• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 命令手册-Release 1702(V1.01)

23-ARP命令

本章节下载 23-ARP命令  (210.85 KB)

23-ARP命令


1 ARP配置

l    新增“ARP攻击防御”特性,具体命令请参见2.1  ARP攻击防御配置命令

l    新增“本地代理ARP”特性,具体命令请参见3.1.3  local-proxy-arp enable

l    新增“MFF”特性,具体命令请参见5.1  MFF配置命令

 

1.1  ARP配置命令

1.1.1  arp check enable

【命令】

arp check enable

undo arp check enable

【视图】

系统视图

【参数】

【描述】

arp check enable命令用来开启ARP表项的检查功能。undo arp check enable命令用来关闭ARP表项的检查功能。

开启ARP表项检查功能后,若交换机接收到的ARP报文中的源MAC地址为组播MAC,则不进行动态ARP表项的学习;且交换机上不能配置MAC地址为组播MAC的静态ARP表项,否则会有错误提示。

关闭ARP表项检查功能后,可以对源MAC地址为组播MAC的ARP表项进行学习,且可以配置MAC地址为组播MAC的静态ARP表项。

缺省情况下,开启ARP表项的检查功能。

【举例】

# 关闭ARP表项的检查功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] undo arp check enable

1.1.2  arp send-gratuitous enable vrrp

【命令】

arp send-gratuitous enable vrrp

undo arp send-gratuitous enable vrrp

【视图】

系统视图

【参数】

【描述】

arp send-gratuitous enable vrrp命令用来开启VRRP备份组的Master交换机周期发送免费ARP报文功能。开启该功能后,网络中的主机会根据接收的免费ARP报文,更新本地ARP表,防御网络中其它设备的IP地址与VRRP虚拟路由器IP地址相同。undo arp send-gratuitous enable vrrp命令用来关闭VRRP备份组的Master交换机周期发送免费ARP报文功能。

缺省情况下,VRRP备份组的Master交换机周期发送免费ARP报文功能处于开启状态。

【举例】

# 开启VRRP备份组的Master交换机周期发送免费ARP报文功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] arp send-gratuitous enable vrrp

1.1.3  arp static

【命令】

arp static ip-address mac-address [ vlan-id interface-type interface-number ]

arp static ip-address mac-address vlan-id(以太网端口视图)

undo arp ip-address

【视图】

系统视图、以太网端口视图

【参数】

ip-address:ARP表项的IP地址部分。

mac-address:ARP表项的MAC地址部分,格式为H-H-H。

vlan-id:静态ARP表项所属的VLAN,取值范围为1~4094。

interface-type:静态ARP表项所属端口的端口类型。

interface-number:静态ARP表项所属端口的端口编号。

【描述】

arp static命令用来配置ARP映射表中的静态ARP表项。undo arp命令用来删除ARP表项。

缺省情况下,系统ARP映射表为空,地址映射由ARP协议动态获取。

需要注意的是:

l              静态ARP表项在以太网交换机正常工作时间内一直有效,但如果执行删除VLAN或把端口从VLAN中删除等使ARP表项不再合法的操作,则相应的静态ARP表项将被自动删除。

l              参数vlan-id必须是已经存在的VLAN ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。

l              目前,不支持在汇聚组中的端口上配置静态ARP表项。

相关配置可参考命令reset arpdisplay arp

【举例】

# 配置IP地址202.38.10.2对应的MAC地址为000f-e20f-0000,属于VLAN 1的以太网端口Ethernet1/0/1。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] arp static 202.38.10.2 000f-e20f-0000 1 Ethernet 1/0/1

1.1.4  arp timer aging

【命令】

arp timer aging aging-time

undo arp timer aging

【视图】

系统视图

【参数】

aging-time:动态ARP表项的老化时间。取值范围为1~1440,单位为分钟。

【描述】

arp timer aging命令用来配置动态ARP表项的老化时间。undo arp timer aging命令用来恢复动态ARP表项的老化时间为缺省值。

缺省情况下,动态ARP表项的老化时间为20分钟。

相关配置可参考命令:display arp timer aging

【举例】

# 配置动态ARP表项的老化时间为10分钟。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] arp timer aging 10

1.1.5  display arp

【命令】

display arp [ dynamic | static | ip-address ]

