- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-ARP命令
本章节下载: 23-ARP命令 (171.95 KB)
目 录
1.1.4 arp protective-down recover enable
1.1.5 arp protective-down recover interval
1.1.8 arp restricted-forwarding enable
1.1.9 arp send-gratuitous enable vrrp
1.1.15 display arp detection statistics interface
1.1.16 display arp timer aging
1.1.17 gratuitous-arp-learning enable
3.1.3 resilient-arp interface vlan-interface
l 新增“端口ARP报文限速”特性,具体命令请参见1.1.4 arp protective-down recover enable、1.1.5 arp protective-down recover interval、1.1.6 arp rate-limit、1.1.7 arp rate-limit enable。
l 新增“ARP入侵检测”特性,具体命令请参见1.1.2 arp detection enable、1.1.3 arp detection trust、1.1.15 display arp detection statistics interface。
l 新增“周期发送免费ARP报文”特性,具体介绍请参见1.1.9 arp send-gratuitous enable vrrp。
l 新增“代理ARP”特性,具体介绍请参见2.1.1 arp proxy enable、2.1.2 display arp proxy。
【命令】
arp check enable
undo arp check enable
【视图】
系统视图
【参数】
无
【描述】
arp check enable命令用来开启ARP表项的检查功能。undo arp check enable命令用来关闭ARP表项的检查功能。
开启ARP表项检查功能后,若交换机接收到的ARP报文中的源MAC地址为组播MAC,则不进行动态ARP表项的学习;且交换机上不能配置MAC地址为组播MAC的静态ARP表项,否则会有错误提示。
关闭ARP表项检查功能后,可以对源MAC地址为组播MAC的ARP表项进行学习,且可以配置MAC地址为组播MAC的静态ARP表项。
缺省情况下,开启ARP表项的检查功能。
【举例】
# 关闭ARP表项的检查功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] undo arp check enable
【命令】
arp detection enable
undo arp detection enable
【视图】
VLAN视图
【参数】
无
【描述】
arp detection enable命令用来开启指定VLAN内所有端口的ARP入侵检测功能,即对该VLAN内端口收到的ARP报文的源IP地址、源MAC地址、接收ARP报文的端口编号以及端口所在VLAN的对应关系进行检测。如果端口接收的ARP报文的源IP地址、源MAC地址的对应关系不在DHCP Snooping表项或IP静态绑定表项中,或者接收ARP报文的端口编号、端口所在VLAN与DHCP Snooping表项或IP静态绑定表项不匹配,则ARP报文将被丢弃。undo arp detection enable命令用来关闭指定VLAN内所有端口的ARP入侵检测功能。
缺省情况下,交换机的ARP入侵检测功能处于关闭状态。
【举例】
# 开启VLAN 1内所有端口的ARP入侵检测功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] vlan 1
[Sysname-vlan1] arp detection enable
【命令】
arp detection trust
undo arp detection trust
【视图】
以太网端口视图
【参数】
无
【描述】
arp detection trust命令用来设置当前端口为ARP信任端口,即对于此端口接收的ARP报文将不进行ARP入侵检测,默认其为合法ARP报文。undo arp detection trust命令用来设置当前端口为非ARP信任端口。
缺省情况下,端口为非ARP信任端口。
【举例】
# 设置端口GigabitEthernet1/0/11为ARP信任端口。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface gigabitethernet 1/0/11
[Sysname-GigabitEthernet1/0/11] arp detection trust
【命令】
arp protective-down recover enable
undo arp protective-down recover enable
【视图】
系统视图
【参数】
无
【描述】
arp protective-down recover enable命令用来开启交换机的端口状态自动恢复功能。undo arp protective-down recover enable命令用来关闭交换机的端口状态自动恢复功能。
端口状态自动恢复功能指的是:对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
缺省情况下,交换机的端口状态自动恢复功能处于关闭状态。
【举例】
# 开启交换机的端口状态自动恢复功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] arp protective-down recover enable
【命令】
arp protective-down recover interval interval
undo arp protective-down recover interval
【视图】
系统视图
【参数】
interval:因ARP报文超速而被关闭的端口,端口状态由关闭恢复为开启的时间间隔,取值范围是10~86400,单位为秒。
【描述】
