01-02 ARP配置

由天下分享时间：2024/5/10 14:38:19 加入收藏我要投稿点赞

E600 教育网系列交换机配置指南-IP业务

2 ARP配置

长静态ARP表项：手工建立IP地址和MAC地址之间固定的映射关系，并同时指定该ARP表项所在VLAN和出接口。

长静态ARP表项可以直接用于报文转发。建议用户采用长静态ARP表项。

应用场景

正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习，生成的动态ARP表项可以被老化，可以被更新。但是当网络中存在ARP攻击时，设备中动态ARP表项可能会被更新成错误的ARP表项，或者被老化，造成合法用户通信异常。静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址，此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系，从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。对于以下场景，用户可以配置静态ARP表项。l

对于网络中的重要设备，如服务器等，可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新，从而保证用户与重要设备之间正常通信。

当网络中用户设备的MAC地址为组播MAC地址时，可以在交换机上配置静态ARP表项。缺省情况下，设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。

当希望禁止某个IP地址访问设备时，可以在交换机上配置静态ARP表项，将该IP地址与一个不存在的MAC地址进行绑定。

2.2.3 免费ARP

设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称免费ARP。免费ARP有如下作用：l

IP地址冲突检测：当设备接口的协议状态变为Up时，设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答，如果收到，则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突，设备会周期性的广播发送免费ARP应答报文，直到冲突解除。

用于通告一个新的MAC地址：发送方更换了网卡，MAC地址变化了，为了能够在动态ARP表项老化前通告网络中其他设备，发送方可以发送一个免费ARP。

设备收到免费ARP报文后，ll

如果未使能ARP表项严格学习功能，设备会进行ARP学习。如果使能了ARP表项严格学习功能，则进行如下判断：––

如果免费ARP报文中源IP地址和自己的IP地址相同，则周期性的广播发送免费ARP应答报文，告知此IP地址在网络中存在冲突，直到冲突解除。

如果免费ARP报文中源IP地址和自己的IP地址不同，免费ARP报文是在

VLANIF接口收到的，并且设备上已经有免费ARP报文中源IP地址对应的动态ARP表项，则进行ARP学习，即根据收到的免费ARP报文更新该ARP表项。其余情况收到免费ARP报文后均不进行ARP学习。

缺省情况下，设备未使能ARP表项严格学习功能。

E600 教育网系列交换机配置指南-IP业务

说明2 ARP配置

ARP表项严格学习的应用请参见《E600 V200R010C00 配置指南-安全》 ARP安全配置中的“配置ARP表项严格学习”。

免费ARP在安全中的应用请参见《E600 V200R010C00 配置指南-安全》 ARP安全配置中的“发送免费ARP报文”。

2.2.4 Proxy ARP

如果ARP请求是从一个网络的主机发往同一网段但不在同一物理网络上的另一台主机，那么连接这两个网络的设备就可以回答该ARP请求，这个过程称作ARP代理(ProxyARP)。

Proxy ARP分为路由式Proxy ARP、VLAN内Proxy ARP，如表2-2所示。表2-2 Proxy ARP方式Proxy ARP方式路由式Proxy ARPVLAN内Proxy ARP

Proxy ARP有以下特点：lll

Proxy ARP部署在网关上，网络中的主机不必做任何改动。

Proxy ARP可以隐藏物理网络细节，使两个物理网络可以使用同一个网络号。Proxy ARP只影响主机的ARP表，对网关的ARP表和路由表没有影响。

适用场景需要互通的主机（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络（即不在同一广播域）的场景。需要互通的主机处于相同网段，并且属于相同VLAN，但是VLAN内配置了端口隔离的场景。路由式Proxy ARP

路由式Proxy ARP就是使那些在同一网段却不在同一物理网络上的网络设备能够相互通信的一种功能。

在实际应用中，如果连接设备的主机上没有配置缺省网关地址（即不知道如何到达本网络的中介系统），此时将无法进行数据转发。

如图2-3所示，Host_1的IP地址为172.16.1.10/16，Host_2的IP地址为172.16.2.20/16，Host_1与Host_2处于同一网段。Switch通过VLAN10和VLAN20连接两个网络，VLANIF10和VLANIF20的IP地址不在同一个网段。图2-3 路由式Proxy ARP典型组网应用

