地址什么是arp攻击

i目录1ARP·1-11.
1ARP简介·1-11.
1.
1ARP作用1-11.
1.
2ARP报文结构·1-11.
1.
3ARP地址解析过程·1-11.
1.
4ARP表·1-21.
2配置ARP·1-31.
2.
1手工添加静态ARP表项·1-31.
2.
2手工添加多端口ARP表项·1-41.
2.
3配置设备学习动态ARP表项的最大数目1-51.
2.
4配置接口学习动态ARP表项的最大数目1-51.
2.
5配置动态ARP表项的老化时间·1-61.
2.
6配置动态ARP表项的老化探测次数1-61.
2.
7配置动态ARP表项的老化探测时间间隔1-71.
2.
8开启动态ARP表项的检查功能·1-81.
2.
9将主用主控板的ARP表项同步到其他所有板·1-81.
2.
10配置接口为用户侧接口1-81.
2.
11开启ARP记录终端用户间IP地址冲突功能1-91.
2.
12开启ARP表项出接口和MAC地址表项出接口一致性检查功能1-91.
2.
13开启ARP记录终端用户端口迁移功能·1-101.
2.
14开启ARP日志信息功能·1-101.
3ARP显示和维护·1-111.
4ARP典型配置举例1-121.
4.
1长静态ARP表项配置举例·1-121.
4.
2短静态ARP表项配置举例·1-131.
4.
3多端口ARP表项配置举例·1-142免费ARP2-12.
1免费ARP简介·2-12.
2配置免费ARP2-22.
3开启源IP地址冲突提示功能2-22.
4配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔·2-3ii3代理ARP3-13.
1代理ARP简介·3-13.
2开启代理ARP功能3-13.
3代理ARP显示和维护·3-13.
4代理ARP典型配置举例3-23.
4.
1普通代理ARP配置举例·3-24ARPSnooping·4-14.
1ARPSnooping简介·4-14.
1.
1作用4-14.
1.
2工作机制4-14.
2开启ARPSnooping功能4-14.
3ARPSnooping显示和维护·4-15ARP快速应答5-15.
1ARP快速应答简介5-15.
2开启ARP快速应答功能5-15.
3ARP快速应答典型配置举例·5-16ARP直连路由通告·6-16.
1ARP直连路由通告简介6-16.
1.
1工作机制6-16.
1.
2L2VPN接入L3VPN组网应用·6-16.
2开启ARP直连路由通告功能·6-11-11ARP1.
1ARP简介1.
1.
1ARP作用ARP(AddressResolutionProtocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议.
在网络中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址).
但是仅仅有IP地址是不够的,因为IP数据报必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射.
ARP就是实现这个功能的协议.
1.
1.
2ARP报文结构ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示.
图1-1ARP报文结构硬件类型:表示硬件地址的类型.
它的值为1表示以太网地址;协议类型:表示要映射的协议地址类型.
它的值为0x0800即表示IP地址;硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位.
对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;操作类型(OP):1表示ARP请求,2表示ARP应答;发送端MAC地址:发送方设备的硬件地址;发送端IP地址:发送方设备的IP地址;目标MAC地址:接收方设备的硬件地址;目标IP地址:接收方设备的IP地址.
1.
1.
3ARP地址解析过程假设主机A和B在同一个网段,主机A要向主机B发送信息.
如图1-2所示,具体的地址解析过程如下:28字节ARP请求/应答OP发送端MAC地址发送端IP地址目标MAC地址目标IP地址协议类型226144261硬件地址长度协议地址长度硬件类型1-2(1)主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项.
如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据报进行帧封装,并将IP数据报发送给主机B.
(2)如果主机A在ARP表中找不到对应的MAC地址,则将缓存该IP数据报,然后以广播方式发送一个ARP请求报文.
ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址.
由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理.
(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中.
之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址.
(4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去.
图1-2ARP地址解析过程当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址.
当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关.
如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B.
1.
1.
4ARP表设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发.
ARP表项分为动态ARP表项、静态ARP表项和OpenFlowARP表项.
1.
动态ARP表项动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖.
当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项.
2.
静态ARP表项静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖.
TargetIPaddress192.
168.
1.
1TargetIPaddress192.
168.
1.
2HostA192.
168.
1.
10002-6779-0f4cHostB192.
168.
1.
200a0-2470-febdTargetMACaddress0000-0000-0000SenderMACaddress00a0-2470-febdTargetMACaddress0002-6779-0f4cSenderIPaddress192.
