选择区域语言: EN CN HK

04-三层技术配置指导

01-ARP配置

本章节下载  (341.99 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/WX5000/Configure/Operation_Manual/H3C_WX_CG-6W104/04/201208/751271_30005_0.htm

01-ARP配置


1 ARP配置

1.1  ARP简介

1.1.1  ARP作用

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。

1.1.2  ARP报文结构

ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。

图1-1 ARP报文结构

 

·              硬件类型:表示硬件地址的类型。它的值为1表示以太网地址;

·              协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址;

·              硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;

·              操作类型(OP):1表示ARP请求,2表示ARP应答;

·              发送端MAC地址:发送方设备的硬件地址;

·              发送端IP地址:发送方设备的IP地址;

·              目标MAC地址:接收方设备的硬件地址。

·              目标IP地址:接收方设备的IP地址。

1.1.3  ARP地址解析过程

假设主机A和B在同一个网段,主机A要向主机B发送信息。如图1-2所示,具体的地址解析过程如下:

(1)      主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。

(2)      如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。

(3)      主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。

(4)      主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。

图1-2 ARP地址解析过程

 

当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。

1.1.4  ARP

设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。

ARP表项分为动态ARP表项和静态ARP表项。

1. 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。

2. 静态ARP表项

静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

静态ARP表项分为长静态ARP表项、短静态ARP表项。

·              在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。

·              在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是VLAN接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,之后就可以用于IP数据包的转发。

说明

·       一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

·       当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。

 

1.2  配置ARP

1.2.1  手工添加静态ARP表项

静态ARP表项在设备正常工作时间一直有效,当设备的ARP表项所对应的VLAN或VLAN接口被删除时,如果是长静态ARP表项则被删除,如果是已经解析的短静态ARP表项则重新变为未解析状态。

表1-1 手工添加静态ARP表项

操作

命令

说明

进入系统视图

system-view

-

手工添加静态ARP表项

手工添加长静态ARP表项

arp static ip-address mac-address vlan-id interface-type interface-number

两者必选其一

手工添加短静态ARP表项

arp static ip-address mac-address

 

注意

·       参数vlan-id用于指定ARP表项所对应的VLAN,vlan-id必须是用户已经创建好的VLAN的ID,且vlan-id参数后面指定的以太网接口必须属于这个VLAN。VLAN对应的VLAN接口必须已经创建。

·       指定参数vlan-idip-address的情况下,参数vlan-id对应的VLAN接口的IP地址必须和参数ip-address指定的IP地址属于同一网段。

 

1.2.2  配置接口学习动态ARP表项的最大数目

表1-2 配置接口学习动态ARP表项的最大数目

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口允许学习动态ARP表项的最大数目

arp max-learning-num number

可选

本命令的缺省情况与设备的型号有关,请参见“导读”中的“命令行及参数差异情况”部分的介绍

当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项

 

1.2.3  配置动态ARP表项的老化时间

为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个老化时间,到达老化时间仍得不到刷新的记录将被从ARP表中删除。如果在到达老化时间前记录被刷新,则重新计算老化时间。用户可以根据网络实际情况调整老化时间。

表1-3 配置动态ARP的老化时间

操作

命令

说明

进入系统视图

system-view

-

配置动态ARP的老化时间

arp timer aging aging-time

可选

缺省情况下,动态ARP的老化时间为20分钟

 

1.2.4  使能动态ARP表项的检查功能

动态ARP表项检查功能可以控制设备上是否可以学习MAC地址为组播MAC的动态ARP表项。

·              使能ARP表项的检查功能后,设备上不能学习MAC地址为组播MAC的动态ARP表项。

·              关闭ARP表项的检查功能后,设备上可以学习MAC地址为组播MAC的动态ARP表项。

表1-4 使能动态ARP表项的检查功能

操作

命令

说明

进入系统视图

system-view

-

使能动态ARP表项的检查功能

arp check enable

可选

缺省情况下,使能动态ARP表项的检查功能

 