arp protective-down recover interval命令用来设置交换机上因ARP报文超速而被关闭的端口,端口状态由关闭恢复为开启的时间间隔。undo arp protective-down recover interval命令用来恢复缺省情况。
缺省情况下,当开启端口状态自动恢复功能后,其端口状态恢复时间为300秒。
需要注意的是:
l 用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间间隔。
l 如果当前端口已经因为ARP报文超速而被关闭,此时再使用arp protective-down recover interval命令修改端口状态自动恢复时间间隔,则被关闭的端口第一次恢复为开启状态的时间间隔还是原来设定的恢复时间间隔,下一次的端口恢复时间才更改为用户修改后的时间间隔。
【举例】
# 设置交换机的端口状态自动恢复时间为30秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] arp protective-down recover enable
[Sysname] arp protective-down recover interval 30
【命令】
arp rate-limit rate
undo arp rate-limit
【视图】
以太网端口视图
【参数】
rate:允许通过端口的ARP报文的最大速率,取值范围为10~1024,单位为包每秒(pps)。
【描述】
arp rate-limit命令用来配置允许通过端口的ARP报文的最大速率。开启ARP报文限速功能后,当每秒中通过当前端口的ARP报文的速率超过配置的最大值时,ARP报文将被丢弃。undo arp rate-limit命令用来恢复允许通过端口的ARP报文的最大速率为缺省情况。
缺省情况下,当开启端口的ARP报文限速功能后,允许通过端口的ARP报文的最大速率为15pps。
需要注意的是:用户必须先开启端口的ARP报文限速功能,然后才能使用arp rate-limit命令设置允许通过端口的ARP报文的最大速率。
【举例】
# 配置允许通过端口GigabitEthernet1/0/11的ARP报文的最大速率为100pps。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface gigabitethernet 1/0/11
[Sysname-GigabitEthernet1/0/11] arp rate-limit enable
[Sysname-GigabitEthernet1/0/11] arp rate-limit 100
【命令】
arp rate-limit enable
undo arp rate-limit enable
【视图】
以太网端口视图
【参数】
无
【描述】
arp rate-limit enable命令用来开启端口的ARP报文限速功能,即对通过当前端口的ARP报文进行限速。当每秒中通过当前端口的ARP报文的速率超过最大值(缺省情况的最大值为15pps)时,ARP报文将被丢弃。undo arp rate-limit enable命令用来关闭端口的ARP报文限速功能,即对通过端口的ARP报文不限速。
缺省情况下,端口的ARP报文限速功能处于关闭状态,即不对通过端口的ARP报文进行限速。
【举例】
# 开启端口GigabitEthernet1/0/11的ARP报文限速功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface gigabitethernet 1/0/11
[Sysname-GigabitEthernet1/0/11] arp rate-limit enable
【命令】
arp restricted-forwarding enable
undo arp restricted-forwarding enable
【视图】
VLAN视图
【参数】
无
【描述】
arp restricted-forwarding enable命令用来开启ARP严格转发功能,即从指定VLAN接收的,合法ARP请求报文只能通过已配置的信任端口进行转发;而合法ARP应答报文,首先按照报文中的目的MAC地址进行转发,若目的MAC地址不在MAC地址表中,则将此ARP应答报文通过信任端口进行转发。undo arp restricted-forwarding enable命令用来关闭ARP严格转发功能。
缺省情况下,ARP严格转发功能关闭。
相关配置可参考命令arp detection enable,arp detection trust。
【举例】
# 在VLAN 1中开启ARP严格转发功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] vlan 1
[Sysname-vlan1] arp restricted-forwarding enable
【命令】
arp send-gratuitous enable vrrp
undo arp send-gratuitous enable vrrp
【视图】
系统视图
【参数】
无
【描述】
arp send-gratuitous enable vrrp命令用来开启VRRP备份组的Master交换机周期发送免费ARP报文功能。开启该功能后,网络中的主机会根据接收的免费ARP报文,更新本地ARP表,防御网络中其它设备的IP地址与VRRP虚拟路由器IP地址相同。undo arp send-gratuitous enable vrrp命令用来关闭VRRP备份组的Master交换机周期发送免费ARP报文功能。
缺省情况下,VRRP备份组的Master交换机周期发送免费ARP报文功能处于关闭状态。
需要注意的是:在开启VRRP备份组的Master交换机周期发送免费ARP报文功能之前,需要先进行VRRP备份组的创建及相关配置,具体请参见本手册的“VRRP”部分。
【举例】
# 开启VRRP备份组的Master交换机周期发送免费ARP报文功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] arp send-gratuitous enable vrrp
【命令】
arp static ip-address mac-address [ vlan-id interface-type interface-number ]
