S5130系列交換機(jī)三層IP業(yè)務(wù)配置指導(dǎo)

1、H3C S5130-HI 系列以太網(wǎng)交換機(jī)三層技術(shù)-IP 業(yè)務(wù)配置指導(dǎo)前 言H3C S5130-HI 系列以太網(wǎng)交換機(jī)配置指導(dǎo)介紹了 S5130-HI 系列交換機(jī) Release 1111 軟件版本支持的特性的原理及其配置方法，包含原理簡(jiǎn)介、配置任務(wù)描述和配置舉例。三層技術(shù)-IP 業(yè)務(wù)配置指導(dǎo)主要介紹了 IP 業(yè)務(wù)相關(guān)技術(shù)的原理及具體配置方法。前言部分包含如下內(nèi)容： HYPERLINK l _bookmark0 讀者對(duì)象 HYPERLINK l _bookmark1 本書約定 HYPERLINK l _bookmark2 產(chǎn)品配套資料 HYPERLINK l _bookmark3 資料獲取方式

2、 HYPERLINK l _bookmark4 技術(shù)支持 HYPERLINK l _bookmark5 資料意見(jiàn)反饋?zhàn)x者對(duì)象本手冊(cè)主要適用于如下工程師：網(wǎng)絡(luò)規(guī)劃人員現(xiàn)場(chǎng)技術(shù)支持與維護(hù)人員負(fù)責(zé)網(wǎng)絡(luò)配置和維護(hù)的網(wǎng)絡(luò)管理員本書約定命令行格式約定格式意義粗體命令行關(guān)鍵字（命令中保持不變、必須照輸?shù)牟糠郑┎捎眉哟肿煮w表示。斜體命令行參數(shù)（命令中必須由實(shí)際值進(jìn)行替代的部分）采用斜體表示。 表示用“ ”括起來(lái)的部分在命令配置時(shí)是可選的。 x | y | . 表示從多個(gè)選項(xiàng)中僅選取一個(gè)。 x | y | . 表示從多個(gè)選項(xiàng)中選取一個(gè)或者不選。 x | y | . *表示從多個(gè)選項(xiàng)中至少選取一個(gè)。 x | y

3、| . *表示從多個(gè)選項(xiàng)中選取一個(gè)、多個(gè)或者不選。&表示符號(hào)&前面的參數(shù)可以重復(fù)輸入1n次。#由“#”號(hào)開(kāi)始的行表示為注釋行。圖形界面格式約定格式意義帶尖括號(hào)“”表示按鈕名，如“單擊按鈕”。 帶方括號(hào)“ ”表示窗口名、菜單名和數(shù)據(jù)表，如“彈出新建用戶窗口”。/多級(jí)菜單用“/”隔開(kāi)。如文件/新建/文件夾多級(jí)菜單表示文件菜單下的新建子菜單下的文件夾菜單項(xiàng)。各類標(biāo)志本書還采用各種醒目標(biāo)志來(lái)表示在操作過(guò)程中應(yīng)該特別注意的地方，這些標(biāo)志的意義如下： 該標(biāo)志后的注釋需給予格外關(guān)注，不當(dāng)?shù)牟僮骺赡軙?huì)對(duì)人身造成傷害。提醒操作中應(yīng)注意的事項(xiàng)，不當(dāng)?shù)牟僮骺赡軙?huì)導(dǎo)致數(shù)據(jù)丟失或者設(shè)備損壞。為確保設(shè)備配置成功或者正常工

4、作而需要特別關(guān)注的操作或信息。對(duì)操作內(nèi)容的描述進(jìn)行必要的補(bǔ)充和說(shuō)明。配置、操作、或使用設(shè)備的技巧、小竅門。圖標(biāo)約定本書使用的圖標(biāo)及其含義如下：該圖標(biāo)及其相關(guān)描述文字代表一般網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)、防火墻等。該圖標(biāo)及其相關(guān)描述文字代表一般意義下的路由器，以及其他運(yùn)行了路由協(xié)議的設(shè)備。該圖標(biāo)及其相關(guān)描述文字代表二、三層以太網(wǎng)交換機(jī)，以及運(yùn)行了二層協(xié)議的設(shè)備。該圖標(biāo)及其相關(guān)描述文字代表無(wú)線控制器、無(wú)線控制器業(yè)務(wù)板和有線無(wú)線一體化交換機(jī)的無(wú)線控制引擎設(shè)備。該圖標(biāo)及其相關(guān)描述文字代表無(wú)線接入點(diǎn)設(shè)備。該圖標(biāo)及其相關(guān)描述文字代表無(wú)線Mesh設(shè)備。該圖標(biāo)代表發(fā)散的無(wú)線射頻信號(hào)。該圖標(biāo)代表點(diǎn)到點(diǎn)的無(wú)線射頻信

5、號(hào)。該圖標(biāo)及其相關(guān)描述文字代表防火墻、UTM、多業(yè)務(wù)安全網(wǎng)關(guān)、負(fù)載均衡等安全設(shè)備。該圖標(biāo)及其相關(guān)描述文字代表防火墻插卡、負(fù)載均衡插卡、NetStream插卡、SSL VPN插卡、IPS插卡、ACG插卡等安全插卡。端口編號(hào)示例約定本手冊(cè)中出現(xiàn)的端口編號(hào)僅作示例，并不代表設(shè)備上實(shí)際具有此編號(hào)的端口，實(shí)際使用中請(qǐng)以設(shè)備上存在的端口編號(hào)為準(zhǔn)。產(chǎn)品配套資料H3C S5130-HI 系列以太網(wǎng)交換機(jī)的配套資料包括如下部分：大類資料名稱內(nèi)容介紹硬件介紹及安裝安全兼容性手冊(cè)列出產(chǎn)品的兼容性聲明，并對(duì)兼容性和安全的細(xì)節(jié)進(jìn)行說(shuō)明快速安裝指南指導(dǎo)您對(duì)設(shè)備進(jìn)行初始安裝，通常針對(duì)最常用的情況， 減少您的檢索時(shí)間安裝指導(dǎo)

6、幫助您詳細(xì)了解設(shè)備硬件規(guī)格和安裝方法，指導(dǎo)您對(duì)設(shè)備進(jìn)行安裝風(fēng)扇安裝手冊(cè)幫助您了解產(chǎn)品支持的可插拔風(fēng)扇模塊的外觀、功能、規(guī)格、安裝及拆卸方法電源手冊(cè)幫助您了解產(chǎn)品支持的可插拔電源模塊的外觀、功能、規(guī)格、安裝及拆卸方法接口模塊擴(kuò)展卡用戶手冊(cè)幫助您了解該接口模塊擴(kuò)展卡的外觀、規(guī)格、安裝及拆卸方法可插拔模塊手冊(cè)幫助您了解產(chǎn)品支持的可插拔模塊類型、外觀和規(guī)格H3C可插拔SFPSFP+XFP模塊安裝指南幫助您掌握SFP/SFP+/XFP模塊的正確安裝方法，避免因操作不當(dāng)而造成器件損壞業(yè)務(wù)配置配置指導(dǎo)幫助您掌握設(shè)備軟件功能的配置方法及配置步驟命令參考詳細(xì)介紹設(shè)備的命令，相當(dāng)于命令字典，方便您查閱各個(gè)命令的功

