- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-ARP配置
本章節下載: 13-ARP配置 (385.68 KB)
ARP(Address Resolution Protocol,地址解析協議)是將IP地址解析為以太網MAC地址(或稱物理地址)的協議。在網絡中,當主機或其它網絡設備有數據要發送給另一個主機或設備時,它必須知道對方的網絡層地址(即IP地址),由於IP數據報必須封裝成幀才能通過物理網絡發送,因此還需要知道對方的物理地址,所以設備上需要存在一個從IP地址到物理地址的映射關係。ARP就是實現這個功能的協議。
ARP報文分為ARP請求和ARP應答報文,報文格式如圖1-1所示。
圖1-1 ARP報文結構
· 硬件類型:表示硬件地址的類型。它的值為1表示以太網地址;
· 協議類型:表示要映射的協議地址類型。它的值為0x0800即表示IP地址;
· 硬件地址長度和協議地址長度分別指出硬件地址和協議地址的長度,以字節為單位。對於以太網上IP地址的ARP請求或應答來說,它們的值分別為6和4;
· 操作類型(OP):1表示ARP請求,2表示ARP應答;
· 發送端MAC地址:發送方設備的硬件地址;
· 發送端IP地址:發送方設備的IP地址;
· 目標MAC地址:接收方設備的硬件地址;
· 目標IP地址:接收方設備的IP地址。
假設主機A和B在同一個網段,主機A要向主機B發送信息。如圖1-2所示,具體的地址解析過程如下:
(1) 主機A首先查看自己的ARP表,確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數據報進行幀封裝,並將IP數據報發送給主機B。
(2) 如果主機A在ARP表中找不到對應的MAC地址,則將緩存該IP數據報,然後以廣播方式發送一個ARP請求報文。ARP請求報文中的發送端IP地址和發送端MAC地址為主機A的IP地址和MAC地址,目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由於ARP請求報文以廣播方式發送,該網段上的所有主機都可以接收到該請求,但隻有被請求的主機(即主機B)會對該請求進行處理。
(3) 主機B比較自己的IP地址和ARP請求報文中的目標IP地址,當兩者相同時進行如下處理:將ARP請求報文中的發送端(即主機A)的IP地址和MAC地址存入自己的ARP表中。之後以單播方式發送ARP響應報文給主機A,其中包含了自己的MAC地址。
(4) 主機A收到ARP響應報文後,將主機B的MAC地址加入到自己的ARP表中以用於後續報文的轉發,同時將IP數據報進行封裝後發送出去。
圖1-2 ARP地址解析過程
當主機A和主機B不在同一網段時,主機A就會先向網關發出ARP請求,ARP請求報文中的目標IP地址為網關的IP地址。當主機A從收到的響應報文中獲得網關的MAC地址後,將報文封裝並發給網關。如果網關沒有主機B的ARP表項,網關會廣播ARP請求,目標IP地址為主機B的IP地址,當網關從收到的響應報文中獲得主機B的MAC地址後,就可以將報文發給主機B;如果網關已經有主機B的ARP表項,網關直接把報文發給主機B。
設備通過ARP解析到目的MAC地址後,將會在自己的ARP表中增加IP地址和MAC地址映射關係的表項,以用於後續到同一目的地報文的轉發。
ARP表項分為動態ARP表項、靜態ARP表項和Rule ARP表項。
動態ARP表項由ARP協議通過ARP報文自動生成和維護,可以被老化,可以被新的ARP報文更新,可以被靜態ARP表項覆蓋。當到達老化時間、接口狀態down時,係統會刪除相應的動態ARP表項。
靜態ARP表項通過手工配置和維護,不會被老化,不會被動態ARP表項覆蓋。
配置靜態ARP表項可以增加通信的安全性。靜態ARP表項可以限製和指定IP地址的設備通信時隻使用指定的MAC地址,此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關係,從而保護了本設備和指定設備間的正常通信。
靜態ARP表項分為短靜態ARP表項、長靜態ARP表項。
· 長靜態ARP表項可以直接用於報文轉發,除了包括IP地址和MAC地址外,還需要包括以下兩種表項內容之一:
¡ 該ARP表項所在VLAN和出接口;
¡ 該ARP表項的入接口和出接口對應關係。
· 短靜態ARP表項隻包括IP地址和MAC地址。
如果出接口是三層以太網接口,短靜態ARP表項可以直接用於報文轉發。
如果出接口是VLAN接口,短靜態ARP表項不能直接用於報文轉發,需要對表項進行解析:當要發送IP數據報時,設備先發送ARP請求報文,如果收到的響應報文中的發送端IP地址和發送端MAC地址與所配置的IP地址和MAC地址相同,則將接收ARP響應報文的接口加入該靜態ARP表項中,此時,該短靜態ARP表項由未解析狀態變為解析狀態,之後就可以用於報文轉發。
