- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
17-ARP操作
本章节下载 (258.15 KB)
2.4.3 Isolate-user-vlan中的本地代理ARP配置举例
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为MAC地址的协议。
IP地址只是主机在网络层中的地址,如果要将网络层中数据包传送给目的主机,必须知道目的主机的MAC地址。因此必须将IP地址解析为MAC地址。
图1-1 ARP报文结构
l 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址;
l 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址;
l 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;
l 操作类型(OP):1表示ARP请求,2表示ARP应答;
l 发送端MAC地址:发送方设备的硬件地址;
l 发送端IP地址:发送方设备的IP地址;
l 目标MAC地址:接收方设备的硬件地址;
l 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
& 说明:
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。之后网关会广播ARP请求,目标IP地址为主机B的IP地址。当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B。
设备通过ARP解析到目标MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
(1) 动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。
(2) 静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。静态ARP表项分为短静态ARP表项和长静态ARP表项。
l 在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出端口。长静态ARP表项可以直接转发数据。
l 在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。短静态ARP表项不能直接用于报文转发。当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的IP地址和MAC与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的端口及端口所属VLAN加入该静态ARP表项中,之后就可以用于IP数据包的转发。
& 说明:
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
手工添加长静态ARP表项 |
arp static ip-address mac-address vlan-id interface-type interface-number |
必选 缺省情况下,没有配置任何长静态ARP表项 |
|
手工添加短静态ARP表项 |
arp static ip-address mac-address |
必选 缺省情况下,没有配置任何短静态ARP表项 |
注意:
l 静态ARP表项在设备正常工作时间一直有效,但如果设备的ARP表项所对应的VLAN或VLAN接口被删除时,则该ARP表项也将被删除。
l 参数vlan-id用于指定ARP表项所对应的VLAN,vlan-id必须是用户已经创建好的VLAN的ID,对应的VLAN接口必须已经创建,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface vlan-interface vlan-id |
- |
|
配置VLAN接口允许学习动态ARP表项的最大个数 |
arp max-learning-num number |
可选 缺省情况下,VLAN接口允许学习的动态ARP表项的最大个数为2048 |
动态ARP表项在到达老化时间后,会从ARP表中删除。用户可以根据网络实际情况调整老化时间。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置动态ARP的老化时间 |
arp timer aging aging-time |
可选 缺省情况下,动态ARP的老化时间为20分钟 |
ARP表项检查功能可以控制设备是否学习组播MAC地址。缺省情况下,S5500-SI系列以太网交换机开启ARP表项检查功能,即不学习组播MAC地址;关闭此功能,则对组播MAC地址进行学习。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启ARP表项的检查功能 |
arp check enable |
可选 缺省情况下,开启ARP表项的检查功能 |
l 开启设备ARP表项的检查功能。
l 设置设备的动态ARP表项的老化时间为10分钟。
l 增加一个静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000,出端口为属于VLAN10的端口GigabitEthernet1/0/2。
<Sysname> system-view
[Sysname] arp check enable
[Sysname] arp timer aging 10
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] interface vlan-interface 10
[Sysname- vlan-interface10] quit
[Sysname] interface GigabitEthernet 1/0/2
[Sysname-GigabitEthernet1/0/2] port access vlan 10
[Sysname-GigabitEthernet1/0/2] quit
[Sysname] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet1/0/2
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址。
设备通过对外发送免费ARP报文,实现以下功能:
l 确定其它设备的IP地址是否与本机IP地址冲突。
l 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
设备通过学习免费ARP报文,实现以下功能:
对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到本地动态ARP映射表中。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