168.
1.
1SenderMACaddress0002-6779-0f4cSenderIPaddress192.
168.
1.
21-3配置静态ARP表项可以增加通信的安全性.
静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信.
静态ARP表项分为短静态ARP表项、长静态ARP表项和多端口ARP表项.
在配置长静态ARP表项时,除了必须配置IP地址和MAC地址项外,还需要进行以下两种配置之一:该ARP表项所在VLAN和出接口;该ARP表项的入接口和出接口对应关系.
长静态ARP表项可以直接用于报文转发.
在配置短静态ARP表项时,只需要配置IP地址和MAC地址项.
如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN接口,短静态ARP表项不能直接用于报文转发,需要对表项进行解析:当要发送IP数据报时,设备先发送ARP请求报文,如果收到的响应报文中的发送端IP地址和发送端MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,此时,该短静态ARP表项由未解析状态变为解析状态,之后就可以用于报文转发.
配置多端口ARP表项时,除了配置IP地址和MAC地址外,还必须配置该ARP表项所在的VLAN,当多端口ARP表项中的MAC地址和VLAN信息与多端口单播MAC/组播MAC地址表项中的MAC地址和VLAN相同时,该多端口ARP表项可用来指导IP转发.
多端口ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖.
组播MAC的相关介绍,请参见"IP组播"的"组播路由与转发".
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入.
当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项.
3.
OpenFlowARP表项OpenFlowARP表项由OpenFlow添加,不会被老化,不能通过ARP报文更新.
可以直接用于转发报文.
关于OpenFlow的介绍,请参见"OpenFlow配置指导"中的"OpenFlow".
1.
2配置ARP1.
2.
1手工添加静态ARP表项静态ARP表项分为短静态ARP表项和长静态ARP表项:对于已经解析的短静态ARP表项,会由于外部事件,比如解析到的出接口状态down或设备的ARP表项所对应的VLAN或VLAN接口被删除等原因,恢复到未解析状态.
对于长静态ARP表项,根据设备的当前状态可能处于有效或无效两种状态.
处于无效状态的原因可能是该ARP表项对应的VLAN接口状态down或出接口状态down、该ARP表项中的IP地址与本地IP地址冲突或设备上没有与该ARP表项中的IP地址在同一网段的接口地址等原因.
处于无效状态的长静态ARP表项不能指导报文转发.
当长静态ARP表项所对应的VLAN或VLAN接口被删除时,该ARP表项会被删除.
静态ARP表项在设备正常工作时间一直有效.
1-4表1-1手工添加静态ARP表项操作命令说明进入系统视图system-view-手工添加静态ARP表项手工添加长静态ARP表项arpstaticip-addressmac-address[vlan-idinterface-typeinterface-number|interface-typeinterface-numberinterface-typeinterface-number|vsi-interfacevsi-interface-idtunnelnumbervsivsi-name|vsi-interfacevsi-interface-idinterface-typeinterface-numberservice-instanceinstance-idvsivsi-name][vpn-instancevpn-instance-name]二者选其一缺省情况下,不存在静态ARP表项手工添加短静态ARP表项arpstaticip-addressmac-address[vpn-instancevpn-instance-name]1.
2.
2手工添加多端口ARP表项在某些设备上,为使手工添加的多端口ARP表项生效,还必须创建Multiport类型业务环回组,并将设备的若干空闲端口加入该业务环回组.
关于业务环回组的创建和配置,请参见"二层技术-以太网交换配置指导"中的"业务环回组".
多端口ARP表项由多端口单播/组播MAC地址表项指定VLAN和出端口,由多端口ARP表项指定IP地址.
多端口ARP表项可以覆盖其它动态、短静态和长静态ARP表项;短静态或长静态ARP表项也可以覆盖多端口ARP表项.
多端口单播MAC的相关内容,请参见"二层技术-以太网交换命令参考/MAC地址表"中的命令mac-addressmultiport;组播MAC的相关内容,请参见"IP组播命令参考/IGMPSnooping"中的命令mac-addressmulticast.
当多端口ARP表项中IP地址与VLAN接口的IP地址属于同一网段,且存在对应的多端口单播MAC/组播MAC时,该多端口ARP表项才能正常指导转发.