7、能運(yùn)行維護(hù)MIB Companion與軟件版本配套的MIB Companion版本說(shuō)明書幫助您了解產(chǎn)品版本的相關(guān)信息（包括：版本配套說(shuō)明、兼容性說(shuō)明、特性變更說(shuō)明、技術(shù)支持信息）及軟件升級(jí)方法 PAGE * roman ii目 錄 HYPERLINK l _bookmark6 1 ARP HYPERLINK l _bookmark7 1-1 HYPERLINK l _bookmark6 ARP簡(jiǎn)介 HYPERLINK l _bookmark8 1-1 HYPERLINK l _bookmark6 ARP作用 HYPERLINK l _bookmark9 1-1 HYPERLINK l _boo

8、kmark6 ARP報(bào)文結(jié)構(gòu) HYPERLINK l _bookmark10 1-1 HYPERLINK l _bookmark6 ARP地址解析過(guò)程 HYPERLINK l _bookmark12 1-1 HYPERLINK l _bookmark13 ARP表 HYPERLINK l _bookmark15 1-2 HYPERLINK l _bookmark16 配置ARP HYPERLINK l _bookmark17 1-3 HYPERLINK l _bookmark16 手工添加靜態(tài)ARP表項(xiàng) HYPERLINK l _bookmark18 1-3 HYPERLINK l _book

9、mark19 手工添加多端口ARP表項(xiàng) HYPERLINK l _bookmark20 1-4 HYPERLINK l _bookmark21 配置設(shè)備學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)數(shù) HYPERLINK l _bookmark22 1-5 HYPERLINK l _bookmark21 配置接口學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)數(shù) HYPERLINK l _bookmark23 1-5 HYPERLINK l _bookmark24 配置動(dòng)態(tài)ARP表項(xiàng)的老化時(shí)間 HYPERLINK l _bookmark25 1-6 HYPERLINK l _bookmark24 啟用動(dòng)態(tài)ARP表項(xiàng)的檢查功能 HYPE

10、RLINK l _bookmark26 1-6 HYPERLINK l _bookmark24 開(kāi)啟ARP日志信息功能 HYPERLINK l _bookmark27 1-6 HYPERLINK l _bookmark28 ARP顯示和維護(hù) HYPERLINK l _bookmark29 1-7 HYPERLINK l _bookmark28 ARP典型配置舉例 HYPERLINK l _bookmark30 1-7 HYPERLINK l _bookmark28 靜態(tài)ARP表項(xiàng)配置舉例 HYPERLINK l _bookmark31 1-7 HYPERLINK l _bookmark32 多

11、端口ARP表項(xiàng)配置舉例 HYPERLINK l _bookmark33 1-8 HYPERLINK l _bookmark34 免費(fèi)ARP HYPERLINK l _bookmark35 2-1 HYPERLINK l _bookmark34 免費(fèi)ARP簡(jiǎn)介 HYPERLINK l _bookmark36 2-1 HYPERLINK l _bookmark37 配置免費(fèi)ARP HYPERLINK l _bookmark38 2-2 HYPERLINK l _bookmark37 啟用源IP地址沖突提示功能 HYPERLINK l _bookmark39 2-2 HYPERLINK l _boo

12、kmark40 代理ARP HYPERLINK l _bookmark41 3-1 HYPERLINK l _bookmark40 代理ARP簡(jiǎn)介 HYPERLINK l _bookmark42 3-1 HYPERLINK l _bookmark40 配置代理ARP功能 HYPERLINK l _bookmark43 3-1 HYPERLINK l _bookmark40 代理ARP顯示和維護(hù) HYPERLINK l _bookmark44 3-1 HYPERLINK l _bookmark45 代理ARP典型配置舉例 HYPERLINK l _bookmark46 3-2 HYPERLINK

13、 l _bookmark45 代理ARP配置舉例 HYPERLINK l _bookmark47 3-2 HYPERLINK l _bookmark48 ARP Snooping HYPERLINK l _bookmark49 4-1 HYPERLINK l _bookmark48 ARP Snooping簡(jiǎn)介 HYPERLINK l _bookmark50 4-1 HYPERLINK l _bookmark48 4.1.1 作用 HYPERLINK l _bookmark51 4-1 HYPERLINK l _bookmark48 4.1.2 工作機(jī)制 HYPERLINK l _bookma

14、rk52 4-1 HYPERLINK l _bookmark48 配置ARP Snooping HYPERLINK l _bookmark53 4-1 HYPERLINK l _bookmark48 ARP Snooping顯示和維護(hù) HYPERLINK l _bookmark54 4-11- PAGE 10ARPARP簡(jiǎn)介ARP作用ARP（Address Resolution Protocol，地址解析協(xié)議）是將 IP 地址解析為以太網(wǎng) MAC 地址（或稱物理地址）的協(xié)議。在網(wǎng)絡(luò)中，當(dāng)主機(jī)或其它網(wǎng)絡(luò)設(shè)備有數(shù)據(jù)要發(fā)送給另一個(gè)主機(jī)或設(shè)備時(shí)，它必須知道對(duì)方的網(wǎng)絡(luò)層地址（即 IP 地址）。但是僅僅有

15、 IP 地址是不夠的，因?yàn)?IP 數(shù)據(jù)報(bào)必須封裝成幀才能通過(guò)物理網(wǎng)絡(luò)發(fā)送，因此發(fā)送站還必須有接收站的物理地址，所以需要一個(gè)從 IP 地址到物理地址的映射。ARP 就是實(shí)現(xiàn)這個(gè)功能的協(xié)議。ARP報(bào)文結(jié)構(gòu)ARP報(bào)文分為ARP請(qǐng)求和ARP應(yīng)答報(bào)文，報(bào)文格式如 HYPERLINK l _bookmark11 圖 1-1 所示。圖1-1 ARP 報(bào)文結(jié)構(gòu)硬件類型：表示硬件地址的類型。它的值為 1 表示以太網(wǎng)地址；協(xié)議類型：表示要映射的協(xié)議地址類型。它的值為 0 x0800 即表示 IP 地址；硬件地址長(zhǎng)度和協(xié)議地址長(zhǎng)度分別指出硬件地址和協(xié)議地址的長(zhǎng)度，以字節(jié)為單位。對(duì)于以太網(wǎng)上 IP 地址的 ARP 請(qǐng)

16、求或應(yīng)答來(lái)說(shuō)，它們的值分別為 6 和 4；操作類型（OP）：1 表示 ARP 請(qǐng)求，2 表示 ARP 應(yīng)答；發(fā)送端 MAC 地址：發(fā)送方設(shè)備的硬件地址；發(fā)送端 IP 地址：發(fā)送方設(shè)備的 IP 地址；目標(biāo) MAC 地址：接收方設(shè)備的硬件地址；目標(biāo) IP 地址：接收方設(shè)備的 IP 地址。ARP地址解析過(guò)程假設(shè)主機(jī)A和B在同一個(gè)網(wǎng)段，主機(jī)A要向主機(jī)B發(fā)送信息。如 HYPERLINK l _bookmark14 圖 1-2 所示，具體的地址解析過(guò)程如下：主機(jī) A 首先查看自己的 ARP 表，確定其中是否包含有主機(jī) B 對(duì)應(yīng)的 ARP 表項(xiàng)。如果找到了對(duì)應(yīng)的 MAC 地址，則主機(jī) A 直接利用 ARP