【视图】

任意视图

【参数】

dynamic:显示动态ARP表项。

static:显示静态ARP表项。

ip-address:显示指定IP地址的ARP表项。

【描述】

display arp命令用来显示ARP表项。

当不带任何可选参数的时候,将显示所有ARP表项。

相关配置可参考命令arp staticreset arp

【举例】

# 显示所有ARP表项。

<Sysname> display arp

            Type: S-Static   D-Dynamic

IP Address       MAC Address     VLAN ID  Port Name / AL ID      Aging Type

10.2.72.162      000a-000a-0aaa  N/A      N/A                    N/A   S

192.168.0.77     0000-e8f5-6a4a  1        Ethernet1/0/2          13    D

192.168.0.2      000d-88f8-4e88  1        Ethernet1/0/2          14    D

192.168.0.200    0014-222c-9d6a  1        Ethernet1/0/2          14    D

192.168.0.45     000d-88f6-44c1  1        Ethernet1/0/2          15    D

192.168.0.110    0011-4301-991e  1        Ethernet1/0/2          15    D

192.168.0.32     0000-e8f5-73ee  1        Ethernet1/0/2          16    D

192.168.0.3      0014-222c-aa69  1        Ethernet1/0/2          16    D

192.168.0.17     000d-88f6-379c  1        Ethernet1/0/2          17    D

192.168.0.115    000d-88f7-9f7d  1        Ethernet1/0/2          18    D

192.168.0.43     000c-760a-172d  1        Ethernet1/0/2          18    D

192.168.0.33     000d-88f6-44ba  1        Ethernet1/0/2          20    D

192.168.0.35     000f-e20f-2181  1        Ethernet1/0/2          20    D

192.168.0.5      000f-e280-2b38  1        Ethernet1/0/2          20    D

 

---   14 entries found   ---

表1-1 display arp命令显示信息描述表

字段

描述

IP Address

ARP表项的IP地址

MAC Address

ARP表项的MAC地址

VLAN ID

ARP表项对应的VLAN ID

Port Name / AL ID

ARP表项对应的端口

Aging

ARP表项的老化时间,单位为分钟

静态ARP表项的老化时间显示为“N/A

Type

ARP表项的类型:动态,用D表示;静态,用S表示

 

1.1.6  display arp |

【命令】

display arp [ dynamic | static] | { begin | exclude | include } regular-expression

【视图】

任意视图

【参数】

dynamic:显示动态ARP表项。

static:显示静态ARP表项。

|:用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍请参见本手册“配置文件管理”模块。

begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式。

exclude:显示不含指定正则表达式的行。

include:显示包含指定正则表达式的行。

regular-expression:正则表达式,区分大小写。

【描述】

display arp | 命令用来显示指定内容的ARP表项。

相关配置可参考命令arp staticreset arp

【举例】

# 显示包含指定字符串“77”的ARP表项。

<Sysname> display arp | include 77

            Type: S-Static   D-Dynamic

IP Address       MAC Address     VLAN ID  Port Name / AL ID      Aging Type

192.168.0.77     0000-e8f5-6a4a  1        Ethernet1/0/2          12    D

 

---   1 entry found   ---

# 显示不包含指定字符串“68”的ARP表项。

<Sysname> display arp | exclude 68

            Type: S-Static   D-Dynamic

IP Address       MAC Address     VLAN ID  Port Name / AL ID      Aging Type

10.2.72.162      000a-000a-0aaa  N/A      N/A                    N/A   S

 

---   1 entry found   ---

显示信息中各字段的解释,请参见表1-1

1.1.7  display arp count

【命令】

display arp count [ [ dynamic | static ] [ | { begin | exclude | include } regular-expression ] | ip-address ]