Switch中的ARP表项IP地址MAC地址172.16.1.100025-9e01-0001172.16.2.200025-9e01-0002VLANIF10VLANIF20Host_1172.16.1.1/24Switch172.16.2.1/24172.16.1.10/160025-9e01-00030025-9e01-00040025-9e01-0001

Host_1中的ARP表项Host_2中IP地址MAC地址IP地址172.16.2.200025-9e01-0003172.16.1.10Host_2

E600 教育网系列交换机配置指南-IP业务

2 ARP配置

当Host_1需要与Host_2通信时，由于目的IP地址与本机的IP地址为同一网段，因此Host_1以广播形式发送ARP请求报文，请求Host_2的MAC地址。但是，由于两台主机处于不同的物理网络（不同广播域）中，Host_2无法收到Host_1的ARP请求报文，因此也就无法应答。

通过在Switch上启用路由式Proxy ARP功能，可以解决此问题。启用路由式Proxy ARP后，Switch收到ARP请求报文后，Switch会查找路由表。由于Host_2与Switch直连，因此Switch上存在到Host_2的路由表项。Switch使用自己的MAC地址给Host_1发送ARP应答报文。Host_1将以Switch的MAC地址进行数据转发。此时，Switch相当于Host_2的代理。如图2-3所示，Host_1上的ARP表项中到目的地址Host_2的IP地址对应的MAC地址为Switch的VLANIF10接口的MAC地址。

VLAN内Proxy ARP

如果两个用户属于相同的VLAN，但VLAN内配置了端口隔离。此时用户间需要三层互通，可以在关联了VLAN的接口上启动VLAN内Proxy ARP功能。

如图2-4所示，Host_1和Host_2是Switch设备下的两个用户。连接Host_1和Host_2的两个接口在Switch属于同一个VLAN10。图2-4 VLAN内Proxy ARP典型组网应用

Switch中的ARP表项IP地址MAC地址172.16.2.200025-9e01-0001172.16.2.300025-9e01-0002Host_1

VLAN10172.16.2.20/24

0025-9e01-0001

Host_1中的ARP表项IP地址MAC地址172.16.2.300025-9e01-0003Switch

VLANIF20

172.16.2.1/240025-9e01-0003

VLAN10Host_2172.16.2.30/240025-9e01-0002

Host_2中的ARP表项IP地址MAC地址172.16.2.200025-9e01-0003由于在Switch上配置了VLAN内不同接口彼此隔离，因此Host_1和Host_2不能直接在二

层互通。

若Switch的接口使能了VLAN内Proxy ARP功能，可以使Host_1和Host_2实现三层互通。Switch的接口在接收到目的地址不是自己的ARP请求报文后，Switch并不立即丢弃该报文，而是查找该接口的ARP表项。如果存在Host_2的ARP表项，则将自己的MAC地址发送给Host_1，并将Host_1发送给Host_2的报文代为转发。实际上此时Switch相当于Host_2的代理。

2.2.5 设备对接NLB服务器群集

网络负载均衡NLB（Network Load Balance）是微软在Windows Server上开发的多服务器群集负载均衡特性。对于使用Windows Server做操作系统的企业来说，实现设备与NLB服务器群集的对接非常重要。

NLB服务器群集简介

如图2-5所示，在NLB服务器群集中，NLB服务器Server_1～Server_3都有自己的IP地址（分别为IP1～IP3）和MAC地址（分别为MAC1～MAC3）。同时，NLB服务器群集还

文档版本 07 (2018-09-25)

E600 教育网系列交换机配置指南-IP业务

2 ARP配置

有一个单播的虚拟IP地址和一个虚拟MAC地址，分别称为群集IP地址和群集MAC地址。在设备Switch_1直连NLB服务器、作为群集网关的应用场景中，要求设备Switch_1将发往群集IP地址的报文发往群集中的所有NLB服务器。图2-5 设备对接NLB服务器群集

