E600 教育网系列交换机配置指南-IP业务
2 ARP配置
l配置影响动态ARP表项更新的相关功能(特殊场景下用到)–
使能二层拓扑探测功能
当环网网络中未部署生成树协议时(例如当环网网络中有设备可以决定主备链路时,可以不需要部署生成树协议),可以使能二层拓扑探测功能,保证动态ARP表项及时更新。
使能二层拓扑探测功能后,当二层接口状态由Down变为Up时,系统更新所有该二层接口所属VLAN对应的ARP表项。i.ii.–
执行命令system-view,进入系统视图。
执行命令l2-topology detect enable,使能二层拓扑探测功能。缺省情况下,二层拓扑探测功能处于未使能状态。去使能设备响应TC报文功能
当网络拓扑发生变化时,生成树协议会发送TC(Topology Change,拓扑变化)报文。缺省情况下,设备收到TC报文后会更新ARP表项。但是当网络拓扑变化频繁时,或者设备直接与用户终端设备(例如主机)相连的接口没有配置为边缘端口时,大量的TC报文会影响ARP表项的刷新和维护,影响用户业务。此时可以去使能设备响应TC报文。i.ii.
执行命令system-view,进入系统视图。
执行命令arp topology-change disable,去使能设备响应TC报文的功能。缺省情况下,设备会对收到TC报文进行响应,即当设备收到TC报文时老化或者删除ARP表项。
○
当生成树协议的收敛方式为fast时,设备收到TC报文后,会将对应的ARP表项直接删除。
当生成树协议的收敛方式为normal时,设备收到TC报文后,会将对应的ARP表项进行快速老化,即将ARP表项的剩余存活时间置为0,进行老化处理,如果配置的ARP老化探测次数大于0,则对该ARP表项进行老化探测。
○
–配置动态ARP表项延时删除功能
通常情况下,当VLANIF接口的成员口的状态变为Down时,设备会立即删除从该成员口学习的动态ARP表项,此时VLANIF接口需要重新学习ARP表项才能保证用户业务不中断。对于某些特殊的组网场景(环网或者双归组网场景),VLANIF接口的成员口状态变为Down并不一定表示对端已经不存在,可能只是ARP表项的出接口发生了变化。
例如图2-12,当接口IF3处于Up时,网关设备Switch_1通过接口IF3与Host_4相连。当链路故障,接口IF3状态变为Down时,Switch_1会立即删除Host_4对应的动态ARP表项,然后通过用户业务流量触发ARP表项重新学习的方式进行流量收敛,重新学习后Switch_1通过接口IF2与Host_4相连。这样的触发流量收敛的方式在网关下挂用户较多的情况下,会受到ARP表项学习性能的限制引起用户业务长时间中断。
为了尽可能减少用户业务中断的时间,加快用户业务的收敛速度,网络管理者可以在网关Switch_1上配置动态ARP表项延时删除功能。当VLANIF接口的成员口状态变为Down,设备不会立即删除动态ARP表项。而是采用ARP表项的老化机制,通过发送探测报文,并根据能否收到对端的应答报文决定删除或者更新ARP表项:
nn
如果本端收不到对端的应答报文,则删除动态ARP表项。
如果本端收到对端的应答报文,则根据应答报文的内容更新ARP表项。
动态ARP表项延时删除功能建议与MAC刷新ARP功能结合使用,当MAC表项更新时通知设备上ARP表项进行刷新,使动态ARP表项能够及时更新。
文档版本 07 (2018-09-25)
版权所有 ? 华为技术有限公司
35
E600 教育网系列交换机配置指南-IP业务
2 ARP配置
图2-12 动态ARP表项延时删除功能组网图
Switch_1VLANIF100IF2IF3×Switch_2Switch_3
Host_1Host_2Host_3Host_4
i.ii.
