·     vlan-id对应的VLAN接口的IP地址必须和ip-address属于同一网段。

·     vlan-id所对应的VLAN和VLAN接口被删除时,长静态ARP表项则会被删除。

vsi-interface vsi-interface-id tunnel number vsi vsi-name用于VXLAN网关通过Tunnel口相连的组网中,VSI和VSI虚接口共同确定一个VXLAN网关,且一个VSI虚接口会对应多个Tunnel接口。那么配置长静态ARP表项时,需要通过该参数指定VSI虚接口、VSI和Tunnel口之间的对应关系。VSI虚接口、VSI和Tunnel口的描述请参见“VXLAN使用指导”中的“配置VXLAN”。

vsi-interface vsi-interface-id interface-type interface-number service-instance instance-id vsi vsi-name用于VXLAN网关关联本地站点。VSI和VSI虚接口共同确定一个VXLAN网关,一个VXLAN网关下可能存在多个本地站点,本地站点通过以太网服务实例和VSI相关联。那么配置长静态ARP表项时,需要通过该参数指定VSI虚接口、连接本地站点的二层以太网接口、以太网服务实例和VSI之间的对应关系。以太网服务实例的详细描述请参见“VXLAN配置指导”中的“配置VXLAN”。

为静态ARP表项配置描述信息后,可以方便管理员对表项进行审计和管理。

【举例】

# 配置一条长静态ARP表项,IP地址为202.38.10.2,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口Twenty-FiveGigE1/0/1。

<Sysname> system-view

[Sysname] arp static 202.38.10.2 00e0-fc01-0000 10 twenty-fivegige 1/0/1

# 配置一条长静态ARP表项,IP地址为1.1.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的入接口为VSI虚接口1,出接口为Tunnel 1,VSI的名称为a。

<Sysname> system-view

[Sysname] arp static 1.1.1.1 00e0-fc01-0000 vsi-interface 1 tunnel 1 vsi a

# 配置一条长静态ARP表项,IP地址为1.1.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的入接口为VSI虚接口1,出接口为Twenty-FiveGigE1/0/1上的以太网服务实例1,VSI名称为a。

<Sysname> system-view

[Sysname] arp static 1.1.1.1 00e0-fc01-0000 vsi-interface 1 twenty-fivegige 1/0/1 service-instance 1 vsi a

【相关命令】

·     display arp

·     reset arp

1.1.11  arp timer aging

arp timer aging命令用来配置动态ARP表项的老化时间。

undo arp timer aging命令用来恢复缺省情况。

【命令】

arp timer aging { aging-minutes | second aging-seconds }

undo arp timer aging

【缺省情况】

系统视图下,动态ARP表项的老化时间为20分钟。

接口视图下,动态ARP表项的老化时间以系统视图下配置的老化时间为准。

【视图】

系统视图

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

aging-minutes:以分钟形式表示的动态ARP表项的老化时间,取值范围为1~1440,单位为分钟。

second aging-seconds:以秒形式表示的动态ARP表项的老化时间,取值范围为5~86400,单位为秒。

【使用指导】

为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将被从ARP表中删除,这个生存周期被称作老化时间。如果在到达老化时间前纪录被刷新,则重新计算老化时间。

系统视图和接口视图下都可以配置动态ARP表项的老化时间,接口视图下配置的动态ARP表项的老化时间优先级高于系统视图下配置的动态ARP表项的老化时间。

配置代理ARP功能后,应该减小动态ARP表项的老化时间,以便尽快删除无效的动态ARP表项,减少发给设备而设备却不能转发的报文,以尽快删除无效的动态ARP表项。

【举例】

# 配置动态ARP表项的老化时间为10分钟。

<Sysname> system-view

[Sysname] arp timer aging 10

# 配置动态ARP表项的老化时间为200秒。

<Sysname> system-view

[Sysname] arp timer aging second 200

# 在VLAN接口2上配置动态ARP表项的老化时间为200秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp timer aging second 200

【相关命令】

·     arp timer aging probe-count

·     arp timer aging probe-interval

·     display arp timer aging

1.1.12  arp timer aging probe-count

arp timer aging probe-count命令用来配置动态ARP表项老化探测次数。

undo arp timer aging probe-count命令用来恢复缺省情况。

【命令】

arp timer aging probe-count count

undo arp timer aging probe-count

【缺省情况】

系统视图下,动态ARP表项老化探测次数为3次。

接口视图下,动态ARP表项老化探测次数以系统视图下配置的探测次数为准。

【视图】

系统视图

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

count:动态ARP表项老化探测次数,取值范围为0~10。当配置为0时,则不进行动态ARP表项老化探测。

【使用指导】

某条动态ARP表项老化前,设备会向该表项中的IP地址发送ARP请求报文进行老化探测,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新,如果未收到应答,则删除此动态ARP表项。动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程。

系统视图和接口视图下都可以配置动态ARP表项老化探测次数,接口视图下配置的动态ARP表项老化探测次数优先级高于系统视图下配置的动态ARP表项老化探测次数。

【举例】

# 配置动态ARP表项老化探测次数为5次。

<Sysname> system-view

[Sysname] arp timer aging probe-count 5

# 在VLAN接口2上配置动态ARP表项老化探测次数为5次。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp timer aging probe-count 5

【相关命令】

·     arp timer aging

·     arp timer aging probe-interval

1.1.13  arp timer aging probe-interval

arp timer aging probe-interval命令用来配置动态ARP表项老化探测时间间隔。

undo arp timer aging probe-interval命令用来恢复缺省情况。

【命令】

arp timer aging probe-interval interval

undo arp timer aging probe-interval

【缺省情况】

系统视图下,动态ARP表项老化探测时间间隔为5秒。

接口视图下,动态ARP表项老化探测时间间隔以系统视图下配置的时间间隔为准。

【视图】

系统视图

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

interval:动态ARP表项老化探测时间间隔,取值范围为1~60,单位为秒。

【使用指导】

动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程。动态ARP表项老化前,设备会按照配置的老化探测时间间隔向该表项中的IP地址发送ARP请求报文进行老化探测。

·     如果在老化探测时间间隔内,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新;

·     如果在老化探测时间间隔内,设备未收到ARP应答报文,探测次数加1,开始下一次探测;

·     如果到达最大探测次数后,设备仍未收到ARP应答报文,则该动态ARP表项会被删除。

系统视图和接口视图下都可以配置动态ARP表项老化探测时间间隔,接口视图下配置的动态ARP表项老化探测时间间隔优先级高于系统视图下配置的动态ARP表项老化探测时间间隔。

【举例】

# 配置动态ARP表项老化探测时间间隔为10秒。

<Sysname> system-view

[Sysname] arp timer aging probe-interval 10

# 在VLAN接口2上配置动态ARP表项老化探测时间间隔为10秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp timer aging probe-interval 10

【相关命令】

·     arp timer aging

·     arp timer aging probe-count

1.1.14  arp topology-change enable

arp topology-change enable命令用来开启环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能。

undo arp topology-change enable用来关闭环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能。