ClientInternetSwitch_2Switch_1IF1IF2IF3Server_3Server_2Server_110.138.246.1/2410.138.246.2/2410.138.246.3/240025-9e01-00010025-9e01-00020025-9e01-0003NLB服务器群集群集IP地址：10.138.246.252/24群集MAC地址：02bf-0a80-f6fc

目前，NLB服务器支持单播模式、组播模式和IGMP多播模式三种工作模式。三种工作模式下，设备与其对接时存在的问题如下：l

单播模式：单播群集MAC地址以02bf开头。设备与单播模式的NLB服务器群集对接时，对应群集IP地址的ARP表项只能学习到一个出接口。因此，只有一台NLB服务器会收到发往群集IP地址的报文。

组播模式：组播群集MAC地址以03bf开头。设备与组播模式的NLB服务器群集对接时，由于缺省情况下，设备无法学习到MAC地址是组播MAC的ARP表项。通过使能动态学习组播MAC的功能或静态ARP表项绑定的方式，也只能学习到一个出接口。因此，只有一台NLB服务器会收到发往群集IP地址的报文。

IGMP多播模式：IGMP多播群集MAC地址以0100-5e开头。目前，设备不支持与工作在IGMP多播模式的NLB服务器对接。

在单播和组播模式下，设备与NLB服务器群集对接时存在的主要问题是：设备不能将发往群集IP地址的报文发送给群集中的每台服务器。该问题可以通过以下方法来解决。

与NLB服务器群集对接的方法

如果NLB服务器直连到二层交换机LSW上（如图2-6），单播模式下直接就实现了对接，组播模式下可以通过在三层交换机Switch上配置静态ARP表项来实现对接。

E600 教育网系列交换机配置指南-IP业务

2 ARP配置

如果NLB服务器直连到三层交换机上，在设备充足的条件下，为方便维护，可以通过增加二层交换机来实现对接；如果设备条件不满足，可以通过物理链路环回来实现对接。

增加二层交换机

在设备条件满足的情况下，通过增加二层交换机的方法，可以实现设备与NLB服务器群集的对接。如图2-6所示，在三层交换机Switch下增加二层交换机LSW，接口GE0/0/1所属VLAN的VLANIF接口作为NLB服务器群集的网关。由Switch发往群集IP地址的报文到达LSW后，会在VLAN10内广播，从而实现所有NLB服务器都会收到发往群集IP地址的报文。

由于缺省情况下，设备无法学习到MAC地址是组播MAC的ARP表项。因此，NLB服务器工作在组播模式时，需要在Switch上使能ARP动态学习组播MAC的功能或配置静态ARP表项（表项的IP地址为群集IP地址、MAC地址为群集组播MAC地址、出接口为GE0/0/1）。

图2-6 设备对接NLB服务器群集（通过增加二层交换机）

ClientInternetRouterSwitchGE0/0/1LSWVLAN10Server_1Server_2NLB服务器群集Server_3物理链路环回

通过物理链路环回的方法，可以实现工作在单播或组播模式下的NLB服务器与单台设备、堆叠系统的对接。

以单播模式下与单台设备对接为例，发往NLB服务器群集的报文到Switch后，通过查询ARP表项，将报文发送到接口GE0/0/5。报文以untag的方式发送到接口GE0/0/4后，VLAN100内的其他接口（与NLB服务器连接的接口GE0/0/1～GE0/0/3）能够进行复制，实现所有NLB服务器都能接收到报文。与堆叠系统对接的实现过程与单机类似，此处不做赘述。

说明组播模式下的组网部署与单播一致，不同点在于：缺省情况下，设备无法学习到MAC地址是组播MAC的ARP表项，需要在Switch上使能ARP动态学习组播MAC的功能或配置静态ARP表项（表项的IP地址为群集IP地址、MAC地址为群集组播MAC地址、出接口为群集网关VLAN所在的接口）。

l单台设备

文档版本 07 (2018-09-25)