• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S2126-EI以太网交换机 操作手册-Release22XX系列(V1.00)

18-ARP操作

本章节下载  (168.4 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S2100/S2126-EI/Configure/Operation_Manual/H3C_S2126-EI_OM-Release22XX(V1.00)/201009/690013_30005_0.htm

18-ARP操作


1 ARP配置

1.1  ARP简介

1.1.1  ARP作用

ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址。

IP地址只是主机在网络层中的地址,如果要将网络层中数据包传送给目的主机,必须知道目的主机的数据链路层地址(比如以太网络MAC地址)。因此必须将IP地址解析为数据链路层地址。

本章中除特殊说明,数据链路层地址均以48bit的以太网MAC地址为例。

 

1.1.2  ARP报文结构

ARP报文分为ARP请求和ARP应答报文,ARP请求和应答报文的格式如图1-1所示。

l              当一个ARP请求发出时,除了接收方硬件地址(即,请求方想要获取的地址)字段为空外,其他所有的字段都被使用。

l              ARP应答报文使用了所有的字段。

图1-1 ARP报文格式

 

ARP报文各字段的含义如表1-1所示。

表1-1 ARP报文字段解释

报文字段

字段含义

硬件类型

表示硬件接口的类型,合法取值请参见表1-2

协议类型

表示要映射的协议地址类型,它的值为0x0800即表示IP地址

硬件地址长度

数据报文中硬件地址以字节为单位的长度

协议地址长度

数据报文中协议地址以字节为单位的长度

操作码

指明数据报是ARP请求报文还是ARP应答报文

取值为1——数据报是ARP请求报文

取值为2——数据报是ARP应答报文

取值为3——数据报是RARP请求报文

取值为4——数据报是RARP应答报文

发送方硬件地址

发送方设备的硬件地址

发送方IP地址

发送方设备的IP地址

接收方硬件地址

接收方设备的硬件地址

ARP请求报文中——这个字段为空

ARP应答报文中——这个字段为应答报文返回的接收方硬件地址

接收方IP地址

接收方设备的IP地址

 

表1-2 合法硬件接口类型列表

类型

描述

1

以太网

2

实验以太网

3

X.25

4

Proteon ProNET(令牌环)

5

混沌网(chaos)

6

IEEE802.X

7

ARC网络

 

1.1.3  ARP

以太网上的两台主机需要通信时,双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表,称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射关系,每一条映射关系称为一条ARP表项。S2126-EI以太网交换机支持使用display arp命令查看ARP表项信息。

S2126-EI以太网交换机的ARP表项分为:静态表项和动态表项,如表1-3所示。

表1-3 ARP表项

分类

生成方式

维护方式

静态ARP表项

用户手工配置的IP地址到MAC地址的映射

手工维护

动态ARP表项

交换机动态生成的IP地址到MAC地址的映射

动态生成的ARP表项,通过动态ARP老化定时器设定的时间进行老化

 

1.1.4  ARP地址解析过程

图1-2 ARP地址解析过程

 

假设主机A和B在同一个网段,主机A要向主机B发送信息。地址解析过程如下:

(1)        主机A首先查看自己的ARP表,确定其中是否包含有与主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。

(2)        如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。

(3)        主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。

(4)        主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中用于后续报文的转发,同时将IP数据包进行封装后发送出去。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

1.1.5  免费ARP简介

免费ARP报文的特点:

l              报文中携带的源IP和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址。

l              当设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

设备通过对外发送免费ARP报文来实现以下功能:

l              确定其它设备的IP地址是否与本机的IP地址冲突。

l              使其它设备及时更新高速缓存中旧的该设备硬件地址。

设备通过学习免费ARP报文来实现以下功能:

交换机对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到自身的动态ARP映射表中。

1.1.6  ARP报文源MAC一致性检查功能简介

恶意用户可能通过工具软件,伪造网络中其他设备(或主机)的源IP或源MAC地址的ARP报文,进行发送,从而导致途径网络设备上的ARP表项刷新到错误的端口上,网络流量中断。

为了防御这一类ARP攻击,增强网络健壮性,S2126-EI以太网交换机作为网关设备时,支持配置ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,来校验其是否为伪造的ARP报文。

l              如果一致,则该ARP报文通过一致性检查,交换机进行正常的表项学习;

l              如果不一致,则认为该ARP报文是伪造报文,交换机不学习动态ARP表项的学习,也不根据该报文刷新ARP表项。

1.2  配置ARP

1.2.1  ARP基本配置

表1-4 ARP基本配置

操作

命令

说明

进入系统视图

system-view

-

手工添加静态ARP表项

arp static ip-address mac-address [ vlan-id interface-type interface-number ]

可选

缺省情况下,系统ARP映射表为空,地址映射由ARP协议动态获取

配置动态ARP表项的老化时间

arp timer aging aging-time

可选

缺省情况下,动态ARP表项的老化时间为20分钟

开启ARP表项的检查功能(即不学习源MAC地址为组播MAC的ARP表项)

arp check enable

可选

缺省情况下,ARP表项的检查功能处于开启状态

 

l    静态ARP表项在以太网交换机正常工作时间一直有效,但如果执行删除VLAN或把端口从VLAN中删除等使ARP表项不再合法的操作,则相应的静态ARP表项将被自动删除。

l    参数vlan-id必须是已经存在的VLAN ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。

l    目前,不支持在汇聚组中的端口上配置静态ARP表项。

 

1.3  配置免费ARP

表1-5 配置免费ARP

操作

命令

说明

进入系统视图

system-view

-

开启免费ARP报文学习功能

gratuitous-arp-learning enable

可选

缺省情况下,交换机的免费ARP报文学习功能处于关闭状态

 

S2126-EI以太网交换机在VLAN接口变为开启状态(包括链路开启或为VLAN接口配置IP地址),或VLAN接口的IP地址发生变化时,会对外发送免费ARP报文,这个操作不需命令行进行控制。

 

1.3.2  配置ARP报文源MAC一致性检查功能

表1-6 配置ARP报文源MAC一致性检查

操作

命令

说明

进入系统视图

system-view

-

开启ARP报文源MAC一致性检查功能

arp anti-attack valid-check enable

必选

缺省情况下,交换机ARP报文源MAC一致性检查功能处于关闭状态

 

1.4  ARP的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令清除ARP表项。

表1-7 ARP的显示和维护

操作

命令

说明

查看ARP映射表

display arp [ static | dynamic | ip-address ]

display命令可以在任意视图执行

查看包含指定内容的ARP映射表

display arp [ dynamic | static ] | { begin | include | exclude } regular-expression

查看指定类型的ARP表项的数目

display arp count [ [ dynamic | static ] [ | { begin | include | exclude } regular-expression ] | ip-address ]

查看动态ARP老化定时器的时间

display arp timer aging

清除ARP表项

reset arp [ dynamic | static | interface interface-type interface-number ]

reset命令在用户视图下执行

 

1.5  ARP典型配置举例

1.5.1  ARP基本配置举例

1. 组网需求

l              关闭ARP表项检查功能。

l              设置交换机上动态ARP表项的老化时间为10分钟。

l              增加一个静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为000f-e201-0000,对应的出端口为属于VLAN 1的端口Ethernet1/0/10。

2. 配置步骤

<Sysname> system-view

[Sysname] undo arp check enable

[Sysname] arp timer aging 10

[Sysname] arp static 192.168.1.1 000f-e201-0000 1 Ethernet1/0/10

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们