ARP

特性简介

ARP（Address Resolution Protocol，地址解析协议）是将IP地址解析为以太网MAC地址（或称物理地址）的协议。

设备通过ARP协议解析到目的MAC地址后，将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项，以用于后续到同一目的地报文的转发。

ARP表项分为两种：动态ARP表项、静态ARP表项。

动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。当到达老化时间、接口状态down时，系统会删除相应的动态ARP表项。

动态ARP表项可以固化为静态ARP表项，但被固化后无法再恢复为动态ARP表项。

为了防止部分接口下的用户占用过多的ARP资源，可以通过设置接口学习动态ARP表项的最大个数来进行限制。

静态ARP表项通过手工创建或由动态ARP表项固化而来，不会被老化，不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系，从而保护了本设备和指定设备间的正常通信。

一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。

ARP防护是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户。

当设备作为DHCP服务器时，设备收到ARP报文后，直接对报文进行转发；其他场景下，设备收到ARP报文后，如果找到与报文匹配的长静态ARP表项（即指定了报文转发的VLAN和接口的静态ARP表项），则对报文进行转发；否则认为是非法报文，直接丢弃。

长静态ARP表项的支持情况与设备型号有关，请以页面实际显示为准。

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

在配置本特性之前，需要完成以下任务：

ARP表项的具体配置步骤如下：

在ARP页面的“ARP列表”下，单击<新建>按钮，手工配置静态ARP表项，具体的配置参数如下表所示。

图-1 新建ARP

表-1 新建ARP参数表

参数	说明
VRF	ARP表项所属的VRF
IP地址	ARP表项的IP地址
MAC地址	ARP表项的MAC地址
描述	ARP表项的描述信息
指定报文转发的VLAN和接口	指定报文只在指定VLAN的特定接口上转发本功能的支持情况与设备型号有关，请以页面实际显示为准
VLAN	报文转发的VLAN，只有勾选“指定报文转发的VLAN和接口”才会显示本参数
接口	报文转发的接口，只有勾选“指定报文转发的VLAN和接口”才会显示本参数

在“新建ARP”页面，单击<确定>按钮，新建ARP表项会在ARP列表显示，类型显示为“静态”。
图-2 ARP列表
在“ARP列表”中，勾选类型为“动态”的ARP表项前的复选框，单击<固化>按钮，可以将动态ARP表项固化为静态ARP表项，类型显示为“静态”，固化后无法再恢复为动态ARP表项。
图-3 ARP表项固化

ARP防护的具体配置步骤如下：