17、表中的 MAC 地址，對(duì) IP 數(shù)據(jù)報(bào)進(jìn)行幀封裝，并將 IP 數(shù)據(jù)報(bào)發(fā)送給主機(jī) B。如果主機(jī) A 在 ARP 表中找不到對(duì)應(yīng)的 MAC 地址，則將緩存該 IP 數(shù)據(jù)報(bào)，然后以廣播方式發(fā)送一個(gè) ARP 請(qǐng)求報(bào)文。ARP 請(qǐng)求報(bào)文中的發(fā)送端 IP 地址和發(fā)送端 MAC 地址為主機(jī) A 的 IP 地址和 MAC 地址，目標(biāo) IP 地址和目標(biāo) MAC 地址為主機(jī) B 的 IP 地址和全 0 的 MAC 地址。由于 ARP 請(qǐng)求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請(qǐng)求，但只有被請(qǐng)求的主機(jī)（即主機(jī) B）會(huì)對(duì)該請(qǐng)求進(jìn)行處理。主機(jī) B 比較自己的 IP 地址和 ARP 請(qǐng)求報(bào)文中的目標(biāo) IP

18、地址，當(dāng)兩者相同時(shí)進(jìn)行如下處理： 將 ARP 請(qǐng)求報(bào)文中的發(fā)送端（即主機(jī) A）的 IP 地址和 MAC 地址存入自己的 ARP 表中。之后以單播方式發(fā)送 ARP 響應(yīng)報(bào)文給主機(jī) A，其中包含了自己的 MAC 地址。主機(jī) A 收到 ARP 響應(yīng)報(bào)文后，將主機(jī) B 的 MAC 地址加入到自己的 ARP 表中以用于后續(xù)報(bào)文的轉(zhuǎn)發(fā)，同時(shí)將 IP 數(shù)據(jù)報(bào)進(jìn)行封裝后發(fā)送出去。圖1-2 ARP 地址解析過(guò)程當(dāng)主機(jī) A 和主機(jī) B 不在同一網(wǎng)段時(shí)，主機(jī) A 就會(huì)先向網(wǎng)關(guān)發(fā)出 ARP 請(qǐng)求，ARP 請(qǐng)求報(bào)文中的目標(biāo)IP 地址為網(wǎng)關(guān)的 IP 地址。當(dāng)主機(jī) A 從收到的響應(yīng)報(bào)文中獲得網(wǎng)關(guān)的 MAC 地址后，將報(bào)文封

19、裝并發(fā)給網(wǎng)關(guān)。如果網(wǎng)關(guān)沒(méi)有主機(jī) B 的 ARP 表項(xiàng)，網(wǎng)關(guān)會(huì)廣播 ARP 請(qǐng)求，目標(biāo) IP 地址為主機(jī) B 的IP 地址，當(dāng)網(wǎng)關(guān)從收到的響應(yīng)報(bào)文中獲得主機(jī) B 的 MAC 地址后，就可以將報(bào)文發(fā)給主機(jī) B；如果網(wǎng)關(guān)已經(jīng)有主機(jī) B 的 ARP 表項(xiàng)，網(wǎng)關(guān)直接把報(bào)文發(fā)給主機(jī) B。ARP表設(shè)備通過(guò) ARP 解析到目的 MAC 地址后，將會(huì)在自己的 ARP 表中增加 IP 地址和 MAC 地址映射關(guān)系的表項(xiàng)，以用于后續(xù)到同一目的地報(bào)文的轉(zhuǎn)發(fā)。ARP 表項(xiàng)分為動(dòng)態(tài) ARP 表項(xiàng)、靜態(tài) ARP 表項(xiàng)和 OpenFlow ARP 表項(xiàng)。動(dòng)態(tài)ARP表項(xiàng)動(dòng)態(tài) ARP 表項(xiàng)由 ARP 協(xié)議通過(guò) ARP 報(bào)文自動(dòng)生

20、成和維護(hù)，可以被老化，可以被新的 ARP 報(bào)文更新，可以被靜態(tài) ARP 表項(xiàng)覆蓋。當(dāng)?shù)竭_(dá)老化時(shí)間、接口狀態(tài) down 時(shí)，系統(tǒng)會(huì)刪除相應(yīng)的動(dòng)態(tài) ARP 表項(xiàng)。靜態(tài)ARP表項(xiàng)靜態(tài) ARP 表項(xiàng)通過(guò)手工配置和維護(hù)，不會(huì)被老化，不會(huì)被動(dòng)態(tài) ARP 表項(xiàng)覆蓋。配置靜態(tài) ARP 表項(xiàng)可以增加通信的安全性。靜態(tài) ARP 表項(xiàng)可以限制和指定 IP 地址的設(shè)備通信時(shí)只使用指定的 MAC 地址，此時(shí)攻擊報(bào)文無(wú)法修改此表項(xiàng)的 IP 地址和 MAC 地址的映射關(guān)系，從而保護(hù)了本設(shè)備和指定設(shè)備間的正常通信。靜態(tài) ARP 表項(xiàng)分為短靜態(tài) ARP 表項(xiàng)、長(zhǎng)靜態(tài) ARP 表項(xiàng)和多端口 ARP 表項(xiàng)。在配置長(zhǎng)靜態(tài) ARP 表

21、項(xiàng)時(shí)，除了配置 IP 地址和MAC 地址項(xiàng)外，還必須配置該 ARP 表項(xiàng)所在 VLAN 和出接口。長(zhǎng)靜態(tài) ARP 表項(xiàng)可以直接用于報(bào)文轉(zhuǎn)發(fā)。在配置短靜態(tài) ARP 表項(xiàng)時(shí)，只需要配置 IP 地址和 MAC 地址項(xiàng)。如果出接口是三層以太網(wǎng)接口，短靜態(tài) ARP 表項(xiàng)可以直接用于報(bào)文轉(zhuǎn)發(fā)；如果出接口是 VLAN 虛接口，短靜態(tài) ARP 表項(xiàng)不能直接用于報(bào)文轉(zhuǎn)發(fā)，需要對(duì)表項(xiàng)進(jìn)行解析：當(dāng)要發(fā)送 IP 數(shù)據(jù)報(bào)時(shí)，設(shè)備先發(fā)送 ARP 請(qǐng)求報(bào)文，如果收到的響應(yīng)報(bào)文中的發(fā)送端 IP 地址和發(fā)送端 MAC 地址與所配置的 IP 地址和MAC 地址相同，則將接收 ARP 響應(yīng)報(bào)文的接口加入該靜態(tài) ARP 表項(xiàng)中，此時(shí)