【命令】

arp topology-change enable

undo arp topology-change enable

【缺省情况】

环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

应用场景

设备上配置了STP功能后,在构建树形网络拓扑场景下,当环路协议检测到网络的拓扑发生变化时,系统会通知ARP模块对已经学习到的ARP表项进行老化或者删除操作,此时设备需要重新进行ARP学习,以获取最新的ARP表项信息。如果网络的拓扑变化频繁,则设备重新学习ARP时可能会使网络中出现大量ARP报文,占用大量系统资源,从而影响其他业务正常运行。为了避免该问题,用户可以执行undo arp topology-change enable命令,这样即使网络的拓扑发生变化,设备也不会老化或者删除ARP表项。

注意事项

执行undo arp topology-change enable命令后,可能会导致设备中保存的不是最新的ARP表项,从而造成用户流量发生中断,建议仅在必要时使用此命令。

【举例】

# 关闭环路协议检测到网络拓扑变化时的ARP表项老化或者删除功能。

<Sysname> system-view

[Sysname] undo arp topology-change enable

【相关命令】

·     stp enable(二层技术-以太网交换命令参考/生成树)

1.1.15  arp user-ip-conflict record enable

arp user-ip-conflict record enable命令用来开启ARP记录终端用户间IP地址冲突功能。

undo arp user-ip-conflict record enable命令用来关闭ARP记录终端用户间IP地址冲突功能。

【命令】

arp user-ip-conflict record enable

undo arp user-ip-conflict record enable

【缺省情况】

设备采用空配置启动时,ARP记录终端用户间IP地址冲突功能处于关闭状态。

设备采用出厂配置启动时,ARP记录终端用户间IP地址冲突功能处于开启状态。

关于空配置启动和出厂配置启动的详细介绍,请参见“基础配置指导”中的“配置文件管理”。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,ARP模块收到ARP报文时,会将ARP报文中的发送端IP地址和已有ARP表项中的IP地址进行比较。如果发现发送端IP地址和某条ARP表项中的IP地址相同,但MAC地址不同,则认为网络中存在终端用户间的IP地址冲突。此时,ARP模块会生成终端用户间IP地址冲突表项,同时生成对应的IP地址冲突日志。生成的IP地址冲突日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

对于单个成员设备,ARP模块一秒内最多生成10条终端用户间IP地址冲突日志。

管理员可以通过执行display arp user-ip-conflict record命令查看到更多的终端用户间源IP地址冲突表项。

【举例】

# 开启ARP记录终端用户间源IP地址冲突功能。

<Sysname> system-view

[Sysname] arp user-ip-conflict record enable

【相关命令】

·     display arp user-ip-conflict record

1.1.16  arp user-move record enable

arp user-move record enable命令用来开启ARP记录终端用户端口迁移功能。

undo arp user-move record enable命令用来关闭ARP记录终端用户端口迁移功能。

【命令】

arp user-move record enable

undo arp user-move record enable

【缺省情况】

ARP记录终端用户端口间迁移功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

对于单个成员设备,ARP模块一秒内最多生成10条终端用户迁移日志。

管理员可以通过执行display arp user-move record命令查看到更多的终端用户迁移表项。

【举例】

# 开启ARP记录终端用户端口迁移功能。

<Sysname> system-view

[Sysname] arp user-move record enable

【相关命令】

·     display arp user-move record

1.1.17  display arp

display arp命令用来显示ARP表项。

【命令】

display arp [ [ all | dynamic | multiport | static ] [ slot slot-number ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有的ARP表项。

dynamic:显示动态ARP表项。

multiport:显示多端口ARP表项。

static:显示静态ARP表项。

slot slot-number:显示指定成员设备的ARP表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的ARP表项。

vlan vlan-id:显示指定VLAN的ARP表项,vlan-id的取值范围为1~4094。

interface interface-type interface-number:显示指定接口的ARP表项。interface-type interface-number用来指定接口类型和接口编号。如果未指定本参数,则显示所有接口的ARP表项。

count:显示ARP表项的数目。

verbose:显示ARP表项的详细信息。

【使用指导】

使用本命令可以查看静态、动态和多端口ARP表项的具体内容,包括IP地址、MAC地址、VLAN ID、出接口、表项类型以及老化时间等信息。

【举例】

# 显示所有ARP表项的信息。

<Sysname> display arp all

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

1.1.1.1          02e0-f102-0023 1         WGE1/0/1                 --    S

1.1.1.2          00e0-fc00-0001 12        WGE1/0/2                 960   D

1.1.1.3         00e0-fe50-6503 vsi1          Tunnel1 960   D

# 显示所有ARP表项的详细信息。

<Sysname> display arp all verbose

IP address          : 1.1.1.1             MAC address    : 02e0-f102-0023

Type                : Static              Aging          : --

Interface           : WGE1/0/1            VLAN           : 1

VPN instance        : --

Link ID             : --

Service instance    : 1

VXLAN ID            : --

VSI name            : --

VSI interface       : --

Nickname            : --

Description         : User1

 

IP address          : 1.1.1.2             MAC address    : 0015-e944-adc5

Type                : Dynamic             Aging          : 960 sec

Interface           : WGE1/0/2            VLAN           : 12

VPN instance        : --

Link ID             : --

Service instance    : --

VXLAN ID            : --

VSI name            : --

VSI interface       : --

Nickname            : --

Description         : --

 

IP address          : 1.1.1.3             MAC address    : 0013-1234-0001

Type                : Dynamic             Aging          : 960 sec

Interface           : Tunnel1             VLAN           : --

VPN instance        : --

Link ID             : 0x5000001

Service instance    : --

VXLAN ID            : --

VSI name            : vsi1

VSI interface       : Vsi1

Nickname            : --

Description         : --

# 显示所有ARP表项的数目。

<Sysname> display arp all count

 Total number of entries : 4

表1-1 display arp命令显示信息描述表

字段

描述

IP address

ARP表项的IP地址

MAC address

ARP表项的MAC地址

VLAN/VSI name

ARP表项所属的VLAN ID或VSI名称(当表项类型为静态表项时,“--”表示未解析的短静态ARP表项;如果ARP表项中的接口不属于某个VLAN或VSI,也显示“--”)

Interface

ARP表项所对应的出接口(当表项类型为静态表项时,“--”表示未解析的短静态ARP表项;当表项类型为多端口表项时,“--”表示ARP表项不持有端口信息,需要参考对应的多端口MAC地址)

Link ID

出链路标识符,如果ARP表项不属于VSI,则显示为“--”

Aging

ARP表项的老化时间,对于静态ARP表项,本字段取值为“N/A”,表示没有老化时间;对于动态ARP表项,取值包括:

·     具体老化时间值,单位为秒

·     “--”表示老化时间不可知

Type

ARP表项类型:动态,用D表示;静态,用S表示;OpenFlow,用O表示;Rule,用R表示;多端口,用M表示;无效,用I表示

VPN instance

‌VPN实例名称,“--”表示未配置相应ARP的VPN实例

Service instance

以太网服务实例,如果ARP表项未指定二层以太网接口或二层聚合接口上以太网服务实例,则显示“--”