表1-2手工添加多端口ARP表项操作命令说明进入系统视图system-view-配置多端口单播MAC地址表项或配置组播MAC地址表项配置多端口单播MAC地址表项mac-addressmultiportmac-addressinterfaceinterface-listvlanvlan-id二者必选其一配置组播MAC地址表项mac-addressmulticastmac-addressinterfaceinterface-listvlanvlan-id手工添加多端口ARP表项arpmultiportip-addressmac-addressvlan-id[vpn-instancevpn-instance-name]缺省情况下,不存在多端口ARP表项其中mac-address,vlan-id应该和多端口单播MAC或组播MAC中的1-5操作命令说明mac-address,vlan-id相一致1.
2.
3配置设备学习动态ARP表项的最大数目设备可以通过ARP协议自动生成动态ARP表项.
为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制.
当设备学习动态ARP表项的数目达到所设置的值时,该设备上将不再学习动态ARP表项.
表1-3配置设备学习动态ARP表项的最大数目操作命令说明进入系统视图system-view-配置设备允许学习动态ARP表项的最大数目(独立运行模式)arpmax-learning-numbermax-numberslotslot-number缺省情况下,设备允许学习动态ARP表项的最大个数为当前设备剩余资源的最大值交换网板不支持本功能当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止本设备学习动态ARP表项配置设备允许学习动态ARP表项的最大数目(IRF模式)arpmax-learning-numbermax-numberchassischassis-numberslotslot-number缺省情况下,设备允许学习动态ARP表项的最大个数为当前设备剩余资源的最大值交换网板不支持本功能当配置设备允许学习动态ARP表项的最大数目为0时,表示禁止本设备学习动态ARP表项当本命令配置的动态ARP表项的最大数目小于设备当前已经学到的动态ARP表项数目,已学到的动态ARP表项不会被直接删除,用户可以通过执行resetarpdynamic命令直接清除动态ARP表项.
1.
2.
4配置接口学习动态ARP表项的最大数目设备可以通过ARP协议自动生成动态ARP表项.
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制.
当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项.
如果二层接口及其所属的VLAN接口都配置了允许学习动态ARP表项的最大数目,则只有二层接口及VLAN接口上的动态ARP表项数目都没有超过各自配置的最大值时,才会学习ARP表项.
设备各接口学习的动态ARP表项之和不会超过该设备学习动态ARP表项的最大数目.
1-6表1-4配置接口学习动态ARP表项的最大数目操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口允许学习动态ARP表项的最大数目arpmax-learning-nummax-number[alarmalarm-threshold]缺省情况下,接口允许学习动态ARP表项的最大数目为当前设备剩余资源的最大值当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项1.
2.
5配置动态ARP表项的老化时间为适应网络的变化,ARP表需要不断更新.
ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将从ARP表中删除,这个生存周期被称作老化时间.
如果在到达老化时间前记录被刷新,则重新计算老化时间.
系统视图和接口视图下都可以配置动态ARP表项的老化时间,接口视图下配置的动态ARP表项的老化时间优先级高于系统视图下配置的动态ARP表项的老化时间.
表1-5在系统视图下配置动态ARP表项的老化时间操作命令说明进入系统视图system-view-配置动态ARP表项的老化时间arptimeraging{aging-minutes|secondaging-seconds}缺省情况下,动态ARP表项的老化时间为20分钟表1-6在接口视图下配置动态ARP表项的老化时间操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置动态ARP表项的老化时间arptimeraging{aging-minutes|secondaging-seconds}缺省情况下,动态ARP表项的老化时间以系统视图下配置的老化时间为准1.
2.
6配置动态ARP表项的老化探测次数某条动态ARP表项老化前,设备会向该表项中的IP地址发送ARP请求报文进行老化探测,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新,如果未收到应答,则删除此动态ARP表项.
动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程.
1-7系统视图和接口视图下都可以配置动态ARP表项老化探测次数,接口视图下配置的动态ARP表项老化探测次数优先级高于系统视图下配置的动态ARP表项老化探测次数.
表1-7在系统视图下配置动态ARP表项的老化探测次数操作命令说明进入系统视图system-view-配置动态ARP表项的老化探测次数arptimeragingprobe-countcount缺省情况下,动态ARP表项老化探测次数为3次表1-8在接口视图下配置动态ARP表项的老化探测次数操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置动态ARP表项的老化探测次数arptimeragingprobe-countcount缺省情况下,动态ARP表项老化探测次数以系统视图下配置的探测次数为准1.
2.