22、，該短靜態(tài) ARP表項(xiàng)由未解析狀態(tài)變?yōu)榻馕鰻顟B(tài)，之后就可以用于報(bào)文轉(zhuǎn)發(fā)。配置多端口 ARP 表項(xiàng)時(shí)，除了配置 IP 地址和 MAC 地址外，還必須配置該 ARP 表項(xiàng)所在的VLAN，當(dāng)多端口 ARP 表項(xiàng)中的 MAC 地址和 VLAN 信息與多端口組播 MAC 地址表項(xiàng)中的MAC 地址和VLAN 相同時(shí)，該多端口 ARP 表項(xiàng)可用來(lái)指導(dǎo) IP 轉(zhuǎn)發(fā)。多端口 ARP 表項(xiàng)通過(guò)手工配置和維護(hù)，不會(huì)被老化，不會(huì)被動(dòng)態(tài) ARP 表項(xiàng)覆蓋。組播 MAC 的相關(guān)介紹，請(qǐng)參見(jiàn)“IP 組播”的“組播路由與轉(zhuǎn)發(fā)”。一般情況下，ARP 動(dòng)態(tài)執(zhí)行并自動(dòng)尋求 IP 地址到以太網(wǎng) MAC 地址的解析，無(wú)需管理員的介入。

23、當(dāng)希望設(shè)備和指定用戶只能使用某個(gè)固定的IP 地址和 MAC 地址通信時(shí)，可以配置短靜態(tài) ARP 表項(xiàng)， 當(dāng)進(jìn)一步希望限定這個(gè)用戶只在某VLAN 內(nèi)的某個(gè)特定接口上連接時(shí)就可以配置長(zhǎng)靜態(tài) ARP 表項(xiàng)。OpenFlow ARP表項(xiàng)OpenFlow ARP 表項(xiàng)由 OpenFlow 添加，不會(huì)被老化，不能通過(guò) ARP 報(bào)文更新，可以被靜態(tài) ARP表項(xiàng)覆蓋?？梢灾苯佑糜谵D(zhuǎn)發(fā)報(bào)文。關(guān)于 OpenFlow 的介紹，請(qǐng)參見(jiàn)“OpenFlow”中的“OpenFlow”。配置ARP手工添加靜態(tài)ARP表項(xiàng)靜態(tài) ARP 表項(xiàng)在設(shè)備正常工作時(shí)間一直有效，當(dāng)設(shè)備的 ARP 表項(xiàng)所對(duì)應(yīng)的 VLAN 或VLAN 接口被刪

24、除時(shí)，如果是長(zhǎng)靜態(tài) ARP 表項(xiàng)則被刪除，如果是已經(jīng)解析的短靜態(tài) ARP 表項(xiàng)則重新變?yōu)槲唇馕鰻顟B(tài)。對(duì)于已經(jīng)解析的短靜態(tài) ARP 表項(xiàng)，也會(huì)由于外部事件，比如解析到的出接口狀態(tài) down 等原因，恢復(fù)到未解析狀態(tài)。對(duì)于長(zhǎng)靜態(tài) ARP 表項(xiàng)，根據(jù)設(shè)備的當(dāng)前狀態(tài)可能處于有效或無(wú)效兩種狀態(tài)。處于無(wú)效狀態(tài)的原因可能是該 ARP 表項(xiàng)中的 IP 地址與本地 IP 地址沖突，或者設(shè)備上沒(méi)有與該 ARP 表項(xiàng)中的 IP 地址在同一網(wǎng)段的接口地址。處于無(wú)效狀態(tài)的長(zhǎng)靜態(tài) ARP 表項(xiàng)不能指導(dǎo)報(bào)文轉(zhuǎn)發(fā)。表1-1 手工添加靜態(tài) ARP 表項(xiàng)操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-手工添加靜態(tài)ARP表項(xiàng)手工添

25、加長(zhǎng)靜態(tài)ARP表項(xiàng)arp static ip-address mac-address vlan-id interface-type interface-number二者選其一缺省情況下，沒(méi)有配置任何操作命令說(shuō)明手工添加短靜態(tài)ARP表項(xiàng)arp static ip-address mac-address靜態(tài)ARP表項(xiàng)參數(shù) vlan-id 用于指定ARP 表項(xiàng)所對(duì)應(yīng)的VLAN，vlan-id 必須是用戶已經(jīng)創(chuàng)建好的 VLAN 的ID，且 vlan-id 參數(shù)后面指定的以太網(wǎng)接口必須屬于這個(gè) VLAN。VLAN 對(duì)應(yīng)的 VLAN 接口必須已經(jīng)創(chuàng)建。指定參數(shù) vlan-id 和 ip-address 的

26、情況下，參數(shù) vlan-id 對(duì)應(yīng)的 VLAN 接口的 IP 地址必須和參數(shù)ip-address 指定的 IP 地址屬于同一網(wǎng)段。手工添加多端口ARP表項(xiàng)多端口 ARP 表項(xiàng)由多端口單播/組播MAC 地址表項(xiàng)指定 VLAN 和出端口，由多端口 ARP 表項(xiàng)指定IP 地址。多端口 ARP 表項(xiàng)可以覆蓋其它動(dòng)態(tài)、短靜態(tài)和長(zhǎng)靜態(tài) ARP 表項(xiàng)；短靜態(tài)或長(zhǎng)靜態(tài) ARP 表項(xiàng)也可以覆蓋多端口 ARP 表項(xiàng)。多端口單播 MAC 的相關(guān)內(nèi)容，請(qǐng)參見(jiàn)“二層技術(shù)-以太網(wǎng)交換命令參考/MAC 地址表”中的命令 mac-address multiport；組播 MAC 的相關(guān)內(nèi)容，請(qǐng)參見(jiàn)“IP 組播命令參考/組播路

27、由與轉(zhuǎn)發(fā)”中的命令 mac-address multicast。當(dāng)多端口 ARP 表項(xiàng)中 IP 地址與 VLAN 虛接口的 IP 地址屬于同一網(wǎng)段，且存在對(duì)應(yīng)的多端口單播MAC/組播 MAC 時(shí)，該多端口 ARP 表項(xiàng)才能正常指導(dǎo)轉(zhuǎn)發(fā)。配置多端口 ARP 表項(xiàng)時(shí)，需要?jiǎng)?chuàng)建 multiport 類型的業(yè)務(wù)環(huán)回組，由業(yè)務(wù)環(huán)回組將通過(guò) ARP 表項(xiàng)轉(zhuǎn)發(fā)的報(bào)文回送給轉(zhuǎn)發(fā)模塊后，再通過(guò)查找多端口 MAC 地址表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)。關(guān)于業(yè)務(wù)環(huán)回組的創(chuàng)建和配置，請(qǐng)參見(jiàn)“二層技術(shù)-以太網(wǎng)交換配置指導(dǎo)”中的“業(yè)務(wù)環(huán)回組”。表1-2 手工添加多端口 ARP 表項(xiàng)操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-配置多端口單

