华为交换机ARP配置教程

华为交换机ARP配置教程

1、配置静态ARP

静态ARP表项通过手工配置和维护，不会被老化，不会被动态ARP表项覆盖，所以配置静态ARP表项可以增加通信的安全性。

静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系，从而保护了本设备和指定设备间的正常通信。

配置静态ARP表项虽然可以保护ARP表不被改写，但是配置工作量大，不适用于主机IP地址可能发生更改的网络环境，建议在比较小的网络里使用。

[Huawei]arp static ?

X.X.X.X  IP address

[Huawei]arp static 10.1.1.2 ?

H-H-H  MAC address

[Huawei]arp static 10.1.1.2 2222-2222-2222 ?

vid           Specify VLAN ID

vpn-instance  Specify VPN-Instance

[Huawei]arp static 10.1.1.2 2222-2222-2222 vid ?

INTEGEREnter VLAN ID

[Huawei]arp static 10.1.1.2 2222-2222-2222 vid 2 ?

interface  Specify interface

[Huawei]arp static 10.1.1.2 2222-2222-2222 vid 2 interface ?

GigabitEthernet  GigabitEthernet interface

[Huawei]arp static 10.1.1.2 2222-2222-2222 vid 2 interface GigabitEthernet ?

Slot number

[Huawei]arp static 10.1.1.2 2222-2222-2222 vid 2 interface GigabitEthernet 0/0/5

2、调整动态ARP的老化参数

合理的调整老化参数，可以提高网络可靠性。

调整动态ARP参数主要是调整以下参数：

调整动态ARP表项的老化时间，当表项到达老化时间时，设备向表项对应的出接口发送ARP请求报文，同时启动表项探测功能。如果ARP表项的老化时间设置太小，会使得ARP请求报文的发送太过频繁，建议使用默认的老化时间，即20分钟。

调整动态ARP表项的老化探测次数，即在将一个动态ARP表项被老化删除之前，系统需要进行探测，如果超过设置的探测次数后设备仍没有收到应答来刷新此表项，则此ARP表项将被删除。

调整动态ARP表项的老化探测模式，ARP表项老化之前，接口会发送ARP老化探测报文。

当对端设备的IP地址不变化而MAC地址频繁更新时，建议使用广播模式发送ARP老化探测报文。

当对端设备MAC地址不变，当前网络带宽资源特别紧缺，建议使用单播模式发送ARP老化探测报文。

2.1、设置动态ARP表项的老化超时时间

[Huawei-GigabitEthernet0/0/2]arp expire-time ?

INTEGERArp expire time(in seconds)

2.2、设置动态ARP表项的老化探测次数

[Huawei-GigabitEthernet0/0/2]arp detect-times ?