7配置动态ARP表项的老化探测时间间隔动态ARP表项老化刷新机制保证了合法的动态ARP表项不会被老化,流量转发时不需要重新发起ARP解析过程.
动态ARP表项老化前,设备会按照配置的老化探测时间间隔向该表项中的IP地址发送ARP请求报文进行老化探测.
如果在老化探测时间间隔内,设备收到ARP应答报文后,动态ARP表项的老化时间会刷新;如果在老化探测时间间隔内,设备未收到ARP应答报文,探测次数加1,开始下一次探测;如果到达最大探测次数后,设备仍未收到ARP应答报文,则该动态ARP表项会被删除.
如果网络负载较大,请配置较大的老化探测时间间隔.
动态ARP表项老化探测过程中,老化时间超时的动态ARP表项不会被马上删除.
在动态ARP表项老化探测过程结束前收到ARP应答报文后,动态ARP表项的老化时间还可以被刷新.
配置的动态ARP表项的老化时间需要大于配置的动态ARP表项的老化探测次数乘以配置的动态ARP表项的老化探测时间间隔.
否则,ARP表项老化探测功能可能无法按照配置的探测时间间隔进行探测.
表1-9在系统视图下配置动态ARP表项的老化探测时间间隔操作命令说明进入系统视图system-view-配置动态ARP表项的老化探测时间间隔arptimeragingprobe-intervalinterval缺省情况下,动态ARP表项老化探测时间间隔为5秒1-8表1-10在接口视图下配置动态ARP表项的老化探测时间间隔操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置动态ARP表项的老化探测时间间隔arptimeragingprobe-intervalinterval缺省情况下,动态ARP表项老化探测次数以系统视图下配置的探测次数为准1.
2.
8开启动态ARP表项的检查功能动态ARP表项检查功能可以控制设备上是否可以学习ARP报文中的发送端MAC地址为组播MAC的动态ARP表项.
开启ARP表项的检查功能后,设备上不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项.
关闭ARP表项的检查功能后,设备可以学习以太网源MAC地址为单播MAC且ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也可以手工添加MAC地址为组播MAC的静态ARP表项.
表1-11开启动态ARP表项的检查功能操作命令说明进入系统视图system-view-开启动态ARP表项的检查功能arpcheckenable缺省情况下,动态ARP表项的检查功能处于开启状态1.
2.
9将主用主控板的ARP表项同步到其他所有板当设备各板间出现了ARP表项不一致的异常情况时,执行该命令行后,可保证设备各板的ARP表项处于一致状态.
为了防止长时间工作后,各板间的ARP表项出现差异的情况,可通过schedule机制控制arpsmooth命令的起始时间及执行的时间间隔,关于schedule机制的介绍,请参见"基础配置指导"中的"设备管理".
表1-12将主用主控板的ARP表项同步到其他所有板操作命令说明将主用主控板的ARP表项同步到其他所有板arpsmooth-1.
2.
10配置接口为用户侧接口当接口连接终端主机时,可以配置接口为用户侧接口.
对于这种接口上学到的ARP表项,不再和设备上的路由信息相关联.
1-9当接口连接网络设备时,需要配置接口为网络侧接口.
对于这种接口上学到的ARP表项,可以与设备上的路由信息关联,可作为路由信息的下一跳.
通过实际使用情况,正确配置接口的工作模式,可以适当的节省硬件资源.

表1-13配置接口为用户侧接口操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口为用户侧接口arpmodeuni缺省情况下,接口为网络侧接口1.
2.
11开启ARP记录终端用户间IP地址冲突功能开启本功能后,ARP模块收到非免费ARP报文时,会将ARP报文中的发送端IP地址和已有ARP表项中的IP地址进行比较.
如果发现发送端IP地址和某条ARP表项中的IP地址相同,但MAC地址不同,则认为网络中存在终端用户间的IP地址冲突.
此时,ARP模块会生成终端用户间IP地址冲突表项,同时生成对应的IP地址冲突日志.
生成的IP地址冲突日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
表1-14开启ARP记录终端用户间IP地址冲突功能操作命令说明进入系统视图system-view-开启ARP记录终端用户间IP地址冲突功能arpuser-ip-conflictrecordenable缺省情况下,ARP记录终端用户间IP地址冲突功能处于关闭状态1.
2.
12开启ARP表项出接口和MAC地址表项出接口一致性检查功能当网络环境不稳定时,设备收到某个用户发送的报文的接口可能会发生变化.