28、播MAC 地址表項(xiàng)或配置組播MAC地址表項(xiàng)配置多端口單播MAC地址表項(xiàng)mac-address multiport mac-address interface interface-list vlan vlan-id二者必選其一配置組播MAC地址表項(xiàng)mac-address multicast mac-address interface interface-list vlan vlan-id手工添加多端口ARP表項(xiàng)arp multiport ip-address mac-address vlan-id其中mac-address, vlan-id應(yīng)該和多端口單播MAC或組播MAC中的mac-addre

29、ss, vlan-id相一致配置設(shè)備學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)數(shù)設(shè)備可以通過(guò) ARP 協(xié)議自動(dòng)生成動(dòng)態(tài) ARP 表項(xiàng)。為了防止用戶占用過(guò)多的 ARP 資源，可以通過(guò)設(shè)置設(shè)備學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的最大個(gè)數(shù)來(lái)進(jìn)行限制。當(dāng)設(shè)備學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的個(gè)數(shù)達(dá)到所設(shè)置的值時(shí)，該設(shè)備上將不再學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)。表1-3 配置設(shè)備學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的最大個(gè)數(shù)操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-缺省情況下，設(shè)備允許學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最配置設(shè)備允許學(xué)習(xí)動(dòng)態(tài)arp max-learning-number大個(gè)數(shù)為8192ARP表項(xiàng)的最大個(gè)數(shù)number當(dāng)配置設(shè)備允許學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)

30、數(shù)為0時(shí)，表示禁止本設(shè)備學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)當(dāng)本命令配置的動(dòng)態(tài) ARP 表項(xiàng)的最大個(gè)數(shù)小于設(shè)備當(dāng)前已經(jīng)學(xué)到的動(dòng)態(tài) ARP 表項(xiàng)個(gè)數(shù)，那么已學(xué)到的動(dòng)態(tài) ARP 表項(xiàng)個(gè)數(shù)不會(huì)被刪除。配置接口學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)數(shù)設(shè)備可以通過(guò) ARP 協(xié)議自動(dòng)生成動(dòng)態(tài) ARP 表項(xiàng)。為了防止部分接口下的用戶占用過(guò)多的 ARP 資源，可以通過(guò)設(shè)置接口學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的最大個(gè)數(shù)來(lái)進(jìn)行限制。當(dāng)接口學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的個(gè)數(shù)達(dá)到所設(shè)置的值時(shí)，該接口將不再學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)。如果二層接口及其所屬的 VLAN 接口都配置了允許學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的最大個(gè)數(shù)，則只有二層接口及 VLAN 接口上的動(dòng)態(tài) ARP 表

31、項(xiàng)個(gè)數(shù)都沒(méi)有超過(guò)各自配置的最大值時(shí)，才會(huì)學(xué)習(xí) ARP 表項(xiàng)。表1-4 配置接口學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的最大數(shù)目操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入接口視圖interface interface-type interface-number-缺省情況下，接口允許學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最配置接口允許學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)數(shù)arp max-learning-num number大個(gè)數(shù)為8192當(dāng)配置接口允許學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的最大個(gè)數(shù)為0時(shí)，表示禁止接口學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)配置動(dòng)態(tài)ARP表項(xiàng)的老化時(shí)間為適應(yīng)網(wǎng)絡(luò)的變化，ARP 表需要不斷更新。ARP 表中的動(dòng)態(tài) ARP 表項(xiàng)并非永遠(yuǎn)有效

32、，每一條記錄都有一個(gè)生存周期，到達(dá)生存周期仍得不到刷新的記錄將從 ARP 表中刪除，這個(gè)生存周期被稱作老化時(shí)間。如果在到達(dá)老化時(shí)間前紀(jì)錄被刷新，則重新計(jì)算老化時(shí)間。表1-5 配置動(dòng)態(tài) ARP 表項(xiàng)的老化時(shí)間操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-配置動(dòng)態(tài)ARP表項(xiàng)的老化時(shí)間arp timer aging aging-time缺省情況下，動(dòng)態(tài)ARP表項(xiàng)的老化時(shí)間為20分鐘啟用動(dòng)態(tài)ARP表項(xiàng)的檢查功能動(dòng)態(tài) ARP 表項(xiàng)檢查功能可以控制設(shè)備上是否可以學(xué)習(xí) ARP 報(bào)文中的發(fā)送端MAC 地址為組播MAC的動(dòng)態(tài) ARP 表項(xiàng)。啟用 ARP 表項(xiàng)的檢查功能后，設(shè)備上不能學(xué)習(xí) ARP 報(bào)文中發(fā)送端

33、MAC 地址為組播 MAC 的動(dòng)態(tài) ARP 表項(xiàng)，也不能手工添加 MAC 地址為組播 MAC 的靜態(tài) ARP 表項(xiàng)。關(guān)閉 ARP 表項(xiàng)的檢查功能后，設(shè)備可以學(xué)習(xí)以太網(wǎng)源 MAC 地址為單播 MAC 且 ARP 報(bào)文中發(fā)送端 MAC 地址為組播 MAC 的動(dòng)態(tài) ARP 表項(xiàng)，也可以手工添加 MAC 地址為組播 MAC 的靜態(tài) ARP 表項(xiàng)。表1-6 啟用動(dòng)態(tài) ARP 表項(xiàng)的檢查功能操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-啟用動(dòng)態(tài)ARP表項(xiàng)的檢查功能arp check enable缺省情況下，動(dòng)態(tài)ARP表項(xiàng)的檢查功能處于開(kāi)啟狀態(tài)開(kāi)啟ARP日志信息功能ARP 日志是為了滿足網(wǎng)絡(luò)管理員審計(jì)的需

34、要，對(duì)處理 ARP 報(bào)文的信息進(jìn)行的記錄，包括設(shè)備未使能 ARP 代理功能時(shí)收到目的 IP 不是設(shè)備接口 IP 地址、VRRP 備份組中的虛擬 IP 地址或 NAT 轉(zhuǎn)換的外部網(wǎng)絡(luò)地址；收到的 ARP 報(bào)文中源地址和接收接口 IP 地址、VRRP 備份組中的虛擬 IP 地址或NAT 轉(zhuǎn)換的外部網(wǎng)絡(luò)地址沖突，且此報(bào)文不是 ARP 請(qǐng)求報(bào)文等。設(shè)備生成的 ARP 日志信息會(huì)交給信息中心模塊處理，信息中心模塊的配置將決定日志信息的發(fā)送規(guī)則和發(fā)送方向。關(guān)于信息中心的詳細(xì)描述請(qǐng)參見(jiàn)“網(wǎng)絡(luò)管理和監(jiān)控配置指導(dǎo)”中的“信息中心”。在 ARP 特性的運(yùn)行過(guò)程中會(huì)產(chǎn)生各種 ARP 相關(guān)的日志信息，此功能可以控制當(dāng)