【视图】

任意视图

【参数】

dynamic:动态ARP表项。

static:静态ARP表项。

|:用正则表达式对统计信息进行过滤。有关正则表达式的详细介绍请参见本手册“配置文件管理”模块。

begin:统计特定行及其以后的所有行的ARP表项的数目,该特定行必须包含指定正则表达式。

exclude:统计不含指定正则表达式的ARP表项的数目。

include:统计包含指定正则表达式的ARP表项的数目。

regular-expression:正则表达式,区分大小写。

ip-address:显示指定IP地址的ARP表项的数目。

【描述】

display arp count命令用来显示指定类型的ARP表项的数目;当不带任何可选参数时,用来显示所有ARP表项的数目。

相关配置可参考命令arp staticreset arp

【举例】

# 显示所有ARP表项的数目。

<Sysname> display arp count

 14 entries found

1.1.8  display arp timer aging

【命令】

display arp timer aging

【视图】

任意视图

【参数】

【描述】

display arp timer aging命令用来显示动态ARP表项的老化时间。

相关配置可参考命令arp timer aging

【举例】

# 显示动态ARP表项的老化时间。

<Sysname> display arp timer aging

 Current ARP aging time is 20 minute(s)(default)

以上显示信息表示动态ARP表项的老化时间为20分钟。

1.1.9  gratuitous-arp period-resending enable

【命令】

gratuitous-arp period-resending enable

undo gratuitous-arp period-resending enable

【视图】

VLAN接口视图

【参数】

【描述】

gratuitous-arp period-resending enable命令用来开启当前VLAN接口周期发送免费ARP报文的功能。undo gratuitous-arp period-resending enable命令用来关闭当前VLAN接口周期发送免费ARP报文的功能。

缺省情况下,交换机VLAN接口的周期发送免费ARP报文功能处于开启状态,发送周期为30秒。

开启交换机VLAN接口周期发送免费ARP报文的功能,可以使网络中的主机根据此免费ARP报文,及时更新本地ARP映射表中对应交换机VLAN接口的表项,防止主机中的该动态ARP表项因超时而被老化。但是这样会导致网络中ARP流量比较大,如果网络中的接收端主机有动态ARP表项的半周期更新功能,可以关闭交换机VLAN接口的周期发送免费ARP报文功能。

【举例】

# 关闭交换机Vlan-interface1的周期发送免费ARP报文功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] undo gratuitous-arp period-resending enable

1.1.10  gratuitous-arp-learning enable

【命令】

gratuitous-arp-learning enable

undo gratuitous-arp-learning enable

【视图】

系统视图

【参数】

【描述】

gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。开启该功能后,交换机对于收到的免费ARP报文,如果自身ARP表中没有与此报文源IP地址对应的ARP表项,就将免费ARP报文中携带的源IP地址,源MAC地址信息添加到动态ARP映射表中。undo gratuitous-arp-learning enable命令用来关闭免费ARP报文的学习功能。

缺省情况下,交换机上的免费ARP报文学习功能处于开启状态。

【举例】

# 在交换机上开启免费ARP报文学习功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] gratuitous-arp-learning enable

1.1.11  reset arp

【命令】

reset arp [ dynamic | static | interface interface-type interface-number ]

【视图】

用户视图

【参数】

dynamic:清除动态ARP表项。

static:清除静态ARP表项。

interface interface-type interface-number:清除指定端口的ARP表项。interface-type表示端口类型,interface-number表示端口编号。

【描述】

reset arp命令用来清除符合条件的ARP表项。

相关配置可参考命令arp staticdisplay arp

【举例】

# 清除静态ARP表项。

<Sysname> reset arp static

 


2 ARP攻击防御配置命令

2.1  ARP攻击防御配置命令

2.1.1  arp anti-attack valid-check enable

【命令】

arp anti-attack valid-check enable

undo arp anti-attack valid-check enable

【视图】

系统视图

【参数】

【描述】

arp anti-attack valid-check enable命令用于开启对ARP报文源MAC地址一致性检查功能。undo arp anti-attack valid-check enable命令用于关闭ARP报文源MAC地址一致性检查功能。

缺省情况下,交换机的ARP报文源MAC地址一致性检查功能处于关闭状态。

【举例】

# 开启交换机ARP报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] arp anti-attack valid-check enable

2.1.2  arp detection enable

【命令】

arp detection enable

undo arp detection enable

【视图】

VLAN视图

【参数】

【描述】

arp detection enable命令用来开启指定VLAN内所有端口的ARP入侵检测功能,即对该VLAN内端口收到的ARP报文的源IP地址、源MAC地址、接收ARP报文的端口编号以及端口所在VLAN的对应关系进行检测。如果端口接收的ARP报文的源IP地址、源MAC地址的对应关系不在DHCP Snooping表项或IP静态绑定表项中,或者接收ARP报文的端口编号、端口所在VLAN与DHCP Snooping表项或IP静态绑定表项不匹配,则ARP报文将被丢弃。undo arp detection enable命令用来关闭指定VLAN内所有端口的ARP入侵检测功能。