VXLAN ID

‌ARP表项对应的VXLAN ID,又称VNI(VXLAN网络标识符)。“--”表示该表项不属于任何VXLAN

VSI name

ARP表项的VSI的名称,“--”表示该表项不属于VSI

VSI interface

与VSI关联的VSI虚接口,如果未指定VSI关联的VSI虚接口,则显示“--”

Nickname

(暂不支持)ARP表项的NickName(长度为4的十六进制数字,例如012a)

Description

ARP表项的描述信息,如果不存在描述信息,则显示为“--”

Total number of entries

ARP表项数目

【相关命令】

·     arp multiport

·     arp static

·     reset arp

1.1.18  display arp entry-limit

display arp entry-limit命令用来显示设备支持ARP表项的最大数目。

【命令】

display arp entry-limit

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示设备支持ARP表项的最大数目。

<Sysname> display arp entry-limit

ARP entries: 2048

1.1.19  display arp ip-address

display arp ip-address命令用来显示指定IP地址的ARP表项。

【命令】

display arp ip-address [ slot slot-number ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ip-address:显示指定IP地址的ARP表项。

slot slot-number:显示指定成员设备的ARP表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的ARP表项。

verbose:显示ARP表项的详细信息。

【使用指导】

用户可以通过本命令查看指定IP地址的ARP表项的具体内容,包括IP地址、MAC地址、VLAN ID、出接口、表项类型以及老化时间等信息。

【举例】

# 显示IP地址为20.1.1.1的ARP表项的信息。

<Sysname> display arp 20.1.1.1

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

20.1.1.1        00e0-fc00-0001 --            --                       --    S

【相关命令】

·     arp static

·     reset arp

1.1.20  display arp openflow count

display arp openflow count命令用来显示OpenFlow类型ARP表项个数。

【命令】

display arp openflow count [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定成员设备的OpenFlow类型ARP表项个数。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的OpenFlow类型ARP表项个数。

【举例】

# 显示OpenFlow类型ARP表项个数。

<Sysname> display arp openflow count

 Total number of OpenFlow ARP entries: 6

1.1.21  display arp timer aging

display arp timer aging命令用来显示动态ARP表项的老化时间。

【命令】

display arp timer aging

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

不论通过arp timer aging命令配置的老化时间使用哪种时间单位,本命令显示的老化时间单位均为秒。

【举例】

# 显示动态ARP表项的老化时间。

<Sysname> display arp timer aging

Current ARP aging time is 1200 seconds

以上显示信息表示动态ARP表项的缺省老化时间为1200秒。

【相关命令】

·     arp timer aging

1.1.22  display arp usage

display arp usage命令用来显示ARP表项数的使用率。

【命令】

display arp usage

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

通过本命令可以查看到设备支持的ARP表项最大数目,和ARP表项数目的历史使用率信息。管理员通过查看此统计数据,可对设备上的ARP表项数进行实时监控,提前避免ARP表项数达到上限的问题。另外,管理员也可以通过表项学习的速度可以判断网络中是否存在ARP泛洪攻击等问题。

设备最多支持显示前一小时内ARP表项数的统计信息。

【举例】

# 显示ARP表项数的使用率。

<Sysname> display arp usage

ARP table upper limit: 278528

  Time          ARP entry count    Usage

  Current       40                 0%

  1 min ago     40                 0%

  2 min ago     40                 0%

  3 min ago     40                 0%

  …

  59 min ago    40                 0%

  60 min ago    40                 0%

表1-2 display arp usage命令显示信息描述表

字段

描述

ARP table upper limit

设备支持ARP表项的最大数目

Time

统计ARP表项数的时间点,Current表示当前

ARP entry count

ARP表项个数

Usage

ARP表项的使用率

 

1.1.23  display arp user-ip-conflict record

display arp user-ip-conflict record命令用来显示ARP记录的终端用户间IP地址冲突表项信息。

【命令】

display arp user-ip-conflict record [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定成员设备上ARP记录的终端用户间IP地址冲突表项信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上ARP记录的终端用户间IP地址冲突表项信息。

【使用指导】

单个成员设备最多支持保存200条终端用户间IP地址冲突日志。

当保存的冲突表项数超过上限时,新的表项会覆盖生成时间最早的表项。

【举例】

# 显示设备上所有ARP记录的终端用户间IP地址冲突表项信息。

<Sysname> display arp user-ip-conflict record

IP address: 10.1.1.1

System time: 2018-02-02 11:22:29

Conflict count: 1

Log suppress count: 0

Old interface: Twenty-FiveGigE1/0/1

New interface: Twenty-FiveGigE1/0/2

Old SVLAN/CVLAN: 100/2

New SVLAN/CVLAN: 100/2

Old MAC: 00e0-ca63-8141

New MAC: 00e0-ca63-8142

 

IP address: 10.1.1.2

System time: 2018-02-02 10:20:30

Conflict count: 1

Log suppress count: 0

Old interface: Twenty-FiveGigE1/0/1

New interface: Twenty-FiveGigE1/0/2

Old SVLAN/CVLAN: 100/--

New SVLAN/CVLAN: 100/--

Old MAC: 00e0-ca63-8141

New MAC: 00e0-ca63-8142

表1-3 display arp user-ip-conflict record命令显示信息描述表

字段

描述

IP address

终端用户的IP地址

System time

冲突发生的系统时间

Conflict count

冲突发生的次数

Log suppress count

抑制生成冲突日志的次数

Old interface

旧ARP表项中的接口信息

New interface

新ARP表项中的接口信息

Old SVLAN/CVLAN

旧ARP表项中的外层VLAN/内层VLAN,内外层VLAN都可能显示为“--”

New SVLAN/CVLAN

新ARP表项中的外层VLAN/内层VLAN,内外层VLAN都可能显示为“--”

Old MAC

旧ARP表项中的MAC地址

New MAC

新ARP表项中的MAC地址

【相关命令】

·     arp user-ip-conflict record enable

1.1.24  display arp user-move record

display arp user-move record命令用来显示ARP记录的终端用户迁移表项信息。

【命令】

display arp user-move record [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定成员设备上ARP记录的终端用户迁移表项信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上ARP记录的终端用迁移表项信息。

【使用指导】

单个成员设备最多支持显示200条终端用户迁移表项信息。

当保存的冲突表项数超过上限时,新的表项会覆盖生成时间最早的表项。

【举例】

# 显示设备上所有ARP记录的终端用户迁移表项信息。

<Sysname> display arp user-move record

IP address: 10.1.1.1

MAC address: 0001-0201-0e81

System time: 2018-02-02 11:22:29

Move count: 1

Log suppress count: 0

Before:

  interface: Twenty-FiveGigE1/0/1

  SVLAN/CVLAN: 100/2

After:

  interface: Twenty-FiveGigE1/0/2

  SVLAN/CVLAN: 100/2

 