INTEGERArp item timeout detect times

2.3、设置arp表项老化探测模式为单播模式，缺省是广播模式。

[Huawei-GigabitEthernet0/0/2]arp detect-mode unicast

3、使能ARP抑制功能

缺省情况下，ARP抑制功能关闭，只对VLANIF进行抑制。

[Huawei]arp-suppress enable

4、使能ARP二层拓扑探测功能

使能二层拓扑探测功能后，当二层接口状态由Down变为Up时，系统更新所有该二层口所属VLAN对应的ARP表项。

[Huawei]l2-topology detect enable

5、配置路由式Proxy ARP

路由式Proxy ARP就是使那些在同一网段却不在同一物理网络上的计算机或交换机能够相互通信的一种功能。

在实际应用中，如果连接交换机的当前主机上没有配置缺省网关地址（即不知道如何到达本网络的中介系统），此时将无法进行数据转发。

各子网中的主机IP地址的网络号需要一致，主机上不需要配置缺省网关。

[Huawei-GigabitEthernet0/0/2]arp-proxy enable

或

[Huawei-Vlanif10]arp-proxy enable

6、配置VLAN内Proxy ARP

如果两个用户属于相同的VLAN，但VLAN内配置了用户隔离。此时用户间要互通，需要在关联了VLAN的接口上启动VLAN内Proxy ARP功能。

[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable

7、配置VLAN间Proxy ARP

如果两个用户属于不同的VLAN，用户间要进行三层互通，可以在关联了VLAN的接口上启动VLAN间Proxy ARP功能。

[Huawei-Vlanif10]arp-proxy inter-sub-vlan-proxy enable

8、配置ARP-Ping IP

在局域网中，为某设备配置IP地址前，可以使用arp-ping ip命令确认某IP地址是否被网络中其他设备使用。

通过ping命令也可以探测IP地址是否被网络上的其他设备使用。

但是如果带有防火墙功能的目的主机或交换机设置了对Ping报文不进行回复的功能时，就不会响应Ping报文，造成该IP没有被使用的假象。

由于ARP是二层协议，大多数情况下可以透过设置了对Ping报文不进行回复的防火墙，从而避免了此类情况的发生。

arp-ping ?

ip   Find an ip address

mac  Find specified MAC

arp-ping ip 10.1.1.2 ?

interface  Specified the outgoing interface

如果IP地址没有被使用

arp-ping ip 10.1.1.2

ARP-Pinging 10.1.1.2:

Error: Request timed out.

Error: Request timed out.

Error: Request timed out.

Info: The IP address is not used by anyone!

如果IP地址已被使用

arp-ping ip 10.1.1.1

ARP-Pinging 10.1.1.1:

10.1.1.1 is used by 00e0-517d-f202

9、配置ARP-Ping MAC

当只知道该网段一个特定的MAC地址而不知道其对应的IP地址时，用户可以通过执行命令arp-ping mac探测MAC地址对应的IP地址的使用情况，ARP-Ping MAC发送ICMP报文（三层）可以得到该MAC所对应的IP地址。通过这种方法，可以查询到该网段内特定MAC所对应的IP地址。

arp-ping mac ?

H-H-H  Set destination MAC address of the operation

arp-ping mac 00e0-517d-f201 ?

X.X.X.X    Specified local LAN in which to find

interface  Specified the outgoing interface

如果MAC地址没有被使用

arp-ping mac 00e0-517d-f201 interface gigabitethernet 1/0/0

OutInterface: GigabitEthernet1/0/0 MAC[00-E0-51-7D-F2-01], press CTRL_C to break

Error: Request timed out.

Error: Request timed out.

Error: Request timed out.

----- ARP-Ping MAC statistics -----

3 packet(s) transmitted

0 packet(s) received

MAC[00-E0-51-7D-F2-01]  not be used

如果MAC地址已被使用

arp-ping mac 00e0-517d-f202 interface gigabitethernet 1/0/0

OutInterface: GigabitEthernet1/0/0 MAC[00-E0-51-7D-F2-02], press CTRL_C to break

----- ARP-Ping MAC statistics -----

1 packet(s) transmitted

1 packet(s) received

IP ADDRESS                MAC ADDRESS

10.1.1.1                  00-E0-51-7D-F2-02

10、使能ARP学习组播MAC的功能

使能ARP学习组播MAC的功能之后，设备在收到源MAC地址为组播MAC的ARP报文时，会学习相应的ARP表项。

在某些业务场景中，IP地址对应的MAC地址可能是组播MAC地址。通过使能ARP学习组播MAC的功能，设备可以动态学习组播MAC的ARP表项，减少网络管理员手工配置静态ARP表项的工作量，从而降低网络的运维成本。