执行命令system-view,进入系统视图。
执行命令interface vlanif vlan-id,创建VLANIF接口,并进入VLANIF接口视图。
缺省情况下,设备未配置动态ARP表项延时删除功能。
----结束
iii.执行命令arp purge slowly,配置动态ARP表项延时删除功能。
检查配置结果
执行命令display current-configuration | include arp,查看动态ARP的老化参数配置。
2.6.2 配置静态ARP
静态ARP表项不会被老化,不会被动态ARP表项覆盖,因此配置静态ARP表项可以增加通信的安全性。
背景信息
配置静态ARP表项虽然可以保护ARP表不被改写,但是配置工作量大,不适用于主机IP地址可能发生更改的网络环境,建议在比较小的网络里使用。
用户可以通过手工方式或者自动扫描与固化的方式配置静态ARP表项:当需要配置的静态ARP表项较少时,可以采用手工方式配置;当需要配置的静态ARP表项较多,并且静态ARP表项中IP地址与VLANIF接口的IP地址在同一网段时,可以采用自动扫描与固化方式批量配置。
说明对于出接口是以太网接口,并且以太网接口处于二层模式的情况,建议用户尽量配置长静态ARP表项,即配置ARP表项时同时指定VLAN和出接口。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2用户可以根据需要选择手工方式配置或者自动扫描与固化方式配置。
文档版本 07 (2018-09-25)
版权所有 ? 华为技术有限公司
36
E600 教育网系列交换机配置指南-IP业务
2 ARP配置
l通过手工方式配置静态ARP表项–
当出接口是以太网接口,并且以太网接口处于二层模式时,可以执行命令arpstatic ip-address mac-address vid vlan-id interface interface-type interface-number,配置静态ARP表项。
当需要配置短静态ARP表项时,可以执行命令arp static ip-address mac-address,配置静态ARP表项。
–
缺省情况下,设备上未配置静态ARP表项。l
通过自动扫描与固化方式批量配置静态ARP表项a.b.
执行命令interface interface-type interface-number,进入接口视图。执行命令arp scan [ start-ip-address to end-ip-address ],配置ARP自动扫描功能,即配置设备对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
n
ARP自动扫描区间的起始IP地址和结束IP地址必须与接口的IP地址(主IP地址或者从IP地址)在同一网段,且起始IP地址必须小于或者等于结束IP地址;如果不指定IP地址的范围段,则只对接口下的主IP地址网段内的邻居进行扫描。对于已经存在ARP表项的IP地址,不再进行扫描。ARP自动扫描会消耗大量的系统资源,建议用户在资源空闲的时候进行扫描操作,且扫描期间尽量避免其他操作。
如果接口下的主IP地址网段内的邻居数量较多,ARP自动扫描会比较耗时,用户可以通过
n
n
c.
执行命令arp fixup,配置ARP固化功能,即将接口下学习到的动态ARP表项转换为静态ARP表项。
n
ARP固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制。静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化,此时系统会提示错误。
ARP固化生成的静态ARP表项与手工配置的静态ARP表项相同,用户可以通过undo arp static命令逐条删除或者reset arp static命令全部删除。
n
----结束
检查配置结果
ll
执行命令display arp static,查看静态ARP表项。
执行命令display arp network net-number [ net-mask | mask-length ] static,查看基于网段的静态ARP表项。
2.6.3 配置Proxy ARP
交换机可以作为ARP请求中目标主机的代理,代为回答一些特殊情况下不可达的ARP请求。
配置流程
以下任务没有顺序关系,可以根据需要选择执行下面的配置任务。
文档版本 07 (2018-09-25)版权所有 ? 华为技术有限公司37
E600 教育网系列交换机配置指南-IP业务
2 ARP配置
2.6.3.1 配置路由式Proxy ARP背景信息
企业内部进行子网划分时,可能会出现两个子网网络属于同一网段,但是却不属于同一物理网络的情况,两个子网网络间被交换机分隔。这时可以通过修改网络内主机的路由信息,使发往其它子网的数据先发送到连接不同子网的网关设备上,再由网关设备转发此数据报文。但是这种解决方案需要配置子网中所有主机的路由,并不便于管理和维护。