这时,设备会更新该用户的MAC地址表项中的接口信息.
由于该用户对应的ARP表项的出接口信息无法及时更新,匹配该ARP表项的报文会从错误的接口转发出去.
开启本功能后,ARP会定时检查某个用户的ARP表项的出接口和MAC地址表项的出接口是否一致.
如果不一致,ARP会在该用户的ARP表项记录的VLAN内发送ARP请求报文进行探测,并将收到ARP应答报文的接口信息更新到ARP表项中,保证了ARP表项的出接口信息能够及时更新,解决了某个用户的ARP表项出接口和MAC地址表项出接口不一致的问题.
使用displaymac-address命令可以查看MAC地址表信息.
关于displaymac-address命令的详细描述,请参见"二层技术-以太网交换命令参考"中的"MAC地址表".
表1-15开启ARP表项出接口和MAC地址表项出接口一致性检查功能操作命令说明进入系统视图system-view-1-10开启ARP表项出接口和MAC地址表项出接口一致性检查功能arpmac-interface-consistencycheckenable缺省情况下,ARP表项出接口和MAC地址表项出接口一致性检查功能处于关闭状态1.
2.
13开启ARP记录终端用户端口迁移功能开启本功能后,设备收到ARP报文时,会将收到ARP报文中的信息和已有ARP表项进行比较.
如果发现ARP报文中的发送端IP地址和MAC地址与某条ARP表项中的IP地址和MAC地址相同,但端口不同,则认为该ARP表项对应的用户发生了端口迁移.
此时,设备会生成终端用户的迁移表项,同时生成对应用户的迁移日志,并刷新ARP表项中的接口信息.
生成的迁移日志将被发送给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
如果发生大量用户迁移操作时,设备会输出大量日志信息,这可能会降低设备性能.
为了避免该情况的发生,用户可以关闭ARP记录终端用户端口迁移功能.
表1-16开启ARP记录终端用户端口迁移功能操作命令说明进入系统视图system-view-开启ARP记录终端用户端口迁移功能arpuser-moverecordenable缺省情况下,ARP记录终端用户端口间迁移功能处于关闭状态1.
2.
14开启ARP日志信息功能ARP日志是为了满足网络管理员审计的需要,对处理ARP报文的信息进行的记录.
例如,ARP日志可以记录如下事件:设备未使能ARP代理功能时收到目的IP不是设备接口IP地址或VRRP备份组中的虚拟IP地址;收到的ARP报文中源地址和接收接口IP地址或VRRP备份组中的虚拟IP地址冲突,且此报文不是ARP请求报文等.
设备生成的ARP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
表1-17开启ARP日志信息功能操作命令说明进入系统视图system-view-开启ARP日志信息功能arpchecklogenable缺省情况下,ARP日志信息功能处于关闭状态1-111.
3ARP显示和维护清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致无法正常通信.
清除前请务必仔细确认.
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令清除ARP表项.
表1-18ARP显示和维护操作命令显示ARP表项(独立运行模式)displayarp[[all|dynamic|multiport|static][slotslot-number]|vlanvlan-id|interfaceinterface-typeinterface-number][count|verbose]显示ARP表项(IRF模式)displayarp[[all|dynamic|multiport|static][chassischassis-numberslotslot-number]|vlanvlan-id|interfaceinterface-typeinterface-number][count|verbose]显示指定IP地址的ARP表项(独立运行模式)displayarpip-address[slotslot-number][verbose]显示指定IP地址的ARP表项(IRF模式)displayarpip-address[chassischassis-numberslotslot-number][verbose]显示设备支持ARP表项的最大数目displayarpentry-limit显示指定VPN实例的ARP表项displayarpvpn-instancevpn-instance-name[count]显示OpenFlow类型ARP表项个数(独立运行模式)displayarpopenflowcount[slotslot-number]显示OpenFlow类型ARP表项个数(IRF模式)displayarpopenflowcount[chassischassis-numberslotslot-number]显示动态ARP表项的老化时间displayarptimeraging显示ARP记录的终端用户间IP地址冲突表项信息(独立运行模式)displayarpuser-ip-conflictrecord[slotslot-number]显示ARP记录的终端用户间IP地址冲突表项信息(IRF模式)displayarpuser-ip-conflictrecord[chassischassis-numberslotslot-number]显示ARP记录的终端用户迁移表项信息(独立运行模式)displayarpuser-moverecord[slotslot-number]显示ARP记录的终端用户迁移表项信息(IRF模式)displayarpuser-moverecord[chassischassis-numberslotslot-number]清除ARP表项(独立运行模式)resetarp{all|dynamic|interfaceinterface-typeinterface-number|multiport|slotslot-number|static}清除ARP表项(IRF模式)resetarp{all|chassischassis-numberslotslot-number|dynamic|interfaceinterface-typeinterface-number|multiport|static}1-121.