35、前設(shè)備是否輸出ARP 日志信息。表1-7 開(kāi)啟 ARP 日志信息功能操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-操作命令說(shuō)明開(kāi)啟ARP日志信息功能arp check log enable缺省情況下，ARP日志信息功能處于關(guān)閉狀態(tài)ARP顯示和維護(hù)清除 ARP 表項(xiàng)，將取消 IP 地址和 MAC 地址的映射關(guān)系，可能導(dǎo)致無(wú)法正常通信。清除前請(qǐng)務(wù)必仔細(xì)確認(rèn)。在完成上述配置后，在任意視圖下執(zhí)行 display 命令可以顯示配置后 ARP 的運(yùn)行情況，通過(guò)查看顯示信息驗(yàn)證配置的效果。在用戶視圖下，用戶可以執(zhí)行 reset 命令清除 ARP 表項(xiàng)。表1-8 ARP 顯示和維護(hù)操作命令顯示ARP表項(xiàng)di

36、splay arp all | dynamic | multiport | static slot slot-number | vlan vlan-id | interface interface-type interface-number count | verbose 顯示指定IP地址的ARP表項(xiàng)display arp ip-address slot slot-number verbose 顯示動(dòng)態(tài)ARP表項(xiàng)的老化時(shí)間display arp timer aging清除ARP表項(xiàng)reset arp all | dynamic | interface interface-type interf

37、ace-number |multiport | slot slot-number | static ARP典型配置舉例靜態(tài)ARP表項(xiàng)配置舉例組網(wǎng)需求Switch 連接主機(jī)，通過(guò)接口 GigabitEthernet1/0/1 連接 Router。接口 GigabitEthernet1/0/1 屬于 VLAN 10。Router 的 IP 地址為 /24，MAC 地址為 00e0-fc01-0000。為了增加 Switch 和 Router 通信的安全性，可以在 Switch 上為 Router 配置一條靜態(tài) ARP 表項(xiàng)，從而防止攻擊報(bào)文修改此表項(xiàng)的 IP 地址和 MAC 地址的映射關(guān)系。組網(wǎng)圖

38、圖1-3 配置靜態(tài) ARP 表項(xiàng)組網(wǎng)圖配置步驟在 Switch 上進(jìn)行下列配置。# 創(chuàng)建 VLAN 10。 system-view Switch vlan 10 Switch-vlan10 quit# 將接口 GigabitEthernet1/0/1 加入到 VLAN 10 中。Switch interface GigabitEthernet 1/0/1Switch-GigabitEthernet1/0/1 port access vlan 10 Switch-GigabitEthernet1/0/1 quit# 創(chuàng)建接口 Vlan-interface10，并配置 IP 地址。Switch i

39、nterface vlan-interface 10Switch-vlan-interface10 ip address 8 Switch-vlan-interface10 quit# 配置一條靜態(tài) ARP 表項(xiàng)，IP 地址為 ，對(duì)應(yīng)的 MAC 地址為 00e0-fc01-0000，此條ARP 表項(xiàng)對(duì)應(yīng)的出接口為屬于 VLAN 10 的接口 GigabitEthernet1/0/1。Switch arp static 00e0-fc01-0000 10 GigabitEthernet 1/0/1# 查看靜態(tài) ARP 表項(xiàng)信息。Switch display arp staticType: S-S

40、taticD-DynamicO-OpenflowM-MultiportI-InvalidIP addressMAC addressVLANInterfaceAging Type 00e0-fc01-000010GE1/0/1N/AS多端口ARP表項(xiàng)配置舉例組網(wǎng)需求Switch 連接服務(wù)器群，通過(guò)屬于 VLAN 10 的三個(gè)二層接口 GigabitEthernet1/0/1、GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 分別連接三臺(tái)服務(wù)器。服務(wù)器群的共享 IP 地址為 /24，共享 MAC 地址為 00e0-fc01-0000。配置多端口 ARP 表項(xiàng)，

41、使目的 IP 為 的 IP 數(shù)據(jù)報(bào)文能同時(shí)發(fā)送到三臺(tái)服務(wù)器上。組網(wǎng)圖圖1-4 配置多端口 ARP 表項(xiàng)組網(wǎng)圖SwtichGE1/0/1GE1/0/3GE1/0/2ServerServerServer group /2400e0-fc01-0000Server配置步驟在 Switch 上進(jìn)行下列配置。# 創(chuàng)建 VLAN 10。 system-view Switch vlan 10 Switch-vlan10 quit# 將接口 GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3 加入到 VLAN 10 中。Switch i

42、nterface GigabitEthernet 1/0/1Switch-GigabitEthernet1/0/1 port access vlan 10 Switch-GigabitEthernet1/0/1 quitSwitch interface GigabitEthernet 1/0/2Switch-GigabitEthernet1/0/2 port access vlan 10 Switch-GigabitEthernet1/0/2 quitSwitch interface GigabitEthernet 1/0/3Switch-GigabitEthernet1/0/3 port a

43、ccess vlan 10 Switch-GigabitEthernet1/0/3 quit# 創(chuàng)建接口 Vlan-interface10，并配置 IP 地址。Switch interface vlan-interface 10Switch-vlan-interface10 ip address 24 Switch-vlan-interface10 quit# 創(chuàng)建業(yè)務(wù)環(huán)回組 1，并配置服務(wù)類型為 multiport。Switch service-loopback group 1 type multiport# 將接口 GigabitEthernet1/0/4 加入業(yè)務(wù)環(huán)回組 1。Switch

44、 interface GigabitEthernet 1/0/4Switch-GigabitEthernet1/0/4 port service-loopback group 1 Switch-GigabitEthernet1/0/4 quit# 配置多端口單播MAC 表項(xiàng)，MAC 地址為 00e0-fc01-0000，對(duì)應(yīng)的出接口為 GigabitEthernet1/0/1、GigabitEthernet1/0/2 和 GigabitEthernet1/0/3，接口屬于 VLAN 10。Switch mac-address multiport 00e0-fc01-0000 interface

45、 GigabitEthernet 1/0/1 to GigabitEthernet 1/0/3 vlan 10# 配置一條多端口 ARP 表項(xiàng)，IP 地址為 ，對(duì)應(yīng)的 MAC 地址為 00e0-fc01-0000。Switch arp multiport 00e0-fc01-0000 10# 查看 ARP 表項(xiàng)信息。Switch display arpType: S-StaticD-DynamicO-OpenflowM-MultiportI-InvalidIP addressMAC addressVLANInterfaceAging Type 00e0-fc01-000010N/AN/AM2-

46、1免費(fèi)ARP免費(fèi)ARP簡(jiǎn)介免費(fèi) ARP 報(bào)文是一種特殊的 ARP 報(bào)文，該報(bào)文中攜帶的發(fā)送端 IP 地址和目標(biāo) IP 地址都是本機(jī) IP地址。設(shè)備通過(guò)對(duì)外發(fā)送免費(fèi) ARP 報(bào)文來(lái)實(shí)現(xiàn)以下功能：確定其它設(shè)備的 IP 地址是否與本機(jī)的 IP 地址沖突。當(dāng)其它設(shè)備收到免費(fèi) ARP 報(bào)文后，如果發(fā)現(xiàn)報(bào)文中的 IP 地址和自己的 IP 地址相同，則給發(fā)送免費(fèi) ARP 報(bào)文的設(shè)備返回一個(gè) ARP 應(yīng)答，告知該設(shè)備 IP 地址沖突。設(shè)備改變了硬件地址，通過(guò)發(fā)送免費(fèi) ARP 報(bào)文通知其它設(shè)備更新 ARP 表項(xiàng)。免費(fèi)ARP報(bào)文學(xué)習(xí)功能的作用啟用了免費(fèi) ARP 報(bào)文學(xué)習(xí)功能后，設(shè)備會(huì)根據(jù)收到的免費(fèi) ARP 報(bào)文中