一般情況下,ARP動態執行並自動尋求IP地址到以太網MAC地址的解析,無需管理員的介入。當希望設備和指定用戶隻能使用某個固定的IP地址和MAC地址通信時,可以配置短靜態ARP表項,當進一步希望限定這個用戶隻在某VLAN內的某個特定接口上連接時就可以配置長靜態ARP表項。
Rule ARP表項不會被老化,不能通過ARP報文更新,可以被靜態ARP表項覆蓋,可以直接用於轉發報文。Rule ARP表項可Portal特性添加,Portal的詳細介紹請參見“用戶接入與認證配置指導”中的“Portal”。
由於WX1800H係列、WX2500H係列、MAK係列和WX3000H係列無線控製器不支持IRF功能,因此不支持IRF模式的命令行配置。
本節中的所有配置均為可選,請根據實際情況選擇配置。
靜態ARP表項在設備正常工作期間一直有效。
對於已經解析的短靜態ARP表項,會由於外部事件,比如解析到的出接口狀態down或設備的ARP表項所對應的VLAN或VLAN接口被刪除等原因,恢複到未解析狀態。
(1) 進入係統視圖。
system-view
(2) 手工添加短靜態ARP表項。
arp static ip-address mac-address
長靜態ARP表項根據設備的當前狀態可能處於有效或無效兩種狀態。處於無效狀態的原因可能是該ARP表項中的IP地址與本地IP地址衝突或設備上沒有與該ARP表項中的IP地址在同一網段的接口地址等原因。處於無效狀態的長靜態ARP表項不能指導報文轉發。當長靜態ARP表項所對應的VLAN或VLAN接口被刪除時,該ARP表項會被刪除。
(1) 進入係統視圖。
system-view
(2) 手工添加長靜態ARP表項。
arp static ip-address mac-address [ vlan-id interface-type interface-number ]
設備可以通過ARP協議自動生成動態ARP表項。為了防止用戶占用過多的ARP資源,可以通過設置設備學習動態ARP表項的最大數目來進行限製。當設備學習動態ARP表項的數目達到所設置的值時,該設備上將不再學習動態ARP表項。
當本命令配置的動態ARP表項的最大數目小於設備當前已經學到的動態ARP表項數目,已學到的動態ARP表項不會被直接刪除,用戶可以通過執行reset arp dynamic命令直接清除動態ARP表項。
(1) 進入係統視圖。
system-view
(2) 配置設備允許學習動態ARP表項的最大數目。
(獨立運行模式)
arp max-learning-number max-number
(IRF模式)
arp max-learning-number max-number slot slot-number
缺省情況下,設備允許學習動態ARP表項的最大數目請參考命令手冊中對應描述。
當配置設備允許學習動態ARP表項的最大數目為0時,表示禁止本設備學習動態ARP表項。
設備可以通過ARP協議自動生成動態ARP表項。為了防止部分接口下的用戶占用過多的ARP資源,可以通過設置接口學習動態ARP表項的最大數目來進行限製。當接口學習動態ARP表項的數目達到所設置的值時,該接口將不再學習動態ARP表項。
如果二層接口及其所屬的VLAN接口都配置了允許學習動態ARP表項的最大數目,則隻有二層接口及VLAN接口上的動態ARP表項數目都沒有超過各自配置的最大值時,才會學習ARP表項。
設備各接口學習的動態ARP表項之和不會超過該設備學習動態ARP表項的最大數目。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口允許學習動態ARP表項的最大數目。
arp max-learning-num max-number
缺省情況下,接口允許學習動態ARP表項的最大數目請參考命令手冊中對應描述。
當配置接口允許學習動態ARP表項的最大數目為0時,表示禁止接口學習動態ARP表項。
為適應網絡的變化,ARP表需要不斷更新。ARP表中的動態ARP表項並非永遠有效,每一條記錄都有一個生存周期,到達生存周期仍得不到刷新的記錄將從ARP表中刪除,這個生存周期被稱作老化時間。如果在到達老化時間前記錄被刷新,則重新計算老化時間。
(1) 進入係統視圖。
system-view
(2) 配置動態ARP表項的老化時間。
arp timer aging aging-time
缺省情況下,動態ARP表項的老化時間為20分鍾。
動態ARP表項檢查功能可以控製設備上是否可以學習ARP報文中的發送端MAC地址為組播MAC的動態ARP表項。
· 開啟ARP表項的檢查功能後,設備上不能學習ARP報文中發送端MAC地址為組播MAC的動態ARP表項,也不能手工添加MAC地址為組播MAC的靜態ARP表項。
· 關閉ARP表項的檢查功能後,設備可以學習以太網源MAC地址為單播MAC且ARP報文中發送端MAC地址為組播MAC的動態ARP表項,也可以手工添加MAC地址為組播MAC的靜態ARP表項。
(1) 進入係統視圖。
system-view
(2) 開啟動態ARP表項的檢查功能。
arp check enable
缺省情況下,動態ARP表項的檢查功能處於開啟狀態。
