华为交换机常见ARP操作

华为交换机常见ARP操作

查看ARP表项 display arp network 172.16.0.0 16 刷新ARP表项：先清除设备上的ARP表项，这样设备会重新学习ARP表项 reset arp all reset arp static[HUAWEI] undo arp static 172.16.20.1 0023-0045-0067 interface gigabitethernet 1/0/1reset arp interface vlanif 100 ip 172.16.20.1 //如果不指定IP地址，则删除设备上所有VLANIF100接口学习到的ARP表项 配置ARP老化时间：ARP老化时间仅对动态ARP表项生效，缺省值是20分钟[HUAWEI] vlan batch 100[HUAWEI] interface vlanif 100[HUAWEI-Vlanif100] arp expire-time 1800 display current-configuration | include arp //查看设备上已配置的动态ARP表项的老化时间 配置静态ARP表项：静态ARP表项不会被老化，不会被动态ARP表项覆盖通过手工方式配置静态ARP表项：（1）配置一条静态ARP表项，IP地址为172.16.10.2，MAC地址为0023-0045-0067，出接口GE1/0/1处于二层模式，此条ARP表项属于VLAN100[HUAWEI] vlan batch 100[HUAWEI] interface vlanif 100[HUAWEI-Vlanif100] ip address 172.16.10.1 24 //VLANIF接口的IP地址需要与静态ARP表项中的IP地址（172.16.10.2）同网段。[HUAWEI-GigabitEthernet1/0/1] port link-type trunk[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 //接口GigabitEthernet1/0/1处于二层模式，需要加入VLAN100。[HUAWEI] arp static 172.16.10.2 0023-0045-0067 vid 100 interface gigabitethernet 1/0/1 （2）配置一条静态ARP表项，IP地址为172.16.20.2，MAC地址为0023-0045-0068，出接口GE1/0/2处于三层模式。[HUAWEI-GigabitEthernet1/0/2] undo portswitch[HUAWEI-GigabitEthernet1/0/2] ip address 172.16.20.1 24 //GigabitEthernet1/0/2的IP地址需要与静态ARP表项中的IP地址（172.16.20.2）同网段[HUAWEI]arp static 172.16.20.2 0023-0045-0068 interface gigabitethernet 1/0/2（3）配置一条静态ARP表项，IP地址为172.16.30.2，MAC地址为0023-0045-0069，此静态ARP表项属于VPN实例vpn1。[HUAWEI] ip vpn-instance vpn1[HUAWEI-vpn-instance-vpn1] ipv4-family[HUAWEI]arp static 172.16.30.2 0023-0045-0069 vpn-instance vpn1（4）配置一条静态ARP表项，IP地址为172.16.40.2，MAC地址为02bf-0045-0070。（例如设备采用多端口ARP方式与NLB服务器群集连接时，可以配置这种短静态的ARP表项。）[HUAWEI] arp static 172.16.40.2 02bf-0045-0070通过自动扫描与固化方式批量配置静态ARP表项：（5）接口VLANIF103的IP地址为172.16.50.1/24，自动扫描该网段IP地址为172.16.50.2～172.16.50.4的ARP表项，并将学习到的ARP表项固化为静态ARP表项[HUAWEI] vlan batch 103[HUAWEI] interface vlanif 103[HUAWEI-Vlanif103] ip address 172.16.50.1 24[HUAWEI-GigabitEthernet1/0/3] port link-type trunk[HUAWEI-GigabitEthernet1/0/3] port trunk allow-pass vlan 103[HUAWEI]interface vlanif 103[HUAWEI-Vlanif103]arp scan 172.16.50.2 to 172.16.50.4 //在接口VLANIF103上进行自动扫描，172.16.50.2～172.16.50.4与VLANIF103接口的IP地址172.16.50.1在同一网段，即ARP自动扫描区间的起始IP地址和结束IP地址必须与VLANIF接口的IP地址（主IP地址或者从IP地址）在同一网段[HUAWEI-Vlanif103]arp fixup //在接口VLANIF103上进行固化，将学习的动态ARP表项固化为静态ARP表项 配置ARP代理：Proxy ARP分为路由式Proxy ARP、VLAN内Proxy ARP和VLAN间Proxy ARP（1）路由式Proxy ARP：需要互通的主机（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络（即不在同一广播域）的场景[HUAWEI] vlan batch 100[HUAWEI] interface vlanif 100[HUAWEI-Vlanif100] ip address 172.16.1.1 24[HUAWEI-Vlanif100] arp-proxy enable（2）VLAN内Proxy ARP：需要互通的主机处于相同网段，并且属于相同VLAN，但是VLAN内配置了端口隔离的场景[HUAWEI] vlan batch 100[HUAWEI] interface vlanif 100[HUAWEI-Vlanif100] ip address 172.16.1.1 24[HUAWEI-Vlanif100]arp-proxy inner-sub-vlan-proxy enable（3）VLAN间Proxy ARP：需要互通的主机处于相同网段，但属于不同VLAN的场景[HUAWEI] vlan batch 100[HUAWEI] interface vlanif 100[HUAWEI-Vlanif100] ip address 172.16.1.1 24[HUAWEI-Vlanif100]arp-proxy inter-sub-vlan-proxy enable 屏蔽基于源IP地址的ARP Miss告警：当某个源IP地址触发了ARP Miss告警，用户希望屏蔽此源IP地址的ARP Miss告警时，可以对这个IP地址的ARP Miss消息不进行限速[HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 0 //针对单个源地址[HUAWEI] arp-miss speed-limit source-ip maximum 0 //针对所有源地址 配置动态ARP检测（DAI）：主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新；DAI功能是基于绑定表（DHCP动态和静态绑定表）对ARP报文进行匹配检查；设备收到ARP报文时，将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较（比较的内容用户可以根据需要进行配置，例如可以只将ARP报文中的源IP地址和VLAN信息与绑定表的信息进行比较），如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。（1）设备上配置DHCP Snooping功能，并在设备与用户侧相连的接口上使能DAI功能[HUAWEI] dhcp enable[HUAWEI] dhcp snooping enable ipv4[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable //设备与用户侧相连的接口使能DHCP Snooping功能。[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //对于静态配置IP地址的用户，在设备上配置静态绑定表[HUAWEI-GigabitEthernet1/0/1]arp anti-attack check user-bind enable //设备与用户侧相连的接口使能DAI功能（2）设备上配置DHCP Snooping功能，并在用户侧所属VLAN内使能DAI功能[HUAWEI] dhcp enable[HUAWEI] dhcp snooping enable ipv4[HUAWEI] vlan 100[HUAWEI-vlan100] dhcp snooping enable //用户设备所属VLAN内使能DHCP Snooping功能[HUAWEI] vlan 200[HUAWEI-vlan200] dhcp snooping enable[HUAWEI-vlan200] dhcp snooping trusted interface gigabitethernet 1/0/2 //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //对于静态配置IP地址的用户，在设备上配置静态绑定表[HUAWEI] vlan 100[HUAWEI-vlan100]arp anti-attack check user-bind enable //用户侧所属VLAN内使能DAI功能。 配置ARP防网关冲突：如果有攻击者仿冒网关，在局域网内发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者，攻击者可轻易窃听到他们发送的数据内容，并且最终会造成这些用户主机无法访问网络。在网关设备上使能ARP防网关冲突攻击功能后，当设备收到的ARP报文存在下列情况之一时，设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播：ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC[HUAWEI] arp anti-attack gateway-duplicate enable //在网关设备上使能ARP防网关冲突攻击功能

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。