缺省情况下,交换机的ARP入侵检测功能处于关闭状态。

【举例】

# 开启VLAN 1内所有端口的ARP入侵检测功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] vlan 1

[Sysname-vlan1] arp detection enable

2.1.3  arp detection trust

【命令】

arp detection trust

undo arp detection trust

【视图】

以太网端口视图

【参数】

【描述】

arp detection trust命令用来设置当前端口为ARP信任端口,即对于此端口接收的ARP报文将不进行ARP入侵检测,默认其为合法ARP报文。undo arp detection trust命令用来设置当前端口为非ARP信任端口。

缺省情况下,端口为非ARP信任端口。

【举例】

# 设置端口Ethernet1/0/11为ARP信任端口。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface ethernet 1/0/11

[Sysname-Ethernet1/0/11] arp detection trust

2.1.4  arp filter source

【命令】

arp filter source ip-address

undo arp filter source

【视图】

以太网端口视图

【参数】

ip-address:用户网关的IP地址。

【描述】

arp filter source命令用来配置当前端口作为连接用户的下行端口时,对收到的来自用户的携带有网关IP地址的ARP报文进行过滤的功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为网关IP地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter source命令用来取消基于网关IP地址绑定的ARP报文过滤功能的配置。

缺省情况下,端口上基于网关IP地址的ARP报文过滤功能处于关闭状态。

需要注意的是:

l              该命令应该配置在接入交换机与用户相连的端口上。

l              多次配置该命令,后配置的命令生效。

【举例】

# 在端口Ethernet1/0/1上配置基于网关IP地址192.168.0.1/24的ARP报文过滤功能。

<Sysname> system-view

[Sysname] interface ethernet1/0/1

[Sysname-Ethernet1/0/1] arp filter source 192.168.0.1

2.1.5  arp filter binding

【命令】

arp filter binding ip-address mac-address

undo arp filter binding

【视图】

以太网端口视图

【参数】

ip-address:需要绑定的网关的IP地址。

mac-address:需要绑定的网关的MAC地址。

【描述】

arp filter binding命令用来配置当前端口的基于网关IP地址、MAC地址绑定的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为指定网关IP地址,源MAC地址为不是指定网关的MAC地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter binding命令用来取消基于网关IP地址、MAC地址绑定的ARP报文过滤功能的配置。

缺省情况下,端口上的基于网关IP地址、MAC地址绑定的ARP报文过滤功能处于关闭状态。

需要注意的是:

l              该命令应该配置在接入交换机的级连端口或上行端口。

l              多次配置该命令,后配置的命令生效。

【举例】

# 在端口Ethernet1/0/2上配置基于网关IP地址192.168.100.1/24、MAC地址000d-88f8-528c绑定的ARP报文过滤功能。

<Sysname> system-view

[Sysname] interface ethernet1/0/2

[Sysname-Ethernet1/0/2] arp filter binding 192.168.100.1 000d-88f8-528c

2.1.6  arp max-learning-num

【命令】

arp max-learning-num number

undo arp max-learning-num

【视图】

VLAN接口视图

【参数】

number:接口允许学习动态ARP表项的最大数目。对于S3600-EI系列以太网交换机,取值范围为1~4031;对于S3600-SI系列以太网交换机,取值范围为1~2048。

【描述】

arp max-learning-num命令用来设置当前接口允许学习动态ARP表项的最大个数。undo arp max-learning-num命令用来取消当前接口允许学习动态ARP表项的最大个数的配置。

缺省情况下,对于S3600-EI系列以太网交换机,VLAN接口允许学习动态ARP表项的最大个数为4031;对于S3600-SI系列以太网交换机,VLAN接口允许学习动态ARP表项的最大个数为2048。

多次配置该命令,后配置的命令生效。

【举例】

# 设置接口Vlan-interface40上可以学习动态ARP表项的最大个数为500。

<Sysname> system-view

[Sysname] interface vlan-interface 40

[Sysname-Vlan-interface40] arp max-learning-num 500

2.1.7  arp protective-down recover enable

【命令】

arp protective-down recover enable

undo arp protective-down recover enable

【视图】

系统视图

【参数】

【描述】

arp protective-down recover enable命令用来开启交换机的端口状态自动恢复功能。undo arp protective-down recover enable命令用来关闭交换机的端口状态自动恢复功能。