IP address: 10.1.1.2

MAC address: 0001-0201-0e82

System time: 2018-02-02 10:20:30

Move count: 1

Log suppress count: 0

Before:

  interface: Twenty-FiveGigE1/0/1

  SVLAN/CVLAN: 100/--

After:

  interface: Twenty-FiveGigE1/0/2

  SVLAN/CVLAN: 100/--

表1-4 display arp user-move record命令显示信息描述表

字段

描述

IP address

终端用户的IP地址

MAC address

终端用户的MAC地址

System time

端口迁移发生的系统时间,每次端口迁移后都会刷新该系统时间

Move count

端口迁移发生的次数

Log suppress count

抑制生成端口迁移日志的次数

Before

端口迁移前

interface

ARP表项中的接口信息

SVLAN/CVLAN

用户所在的外层VLAN/内层VLAN,内外层VLAN都可能显示为“--”

After

端口迁移后

 

【相关命令】

·     arp user-move record enable

1.1.25  display arp vpn-instance

display arp vpn-instance命令用来显示指定VPN实例的ARP表项。

【命令】

display arp vpn-instance vpn-instance-name [ count | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vpn-instance-name:显示指定VPN实例的ARP表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,不可以包含空格,区分大小写。

count:显示ARP表项的数目。

verbose:显示ARP表项的详细信息。

【使用指导】

用户可以通过本命令查看指定VPN实例的ARP表项的具体内容,包括IP地址、MAC地址、VLAN ID、出接口、表项类型以及老化时间等信息。

【举例】

# 显示VPN实例名为test的ARP表项。

<Sysname> display arp vpn-instance test

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

20.1.1.1        00e0-fc00-0001 --            --                       --    S

【相关命令】

·     arp static

·     reset arp

1.1.26  reset arp

reset arp命令用来清除ARP表项。

【命令】

reset arp { all | dynamic | interface interface-type interface-number | multiport | slot slot-number | static }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

all:表示清除所有的ARP表项。

dynamic:表示清除动态ARP表项。

multiport:表示清除多端口ARP表项。

static:表示清除静态ARP表项。

slot slot-number:表示清除指定成员设备的ARP表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除主设备上的ARP表项。

interface interface-type interface-number:表示清除指定接口的ARP表项。interface-type interface-number用来指定接口的类型和编号。如果未指定本参数,则清除所有接口的ARP表项。

【使用指导】

注意

执行本命令会清除设备上已有的ARP表项,可能会导致外部流量无法及时发给局域网中的用户。

 

【举例】

# 清除静态ARP表项。

<Sysname> reset arp static

【相关命令】

·     arp static

·     display arp


2 免费ARP

2.1  免费ARP配置命令

2.1.1  arp ip-conflict log prompt

arp ip-conflict log prompt命令用来开启源IP地址冲突提示功能。

undo arp ip-conflict log prompt命令用来关闭源IP地址冲突提示功能。

【命令】

arp ip-conflict log prompt

undo arp ip-conflict log prompt

【缺省情况】

设备采用空配置启动时,源IP地址冲突提示功能处于关闭状态。

设备采用出厂配置启动时,源IP地址冲突提示功能处于开启状态。

关于空配置启动和出厂配置启动的详细介绍,请参见“基础配置指导”中的“配置文件管理”。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:

·     如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,如果收到对应的ARP应答后才提示存在IP地址冲突。

·     如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突。

【举例】

# 在设备上开启源IP地址冲突提示功能。

<Sysname> system-view

[Sysname] arp ip-conflict log prompt

2.1.2  arp local-proxy gratuitous-arp forward enable

arp local-proxy gratuitous-arp forward enable命令用来开启VSI的免费ARP报文转发功能。

undo arp local-proxy gratuitous-arp forward enable命令用来关闭VSI的免费ARP报文转发功能。

【命令】

arp local-proxy gratuitous-arp forward enable

undo arp local-proxy gratuitous-arp forward enable

【缺省情况】

VSI的免费ARP报文转发功能处于开启状态。

【视图】

VSI视图

【缺省用户角色】

network-admin

【使用指导】

应用场景

当认证域内接入的用户进行认证时,若设备检测到该域下所有认证服务器都不可达,设备进入逃生状态,并允许该逃生用户免认证上线,同时将其加入逃生域。这时如果开启了本地代理ARP功能(配置local-proxy-arp enable命令),则设备对逃生域内VSI下的逃生用户发送的免费ARP报文直接丢弃,不会进行转发。为了避免该问题,用户可以在设备上开启VSI的免费ARP报文转发功能。

工作机制

开启本功能后,设备会对逃生域内当前VSI下的逃生用户发送的免费ARP报文进行转发。

推荐配置

建议仅在逃生用户所在的VSI下配置本命令。

注意事项

如果关闭了指定VSI的免费ARP报文转发功能,则设备接收到该VSI内的免费ARP报文后会丢弃该报文,不会进行正常转发。

【举例】

# 关闭名为vpn1的VSI的免费ARP报文转发功能。

<Sysname> system-view

[Sysname] vsi vpn1

[Sysname-vsi-vpn1] undo arp local-proxy gratuitous-arp forward enable

2.1.3  arp send-gratuitous-arp

arp send-gratuitous-arp命令用来在接口上开启定时发送免费ARP功能。

undo arp send-gratuitous-arp命令用来关闭定时发送免费ARP功能。

【命令】

arp send-gratuitous-arp [ interval interval ]

undo arp send-gratuitous-arp

【缺省情况】

定时发送免费ARP功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VLAN接口视图

VXLAN中的VSI虚接口视图

【缺省用户角色】

network-admin

【参数】

interval interval:发送免费ARP报文的时间间隔,取值范围为200~200000,单位为毫秒,缺省值为2000。

【使用指导】

配置本命令后,只有当接口链路状态up并且配置IP地址后,此功能才真正生效。

只能为VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址发送免费ARP。主IP地址可以是手工配置或者通过其他方式获取的,但是从IP地址必须是手工配置的。

如果修改了免费ARP报文的发送时间间隔,则在下一个发送时间间隔才能生效。

如果同时在很多接口下开启本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户设定的时间间隔。

【举例】

# 在VLAN接口2上开启定时发送免费ARP功能,发送免费ARP报文的时间间隔为300毫秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp send-gratuitous-arp interval 300

2.1.4  gratuitous-arp mac-change retransmit

gratuitous-arp mac-change retransmit命令用来配置当接口MAC地址变化时,重新发送免费ARP报文的次数和时间间隔。

undo gratuitous-arp mac-change retransmit命令用来恢复缺省情况。

【命令】

gratuitous-arp mac-change retransmit times interval seconds

undo gratuitous-arp mac-change retransmit

【缺省情况】

当设备的接口MAC地址变化时,该接口只会发送一次免费ARP报文。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

times:重发免费ARP报文的次数,取值范围为1~10。

interval seconds:重发免费ARP报文的时间间隔,seconds取值范围为1~10,单位为秒。

【使用指导】

当设备的MAC地址发生变化后,设备会通过免费ARP报文将修改后的MAC地址通告给其他设备。由于目前免费ARP报文没有重传机制,其他设备可能无法收到免费ARP报文。为了解决这个问题,用户可以配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔,保证其他设备可以收到该免费ARP报文。