开启发送免费ARP报文功能 |
gratuitous-arp-sending enable |
必选 缺省情况下,设备免费ARP报文发送功能处于关闭状态 |
|
开启免费ARP报文学习功能 |
gratuitous-arp-learning enable |
必选 缺省情况下,设备免费ARP报文学习功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP表项。
|
操作 |
命令 |
|
显示ARP表项 |
display arp { { all | dynamic | static } | vlan vlan-id | interface interface-type interface-number } [ [ | { begin | exclude | include } text ] | count ] |
|
显示指定IP地址的ARP表项 |
display arp ip-address [ | { begin | exclude | include } text ] |
|
显示动态ARP表项的老化时间 |
display arp timer aging |
|
清除ARP表项 |
reset arp { all | dynamic | static | interface interface-type interface-number } |
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。
代理ARP分为代理ARP和本地代理ARP。
同一网段内连接到设备的不同VLAN接口的主机可以利用设备的代理ARP功能,通过三层转发实现互通。
为了实现三层互通,在下面两种情况下需要开启本地代理ARP功能。
l S5500-SI系列以太网交换机下挂的交换机开启了二层端口隔离功能。
l S5500-SI系列以太网交换机下挂的交换机开启了isolate-user-vlan功能。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface vlan-interface vlan-id |
- |
|
开启代理ARP功能 |
proxy-arp enable |
必选 缺省情况下,关闭代理ARP功能 |
|
开启本地代理ARP功能 |
local-proxy-arp enable |
必选 缺省情况下,关闭本地代理ARP功能 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后代理ARP的运行情况,查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示代理ARP的状态 |
display proxy-arp [ interface vlan-interface vlan-id ] |
|
显示本地代理ARP的状态 |
display local-proxy-arp [ interface vlan-interface vlan-id ] |
PC1属于VLAN1,PC4属于VLAN2。通过在设备上启用代理ARP功能来实现PC1和PC4的通信。
图2-1 配置代理ARP组网图
# 配置代理ARP,实现PC1和PC4之间的通信。
<Sysname> system-view
[Sysname] vlan 1
[Sysname-vlan1] quit
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ip address 192.168.10.99 255.255.255.0
[Sysname-Vlan-interface1] proxy-arp enable
[Sysname-Vlan-interface1] quit
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.20.99 255.255.255.0
[Sysname-Vlan-interface2] proxy-arp enable
[Sysname-Vlan-interface2] quit
l Switch A(S5500-28C-SI)通过端口GE1/0/1与Switch B相连;
l PC1和PC2属于同一个VLAN,分别与Switch B的端口GE1/0/3和GE1/0/4相连;
l Switch B的端口GE1/0/3和GE1/0/4二层隔离;
l 实现被二层隔离的端口GE1/0/3和GE1/0/4之间三层互通。
图2-2 配置端口隔离时的本地代理ARP组网图
(1) 配置Switch B
# 在Switch B上,端口GE1/0/2、GE1/0/3、GE1/0/4属于VLAN2;但GE1/0/3和GE1/0/4二层隔离,即PC1和PC2之间二层报文不能互通。(略)
(2) 配置设备Switch A (S5500-28C-SI)
# 创建VLAN2,添加端口GE1/0/1到VLAN2。(略)
# 在设备Switch A上创建Vlan-interface2,配置本地代理ARP,实现PC1和PC2之间的三层互通。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] local-proxy-arp enable
[SwitchA-Vlan-interface2] quit
l Switch A(S5500-28C-SI)通过端口GE1/0/1与Switch B相连。
l 设备Switch B上的VLAN5为Isolate-user-vlan,包含上行端口GE1/0/1和两个Secondary VLAN(VLAN2和VLAN3),VLAN2包含端口GE1/0/2,VLAN3包含端口GE1/0/3。
l 实现VLAN2和VLAN3之间的三层互通。
图2-3 配置Isolate-user-vlan中的本地代理ARP组网图
(1) 配置设备Switch B
# 在设备Switch B上创建VLAN2、VLAN3和VLAN5;添加端口GE1/0/2到VLAN2,端口GE1/0/3到VLAN3,端口GE1/0/1到VLAN5;配置VLAN5为Isolate-user-vlan,VLAN2和VLAN3为Secondary VLAN;配置Isolate-user-vlan和Secondary VLAN间的映射关系。(略)
(2) 配置设备Switch A (S5500-28C-SI)
# 创建VLAN5,添加端口GE1/0/1到VLAN5。(略)
# 在设备Switch A上创建Vlan-interface5,配置本地代理ARP,实现VLAN2和VLAN3之间的三层互通。
<SwitchA> system-view
[SwitchA] interface vlan-interface 5
[SwitchA-Vlan-interface5] local-proxy-arp enable
[SwitchA-Vlan-interface5] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