端口状态自动恢复功能指的是:对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。

缺省情况下,交换机的端口状态自动恢复功能处于关闭状态。

【举例】

# 开启交换机的端口状态自动恢复功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] arp protective-down recover enable

2.1.8  arp protective-down recover interval

【命令】

arp protective-down recover interval interval

undo arp protective-down recover interval

【视图】

系统视图

【参数】

interval:因ARP报文超速而被关闭的端口,端口状态由关闭恢复为开启的时间间隔,取值范围是10~86400,单位为秒。

【描述】

arp protective-down recover interval命令用来设置交换机上因ARP报文超速而被关闭的端口,端口状态由关闭恢复为开启的时间间隔。undo arp protective-down recover interval命令用来恢复缺省情况。

缺省情况下,当开启端口状态自动恢复功能后,其端口状态恢复时间为300秒。

需要注意的是:

l              用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间间隔。

l              如果当前端口已经因为ARP报文超速而被关闭,此时再使用arp protective-down recover interval命令修改端口状态自动恢复时间间隔,则被关闭的端口第一次恢复为开启状态的时间间隔还是原来设定的恢复时间间隔,下一次的端口恢复时间才更改为用户修改后的时间间隔。

【举例】

# 设置交换机的端口状态自动恢复时间为30秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] arp protective-down recover enable

[Sysname] arp protective-down recover interval 30

2.1.9  arp rate-limit

【命令】

arp rate-limit rate

undo arp rate-limit

【视图】

以太网端口视图

【参数】

rate:允许通过端口的ARP报文的最大速率,取值范围为10~1024,单位为包每秒(pps)。

【描述】

arp rate-limit命令用来配置允许通过端口的ARP报文的最大速率。开启ARP报文限速功能后,当每秒中通过当前端口的ARP报文的速率超过配置的最大值时,ARP报文将被丢弃。undo arp rate-limit命令用来恢复允许通过端口的ARP报文的最大速率为缺省情况。

缺省情况下,当开启端口的ARP报文限速功能后,允许通过端口的ARP报文的最大速率为15pps。

需要注意的是:用户必须先开启端口的ARP报文限速功能,然后才能使用arp rate-limit命令设置允许通过端口的ARP报文的最大速率。

【举例】

# 配置允许通过端口的ARP报文的最大速率为100pps。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface ethernet 1/0/11

[Sysname-Ethernet1/0/11] arp rate-limit enable

[Sysname-Ethernet1/0/11] arp rate-limit 100

2.1.10  arp rate-limit enable

【命令】

arp rate-limit enable

undo arp rate-limit enable

【视图】

以太网端口视图

【参数】

【描述】

arp rate-limit enable命令用来开启端口的ARP报文限速功能,即对通过当前端口的ARP报文进行限速。当每秒中通过当前端口的ARP报文的速率超过最大值(缺省情况的最大值为15pps)时,ARP报文将被丢弃。undo arp rate-limit enable命令用来关闭端口的ARP报文限速功能,即对通过端口的ARP报文不限速。

缺省情况下,端口的ARP报文限速功能处于关闭状态,即不对通过端口的ARP报文进行限速。

【举例】

# 开启端口Ethernet1/0/11的ARP报文限速功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface ethernet 1/0/11

[Sysname-Ethernet1/0/11] arp rate-limit enable

2.1.11  arp restricted-forwarding enable

【命令】

arp restricted-forwarding enable

undo arp restricted-forwarding enable

【视图】

VLAN视图

【参数】

【描述】

arp restricted-forwarding enable命令用来开启ARP严格转发功能,即从指定VLAN的非信任端口上接收的合法ARP请求报文只能通过已配置的信任端口进行转发;而从非信任端口上接收的合法ARP应答报文,首先按照报文中的目的MAC地址进行转发,若目的MAC地址不在MAC地址表中,则将此ARP应答报文通过信任端口进行转发。undo arp restricted-forwarding enable命令用来关闭ARP严格转发功能。