arp static ip-address mac-address vlan-id(以太网端口视图)
undo arp ip-address
【视图】
系统视图、以太网端口视图
【参数】
ip-address:ARP表项的IP地址部分。
mac-address:ARP表项的MAC地址部分,格式为H-H-H。
vlan-id:静态ARP表项所属的VLAN,取值范围为1~4094。
interface-type:静态ARP表项所属端口的端口类型。
interface-number:静态ARP表项所属端口的端口编号。
【描述】
arp static命令用来配置ARP映射表中的静态ARP表项。undo arp命令用来删除ARP表项。
缺省情况下,系统ARP映射表为空,地址映射由ARP协议动态获取。
需要注意的是:
l 静态ARP表项在以太网交换机正常工作时间内一直有效,但如果执行删除VLAN或把端口从VLAN中删除等使ARP表项不再合法的操作,则相应的静态ARP表项将被自动删除。
l 参数vlan-id必须是已经存在的VLAN ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。
l 目前,不支持在汇聚组中的端口上配置静态ARP表项。
相关配置可参考命令reset arp,display arp。
【举例】
# 配置IP地址202.38.10.2对应的MAC地址为000f-e20f-0000,属于VLAN 1的以太网端口GigabitEthernet1/0/1。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] arp static 202.38.10.2 000f-e20f-0000 1 gigabitethernet 1/0/1
【命令】
arp timer aging aging-time
undo arp timer aging
【视图】
系统视图
【参数】
aging-time:动态ARP表项的老化时间。取值范围为1~1440,单位为分钟。
【描述】
arp timer aging命令用来配置动态ARP表项的老化时间。undo arp timer aging命令用来恢复动态ARP表项的老化时间为缺省值。
缺省情况下,动态ARP表项的老化时间为20分钟。
相关配置可参考命令:display arp timer aging。
【举例】
# 配置动态ARP表项的老化时间为10分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] arp timer aging 10
【命令】
display arp [ dynamic | static | ip-address ]
【视图】
任意视图
【参数】
dynamic:显示动态ARP表项。
static:显示静态ARP表项。
ip-address:显示指定IP地址的ARP表项。
【描述】
display arp命令用来显示ARP表项。
当不带任何可选参数的时候,将显示所有ARP表项。
相关配置可参考命令arp static,reset arp。
【举例】
# 显示所有ARP表项。
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Port Name / AL ID Aging Type
10.2.72.162 000a-000a-0aaa N/A N/A N/A S
192.168.0.77 0000-e8f5-6a4a 1 GigabitEthernet1/0/2 13 D
192.168.0.2 000d-88f8-4e88 1 GigabitEthernet1/0/2 14 D
192.168.0.200 0014-222c-9d6a 1 GigabitEthernet1/0/2 14 D
192.168.0.45 000d-88f6-44c1 1 GigabitEthernet1/0/2 15 D
192.168.0.110 0011-4301-991e 1 GigabitEthernet1/0/2 15 D
192.168.0.32 0000-e8f5-73ee 1 GigabitEthernet1/0/2 16 D
192.168.0.3 0014-222c-aa69 1 GigabitEthernet1/0/2 16 D
192.168.0.17 000d-88f6-379c 1 GigabitEthernet1/0/2 17 D
192.168.0.115 000d-88f7-9f7d 1 GigabitEthernet1/0/2 18 D
192.168.0.43 000c-760a-172d 1 GigabitEthernet1/0/2 18 D
192.168.0.33 000d-88f6-44ba 1 GigabitEthernet1/0/2 20 D
192.168.0.35 000f-e20f-2181 1 GigabitEthernet1/0/2 20 D
192.168.0.5 000f-e280-2b38 1 GigabitEthernet1/0/2 20 D
--- 14 entries found ---
表1-1 display arp命令显示信息描述表
|
字段 |
描述 |
|
IP Address |
ARP表项的IP地址 |
|
MAC Address |
ARP表项的MAC地址 |
|
VLAN ID |
ARP表项对应的VLAN ID |
|
Port Name / AL ID |
ARP表项对应的端口 |
|
Aging |
ARP表项的老化时间,单位为分钟 静态ARP表项的老化时间显示为“N/A” |
|
Type |
ARP表项的类型:动态,用D表示;静态,用S表示 |
【命令】
display arp [ dynamic | static] | { begin | exclude | include } regular-expression
【视图】
任意视图
【参数】
dynamic:显示动态ARP表项。
static:显示静态ARP表项。
|:用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍请参见本手册“配置文件管理”模块。
begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式。
exclude:显示不含指定正则表达式的行。
include:显示包含指定正则表达式的行。