47、攜帶的信息（發(fā)送端 IP 地址、發(fā)送端 MAC 地址）對(duì)自身維護(hù)的 ARP 表進(jìn)行修改。設(shè)備先判斷 ARP 表中是否存在與此免費(fèi)ARP 報(bào)文中的發(fā)送端 IP 地址對(duì)應(yīng)的 ARP 表項(xiàng)：如果沒(méi)有對(duì)應(yīng)的 ARP 表項(xiàng)，設(shè)備會(huì)根據(jù)該免費(fèi) ARP 報(bào)文中攜帶的信息新建 ARP 表項(xiàng)；如果存在對(duì)應(yīng)的ARP 表項(xiàng)，設(shè)備會(huì)根據(jù)該免費(fèi)ARP 報(bào)文中攜帶的信息更新對(duì)應(yīng)的ARP 表項(xiàng)。關(guān)閉免費(fèi) ARP 報(bào)文學(xué)習(xí)功能后，設(shè)備不會(huì)根據(jù)收到的免費(fèi) ARP 報(bào)文來(lái)新建 ARP 表項(xiàng)，但是會(huì)更新已存在的對(duì)應(yīng) ARP 表項(xiàng)。如果用戶不希望通過(guò)免費(fèi) ARP 報(bào)文來(lái)新建 ARP 表項(xiàng)，可以關(guān)閉免費(fèi)ARP 報(bào)文學(xué)習(xí)功能，以節(jié)省 A

48、RP 表項(xiàng)資源。定時(shí)發(fā)送免費(fèi)ARP功能的作用定時(shí)發(fā)送免費(fèi) ARP 功能可以及時(shí)通知下行設(shè)備更新 ARP 表項(xiàng)或者 MAC 地址表項(xiàng)，主要應(yīng)用場(chǎng)景如下：(1)防止仿冒網(wǎng)關(guān)的 ARP 攻擊如果攻擊者仿冒網(wǎng)關(guān)發(fā)送免費(fèi) ARP 報(bào)文，就可以欺騙同網(wǎng)段內(nèi)的其它主機(jī)，使得被欺騙的主機(jī)訪問(wèn)網(wǎng)關(guān)的流量被重定向到一個(gè)錯(cuò)誤的 MAC 地址，導(dǎo)致其它主機(jī)用戶無(wú)法正常訪問(wèn)網(wǎng)絡(luò)。為了降低這種仿冒網(wǎng)關(guān)的 ARP 攻擊所帶來(lái)的影響，可以在網(wǎng)關(guān)的接口上啟用定時(shí)發(fā)送免費(fèi) ARP 功能。啟用該功能后，網(wǎng)關(guān)接口上將按照配置的時(shí)間間隔周期性發(fā)送接口主 IP 地址和手工配置的從IP 地址的免費(fèi) ARP 報(bào)文。這樣，每臺(tái)主機(jī)都可以學(xué)習(xí)到

49、正確的網(wǎng)關(guān)，從而正常訪問(wèn)網(wǎng)絡(luò)。防止主機(jī) ARP 表項(xiàng)老化在實(shí)際環(huán)境中，當(dāng)網(wǎng)絡(luò)負(fù)載較大或接收端主機(jī)的 CPU 占用率較高時(shí)，可能存在 ARP 報(bào)文被丟棄或主機(jī)無(wú)法及時(shí)處理接收到的 ARP 報(bào)文等現(xiàn)象。這種情況下，接收端主機(jī)的動(dòng)態(tài) ARP 表項(xiàng)會(huì)因超時(shí)而老化，在其重新學(xué)習(xí)到發(fā)送設(shè)備的 ARP 表項(xiàng)之前，二者之間的流量就會(huì)發(fā)生中斷。為了解決上述問(wèn)題，可以在網(wǎng)關(guān)的接口上啟用定時(shí)發(fā)送免費(fèi) ARP 功能。啟用該功能后，網(wǎng)關(guān)接口上將按照配置的時(shí)間間隔周期性發(fā)送接口主IP 地址和手工配置的從IP 地址的免費(fèi)ARP 報(bào)文。這樣， 接收端主機(jī)可以及時(shí)更新 ARP 映射表，從而防止了上述流量中斷現(xiàn)象。防止 VRRP

50、 虛擬 IP 地址沖突2-2當(dāng)網(wǎng)絡(luò)中存在 VRRP 備份組時(shí)，需要由 VRRP 備份組的 Master 路由器周期性的向網(wǎng)絡(luò)內(nèi)的主機(jī)發(fā)送免費(fèi) ARP 報(bào)文，使主機(jī)更新本地 ARP 地址表，從而確保網(wǎng)絡(luò)中不會(huì)存在 IP 地址與 Master 路由器 VRRP 虛擬 IP 地址相同的設(shè)備。免費(fèi) ARP 報(bào)文中的發(fā)送端 MAC 為 VRRP 虛擬路由器對(duì)應(yīng)的虛擬 MAC 地址。關(guān)于 VRRP 的詳細(xì)介紹，請(qǐng)參見(jiàn)“可靠性配置指導(dǎo)”中的“VRRP”。配置免費(fèi)ARP配置免費(fèi) ARP 時(shí)，需要注意：設(shè)備最多允許同時(shí)在 1024 個(gè)接口上啟用定時(shí)發(fā)送免費(fèi) ARP 功能。配置定時(shí)發(fā)送免費(fèi) ARP 功能后，只有當(dāng)

51、接口鏈路狀態(tài) up 并且配置 IP 地址后，此功能才真正生效。如果修改了免費(fèi) ARP 報(bào)文的發(fā)送周期，則在下一個(gè)發(fā)送周期才能生效。如果同時(shí)在很多接口下啟用定時(shí)發(fā)送免費(fèi) ARP 功能，或者每個(gè)接口有大量的從 IP 地址，又或者是兩種情況共存的同時(shí)又配置很小的發(fā)送時(shí)間間隔，那么免費(fèi) ARP 報(bào)文的發(fā)送頻率可能會(huì)遠(yuǎn)遠(yuǎn)低于用戶設(shè)定的時(shí)間間隔。表2-1 配置免費(fèi) ARP操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-開(kāi)啟免費(fèi)ARP報(bào)文學(xué)習(xí)功能gratuitous-arp-learning enable缺省情況下，免費(fèi)ARP報(bào)文的學(xué)習(xí)功能處于開(kāi)啟狀態(tài)開(kāi)啟設(shè)備收到非同一網(wǎng)段ARP請(qǐng)求時(shí)發(fā)送免費(fèi)ARP報(bào)文功能