缺省情况下,ARP严格转发功能关闭。

相关配置可参考命令arp detection enablearp detection trust

【举例】

# 在VLAN 1中开启ARP严格转发功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] vlan 1

[Sysname-vlan1] arp restricted-forwarding enable

2.1.12  display arp detection statistics interface

【命令】

display arp detection statistics interface interface-type interface-number

【视图】

任意视图

【参数】

interface-type interface-number:端口类型和端口编号。

【描述】

display arp detection statistics interface命令用来显示指定端口的ARP入侵检测功能的状态,ARP端口信任功能的状态,及该端口下被丢弃掉的非法ARP报文(未通过ARP入侵检测)的数量。

需要注意的是,如果ARP入侵检测功能关闭,则不会显示后两项信息。

【举例】

# 显示交换机Ethernet1/0/10端口下被丢弃的非法ARP报文的数量。

<Sysname> display arp detection statistics interface ethernet1/0/10

 ARP DETECTION : ENABLE

 ARP PORT TRUST : DISABLE

 INVALID ARP PACKETS  : 31

表2-1 display arp detection statistics interface命令显示信息描述表

字段

描述

ARP DETECTION

ARP入侵检测功能的状态:ENABLE表示开启,DISABLE表示关闭

ARP PORT TRUST

ARP端口信任功能的状态:ENABLE表示开启,DISABLE表示关闭

INVALID ARP PACKETS

被丢弃的非法ARP报文(未通过ARP入侵检测)的数量

 

2.1.13  ip source static import dot1x

【命令】

ip source static import dot1x

undo ip source static import dot1x

【视图】

系统视图

【参数】

【描述】

ip source static import dot1x命令用来开启基于802.1x认证用户的ARP入侵检测功能。当配置完成后,交换机会将其记录的802.1x认证用户(无论是DHCP动态获取IP地址或手工配置静态IP地址)的IP地址、MAC地址对应关系在基于DHCP Snooping安全表项的检查、基于IP静态绑定表项的检查之后,进一步用于ARP入侵检测功能。

undo ip source static import dot1x命令用来关闭802.1x认证通过的信息用于ARP入侵检测功能。

缺省情况下,交换机关闭802.1x认证通过的信息用于ARP入侵检测功能。

需要注意的是:此命令必须与arp detection enable命令配合使用。

【举例】

# 开启802.1x认证通过的信息用于ARP入侵检测功能。

<Sysname> system-view

[Sysname] ip source static import dot1x


3 ARP Proxy配置命令

3.1  ARP Proxy配置命令

3.1.1  arp proxy enable

【命令】

arp proxy enable

undo arp proxy enable

【视图】

VLAN接口视图

【参数】

【描述】

arp proxy enable命令用来开启当前VLAN接口的普通代理ARP功能。undo arp proxy enable命令用来关闭当前VLAN接口的普通代理ARP功能。

缺省情况下,交换机VLAN接口的普通代理ARP功能处于关闭状态。

相关配置可参考命令display arp proxy

【举例】

# 在Vlan-interface2上开启普通代理ARP功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] arp proxy enable

3.1.2  display arp proxy

【命令】

display arp proxy [ interface Vlan-interface vlan-id ]

【视图】

任意视图

【参数】

interface Vlan-interface vlan-id:显示指定VLAN接口的普通代理ARP和本地代理ARP的状态。

【描述】

display arp proxy命令用来显示普通代理ARP和本地代理ARP的状态:开启或关闭。选择interface Vlan-interface vlan-interface-id参数时,显示指定VLAN接口的普通代理ARP和本地代理ARP状态,不带该参数则显示所有VLAN接口的普通代理ARP和本地代理ARP状态。

相关配置可参考命令arp proxy enable

【举例】

# 显示所有VLAN接口的普通代理ARP和本地代理ARP配置情况。

<Sysname> display arp proxy

Interface Vlan-interface1

 Proxy ARP status: disabled

 Local Proxy ARP status: disabled

 Local Proxy ARP StartIPAddr: 0.0.0.0

 Local Proxy ARP EndIPAddr: 0.0.0.0

 