ARP日誌可以方便管理員定位問題和解決問題,對處理ARP報文的信息進行的記錄。例如,ARP日誌可以記錄如下事件:
· 設備未使能ARP代理功能時收到目的IP不是設備接口IP地址或NAT轉換的外部網絡地址;
· 收到的ARP報文中源地址和接收接口IP地址或NAT轉換的外部網絡地址衝突,且此報文不是ARP請求報文等。
設備生成的ARP日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟ARP日誌信息功能。
arp check log enable
缺省情況下,ARP日誌信息功能處於關閉狀態。
清除ARP表項,將取消IP地址和MAC地址的映射關係,可能導致無法正常通信。清除前請務必仔細確認。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ARP的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令清除ARP表項。
表1-1 ARP顯示和維護
|
操作 |
命令 |
|
顯示ARP表項 |
(獨立運行模式) display arp [ [ all | dynamic | static ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ] (IRF模式) display arp [ [ all | dynamic | static ] [ slot slot-number ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ] |
|
顯示指定IP地址的ARP表項 |
(獨立運行模式) display arp ip-address [ verbose ] (IRF模式) display arp ip-address [ slot slot-number ] [ verbose ] |
|
顯示動態ARP表項的老化時間 |
display arp timer aging |
|
清除ARP表項 |
(獨立運行模式) reset arp { all | dynamic | interface interface-type interface-number | static } (IRF模式) reset arp { all | dynamic | interface interface-type interface-number | slot slot-number | static } |
免費ARP報文是一種特殊的ARP報文,該報文中攜帶的發送端IP地址和目標IP地址都是本機的IP地址。設備通過對外發送免費ARP報文來確定其他設備的IP地址是否與本機的IP地址衝突,並實現在設備硬件地址改變時通知其它設備更新ARP表項。
設備接口獲取到IP地址時可以在接口所在局域網內廣播發送免費ARP報文。如果設備收到ARP應答報文,表示局域網中存在與該設備IP地址相同的設備,則設備不會使用此IP地址,並打印日誌提示管理員修改該IP地址。如果設備未收到ARP應答報文,表示局域網中不存在與該設備IP地址相同的設備,則設備可以正常使用IP地址。
開啟了免費ARP報文學習功能後,設備會根據收到的免費ARP報文中攜帶的信息(發送端IP地址、發送端MAC地址)對自身維護的ARP表進行修改。設備先判斷ARP表中是否存在與此免費ARP報文中的發送端IP地址對應的ARP表項:
· 如果沒有對應的ARP表項,設備會根據該免費ARP報文中攜帶的信息新建ARP表項;
· 如果存在對應的ARP表項,設備會根據該免費ARP報文中攜帶的信息更新對應的ARP表項。
關閉免費ARP報文學習功能後,設備不會根據收到的免費ARP報文來新建ARP表項,但是會更新已存在的對應ARP表項。如果用戶不希望通過免費ARP報文來新建ARP表項,可以關閉免費ARP報文學習功能,以節省ARP表項資源。
定時發送免費ARP功能可以及時通知下行設備更新ARP表項或者MAC地址表項,主要應用場景如下:
· 防止仿冒網關的ARP攻擊
如果攻擊者仿冒網關發送免費ARP報文,就可以欺騙同網段內的其它主機,使得被欺騙的主機訪問網關的流量被重定向到一個錯誤的MAC地址,導致其它主機用戶無法正常訪問網絡。
為了降低這種仿冒網關的ARP攻擊所帶來的影響,可以在網關的接口上開啟定時發送免費ARP功能。開啟該功能後,網關接口上將按照配置的時間間隔周期性發送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣,每台主機都可以學習到正確的網關,從而正常訪問網絡。
· 防止主機ARP表項老化
在實際環境中,當網絡負載較大或接收端主機的CPU占用率較高時,可能存在ARP報文被丟棄或主機無法及時處理接收到的ARP報文等現象。這種情況下,接收端主機的動態ARP表項會因超時而老化,在其重新學習到發送設備的ARP表項之前,二者之間的流量就會發生中斷。