[Huawei]arp learning multicast enable

或

[Huawei-GigabitEthernet0/0/2] [Huawei]arp learning multicast enable

取消学习组播MAC功能

[Huawei-GigabitEthernet0/0/2] undo arp learning multicast enable

[Huawei-GigabitEthernet0/0/2] arp learning multicast disable

11、配置ARP自动扫描与固化功能

ARP自动扫描与固化功能为设备提供了一种既可动态学习ARP表项，又可将学到的动态ARP表项转化为静态ARP表项的方法。

为了保证网络通信的安全性，在小型的局域网内，用户一般选择配置静态ARP。

但是，如果网关设备下挂的用户较多，网络管理员的工作量将很巨大。因此，目前网络中通常采用动态ARP的方式实现通信。

动态ARP虽然能够大大减少网络管理员的工作量，但是动态ARP有其自身的缺陷，即动态生成的ARP表项可以被覆盖，容易遭受网络攻击，不能保证网络通信的安全性。

ARP自动扫描功能一般与ARP固化功能配合使用，达到防止网络攻击的目的。

配置ARP自动扫描功能后，设备会对局域网内的邻居自动进行扫描（向邻居发送ARP请求报文，获取邻居的MAC地址，从而建立动态ARP表项）。

配置ARP固化功能后，设备用会将当前已经学到的动态ARP表项转换为静态ARP表项。

11.1、配置arp自动扫描功能

[Huawei-Vlanif10] arp scan [ start-ip-address to end-ip-address ]

11.2、配置ARP固化功能

[Huawei-Vlanif10]arp fixup

12、配置IP地址冲突检测功能

配置IP地址冲突检测功能，设备可以通过ARP报文检测网络中存在的IP地址冲突。

当网络设备间存在IP地址冲突的情况时，不仅会造成设备的CPU资源占用率极高，而且会导致设备上的路由频繁震荡，这对用户的业务影响极大，甚至会造成用户业务的中断。

[Huawei]arp ip-conflict-detect enable

13、配置出口ARP检测功能

配置出口ARP检测功能，设备可以限制ARP报文的转发范围，防止ARP报文在VLAN内广播，减小了VLAN内的网络负荷。

使能出口ARP检测功能后，设备会将收到的所有ARP报文上送CPU进行软转发，因此设备对ARP报文的转发能力将受到影响。

由于MFF的实现机制是ARP代答，而出口ARP检测功能的实现机制是转发ARP请求报文，二者之间相互矛盾，所以不能在同VLAN内同时配置MFF和出口ARP检测功能。

在Super-VLAN下使能EAI功能，EAI功能无效。

图 EAI功能组网图

如上图所示，SwitchB上行连接三层交换机SwitchA（DHCP Server），下挂用户主机。各用户主机同属于VLAN2，并通过DHCP方式获取IP地址。

为了避免SwitchB接收到ARP请求报文时在整个VLAN内广播，增大该VLAN内的网络负荷，可以在SwitchB上使能出口ARP检测功能。使能该功能之前必须先执行dhcp snooping enable命令全局使能DHCP Snooping功能。

使能出口ARP检测功能后，设备收到ARP请求报文时会利用该报文的目的IP地址匹配DHCP Snooping动态绑定表来确定该报文的出接口。

如果存在该ARP报文的目的IP地址匹配的表项，则直接将ARP报文发至该绑定关系的出接口（当匹配的是静态绑定关系表时，由于静态绑定关系表可能未指定出接口，则设备使用该绑定关系中的MAC地址查询动态MAC表获取出接口），否则，继续进行以下判断：

如果该ARP请求报文来自上行连接三层交换机，则丢弃该报文。

如果该ARP请求报文来自用户侧，则将该报文转发至信任接口。

[Huawei-vlan2]dhcp snooping arp security enable

14、配置多端口ARP

配置多端口ARP之后，发往服务器群集IP地址的数据报文会从设备上所有与服务器相连的出接口发送出去。

NLB群集虚拟出一个群集IP地址和一个群集MAC地址。

NLB群集工作在单播模式下时，这个虚MAC是单播MAC地址；NLB群集工作在组播模式下时，这个虚MAC是组播MAC地址。

无论NLB群集工作在单播模式，还是在组播模式，在交换机直挂服务器，做群集服务器网关的应用场景中，交换机都需要将到群集虚IP地址的数据报文发送给每个服务器，由群集中的服务器决定是否处理数据报文。