1.2.5  使能支持自然网段的ARP请求

学习ARP表项时,在发现ARP报文的源IP地址和入接口IP地址不在同一网段后,使用自然网段进行判断。

假设Vlan-interface10接口的IP地址为10.10.10.5/24,收到一个源IP地址为10.11.11.1/8的ARP报文,用接口的24位掩码与10.11.11.1进行与运算,得到的网段地址与接口IP地址不在同一网段,Vlan-interface10接口无法处理这个报文。如果使能支持自然网段的ARP请求功能,则通过接口IP地址所在自然网段的掩码进行判断,由于Vlan-interface10接口的IP地址为A类地址,因此默认掩码应该为8位,于是两个IP地址就在同一个网段,Vlan-interface10接口就可以学习源IP地址为10.11.11.1的ARP表项了。

表1-5 使能支持自然网段的ARP请求

操作

命令

说明

进入系统视图

system-view

-

使能支持自然网段的ARP请求

naturemask-arp enable

必选

缺省情况下,不使能支持自然网段的ARP请求

 

1.3  ARP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除ARP表中除授权类型外的ARP表项。

表1-6 ARP显示和维护

操作

命令

显示ARP表项

display arp [ [ all | dynamic | static ] | vlan vlan-id | interface interface-type interface-number ] [ count ] [ | { begin | exclude | include } regular-expression ]

显示指定IP地址的ARP表项

display arp ip-address  [ | { begin | exclude | include } regular-expression ]

显示动态ARP表项的老化时间

display arp timer aging [ | { begin | exclude | include } regular-expression ]

清除ARP表项

reset arp { all | dynamic | static | interface interface-type interface-number }

 

说明

清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致无法正常通信。清除前请务必仔细确认。

 

1.4  ARP典型配置举例

说明

该配置举例中对于以太网接口的配置,请参见表1-7,本配置举例以WX5004为例,实际使用中请以设备实际情况为准。

 

表1-7 以太网接口配置说明

硬件及型号

以太网接口配置前提说明

安装在交换机上的无线控制业务板

LSQM1WCMB0

LSQM1WCMD0

LSBM1WCM2A0

LSRM1WCM2A1

LSRM1WCM3A1

请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上)

说明

在交换机上使用命令oap connect slot slot-number 可以登录到LSQM1WCMB0 / LSQM1WCMD0 / LSBM1WCM2A0 / LSRM1WCM2A1 / LSRM1WCM3A1无线控制业务板上

LSWM1WCM10

LSWM1WCM20

请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上)

说明

在交换机上使用命令oap connect slot 1 slot-number system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上

有线无线一体化交换机

WX3024E

在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置

无线控制器

WX6103

在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置

WX5002V2

WX5004

直接在设备的GE口上配置

WX6100E

请直接在WX6100E的交换板的以太网接口上配置(无线控制业务板插在控制器的扩展插槽上)

说明

在无线控制器上使用命令oap connect slot slot-number 可以登录到EWPXM2WCMD0

无线控制业务板上

 

1. 组网需求

·              开启设备使能ARP表项的检查功能。

·              设置设备的动态ARP表项的老化时间为10分钟。

·              设置设备使能自然网段范围内的ARP请求。

·              设置接口Vlan-interface10上可以学习动态ARP表项的最大个数为1000。

·              增加一个静态ARP表项,IP地址为192.168.1.1/24,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet 1/0/1。

2. 配置步骤

<Sysname> system-view

[Sysname] arp check enable

[Sysname] arp timer aging 10

[Sysname] naturemask-arp enable

[Sysname] vlan 10

[Sysname-vlan10] quit

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port access vlan 10

[Sysname-GigabitEthernet1/0/1] quit

[Sysname] interface vlan-interface 10

[Sysname-vlan-interface10] arp max-learning-num 1000

[Sysname-vlan-interface10] quit

[Sysname] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet 1/0/1

 


2 免费ARP配置

2.1  免费ARP简介

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。

设备通过对外发送免费ARP报文来实现以下功能:

·              确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

·              设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。

1. 免费ARP报文学习功能的作用

使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:

·              如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;

·              如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。

关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。

2. 定时发送免费ARP功能的作用

说明

定时发送免费ARP功能的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。

 

定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:

(1)      防止仿冒网关的ARP攻击

如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。

为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上使能定时发送免费ARP功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。

(2)      防止主机ARP表项老化

在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。

为了解决上述问题,可以在网关的接口上使能定时发送免费ARP功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。

(3)      防止VRRP虚拟IP地址冲突

当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,从而确保网络中不会存在IP地址与VRRP虚拟IP地址相同的设备。

由于用户可以设定VRRP虚拟IP地址和MAC地址对应关系,因此有以下两种情况:

·              如果当前VRRP虚拟IP地址和虚拟MAC地址对应,则免费ARP报文中的源MAC地址为VRRP虚拟路由器对应的虚拟MAC地址。

·              如果当前VRRP虚拟IP地址和实际MAC地址对应,则免费ARP报文中的源MAC地址为VRRP备份组中Master路由器接口的MAC地址。

说明

关于VRRP的详细介绍,请参见“可靠性配置指导”中的“VRRP”。

 

2.2  配置免费ARP

表2-1 配置免费ARP

操作

命令

说明

进入系统视图

system-view

-

使能免费ARP报文学习功能

gratuitous-arp-learning enable

可选

缺省情况下,设备免费ARP报文的学习功能处于开启状态

使能收到非同一网段ARP请求时发送免费ARP报文功能

gratuitous-arp-sending enable

可选

缺省情况下,设备收到非同一网段的ARP请求时不发送免费ARP报文

进入接口视图

interface interface-type interface-number

-

使能定时发送免费ARP功能,并设置发送免费ARP报文的周期

arp send-gratuitous-arp [ interval milliseconds ]

可选

缺省情况下,定时发送免费ARP功能处于关闭状态

 

说明

·       设备最多允许同时在1024个接口上使能定时发送免费ARP功能。

·       配置定时发送免费ARP功能后,只有当接口链路up并且配置IP地址后,此功能才真正生效。

·       如果修改了免费ARP报文的发送周期,则在下一个发送周期才能生效。

·       如果同时在很多接口下使能定时发送免费ARP功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的发送频率可能会远远低于用户的预期。

 


3 ARP Snooping配置

3.1  ARP Snooping简介

3.1.1  作用

ARP Snooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARP Snooping表项,从而提供给ARP快速应答等使用。

3.1.2  工作机制

设备使能ARP Snooping后,所有接口接收的ARP报文均会被重定向到CPU。CPU对重定向上送的ARP报文进行分析,获取ARP报文的源IP地址、源MAC地址、VLAN和入端口信息,建立记录用户信息的ARP Snooping表项。

ARP Snooping表项的老化时间为25分钟,有效时间为15分钟。如果一个ARP Snooping表项自最后一次更新后15分钟内没有收到ARP更新报文,则此表项开始进入失效状态,不再对外提供服务,其他特性查找此表项将会失败。当收到源IP地址和源MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时,此ARP Snooping表项进行更新,重新开始生效,并重新老化计时。当ARP Snooping表项达到老化时间后,则将此ARP Snooping表项删除。

如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARP Snooping表项处于冲突状态,表项失效,不再对外提供服务,并在25分钟后删除此表项。

3.2  配置ARP Snooping

表3-1 配置ARP Snooping

操作

命令

说明

进入系统视图

system-view

-

使能ARP Snooping功能

arp-snooping enable

可选

缺省情况下,关闭ARP Snooping功能

 

3.3  ARP Snooping显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP Snooping的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除ARP Snooping表中的表项。

表3-2 ARP Snooping显示和维护

操作

命令

显示ARP Snooping表项

display arp-snooping [ ip ip-address | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]

清除ARP Snooping表项

reset arp-snooping [ ip ip-address | vlan vlan-id ]

 