执行本命令后,设备会按照指定的时间间隔重发免费ARP报文,直到到达配置的发送次数为止。

【举例】

# 配置当接口MAC地址变化时,该接口重新发送3次免费ARP报文,重新发送免费ARP报文时间间隔为5秒。

<Sysname> system-view

[Sysname] gratuitous-arp mac-change retransmit 3 interval 5

2.1.5  gratuitous-arp-learning enable

gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。

undo gratuitous-arp-learning enable命令用来关闭免费ARP报文学习功能。

【命令】

gratuitous-arp-learning enable

undo gratuitous-arp-learning enable

【缺省情况】

免费ARP报文的学习功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息对自身维护的ARP表进行修改(新建或者更新ARP表项)。

关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。

【举例】

# 开启免费ARP报文的学习功能。

<Sysname> system-view

[Sysname] gratuitous-arp-learning enable

2.1.6  gratuitous-arp-sending enable

gratuitous-arp-sending enable命令用来开启设备收到非同一网段的ARP请求时发送免费ARP报文功能。

undo gratuitous-arp-sending enable命令用来关闭设备收到非同一网段的ARP请求时发送免费ARP报文功能。

【命令】

gratuitous-arp-sending enable

undo gratuitous-arp-sending enable

【缺省情况】

设备收到非同一网段的ARP请求时发送免费ARP报文功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 关闭设备收到非同一网段的ARP请求时发送免费ARP报文功能。

<Sysname> system-view

[Sysname] undo gratuitous-arp-sending enable


3 代理ARP

3.1  代理ARP配置命令

3.1.1  display local-proxy-arp

display local-proxy-arp命令用来显示本地代理ARP的状态。

【命令】

display local-proxy-arp [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口的本地代理ARP的状态。interface-type interface-number指定接口类型和接口编号。如果未指定本参数,则显示所有接口的本地代理ARP的状态。

【使用指导】

使用本命令可以查看本地代理ARP是处于开启(enabled)状态还是关闭(disabled)状态。

【举例】

# 显示VLAN接口2的本地代理ARP状态。

<Sysname> display local-proxy-arp interface vlan-interface 2

Interface Vlan-interface2

 Local Proxy ARP status: enabled

【相关命令】

·     local-proxy-arp enable

3.1.2  display proxy-arp

display proxy-arp命令用来显示代理ARP的状态。

【命令】

display proxy-arp [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type Interface-number:显示指定接口的代理ARP的状态。interface-type interface-number用来指定接口类型和接口编号。如果未指定本参数,则显示所有接口的代理ARP的状态。

【使用指导】

使用本命令可以查看代理ARP是处于开启(enabled)状态还是关闭(disabled)状态。

【举例】

# 显示VLAN接口2的代理ARP状态。

<Sysname> display proxy-arp interface vlan-interface 2

Interface Vlan-interface2

 Proxy ARP status: disabled

【相关命令】

·     proxy-arp enable

3.1.3  display proxy-arp statistics

display proxy-arp statistics命令用来显示代理ARP应答报文数的统计信息。

【命令】

display proxy-arp statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

通过本命令可以查看到代理ARP应答报文数目的历史统计信息。

最近1分钟内的统计信息以秒为间隔进行显示,1分钟以前的统计信息以5分钟为间隔进行显示。设备最多支持显示最近一小时内的代理ARP功能应答报文数。

【举例】

# 显示代理ARP应答报文数的统计信息。

<Sysname> display proxy-arp statistics

Last 1 sec proxy count: 200

Last 2 sec proxy count: 400

Last 1 min proxy count: 12000

Last 5 min proxy count: 18000

Last 10 min proxy count: 24000

Last 60 min proxy count: 182445

表3-1 display proxy-arp statistics命令显示信息描述表

字段

描述

Last n sec proxy count:

前n秒内代理ARP功能应答报文数

Last n min proxy count:

前n分钟内代理ARP功能应答报文数

 

3.1.4  local-proxy-arp enable

local-proxy-arp enable命令用来开启本地代理ARP功能。

undo local-proxy-arp enable命令用来关闭本地代理ARP功能。

【命令】

local-proxy-arp enable [ ip-range start-ip-address to end-ip-address ]

undo local-proxy-arp enable

【缺省情况】

本地代理ARP功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

ip-range start-ip-address to end-ip-address:配置对指定IP地址范围进行本地代理ARP。start-ip-address表示起始IP地址。end-ip-address表示结束IP地址。start-ip-address必须小于等于end-ip-address

【使用指导】

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

·     普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

·     本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

需要注意的是,多次执行本命令配置不同的IP地址范围进行本地代理ARP时,最后一次执行的命令生效。

【举例】

# 在VLAN接口2上开启本地代理ARP功能。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] local-proxy-arp enable

# 在VLAN接口2上开启本地代理ARP功能,并指定进行ARP代理的IP地址范围。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] local-proxy-arp enable ip-range 1.1.1.1 to 1.1.1.20

【相关命令】

·     display local-proxy-arp

3.1.5  proxy-arp enable

proxy-arp enable命令用来开启代理ARP功能。

undo proxy-arp enable命令用来关闭代理ARP功能。

【命令】

proxy-arp enable

undo proxy-arp enable

【缺省情况】

代理ARP功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【使用指导】

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

·     普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

·     本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

【举例】

# 在VLAN接口2上开启代理ARP。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] proxy-arp enable

【相关命令】

·     display proxy-arp


4 ARP Snooping

4.1  ARP Snooping配置命令

4.1.1  arp snooping enable

arp snooping enable命令用来开启ARP Snooping功能。

undo arp snooping enable命令用来关闭ARP Snooping功能。

【命令】

arp snooping enable

undo arp snooping enable

【缺省情况】

ARP Snooping功能处于关闭状态。

【视图】

VLAN视图

VSI视图

【缺省用户角色】

network-admin

【使用指导】

应用场景

在二层交换网络环境中,若设备收到大量ARP请求报文,且将这些ARP请求报文都进行广播转发,则网络中会出现大量的ARP请求报文,导致网络拥塞,从而造成其他业务无法正常运行。为了解决该问题,用户可以配置ARP Snooping功能。

工作机制

ARP Snooping功能通过侦听ARP报文建立ARP Snooping表项,从而提供给ARP快速应答和MFF(MAC-Forced Forwarding,MAC强制转发)等使用。关于MFF的详细介绍,请参见“安全配置指导”中的“MFF”。

注意事项

只要在二层以太网接口或二层以太网接口所在的VLAN上开启了ARP Snooping功能,二层以太网接口的ARP Snooping功能就会被开启;只有将二层以太网接口和二层以太网接口所在的VLAN上的ARP Snooping功能全部关闭后,该二层以太网接口上的ARP Snooping功能才能被关闭。

