ARP相关配置技术

发布于:2025-07-16 ⋅ 阅读:(22) ⋅ 点赞:(0)

配置静态ARP表项

静态ARP表项在设备正常工作期间一直有效

静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,使得攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

# 配置一条静态ARP表项,IP地址为202.38.10.2,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet1/0/1。
[Sysname] arp static 202.38.10.2 00e0-fc01-0000 10 gigabitethernet 1/0/1
# 配置一条长静态ARP表项,IP地址为1.1.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为VE-L3VPN1下的VE-L2VPN1.1。
[Sysname] arp static 1.1.1.1 00e0-fc01-0000 ve-l3vpn 1 ve-l2vpn 1.1

reset arp dynamic 命令直接清除动态ARP表项

限制设备学习ARP表项个数

限制单板1上学习的ARP表项的最大个数为64。
[Sysname] arp max-learning-number 64 slot 1

配置接口上学习ARP表项的个数

# 配置VLAN接口40上可以学习动态ARP表项的最大个数为500。
[Sysname] interface vlan-interface 40
[Sysname-Vlan-interface40] arp max-learning-num 500
# 配置接口GigabitEthernet1/0/1上可以学习动态ARP表项的最大个数为1000。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp max-learning-num 1000

配置ARP动态学习老化时间

# 配置动态ARP表项的老化时间为10分钟。
[Sysname] arp timer aging 10

ARP网关保护功能

在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。

在接口上开启此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。

 int gi1/0/1
 arp filter source 192.168.11.254     #被保护的网关地址

开启动态ARP表项的检查

动态ARP表项检查功能可以控制设备上是否可以学习ARP报文中的发送端MAC地址为组播MAC的动态ARP表项。
  • 开启ARP表项的检查功能后,设备上不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项。
  • 关闭ARP表项的检查功能后,设备可以学习以太网源MAC地址为单播MAC且ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也可以手工添加MAC地址为组播MAC的静态ARP表项。
arp check enable    缺省情况即为开启

开启源IP地址冲突提示功能

arp ip-conflict log prompt

开启免费ARP报文学习功能

gratuitous-arp-learning enable 缺省即为开启

代理ARP

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
  • 普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
  • 本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
开启普通代理ARP功能。客户端发送ARP请求,接口将自己的MAC回复给客户端封装 
接口视图:proxy-arp enable

开启本地代理ARP功能

# 在接口GigabitEthernet1/0/1上开启本地代理ARP功能。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] local-proxy-arp enable
# 在接口GigabitEthernet1/0/1上开启本地代理ARP功能,并指定进行ARP代理的IP地址范围。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] local-proxy-arp enable ip-range 1.1.1.1 to 1.1.1.20


display local-proxy-arp   查询本地代理
display proxy-arp   查询普通代理

ARP Snooping

ARP Snooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARP Snooping表项。

ARP Snooping表项的老化时间为25分钟,有效时间为15分钟。

如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARP Snooping表项处于冲突状态,表项失效,不再对外提供服务,并在1分钟后删除此表项。

# 开启VLAN 2下的ARP Snooping功能。
[Sysname] vlan 2
[Sysname-vlan2] arp snooping enable


reset arp snooping        //清除ARP Snooping表项
dis arp snooping vlan 1        //显示ARP Snooping表项

ARP快速应答

ARP快速应答功能根据设备上生成的ARP Snooping表项包含的信息,在指定的VLAN内,对ARP请求进行应答,从而减少ARP广播报文。
设备收到ARP请求报文后,进行如下处理:
  1. 如果请求报文的目的IP地址是设备的VLAN接口的IP地址,则由ARP特性进行处理。如果ARP请求报文的目的IP地址不是VLAN接口的IP地址,则进行如下操作。
  2. 当设备上开启了ARP Snooping,则继续查找ARP Snooping表项,如果查找成功,当接口是无线网接口时,不管查找到的表项的接口和收到请求报文的接口是否一致,都直接进行应答;当接口是以太网接口时,当查找到的表项的接口和收到请求报文的接口一致,不进行应答,否则立即进行应答。如果查找失败,则继续进行如下步骤。
  3. ARP向指定VLAN内除收到请求报文的接口外的其他接口转发该请求报文或将报文交于其他特性处理。
arp fast-reply enable        //开启ARP快速应答功能

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布