网络工程师必须了解的ARP知识

ARP表项固化：

• fixed-mac：ARP报文中的MAC地址与ARP表中对应条目的MAC地址不符则丢弃。
• fixed-all：ARP报文中的MAC地址、接口、VLAN信息和ARP表项中的信息任一不匹配则丢弃。
• send-ack：设备对收到涉及MAC地址、VLAN、或接口信息修改的ARP报文时，先发送ARP请求报文，未收到回应则丢弃。

动态ARP检测功能：

设备将根据DHCP Snooping绑定表对收到的ARP报文的IP地址、MAC地址、VLAN或接口信息与绑定表中记录的表项内容进行检查，不匹配则直接丢弃。

配置ARP表项固化，可以基于全局和接口分别进行配置。

[Gateway] arp anti-attack entry-check fixed-mac enable //指定固化方式是fixed-mac 

配置动态ARP检测功能，可以基于接口和VLAN分别进行配置。

[Gateway] vlan 10  
[Gateway-vlan10] arp anti-attack check user-bind enable 

3. 保证合法用户的ARP表项可以正常生成

(1) 限制可以学习的ARP表项数量

当发现某个接口下存在攻击者，占用大量ARP表资源时，通过限制该接口可以学习的ARP表项数量，可以避免ARP表被耗尽。当接口上学习到的ARP表达到指定的限制值时，该接口不再学习新的ARP表项。

(2) ARP表项严格学习

只有本设备主动发送的ARP请求报文的应答报文才能触发本设备进行ARP学习，其他设备主动向本设备发送的ARP报文不能触发本设备进行ARP学习。

配置方法如下：

限制ARP表项。

[HUAWEI] interface gigabitethernet 0/0/1  
[HUAWEI-GigabitEthernet0/0/1] arp-limit vlan 10 maximum 20 //配置接口GE0/0/1最多可以学习到20个VLAN10内的动态ARP表项 

配置ARP表项严格学习。

[HUAWEI] arp learning strict //配置ARP表项严格学习 

查看ARP表

• 想查看所有的ARP表项 ：display arp all
• 想查看动态的ARP表项 ：display arp dynamic
• 想查看静态的ARP表项：display arp static
• 想查看某一网段的ARP表项：display arp network x.x.x.x
• 想查看某一接口相关的ARP表项：display arp interface xx
• 想查看某一VPN实例的ARP表项：display arp vpn-instance xx
• 想查看某个具体IP地址的ARP表项：display arp all | include x.x.x.x

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!