当NLB群集工作在单播/组播模式时，NLB的三层网关需要将单播报文发往多个出接口。

这种情况下，首先需要使用mac-address multiport interface命令或者使用mac-address multiport命令来配置多个出接口的静态MAC表，然后通过arp static命令配置多个出接口类型的静态ARP表项。

通过配置静态ARP，确定到某主机IP地址对应的MAC地址和所属VLAN，然后根据mac+vlan来查找MAC表，通过MAC表来确定出接口，以完成与NLB群集服务器的连接。

VLAN不能是MAC VLAN、Super VLAN、专线VLAN、X1E系列单板上的MUX VLAN、SEP（Smart Ethernet Protection）和RRPP（Rapid Ring Protection Protocol）的控制VLAN。

14.1、将群集虚MAC地址配置到当前出接口上，在所有出接口上依次配置，即可实现将群集虚MAC地址配置到所有出接口上。

[Huawei-GigabitEthernet0/0/5]mac-address multicast 2222-2222-2222 vlan ?

INTEGERVLAN ID

14.2、将群集虚MAC地址批量配置到多个出接口上，接口编号必须连续，而且不允许跨板。

[Huawei]mac-address multicast 2222-2222-2222 interface GigabitEthernet 0/0/10 to GigabitEthernet 0/0/15 vlan ?

INTEGERVLAN ID

当出接口为Eth-Trunk时，需要通过执行命令unknown-unicast load-balance enhanced，将接口配置为非已知单播负载分担方式。否则，配置不生效。

14.3、配置静态ARP表项

[Huawei]arp static 10.1.1.1 2222-2222-2222 ?

vid           Specify VLAN ID

vpn-instance  Specify VPN-Instance

ac-address必须和上一步骤中配置的群集虚MAC地址保持一致

15、配置端口隔离后ARP报文转发功能

配置端口隔离后ARP报文转发功能，可以保证设备在已配置出口ARP检测EAI功能的前提下，能够将入接口与出接口端口隔离时的ARP报文向信任接口转发，从而确保隔离的用户之间能够正常通信。

 在配置端口隔离后ARP报文转发功能前，设备必须已经完成配置出口ARP检测功能的配置。

 端口隔离后ARP报文转发功能适用于如下场景。

图 端口隔离后的ARP报文转发组网图

如上图所示，SwitchB上行连接三层交换机SwitchA（DHCP Server），下挂用户主机。

各用户主机同属于VLAN2，并通过DHCP方式获取IP地址。

UserA和UserB上线的接口GE1/0/1、GE1/0/2均配置了端口隔离。SwitchA上的接口VLANIF2上配置了VLAN内ARP代理功能，实现同一VLAN内UserA和UserB之间的二层隔离及三层互通。

如果SwitchB上配置了EAI功能，则当SwitchB接收到UserA发送的请求UserB的MAC地址的ARP请求报文时，SwitchB会利用该ARP请求报文的目的IP地址匹配DHCP Snooping动态绑定表来确定该报文的出接口。

如果绑定表中存在该ARP报文的目的IP地址（UserB的IP地址）对应的表项，则直接将ARP报文发送至目的接口（即UserB上线的接口GE1/0/1）。

但此时该目的接口和ARP报文的入接口（即UserA上线的接口GE1/0/2）是端口隔离的，所以ARP报文会被丢弃，造成UserA和UserB相互之间无法正常通信。

为了解决上述问题，设备提供了端口隔离后的ARP报文转发功能。

在SwitchB的VLAN2里部署端口隔离后的ARP报文转发功能后，SwitchB直接将用户主机的ARP请求报文转发到信任接口（即SwitchB上行连接SwitchA的接口GE2/0/1）。

 此时通过SwitchA上的VLAN内ARP代理功能，就能保证隔离的用户之间可以正常通信。

[Huawei-vlan2]dhcp  snooping arp security isolate-forwarding-trust  # 使能入接口与出接口在端口隔离时将ARP报文向信任接口转发的功能