VLAN和VXLAN关联后,如果同时在VLAN视图下开启了ARP Snooping功能和ARP泛洪抑制功能,则ARP Snooping功能不再生效。关于在VLAN视图下配置ARP泛洪抑制功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN”。

【举例】

# 开启VLAN 2下的ARP Snooping功能。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] arp snooping enable

# 开启VSI实例vsi1下的ARP Snooping功能。

<Sysname> system-view

[Sysname] vsi vsi1

[Sysname-vsi-vsi1] arp snooping enable

4.1.2  arp snooping uplink

arp snooping uplink命令用来配置接口为ARP Snooping上行接口,以禁止该接口学习ARP Snooping表项。

undo arp snooping uplink命令用来恢复缺省情况。

【命令】

arp snooping uplink

undo arp snooping uplink

【缺省情况】

接口不指定为ARP Snooping的上行接口。开启ARP Snooping功能后,接口上允许学习ARP Snooping表项。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

接入设备上通过arp snooping enable命令开启ARP Snooping功能后,接入设备会通过侦听ARP报文建立ARP Snooping表项。在网关位于汇聚设备上的组网环境中,如果网关设备上通过local-proxy-arp enable命令开启了本地代理ARP功能,则接入设备的上行接口也会学习到ARP Snooping表项。这会导致ARP Snooping表项所对应的入接口在上行接口和下行接口之间来回变化的问题。为了避免此问题,用户可以在接入设备上配置本功能。

配置本功能后,在接入设备上开启ARP Snooping功能,当ARP Snooping上行接口收到ARP报文时,不会学习ARP Snooping表项。

【举例】

# 配置二层以太网接口Twenty-FiveGigE1/0/1为ARP Snooping上行接口,以禁止该接口学习ARP Snooping表项。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] arp snooping uplink

# 配置二层聚合接口Bridge-Aggregation1为ARP Snooping上行接口,以禁止该接口学习ARP Snooping表项。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] arp snooping uplink

【相关命令】

·     arp snooping enable

4.1.3  display arp snooping

display arp snooping命令用来显示ARP Snooping表项。

【命令】

display arp snooping { interface [ interface-type interface-number ] | vlan [ vlan-id ] | vsi [ vsi-name ] } [ slot slot-number ] [ count ]

display arp snooping { interface | vlan } ip ip-address [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface:显示接口下的ARP Snooping表项。

interface-type interface-number:指定接口类型和接口编号。如果未指定本参数,则显示所有二层以太网接口和二层聚合接口下的ARP Snooping表项。

vlan:显示VLAN内的ARP Snooping表项。

vlan-id:显示指定VLAN内的ARP Snooping表项,取值范围为1~4094。如果未指定本参数,则显示所有VLAN下的ARP Snooping表项。

vsi:显示VSI内的ARP Snooping表项。

vsi-name:显示指定VSI内的ARP Snooping表项。为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示所有VSI下的ARP Snooping表项。

count:显示当前ARP Snooping表项的计数。如果未指定本参数,则显示的是ARP Snooping表项。

ip ip-address:显示接口或VLAN下指定IP地址的ARP Snooping表项。

slot slot-number:显示指定成员设备上的所有ARP Snooping表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的ARP Snooping表项。

【举例】

# 显示VLAN 2下的ARP Snooping表项。

<Sysname> display arp snooping vlan 2

IP address      MAC address    VLAN ID Interface  Aging       Status

3.3.3.3      0003-0003-0003 2       WGE1/0/1    20         Valid

3.3.3.4      0004-0004-0004 2       WGE1/0/2    5          Invalid

# 显示所有VSI的ARP snooping表项。

<Sysname> display arp snooping vsi

IP address      MAC address    VSI name                    Link ID    Aging(min)

1.1.1.2         000f-e201-0101 vsi1                        0x70000    14

1.1.1.3         000f-e201-0202 vsi1                        0x80000    18

1.1.1.4         000f-e201-0203 vsi2                        0x90000    10

# 显示VLAN下IP地址为1.1.1.1的ARP Snooping表项。

<Sysname> display arp snooping vlan ip 1.1.1.1

IP address      MAC address    VLAN ID Interface  Aging       Status

1.1.1.1         001f-e201-0111 2       WGE1/0/1   15          Valid

# 显示VSI内的所有ARP Snooping表项个数。

<Sysname> display arp snooping vsi count

Total entries: 3

表4-1 display arp snooping命令显示信息描述表

字段

描述

IP address

ARP Snooping表项的IP地址

MAC address

ARP Snooping表项的MAC地址

VLAN ID

ARP Snooping表项所属的VLAN的编号

Interface

ARP Snooping表项所对应的入接口

Aging

ARP Snooping表项的老化时间,单位为分钟。当显示N/A时,表示当前成员设备不是创建ARP Snooping表项的端口所在的成员设备

Status

ARP Snooping表项的状态,分为以下三种:

·     Valid:有效

·     Invalid:无效

·     Collision:冲突

VSI name

ARP Snooping表项所属VSI的名称

Link ID

ARP snooping表项的出链路标识符,用来在VSI内唯一标识一条AC或一条VXLAN隧道

Total entries

ARP Snooping表项数目

 

【相关命令】

·     reset arp snooping

4.1.4  reset arp snooping

reset arp snooping命令用来清除ARP Snooping表项。

【命令】

reset arp snooping { interface [ interface-type interface-number ] | vlan [ vlan-id ] | vsi [ vsi-name ] }

reset arp snooping { interface | vlan } ip ip-address

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface:清除接口下的ARP Snooping表项。

interface-type interface-number:指定接口类型和接口编号。如果未指定本参数,则清除所有二层以太网接口和二层聚合接口下的ARP Snooping表项。

vlan:清除VLAN内的ARP Snooping表项。

vlan-id:清除指定VLAN的ARP Snooping表项。取值范围为1~4094。如果未指定本参数,则清除所有VLAN下的ARP Snooping表项。

vsi:清除VSI内的ARP Snooping表项。

vsi-name:清除指定VSI内的ARP Snooping表项,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除所有VSI下的ARP Snooping表项。

ip ip-address:清除接口或VLAN下指定IP地址的ARP Snooping表项。

【举例】

# 清除VLAN 2下的ARP Snooping表项。

<Sysname> reset arp snooping vlan 2

This command will delete all ARP snooping entries for the specified VLAN. Continue? [Y/N]: y