為了解決上述問題,可以在網關的接口上開啟定時發送免費ARP功能。啟用該功能後,網關接口上將按照配置的時間間隔周期性發送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣,接收端主機可以及時更新ARP映射表,從而防止了上述流量中斷現象。
本節中的所有配置均為可選,請根據實際情況選擇配置。當以下功能均未開啟時,免費ARP的衝突地址檢測功能仍然生效。
· 開啟設備收到非同一網段ARP請求時發送免費ARP報文功能
· 配置當接口MAC地址變化時,該接口重新發送免費ARP報文的次數和時間間隔
設備接收到其它設備發送的ARP報文後,如果發現報文中的源IP地址和自己的IP地址相同,該設備會根據當前源IP地址衝突提示功能的狀態,進行如下處理:
· 如果源IP地址衝突提示功能處於關閉狀態時,設備發送一個免費ARP報文確認是否衝突,隻有收到對應的ARP應答後才提示存在IP地址衝突。
· 如果源IP地址衝突提示功能處於開啟狀態時,設備立刻提示存在IP地址衝突。
(1) 進入係統視圖。
system-view
(2) 開啟源IP地址衝突提示功能。
arp ip-conflict log prompt
缺省情況下,源IP地址衝突提示功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 開啟免費ARP報文學習功能。
gratuitous-arp-learning enable
缺省情況下,免費ARP報文的學習功能處於開啟狀態。
· 設備最多允許同時在1024個接口上開啟定時發送免費ARP功能。
· 開啟定時發送免費ARP功能後,隻有當接口鏈路狀態up並且配置IP地址後,此功能才真正生效。
· 如果修改了免費ARP報文的發送時間間隔,則在下一個發送時間間隔才能生效。
· 如果同時在很多接口下開啟定時發送免費ARP功能,或者每個接口有大量的從IP地址,又或者是兩種情況共存的同時又配置很小的發送時間間隔,那麼免費ARP報文的實際發送時間間隔可能會遠遠高於用戶設定的時間間隔。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟定時發送免費ARP功能。
arp send-gratuitous-arp [ interval interval ]
缺省情況下,定時發送免費ARP功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 開啟設備收到非同一網段ARP請求時發送免費ARP報文功能。
gratuitous-arp-sending enable
缺省情況下,設備收到非同一網段的ARP請求時發送免費ARP報文功能處於關閉狀態。
當設備的MAC地址發生變化後,設備會通過免費ARP報文將修改後的MAC地址通告給其他設備。由於目前免費ARP報文沒有重傳機製,其他設備可能無法收到免費ARP報文。為了解決這個問題,用戶可以配置當接口MAC地址變化時,該接口重新發送免費ARP報文的次數和時間間隔,保證其他設備可以收到該免費ARP報文。
(1) 進入係統視圖。
system-view
(2) 配置當接口MAC地址變化時,重新發送免費ARP報文的次數和時間間隔
gratuitous-arp mac-change retransmit times interval seconds
缺省情況下,當設備的接口MAC地址變化時,該接口隻會發送一次免費ARP報文。
如果ARP請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一台主機,那麼連接它們的具有代理ARP功能的設備就可以回答該請求,這個過程稱作代理ARP(Proxy ARP)。
代理ARP功能屏蔽了分離的物理網絡這一事實,使用戶使用起來,好像在同一個物理網絡上。
代理ARP分為普通代理ARP和本地代理ARP,二者的應用場景有所區別:
· 普通代理ARP的應用場景為:想要互通的主機分別連接到設備的不同三層接口上,且這些主機不在同一個廣播域中。
· 本地代理ARP的應用場景為:想要互通的主機連接到設備的同一個三層接口上,且這些主機不在同一個廣播域中。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
普通代理ARP功能可在VLAN接口視圖/三層以太網接口視圖/三層以太網子接口視圖下進行配置。
(3) 開啟普通代理ARP功能。
proxy-arp enable
缺省情況下,普通代理ARP功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
本地代理ARP功能可在VLAN接口視圖/三層以太網接口視圖/三層以太網子接口視圖下進行配置。
(3) 開啟本地代理ARP功能。
local-proxy-arp enable [ ip-range start-ip-address to end-ip-address ]