regular-expression:正则表达式,区分大小写。
【描述】
display arp | 命令用来显示指定内容的ARP表项。
相关配置可参考命令arp static,reset arp。
【举例】
# 显示包含指定字符串“77”的ARP表项。
<Sysname> display arp | include 77
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Port Name / AL ID Aging Type
192.168.0.77 0000-e8f5-6a4a 1 GigabitEthernet1/0/2 12 D
--- 1 entry found ---
# 显示不包含指定字符串“68”的ARP表项。
<Sysname> display arp | exclude 68
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Port Name / AL ID Aging Type
10.2.72.162 000a-000a-0aaa N/A N/A N/A S
--- 1 entry found ---
显示信息中各字段的解释,请参见表1-1。
【命令】
display arp count [ [ dynamic | static ] [ | { begin | exclude | include } regular-expression ] | ip-address ]
【视图】
任意视图
【参数】
dynamic:动态ARP表项。
static:静态ARP表项。
|:用正则表达式对统计信息进行过滤。有关正则表达式的详细介绍请参见本手册“配置文件管理”模块。
begin:统计特定行及其以后的所有行的ARP表项的数目,该特定行必须包含指定正则表达式。
exclude:统计不含指定正则表达式的ARP表项的数目。
include:统计包含指定正则表达式的ARP表项的数目。
regular-expression:正则表达式,区分大小写。
ip-address:显示指定IP地址的ARP表项的数目。
【描述】
display arp count命令用来显示指定类型的ARP表项的数目;当不带任何可选参数时,用来显示所有ARP表项的数目。
相关配置可参考命令arp static,reset arp。
【举例】
# 显示所有ARP表项的数目。
<Sysname> display arp count
14 entries found
display arp detection statistics interface interface-type interface-number
【视图】
任意视图
【参数】
interface-type interface-number:端口类型和端口编号。
【描述】
display arp detection statistics interface命令用来显示指定端口的ARP入侵检测功能的状态,ARP端口信任功能的状态,及该端口下被丢弃掉的非法ARP报文(未通过ARP入侵检测)的数量。
需要注意的是,如果ARP入侵检测功能关闭,则不会显示后两项信息。
【举例】
# 显示交换机GigabitEthernet1/0/10端口下被丢弃的非法ARP报文的数量。
<Sysname> display arp detection statistics interface gigabitethernet1/0/10
ARP DETECTION : ENABLE
ARP PORT TRUST : DISABLE
INVALID ARP PACKETS : 31
表1-2 display arp detection statistics interface命令显示信息描述表
|
字段 |
描述 |
|
ARP DETECTION |
ARP入侵检测功能的状态:ENABLE表示开启,DISABLE表示关闭 |
|
ARP PORT TRUST |
ARP端口信任功能的状态:ENABLE表示开启,DISABLE表示关闭 |
|
INVALID ARP PACKETS |
被丢弃的非法ARP报文(未通过ARP入侵检测)的数量 |
【命令】
display arp timer aging
【视图】
任意视图
【参数】
无
【描述】
display arp timer aging命令用来显示动态ARP表项的老化时间。
相关配置可参考命令arp timer aging。
【举例】
# 显示动态ARP表项的老化时间。
<Sysname> display arp timer aging
Current ARP aging time is 20 minute(s)(default)
以上显示信息表示动态ARP表项的老化时间为20分钟。
【命令】
gratuitous-arp-learning enable
undo gratuitous-arp-learning enable
【视图】
系统视图
【参数】
无
【描述】
gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。开启该功能后,交换机对于收到的免费ARP报文,如果自身ARP表中没有与此报文源IP地址对应的ARP表项,就将免费ARP报文中携带的源IP地址,源MAC地址信息添加到动态ARP映射表中。undo gratuitous-arp-learning enable命令用来关闭免费ARP报文的学习功能。
缺省情况下,交换机上的免费ARP报文学习功能处于开启状态。
【举例】
# 在交换机上开启免费ARP报文学习功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] gratuitous-arp-learning enable
【命令】
reset arp [ dynamic | static | interface interface-type interface-number ]
【视图】
用户视图
【参数】
dynamic:清除动态ARP表项。
static:清除静态ARP表项。
interface interface-type interface-number:清除指定端口的ARP表项。interface-type表示端口类型,interface-number表示端口编号。
【描述】
reset arp命令用来清除符合条件的ARP表项。
相关配置可参考命令arp static,display arp。