<Sysname>

【相关命令】

·     display arp snooping


5 ARP快速应答

5.1  ARP快速应答配置命令

5.1.1  arp fast-reply enable

arp fast-reply enable命令用来开启ARP快速应答功能。

undo arp fast-reply enable命令用来关闭ARP快速应答功能。

【命令】

arp fast-reply enable

undo arp fast-reply enable

【缺省情况】

ARP快速应答功能处于关闭状态。

【视图】

VLAN视图

【缺省用户角色】

network-admin

【举例】

# 开启VLAN 2下的ARP快速应答功能。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] arp fast-reply enable


6 ARP直连路由通告

6.1  ARP直连路由通告配置命令

6.1.1  arp route-direct advertise

arp route-direct advertise命令用来开启ARP直连路由通告功能。

undo arp route-direct advertise命令用来关闭ARP直连路由通告功能。

【命令】

arp route-direct advertise [ preference preference-value | tag tag-value ] *

undo arp route-direct advertise

【缺省情况】

ARP直连路由通告功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

preference preference-value:ARP通告的直连路由的路由优先级,preference-value的取值范围为1~255,缺省值为0。preference-value值越小,ARP直连路由的优先级越高。

tag tag-value:ARP直连路由的路由标记值,tag-value的取值范围为1~4294967295,缺省值为0。

【使用指导】

工作机制

开启本功能后,ARP模块将ARP表项信息通告给路由管理模块,生成对应的直连路由条目。通过路由优先级,可以确定生成的直连路由条目的匹配顺序;通过路由标记值,以便于动态路由协议引用对应标记值的直连路由,从而实现将该直连路由通告到对应的网络中的目的。

多次执行本命令,最后一次执行的命令生效。

注意事项

arp route-direct advertise命令与arp route-direct advertise mad-down-single-homed命令互斥,如果同时配置,以最后一次执行的命令生效。

【举例】

# 在VLAN接口10下开启ARP直连路由通告功能。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] arp route-direct advertise

【相关命令】

·     display arp route-direct advertise

6.1.2  arp route-direct advertise delay

arp route-direct advertise delay命令用来配置ARP直连路由生成的延迟时间。

undo arp route-direct advertise delay命令用来恢复缺省情况。

【命令】

arp route-direct advertise delay delay-time

undo arp route-direct advertise delay

【缺省情况】

ARP直连路由不延迟生成。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VLAN接口视图

VSI虚接口视图

【缺省用户角色】

network-admin

【参数】

delay-time:ARP直连路由生成的延迟时间,取值范围为0~3600,单位为秒。

【使用指导】

应用场景

通过arp route-direct advertise命令开启ARP直连路由通告功能后,设备可以通过ARP表项生成到对端设备的直连路由及相关的邻接表。当直连路由先于邻接表生成时,会因报文封装时缺少二层信息产生丢包情况。为了避免这种情况发生,可以通过本命令配置ARP直连路由生成的延迟时间,设备学到ARP表项后会等待delay-time再生成直连路由。

工作机制

开启ARP直连路由通告功能与配置ARP直连路由生成的延迟时间,两者无先后顺序要求。如果先配置ARP直连路由生成的延迟时间,然后开启ARP直连路由通告功能,则系统会等待配置的delay-time后再生成直连路由。

注意事项

如果开启了ARP直连路由通告功能且配置了ARP直连路由生成的延迟时间,那么设备学到ARP表项后会开始计时,计时达到delay-time后会生成直连路由。如果在计时达到delay-time之前修改了ARP直连路由通告功能的配置,设备会立即根据修改后的配置发送ARP直连路由通告。如果在计时达到delay-time之前配置了新的delay-time值,计时不会刷新:

·     如果此时的计时超过了新的delay-time,则直接生成直连路由。

·     如果此时计时没有达到delay-time,则会继续等待直到达到delay-time再生成直连路由。

【举例】

# 在VLAN接口10下指定ARP直连路由通告延迟时间。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] arp route-direct advertise delay 200

【相关命令】

·     arp route-direct advertise

6.1.3  arp route-direct advertise mad-down-single-homed

arp route-direct advertise mad-down-single-homed命令用来开启处于M-LAG MAD DOWN状态的单挂接口ARP直连路由通告功能。

undo arp route-direct advertise mad-down-single-homed命令用来关闭处于M-LAG MAD DOWN状态的单挂接口ARP直连路由通告功能。

【命令】

arp route-direct advertise mad-down-single-homed

undo arp route-direct advertise mad-down-single-homed

【缺省情况】

处于M-LAG MAD DOWN状态的单挂接口ARP直连路由通告功能处于关闭状态。

【视图】

VLAN接口视图

【缺省用户角色】

network-admin

【使用指导】

应用场景

在M-LAG组网中,当peer-link链路故障后,M-LAG会提供MAD(Multi-Active Detection,多Active检测)机制,即在M-LAG系统分裂时将从设备上除IRF保留接口、M-LAG保留接口外的所有接口置为M-LAG MAD DOWN状态。处于M-LAG MAD DOWN状态的接口不允许转发流量,从而避免流量错误转发,减少对业务影响。在此情况下,从设备下的单挂设备的流量不能被正常转发,为了解决该问题,用户可以通过开启处于M-LAG MAD DOWN状态的单挂接口ARP直连路由通告功能,将生成的直连路由通告到单挂设备上。

工作机制

开启本功能后,当M-LAG组网的peer-link链路故障时,从设备上的ARP模块会将ARP表项信息通告给路由管理模块,生成对应的直连路由,以便其他路由协议发布该直连路由或指导报文转发。

多次执行本命令,最后一次执行的命令生效。

注意事项

arp route-direct advertise mad-down-single-homed命令与arp route-direct advertise命令互斥,如果同时配置,以最后一次执行的命令生效。

【举例】

# 开启VLAN接口10处于M-LAG MAD DOWN状态的ARP直连路由通告功能。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] arp route-direct advertise mad-down-single-homed

6.1.4  display arp route-direct advertise

display arp route-direct advertise命令用来显示通过ARP模块通告生成的直连路由的相关信息。

【命令】

display arp route-direct advertise interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口下的通过ARP模块通告生成的直连路由的相关信息,interface-type interface-number表示接口类型和接口编号。

【使用指导】

管理员开启ARP直连路由通告功能后,设备从ARP表中学到对应的直连路由信息,以便其他路由协议发布该直连路由或指导报文转发。管理员可以使用本命令查看ARP模块通告的直连路由是否在路由管理模块生成了对应的直连路由表项。

当Result字段显示为“Unknown”时,表示路由管理模块状态忙,ARP模块未获取到的ARP表项是否生成直连路由条目的信息。建议管理员等待一段时间后,再执行本命令查询相关信息。

【举例】

# 显示VLAN接口10通过ARP模块通告生成的直连路由的相关信息。

<Sysname> display arp route-direct advertise interface vlan-interface 10

IP address      MAC address    VLAN/VSI   Interface       Route

1.1.1.1         02e0-f102-0023 1          Vlan10          Yes

1.1.1.2         00e0-fc00-0001 12         Vlan10          No

 

表6-1 display arp route-direct advertise命令显示信息描述表

字段

描述

IP address

ARP表项的IP地址

MAC address

ARP表项的MAC地址

VLAN/VSI

ARP表项所属的VLAN ID或VSI Index(虚拟交换实例索引)(当表项类型为静态表项时,“--”表示未解析的短静态ARP表项;如果ARP表项中的接口不属于某个VLAN或VSI,也显示“--”)

Interface

ARP表项所对应的出接口

Route

查询路由生成结果,取值包括:

·     Unknown:未知情况

·     Yes:生成了对应的直连路由条目

·     No:未生成对应的直连路由条目

 