4ARP典型配置举例1.
4.
1长静态ARP表项配置举例1.
组网需求DeviceB连接主机,通过接口GigabitEthernet1/0/1连接DeviceA.
接口GigabitEthernet1/0/1属于VLAN10.
DeviceA的IP地址为192.
168.
1.
1/24,MAC地址为00e0-fc01-0000.
为了增加DeviceB和DeviceA通信的安全性,可以在DeviceB上为DeviceA配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址的映射关系.
2.
组网图图1-3长静态ARP表项配置组网图3.
配置步骤在DeviceB上进行下列配置.
#创建VLAN10.
system-view[DeviceB]vlan10[DeviceB-vlan10]quit#将接口GigabitEthernet1/0/1加入到VLAN10中.
[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]portaccessvlan10[DeviceB-GigabitEthernet1/0/1]quit#创建接口Vlan-interface10,并配置IP地址.
[DeviceB]interfacevlan-interface10[DeviceB-vlan-interface10]ipaddress192.
168.
1.
28[DeviceB-vlan-interface10]quit#配置一条长静态ARP表项,IP地址为192.
168.
1.
1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN10的接口GigabitEthernet1/0/1.
[DeviceB]arpstatic192.
168.
1.
100e0-fc01-000010gigabitethernet1/0/1DeviceAGE1/0/1VLAN10192.
168.
1.
1/2400e0-fc01-0000DeviceB1-13#查看长静态ARP表项信息.
[DeviceB]displayarpstaticType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVLAN/VSIInterfaceAgingType192.
168.
1.
100e0-fc01-000010GE1/0/1--S1.
4.
2短静态ARP表项配置举例1.
组网需求DeviceB通过接口GigabitEthernet1/0/1连接主机,通过接口GigabitEthernet1/0/2连接DeviceA.
DeviceA的IP地址为192.
168.
1.
1/24,MAC地址为00e0-fc01-001f.
网络管理员需要通过某种方法来防止恶意用户对DeviceB进行ARP攻击,增加DeviceB和DeviceA通信的安全性.
如果DeviceA的IP地址和MAC地址是固定的,则可以通过在DeviceB上配置静态ARP表项的方法,防止恶意用户进行ARP攻击.
2.
组网图图1-4短静态ARP表项配置组网图3.
配置步骤在DeviceB上进行下列配置.
#在接口GigabitEthernet1/0/2配置IP地址.
system-view[DeviceB]interfacegigabitethernet1/0/2[DeviceB-GigabitEthernet1/0/2]ipaddress192.
168.
1.
224[DeviceB-GigabitEthernet1/0/2]quit#配置一条短静态ARP表项,IP地址是192.
168.
1.
1,对应的MAC地址是00e0-fc01-001f.
[DeviceB]arpstatic192.
168.
1.
100e0-fc01-001f#查看短静态ARP表项信息.
[DeviceB]displayarpstaticType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidDeviceAGE1/0/2192.
168.
1.
2/24192.
168.
1.
1/2400e0-fc01-001fDeviceBGE1/0/11-14IPaddressMACaddressVLAN/VSIInterfaceAgingType192.
168.
1.
100e0-fc01-001fS1.
4.
3多端口ARP表项配置举例1.
组网需求Device连接服务器群,通过属于VLAN10的三个二层接口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3分别连接三台服务器.
服务器群的共享IP地址为192.
168.
1.
1/24,共享MAC地址为00e0-fc01-0000.
配置多端口ARP表项,使目的IP为192.
168.
1.
1的IP数据报文能同时发送到三台服务器上.
2.
组网图图1-5多端口ARP表项配置组网图3.
配置步骤在Device上进行下列配置.
#创建VLAN10.
system-view[Device]vlan10[Device-vlan10]quit#将接口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3加入到VLAN10中.