4 ARP快速应答配置

4.1  ARP快速应答简介

4.1.1  作用

在无线产品组网中,AC与AP会建立隧道连接,Client通过AP连接到AC,通过AC,Client可以与网关建立连接。当Client通过它连接的AP广播发送一个ARP请求时,AC需要复制发送该ARP请求到所有的AP,这样会导致ARP广播占用隧道的大量资源,导致网络性能下降。为了减少ARP广播占用的隧道资源,可以在AC上启用ARP快速应答功能,减少ARP广播报文的影响。

ARP快速应答功能就是根据AC设备收集的用户信息(用户信息可以是DHCP Snooping表项,也可以是ARP Snooping表项),在指定的VLAN内,对ARP请求进行应答,从而减少ARP广播报文。

说明

关于DHCP Snooping的详细介绍,请参见“三层技术配置指导”中的“DHCP Snooping配置”。

 

4.1.2  工作机制

ARP快速应答的工作机制如下:

(1)      设备接收到ARP请求报文时,如果请求报文的目的IP地址是设备的VLAN接口的IP地址,则由ARP特性进行处理;

(2)      如果ARP请求报文的目的IP地址不是VLAN接口的IP地址,则根据报文中的目的IP地址查找DHCP Snooping表项:

·              如果查找成功,但是查找到的表项的接口和收到请求报文的接口一致,并且接口是以太网接口,则不进行应答,否则立即进行应答。

·              如果查找失败,则继续查找ARP Snooping表项,如果查找成功,但是查找到的表项的接口和收到请求报文的接口一致,并且接口是以太网接口,则不进行应答,否则立即进行应答。

·              如果两个表均查找失败,则向指定VLAN内除收到请求报文的接口外的其他接口转发该请求报文或将报文交于其他特性处理。

4.2  配置ARP快速应答

表4-1 配置ARP快速应答

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

使能ARP快速应答功能

arp fast-reply enable

必选

缺省情况下,ARP快速应答功能处于关闭状态

 

说明

·       VLAN使能ARP快速应答功能后,此VLAN内的DHCP Snooping功能也被使能。

·       为了提高ARP快速应答的几率,可以在应用ARP快速应答功能的场合同时使能ARP Snooping功能。

 

4.3  ARP快速应答典型配置举例

1. 组网需求

在Client 1、Client 2~Client 100、Client 101~Client 200无线终端分别通过AP 1、AP 2和AP 3接入网络,AP 1、AP 2和AP 3通过Switch和AC互连,所有无线终端接入VLAN为VLAN 1。

当Client 1需要访问Client 200时,Client 1发送ARP请求报文,ARP请求报文在AC上被复制发送给AP 2和AP 3,在具有多个AP的情况下,这种复制的广播会占用了大量的隧道资源。

为减少对隧道资源的占用,可以在AC使能ARP快速应答,减少网络中的ARP广播报文。使能ARP快速应答,并且Client 200通过DHCP服务器获得IP地址后,Client 1需要访问Client 200时,ARP请求报文可以在AC上得到应答,而AC不会再对报文进行复制,从而减少了对隧道资源的占用。

2. 组网图

图4-1 配置ARP快速应答组网图

 

3. 配置步骤

(1)      配置AC基本功能(详细介绍请参见“WLAN配置指导”中的“WLAN服务配置”)

# 使能WLAN服务(该命令可以不配置,因为缺省情况下该命令处于使能状态)。

<AC> system-view

[AC] wlan enable

# 配置WLAN ESS接口。

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服务模板并将WLAN-ESS接口与该服务模板绑定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid abc

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 在AC上配置AP 1。

[AC] wlan ap ap1 model WA2100

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置AP 1的射频。

[AC-wlan-ap-ap1] radio 1 type dot11g

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

说明

AP 2和AP 3的配置和AP 1类似,这里不逐一列出。

 

# 使能所有的射频。

[AC] wlan radio enable all

(2)      配置AC使能ARP Snooping。

[AC] arp-snooping enable

(3)      配置AC上VLAN 1使能ARP快速应答。

[AC] vlan 1

[AC-vlan1] arp fast-reply enable

[AC-vlan1] quit

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!