【相关命令】

·     arp route-direct advertise


7 数据报文触发ARP解析时禁止主动发送ARP请求功能

7.1  数据报文触发ARP解析时禁止主动发送ARP请求功能配置命令

7.1.1  arp fib-miss drop

arp fib-miss drop命令用来配置数据报文触发ARP解析时,禁止设备主动发送ARP请求报文进行ARP表项学习。

undo arp fib-miss drop命令用来恢复缺省情况。

【命令】

arp fib-miss drop

undo arp fib-miss drop

【缺省情况】

数据报文触发ARP解析时,设备会主动发送ARP请求报文进行ARP表项学习。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【使用指导】

应用场景

缺省情况下,当设备收到目的IP地址非本机的数据报文时,如果查询不到该报文下一跳对应的ARP表项,则会发送ARP请求报文去学习该下一跳的MAC地址,以便根据学习到的MAC地址生成对应的ARP表项。

当网络中出现大量的ARP请求报文时,会占用过多的网络资源,影响用户业务的正常运行。可以通过配置本功能,当IP数据报文触发ARP解析时,禁止设备主动发送ARP请求报文进行ARP表项学习,减少网络内的ARP报文,从而起到抑制ARP泛洪的作用。

工作机制

配置本功能后,当设备收到目的IP地址为非本机的数据报文时,如果查询不到该报文下一跳对应的ARP表项,设备不会再主动发送ARP请求报文去主动学习该主机的ARP表项。

推荐配置

建议仅在发现有ARP泛洪攻击的情况下配置本功能。

注意事项

配置本功能时,如果设备开启了ARP黑洞路由功能(通过arp resolving-route enable命令),设备收到目的IP地址为非本机的数据报文触发ARP解析时会产生黑洞路由,在黑洞路由存在期间即使设备主动发送数据报文触发ARP解析,设备也不会主动发送ARP请求报文进行ARP表项学习。

【举例】

# 在VLAN接口100上配置数据报文触发ARP解析时,禁止设备主动发送ARP请求报文进行ARP表项学习。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] arp fib-miss drop


8 ARP-Ping

8.1  ARP-Ping配置命令

8.1.1  ping arp ip

ping arp ip命令用来在局域网内通过ARP报文探测IPv4地址是否被其它设备使用。

【命令】

ping arp ip host [ interface interface-type interface-number [ vlan vlan-id ] ] [ timeout timeout ] [ count count ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

host:目的端的IP地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。

interface interface-type interface-number:指定发送ARP请求报文的接口,interface-type interface-number表示接口类型和接口编号。不指定该参数时,设备使用路由出接口发送ARP请求报文。

vlan vlan-id:指定发送ARP请求报文出接口所属的VLANvlan-id取值范围为1~4094。

timeout timeout:指定一个ARP请求报文的超时时间,单位为毫秒,取值范围为0~65535,缺省值为3000。

count count:指定ARP请求报文的发送次数,取值范围为1~4294967295,缺省值为5。

【使用指导】

ping arp ip命令是利用ARP报文在局域网内探测IPv4地址是否被其他设备使用的一种方法。

设备向目的IPv4地址发送一个ARP请求报文后,如果在timeout毫秒内未收到对应的ARP应答报文,且未达到指定的发送次数count,则继续发送下一个ARP请求报文;如果已达到指定的发送次数,则认为此IPv4地址未被其他设备使用,将停止发送探测用途的ARP请求报文。

通过ping命令也可以探测IPv4地址是否被网络上的其他设备使用。但是如果目的端设备带有防火墙功能且配置为对ICMP报文不进行回复时,就不会响应ICMP报文,造成探测结果不准确。由于ARP报文是二层协议,大多数情况下报文不会被防火墙拦下,从而避免了此类情况的发生。另外,ARP请求报文长度小于ICMP报文长度,占用的网络资源更少,所以推荐使用ping arp ip命令。

如果要使用目的端的主机名执行ping arp ip命令,请事先在设备上配置DNS功能。关于DNS的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。

当局域网内有多台设备时,执行本命令可能会消耗较多时间。可以在执行命令过程中,输入<Ctrl+C>终止ping arp ip命令。

【举例】

# 在局域网内通过ARP报文探测1.1.1.3是否被其他设备使用。(假设IP地址已被其它设备使用)

<Sysname> ping arp ip 1.1.1.3

1.1.1.3 is used by 0003-0003-0003.

# 在局域网内通过ARP报文探测1.1.1.3是否被其他设备使用。(假设IP地址未被其它设备使用)

<Sysname> ping arp ip 1.1.1.3

The IP address is not used by anyone.

8.1.2  ping arp mac

ping arp mac命令用来通过ICMP报文探测指定网段内MAC地址是否存在或查看MAC地址对应的IPv4地址。

【命令】

ping arp mac mac-address { interface interface-type interface-number | ip ipv4-address [ vpn-instance vpn-instance-name ] } [ timeout timeout ] [ count count ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

mac-address:目的端的MAC地址,格式为H-H-H。在配置时,可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。该MAC地址不可以是组播或广播地址,也不能是设备的虚MAC地址。

interface interface-type interface-number:指定发送ICMP回显请求报文的接口,查询接口所在网段内MAC地址是否存在。interface-type interface-number表示接口类型和接口编号。

ip ipv4-address:指定IPv4形式的目的网段地址,查询此网段内MAC地址是否存在。

vpn-instance vpn-instance-name:探测指定VPN实例的MAC地址。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则探测公网的MAC地址。

timeout timeout:指定一个ICMP回显请求报文的超时时间,单位为毫秒,取值范围为0~65535,缺省值为3000。

count count:指定ICMP回显请求报文的发送次数,取值范围为1~4294967295,缺省值为5。

【使用指导】

当已知某网段一个特定的MAC地址而不知道其对应的IPv4地址时,通过本命令发送广播形式的三层ICMP报文可以得到该MAC所对应的IPv4地址。

设备发送ICMP回显请求报文后,如果在timeout毫秒内未收到ICMP回显应答报文,且未达到指定的发送次数count,则继续发送ICMP回显请求报文;如果已达到指定的发送次数,则认为此MAC地址不存在,不再发送ICMP回显请求报文。

当指定网段内有多台设备时,执行本命令可能会消耗较多时间。可以在执行命令过程中,输入<Ctrl+C>终止ping arp mac命令。

【举例】

# 查询Twenty-FiveGigE1/0/1接口所在网段内是否存在MAC地址为0003-0003-0003的主机。

<Sysname> ping arp mac 0003-0003-0003 interface twenty-fivegige 1/0/1

ARP-Ping MAC statistics:

  1 packet(s) transmitted

  1 packet(s) received

  IP address                MAC address

  1.1.1.3                   0003-0003-0003

# 查询1.1.1.0网段内是否存在MAC地址为0003-0003-0003的主机。

<Sysname> ping arp mac 0003-0003-0003 ip 1.1.1.0

ARP-Ping MAC statistics:

  5 packet(s) transmitted

  0 packet(s) received

  MAC[0003-0003-0003] not in use

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们