【举例】
# 清除静态ARP表项。
<Sysname> reset arp static
【命令】
arp proxy enable
undo arp proxy enable
【视图】
VLAN接口视图
【参数】
无
【描述】
arp proxy enable命令用来开启当前VLAN接口的代理ARP功能。undo arp proxy enable命令用来关闭当前VLAN接口的代理ARP功能。
缺省情况下,交换机VLAN接口的代理ARP功能处于关闭状态。
相关配置可参考命令display arp proxy。
【举例】
# 在Vlan-interface2上开启代理ARP功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] arp proxy enable
【命令】
display arp proxy [ interface Vlan-interface vlan-id ]
【视图】
任意视图
【参数】
interface Vlan-interface vlan-id:显示指定VLAN接口的代理ARP的状态。
【描述】
display arp proxy命令用来显示代理ARP的状态:开启或关闭。选择interface Vlan-interface vlan-interface-id参数时,显示指定VLAN接口的代理ARP状态,不带该参数则显示所有VLAN接口的代理ARP状态。
相关配置可参考命令arp proxy enable。
【举例】
# 显示所有VLAN接口的代理ARP配置情况。
<Sysname> display arp proxy
Interface Vlan-interface1
Proxy ARP status: enabled
Interface Vlan-interface2
Proxy ARP status: enabled
Interface Vlan-interface3
Proxy ARP status: disabled
# 显示Vlan-interface2的代理ARP状态。
<Sysname> display arp proxy interface Vlan-interface 2
Interface Vlan-interface2
Proxy ARP status: enabled
表2-1 display arp proxy 命令显示信息描述表
|
字段 |
描述 |
|
Interface |
VLAN接口名 |
|
Proxy ARP status |
代理ARP的状态:enabled表示开启,disabled表示关闭 |
【命令】
display resilient-arp [ unit unit-id ]
【视图】
任意视图
【参数】
unit unit-id:当交换机处于Fabric中时,显示Fabric中指定设备上Resilient ARP信息。uinit-id表示需要查看Resilient ARP信息的设备编号,取值范围为1~8。
【描述】
display resilient-arp命令用来显示各Unit的Resilient ARP状态信息、可发送Resilient ARP报文的VLAN接口。
如果没有指定unit-id,则显示所有Unit的Resilient ARP的状态信息;如果指定了unit-id,则只显示指定Unit上的Resilient ARP状态信息。
【举例】
# 显示Unit1的Resilient ARP的状态信息。
<Sysname> display resilient-arp unit 1
The state of unit 1 is: L3Master
The sending interface(s):
Vlan-interface1
Vlan-interface2
以上显示信息表示Unit 1的Resilient ARP当前状态是L3Master,可发送Resilient ARP报文的VLAN接口是Vlan-interface1和Vlan-interface2。
【命令】
resilient-arp enable
undo resilient-arp enable
【视图】
系统视图
【参数】
无
【描述】
resilient-arp enable命令用来开启Resilient ARP功能。交换机根据当前的状态进行不同的处理,当Fabric内部连接中断后,可以通过冗余链路所在的VLAN接口定时发送Resilient ARP报文,从而决定设备是作为三层设备还是二层设备。undo resilient-arp enable命令用来关闭Resilient ARP功能。
缺省情况下,Resilient ARP功能处于开启状态。
相关配置可参考命令display resilient-arp。
【举例】
# 开启Resilient ARP功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] resilient-arp enable
【命令】
resilient-arp interface Vlan-interface vlan-id
undo resilient-arp interface Vlan-interface vlan-id
【视图】
系统视图
【参数】
vlan-id:VLAN接口编号。
【描述】
resilient-arp interface Vlan-interface命令用来配置可发送Resilient ARP报文的VLAN接口。undo resilient-arp interface Vlan-interface命令用来删除可发送Resilient ARP报文的VLAN接口。
缺省情况下,从Vlan-interface1接口发送Resilient ARP报文。
需要注意的是,此命令只能配置通过哪个VLAN接口发送Resilient ARP报文,而所有的VLAN接口都能接收Resilient ARP报文。
相关配置可参考命令display resilient-arp。
【举例】
# 配置可发送Resilient ARP报文的VLAN接口为Vlan-interface2。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] resilient-arp interface vlan-interface 2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