在网关上部署路由式Proxy ARP功能,可以有效解决子网划分带来的管理和维护方面的问题。路由式Proxy ARP的功能可以使IP地址属于同一网段却不属于同一物理网络的主机间能够相互通信,并且主机上不需要配置缺省网关,便于管理和维护。
路由式Proxy ARP组网如图2-13所示。Switch通过接口IF1和IF2连接两个子网网络,接口IF1和接口IF2的IP地址不在同一个网段。子网1内的主机Host_1与接口IF1的IP地址在同一网段,子网2内的主机Host_2与接口IF2的IP地址在同一网段,子网1内的主机Host_1与子网2内的主机Host_2的IP地址也在同一网段。主机Host_1和Host_2上未配置缺省网关。在Switch上配置路由式Proxy ARP可以使子网1和子网2内主机间能够相互通信。
图2-13 路由式Proxy ARP组网图
IF1
172.16.2.1/24子网1Host_1172.16.2.10/16
SwitchIF2
172.16.1.1/24子网2Host_2172.16.1.20/16
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interface interface-type interface-number,进入接口视图。步骤3执行命令ip address ip-address { mask | mask-length },配置接口的IP地址。
配置接口的IP地址需要与该接口所连接的主机的IP地址处于同一网段。
步骤4执行命令arp-proxy enable,使能接口的路由式Proxy ARP功能。
缺省情况下,接口的路由式Proxy ARP功能处于未使能状态。
在设备上使能路由式Proxy ARP后,主机上应该减小ARP表项老化超时时间,使无效的ARP表项尽快失效,减少发给交换机而交换机不能转发的报文。----结束
检查配置结果
在接口视图下执行命令display this,查看是否使能路由式Proxy ARP功能。
文档版本 07 (2018-09-25)
版权所有 ? 华为技术有限公司
38
E600 教育网系列交换机配置指南-IP业务
2 ARP配置
2.6.3.2 配置VLAN内Proxy ARP背景信息
当VLAN内配置了端口隔离时,属于相同VLAN的用户间无法实现互通。在关联了VLAN的接口上使能VLAN内Proxy ARP功能,可以实现用户间三层互通。
如图2-14所示,主机Host_1和Host_2属于同一个VLAN。但是Switch与主机Host_1和Host_2相连的接口IF1和IF2间配置了端口隔离。在Switch上配置VLAN内Proxy ARP功能可以使主机Host_1和Host_2间实现互通。图2-14 VLAN内Proxy ARP组网图
Switch
Host_1VLAN 10
172.16.2.10/24
IF1IF2Host_2VLAN 10
172.16.2.20/24
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interface interface-type interface-number,进入接口视图。
步骤3执行命令arp-proxy inner-sub-vlan-proxy enable,使能VLAN内Proxy ARP功能。
缺省情况下,VLAN内Proxy ARP功能处于未使能状态。----结束
检查配置结果
在接口视图下执行命令display this,查看是否使能VLAN内Proxy ARP功能。
2.6.4 配置设备对接NLB服务器群集(通过物理链路环回方法)
可以通过物理链路环回的方法实现设备与NLB服务器群集的对接。
背景信息
NLB服务器群集中所有服务器共同使用一个群集IP地址和一个群集MAC地址。NLB服务器群集可以工作在单播模式或组播模式:NLB服务器群集工作在单播模式时,群集MAC地址是单播MAC地址;NLB服务器群集工作在组播模式时,群集MAC地址是组播MAC地址。无论NLB服务器群集工作在单播模式或组播模式,设备直连NLB服务器,作为NLB服务器的接入网关时,设备需要将客户端发给群集IP地址的报文发送给NLB服务器群集中的每台服务器,由群集中的服务器决定是否处理该报文。可以通过物理链路环回的方法实现将发往群集IP地址的报文发送给NLB服务器群集中的每台服务器。
交换机环境(单机、堆叠系统)不同,物理链路环回的组网会稍有差异,具体可参见2.2.5 设备对接NLB服务器群集。涉及到的配置包括:接口去使能STP/RSTP/VBST/MSTP功能,配置静态ARP表项(仅NLB服务器群集工作在组播模式时涉及)。
文档版本 07 (2018-09-25)
版权所有 ? 华为技术有限公司
39
01-02 ARP配置