[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]portaccessvlan10[Device-GigabitEthernet1/0/1]quit[Device]interfacegigabitethernet1/0/2[Device-GigabitEthernet1/0/2]portaccessvlan10[Device-GigabitEthernet1/0/2]quit[Device]interfacegigabitethernet1/0/3[Device-GigabitEthernet1/0/3]portaccessvlan10[Device-GigabitEthernet1/0/3]quit#创建接口Vlan-interface10,并配置IP地址.
[Device]interfacevlan-interface10[Device-vlan-interface10]ipaddress192.
168.
1.
224ServerServerServerServergroup192.
168.
1.
1/2400e0-fc01-0000DeviceGE1/0/1GE1/0/3GE1/0/21-15[Device-vlan-interface10]quit#配置多端口单播MAC表项,MAC地址为00e0-fc01-0000,对应的出接口为GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3,接口属于VLAN10.
[Device]mac-addressmultiport00e0-fc01-0000interfacegigabitethernet1/0/1togigabitethernet1/0/3vlan10#配置一条多端口ARP表项,IP地址为192.
168.
1.
1,对应的MAC地址为00e0-fc01-0000.
[Device]arpmultiport192.
168.
1.
100e0-fc01-000010#查看ARP表项信息.
[Device]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVLAN/VSIInterfaceAgingType192.
168.
1.
100e0-fc01-000010----M2-12免费ARP2.
1免费ARP简介免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址.
设备通过对外发送免费ARP报文来实现以下功能:确定其它设备的IP地址是否与本机的IP地址冲突.
当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突.
设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项.
1.
免费ARP报文学习功能的作用开启了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改.
设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项.
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项.
如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源.
2.
定时发送免费ARP功能的作用定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:防止仿冒网关的ARP攻击如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络.
为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上开启定时发送免费ARP功能.
开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文.
这样,每台主机都可以学习到正确的网关,从而正常访问网络.
防止主机ARP表项老化在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象.
这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断.
为了解决上述问题,可以在网关的接口上开启定时发送免费ARP功能.
启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文.
这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象.
防止VRRP虚拟IP地址冲突2-2当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,从而确保网络中不会存在IP地址与Master路由器VRRP虚拟IP地址相同的设备.
免费ARP报文中的发送端MAC为VRRP虚拟路由器对应的虚拟MAC地址.
关于VRRP的详细介绍,请参见"可靠性配置指导"中的"VRRP".
2.
2配置免费ARP配置免费ARP时,需要注意:设备最多允许同时在1024个接口上开启定时发送免费ARP功能.
开启定时发送免费ARP功能后,只有当接口链路状态up并且配置IP地址后,此功能才真正生效.
如果修改了免费ARP报文的发送时间间隔,则在下一个发送时间间隔才能生效.
如果同时在很多接口下开启定时发送免费ARP功能,或者每个接口有大量的从IP地址,又或者是两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户设定的时间间隔.
表2-1配置免费ARP操作命令说明进入系统视图system-view-开启免费ARP报文学习功能gratuitous-arp-learningenable缺省情况下,免费ARP报文的学习功能处于开启状态开启设备收到非同一网段ARP请求时发送免费ARP报文功能gratuitous-arp-sendingenable缺省情况下,设备收到非同一网段的ARP请求时发送免费ARP报文功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number-开启定时发送免费ARP功能arpsend-gratuitous-arp[intervalinterval]缺省情况下,定时发送免费ARP功能处于关闭状态2.
3开启源IP地址冲突提示功能设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,如果收到对应的ARP应答后才提示存在IP地址冲突.
如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突.
表2-2开启源IP地址冲突提示功能操作命令说明进入系统视图system-view-开启源IP地址冲突提示功能arpip-conflictlogprompt缺省情况下,源IP地址冲突提示功能处于关闭状态2-32.
4配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔1.
功能简介当设备的MAC地址发生变化后,设备会通过免费ARP报文将修改后的MAC地址通告给其他设备.
由于目前免费ARP报文没有重传机制,其他设备可能无法收到免费ARP报文.
为了解决这个问题,用户可以配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔,保证其他设备可以收到该免费ARP报文.
2.
配置步骤表2-3配置当接口MAC地址变化时,该接口重新发送免费ARP报文的次数和时间间隔操作命令说明进入系统视图system-view-配置当接口MAC地址变化时,重新发送免费ARP报文的次数和时间间隔gratuitous-arpmac-changeretransmittimesintervalseconds缺省情况下,当设备的接口MAC地址变化时,该接口只会发送一次免费ARP报文3-13代理ARP3.
1代理ARP简介如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(ProxyARP).
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上.