52、gratuitous-arp-sending enable缺省情況下，設(shè)備收到非同一網(wǎng)段的ARP請(qǐng)求時(shí)不發(fā)送免費(fèi)ARP報(bào)文進(jìn)入接口視圖interface interface-type interface-number-啟用定時(shí)發(fā)送免費(fèi)ARP功能，并設(shè)置發(fā)送免費(fèi)ARP報(bào)文的周期arp send-gratuitous-arp interval milliseconds 缺省情況下，定時(shí)發(fā)送免費(fèi)ARP功能處于關(guān)閉狀態(tài)啟用源IP地址沖突提示功能設(shè)備接收到其它設(shè)備發(fā)送的 ARP 報(bào)文后，如果發(fā)現(xiàn)報(bào)文中的源 IP 地址和自己的 IP 地址相同，該設(shè)備會(huì)根據(jù)當(dāng)前源 IP 地址沖突提示功能的狀態(tài)，進(jìn)行如下處理

53、：如果源 IP 地址沖突提示功能處于關(guān)閉狀態(tài)時(shí)，設(shè)備發(fā)送一個(gè)免費(fèi) ARP 報(bào)文確認(rèn)是否沖突，如果收到對(duì)應(yīng)的 ARP 應(yīng)答后才提示存在 IP 地址沖突。如果源 IP 地址沖突提示功能處于開(kāi)啟狀態(tài)時(shí)，設(shè)備立刻提示存在 IP 地址沖突。表2-2 啟用源 IP 地址沖突提示功能操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-啟用源IP地址沖突提示功能arp ip-conflict log prompt缺省情況下，源IP地址沖突提示功能處于關(guān)閉狀態(tài)3- PAGE 3代理ARP代理ARP簡(jiǎn)介如果 ARP 請(qǐng)求是從一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)往同一網(wǎng)段卻不在同一物理網(wǎng)絡(luò)上的另一臺(tái)主機(jī)，那么連接它們的具有代理 ARP 功

54、能的設(shè)備就可以回答該請(qǐng)求，這個(gè)過(guò)程稱作代理 ARP（Proxy ARP）。代理 ARP 功能屏蔽了分離的物理網(wǎng)絡(luò)這一事實(shí)，使用戶使用起來(lái)，好像在同一個(gè)物理網(wǎng)絡(luò)上。代理 ARP 分為普通代理 ARP 和本地代理 ARP，二者的應(yīng)用場(chǎng)景有所區(qū)別：普通代理 ARP 的應(yīng)用場(chǎng)景為：想要互通的主機(jī)分別連接到設(shè)備的不同三層接口上，且這些主機(jī)不在同一個(gè)廣播域中。本地代理 ARP 的應(yīng)用場(chǎng)景為：想要互通的主機(jī)連接到設(shè)備的同一個(gè)三層接口上，且這些主機(jī)不在同一個(gè)廣播域中。如無(wú)特殊說(shuō)明，本章后續(xù)描述中的代理 ARP 均指普通代理 ARP。配置代理ARP功能代理 ARP 和本地代理 ARP 功能均可在 VLAN 接口

55、視圖/三層以太網(wǎng)接口視圖/三層聚合接口視圖下進(jìn)行配置。表3-1 配置代理 ARP 功能操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入接口視圖interface interface-type interface-number-配置代理ARP功能proxy-arp enable缺省情況下，代理ARP功能處于關(guān)閉狀態(tài)表3-2 配置本地代理 ARP 功能操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入接口視圖interface interface-type interface-number-配置本地代理ARP功能local-proxy-arp enable ip-range startIPt

56、o endIP 缺省情況下，本地代理ARP功能處于關(guān)閉狀態(tài)代理ARP顯示和維護(hù)在完成上述配置后，在任意視圖下執(zhí)行 display 命令可以顯示配置后代理 ARP 的運(yùn)行情況，查看顯示信息驗(yàn)證配置的效果。表3-3 代理 ARP 顯示和維護(hù)操作命令顯示代理ARP的狀態(tài)display proxy-arp interface interface-type interface-number 顯示本地代理ARP的狀態(tài)display local-proxy-arp interface interface-type interface-number 代理ARP典型配置舉例代理ARP配置舉例組網(wǎng)需求Host A

57、 和 Host D 配置為同一網(wǎng)段的主機(jī)（Host A 的 IP 地址是 00/16，Host D 的 IP 地址是 00/16），但卻被設(shè)備 Switch 分在兩個(gè)不同的子網(wǎng)（Host A 屬于VLAN 1，Host D 屬于 VLAN 2）。Host A 和 Host D 沒(méi)有配置缺省網(wǎng)關(guān)，要求在設(shè)備Switch 上啟用代理 ARP 功能，使處在兩個(gè)子網(wǎng)的 Host A 和 Host D 能互通。組網(wǎng)圖圖3-1 配置代理 ARP 組網(wǎng)圖配置步驟# 創(chuàng)建 VLAN 2。 system-view Switch vlan 2 Switch-vlan2 quit# 配置接口 Vlan-interf

58、ace1 的 IP 地址。Switch interface vlan-interface 1Switch-Vlan-interface1 ip address 9 # 開(kāi)啟接口 Vlan-interface1 的代理 ARP 功能。Switch-Vlan-interface1 proxy-arp enable Switch-Vlan-interface1 quit# 配置接口 Vlan-interface2 的 IP 地址。Switch interface vlan-interface 2Switch-Vlan-interface2 ip address 9 # 開(kāi)啟接口 Vlan-inter

59、face2 的代理 ARP 功能。Switch-Vlan-interface2 proxy-arp enable配置完成后，Host A 和 Host D 可以互相 ping 通。4- PAGE 2ARP SnoopingARP Snooping簡(jiǎn)介作用ARP Snooping 功能是一個(gè)用于二層交換網(wǎng)絡(luò)環(huán)境的特性，通過(guò)偵聽(tīng) ARP 報(bào)文建立 ARP Snooping 表項(xiàng)，從而提供給 MFF（MAC-Forced Forwarding，MAC 強(qiáng)制轉(zhuǎn)發(fā)）手動(dòng)方式使用。關(guān)于 MFF 的詳細(xì)介紹，請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“MFF”。工作機(jī)制設(shè)備上在一個(gè) VLAN 中啟用 ARP Snoopin

60、g 后，該 VLAN 內(nèi)所有端口接收的 ARP 報(bào)文會(huì)被上送到CPU。CPU 對(duì)上送的 ARP 報(bào)文進(jìn)行分析，獲取 ARP 報(bào)文的發(fā)送端 IP 地址、發(fā)送端 MAC 地址、VLAN 和入端口信息，建立記錄用戶信息的 ARP Snooping 表項(xiàng)。ARP Snooping 表項(xiàng)的老化時(shí)間為 25 分鐘，有效時(shí)間為 15 分鐘。如果一個(gè) ARP Snooping 表項(xiàng)自最后一次更新后 15 分鐘內(nèi)沒(méi)有收到 ARP 更新報(bào)文，則此表項(xiàng)開(kāi)始進(jìn)入失效狀態(tài)，不再對(duì)外提供服務(wù)，其他特性查找此表項(xiàng)將會(huì)失敗。當(dāng)收到發(fā)送端 IP 地址和發(fā)送端 MAC 與已存在的 ARP Snooping 表項(xiàng) IP 地址和 M