16、配置动态ARP表项延时删除功能

配置动态ARP表项延时删除功能之后，VLANIF接口的成员口状态变为Down时，系统不会立即删除动态ARP表项，而是在经过老化探测之后再判断是否删除。

VLANIF接口作为网关使用的场景下，网络规划者为了增强网络的可靠性，通常会将网络部署成环网或者双归组网。

当网络中的链路发生故障导致VLANIF接口的成员口的状态变为Down时，设备会立即删除对应的动态ARP表项，然后通过用户业务流量重新触发ARP表项重新学习的方式进行流量收敛。

但是，这样的触发流量收敛的方式在网关下挂用户较多的情况下，会受到ARP表项学习性能的限制引起用户业务长时间中断。

为了尽可能减少用户业务中断的时间，加快用户业务的收敛速度，网络管理者可以配置动态ARP表项延时删除功能。

当VLANIF接口的成员口状态变为Down，设备不会立即删除动态ARP表项。而是采用ARP表项的老化机制，通过发送探测报文，并根据能否收到对端的应答报文决定删除或者更新ARP表项：

如果本端收不到对端的应答报文，则删除动态ARP表项。

如果本端收到对端的应答报文，则根据应答报文的内容更新ARP表项。

由于设备学习MAC表项的速度更快，因此通过MAC刷新ARP功能更新ARP表项的出接口的速度将比ARP老化机制更新ARP表项出接口的速度快。为了进一步加快用户业务的收敛速度，建议将动态ARP表项延时删除功能和MAC刷新ARP功能配合使用。

[Huawei-Vlanif2]arp purge slowly

17、配置ARP单播探测功能

在某些特殊的网络中，为了保证网络的安全性，网络中的设备可能不支持接收广播报文。

在ARP表项老化之前，设备会以广播方式发送ARP探测报文，并根据对端设备对探测报文的应答更新ARP表项。如果对端设备不支持接收广播报文，将不会对本端设备发送的ARP探测报文进行应答。此时本端设备认为对端设备已经下线，会将ARP表项从ARP表中删除，最终将导致用户业务中断。

当有新设备接入网络时，该设备会广播发送ARP请求报文，学习网络中其他设备的MAC地址。对于不支持接收广播报文的设备，它们在收到ARP请求报文时会直接将其丢弃，导致ARP请求报文的发送方无法学到对应的MAC地址，进而造成用户业务无法运行。

为了解决该特殊场景中ARP表项无法学习和更新的问题，可以配置ARP单播探测功能。

通过发送单播ARP请求报文，本端设备可以完成对端设备ARP表项的学习和更新，在保障网络安全性的同时保证用户业务的稳定性。

本端设备学习或更新到的ARP表项到达老化时间后会被删除，接收到对端设备的ARP请求报文后才能重新更新此ARP表项。

[Huawei] arp send-packet ip-address mac-address interface interface-type interface-number [ vid vid [ cevid cevid ] ]

18、去使能ARP报文打包功能

设备收到ARP报文后，将ARP报文打包上送CPU，可以提高设备处理ARP报文的效率。但是设备将ARP报文打包上送会有延时（最长延时为100ms），对于需要实时处理的业务有影响，这时可以去使能ARP报文打包功能。

[Huawei]arp message-cache disable

19、去使能ARP Miss消息打包功能

如果网络中有用户向设备发送目标IP地址不能解析的IP报文（即路由表中存在该IP报文的目的IP对应的路由表项，但设备上没有该路由表项中下一跳对应的ARP表项），将导致设备触发ARP Miss消息。

缺省情况下设备将ARP Miss消息打包上送CPU，可以提高设备对ARP Miss消息处理效率。

ARP Miss消息打包功能使能时，X1E单板不支持回复ICMP主机不可达报文。因此X1E单板需要回复ICMP主机不可达报文时，用户可以去使能ARP Miss消息打包功能。

[Huawei]arp-miss message-cache disable