缺省情況下,本地代理ARP功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後代理ARP的運行情況,查看顯示信息驗證配置的效果。
表3-1 代理ARP顯示和維護
|
操作 |
命令 |
|
顯示本地代理ARP的狀態 |
display local-proxy-arp [ interface interface-type interface-number ] |
|
顯示普通代理ARP的狀態 |
display proxy-arp [ interface interface-type interface-number ] |
· Client 1和Client 2為同一網段的主機(Client 1的IP地址是192.168.10.100/16,Client 2的IP地址是192.168.20.200/16),但被設備AC分在兩個不同的子網(Client 1屬於VLAN 10,Client 2屬於VLAN 20)。
· Client 1和Client 2沒有配置缺省網關,要求在設備AC上開啟代理ARP功能,使處在兩個子網的Client 1和Client 2能互通。
圖3-1 配置代理ARP組網圖
# 創建VLAN 10和VLAN 20。
<AC> system-view
[AC] vlan 10
[AC-vlan10] quit
[AC] vlan 20
[AC-vlan20] quit
# 配置接口Vlan-interface10的IP地址。
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 192.168.10.99 255.255.255.0
# 開啟接口Vlan-interface10的代理ARP功能。
[AC-Vlan-interface10] proxy-arp enable
[AC-Vlan-interface10] quit
# 配置接口Vlan-interface20的IP地址。
[AC] interface vlan-interface 20
[AC-Vlan-interface20] ip address 192.168.20.99 255.255.255.0
# 開啟接口Vlan-interface20的代理ARP功能。
[AC-Vlan-interface20] proxy-arp enable
配置完成後,Client 1和Client 2可以互相ping通。
ARP快速應答功能根據設備上生成的IP Source Guard表項包含的信息,在指定的VLAN內,對ARP請求進行應答,從而減少ARP廣播報文。關於IP Source Guard的詳細介紹,請參見“安全配置指導”中的“IP Source Guard”。
(1) 設備接收到ARP請求報文時,如果請求報文的目的IP地址是設備的VLAN接口的IP地址,則由ARP特性進行處理。
(2) 如果ARP請求報文的目的IP地址不是VLAN接口的IP地址,則根據報文中的目的IP地址查找IP Source Guard表項:
¡ 如果查找成功,當接口是無線網接口時,不管查找到的表項的接口和收到請求報文的接口是否一致,都直接進行應答;當接口是以太網接口時,當查找到的表項的接口和收到請求報文的接口一致,不進行應答,否則立即進行應答。
¡ 如果查找失敗,則向指定VLAN內除收到請求報文的接口外的其他接口轉發該請求報文或將報文交於其他特性處理。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 開啟ARP快速應答功能。
arp fast-reply enable
缺省情況下,ARP快速應答功能處於關閉狀態。
Client 1、Client 2~Client 30、Client 31~Client 60分別通過AP 1、AP 2和AP 3接入網絡,AP 1、AP 2和AP 3通過Switch和AC互連,所有客戶端接入VLAN為VLAN 2。
當Client 1需要訪問Client 60時,Client 1發送ARP請求報文,ARP請求報文在AC上被複製發送給AP 2和AP 3,在具有多個AP的情況下,這種複製的廣播會占用了大量的隧道資源。
為減少對隧道資源的占用,可以在VLAN 2上開啟ARP快速應答。啟用ARP快速應答,當Client 60通過DHCP服務器獲得IP地址後,Client 1需要訪問Client 60時,ARP請求報文可以在AC上得到應答,而AC不會再對報文進行廣播,從而減少了對隧道資源的占用。
圖4-1 開啟ARP快速應答組網圖
(1) 配置AC基本功能。
具體配置請參考“WLAN接入配置指導”中的“WLAN接入”。
(2) 進入VLAN 2。
<AC> system-view
[AC] vlan 2
(3) 在AC的VLAN 2內開啟ARP快速應答功能。
[AC-vlan2] arp fast-reply enable
[AC-vlan2] quit
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