Interface Vlan-interface2

 Proxy ARP status: enabled

 Local Proxy ARP status: disabled

 Local Proxy ARP StartIPAddr: 0.0.0.0

 Local Proxy ARP EndIPAddr: 0.0.0.0 

# 显示Vlan-interface2的代理ARP状态。

<Sysname> display arp proxy interface Vlan-interface 2

Interface Vlan-interface2

 Proxy ARP status: enabled

 Local Proxy ARP status: disabled

 Local Proxy ARP StartIPAddr: 0.0.0.0

 Local Proxy ARP EndIPAddr: 0.0.0.0 

表3-1 display arp proxy 命令显示信息描述表

字段

描述

Interface

VLAN接口名

Proxy ARP status

普通代理ARP的状态:enabled表示开启,disabled表示关闭

Local Proxy ARP status

本地代理ARP的状态:enabled表示开启,disabled表示关闭

Local Proxy ARP StartIPAddr

进行本地代理ARP的起始IP地址

Local Proxy ARP EndIPAddr

进行本地代理ARP的结束IP地址

 

3.1.3  local-proxy-arp enable

【命令】

local-proxy-arp enable [ ip-range startIP to endIP ]

undo local-proxy-arp enable

【视图】

VLAN接口视图

【参数】

ip-range startIP to endIP:配置对指定IP地址范围进行本地代理ARP。startIP表示起始IP地址。endIP表示结束IP地址。

【描述】

local-proxy-arp enable命令用来开启本地代理ARP功能。undo local-proxy-arp enable命令用来关闭本地代理ARP功能。

缺省情况下,关闭本地代理ARP功能。

【举例】

# 在接口Vlan-interface2上开启本地代理ARP功能。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] local-proxy-arp enable

# 在接口Vlan-interface2上使能本地代理ARP功能,并指定进行ARP代理的IP地址范围。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] local-proxy-arp enable ip-range 1.1.1.1 to 1.1.1.20

 


4 Resilient ARP配置命令

S3600系列交换机中,只有S3600-EI系列支持本章内容。

 

4.1  Resilient ARP配置命令

4.1.1  display resilient-arp

【命令】

display resilient-arp [ unit unit-id ]

【视图】

任意视图

【参数】

unit unit-id:当交换机处于Fabric中时,显示Fabric中指定设备上Resilient ARP信息。uinit-id表示需要查看Resilient ARP信息的设备编号,取值范围为1~8。

【描述】

display resilient-arp命令用来显示各Unit的Resilient ARP状态信息、可发送Resilient ARP报文的VLAN接口。

如果没有指定unit-id,则显示所有Unit的Resilient ARP的状态信息;如果指定了unit-id,则只显示指定Unit上的Resilient ARP状态信息。

【举例】

# 显示Unit1的Resilient ARP的状态信息。

<Sysname> display resilient-arp unit 1

The state of unit 1 is: L3Master

The sending interface(s):

    Vlan-interface1

    Vlan-interface2

以上显示信息表示Unit 1的Resilient ARP当前状态是L3Master,可发送Resilient ARP报文的VLAN接口是Vlan-interface1和Vlan-interface2。

4.1.2  resilient-arp enable

【命令】

resilient-arp enable

undo resilient-arp enable

【视图】

系统视图

【参数】

【描述】

resilient-arp enable命令用来开启Resilient ARP功能。交换机根据当前的状态进行不同的处理,当Fabric内部连接中断后,可以通过冗余链路所在的VLAN接口定时发送Resilient ARP报文,从而决定设备是作为三层设备还是二层设备。undo resilient-arp enable命令用来关闭Resilient ARP功能。

缺省情况下,Resilient ARP功能处于开启状态。

相关配置可参考命令display resilient-arp

【举例】

# 开启Resilient ARP功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] resilient-arp enable

4.1.3  resilient-arp interface vlan-interface

【命令】

resilient-arp interface Vlan-interface vlan-id

undo resilient-arp interface Vlan-interface vlan-id

【视图】

系统视图

【参数】

vlan-id:VLAN接口编号。

【描述】

resilient-arp interface Vlan-interface命令用来配置可发送Resilient ARP报文的VLAN接口。undo resilient-arp interface Vlan-interface命令用来删除可发送Resilient ARP报文的VLAN接口。

缺省情况下,从Vlan-interface1接口发送Resilient ARP报文。

需要注意的是,此命令只能配置通过哪个VLAN接口发送Resilient ARP报文,而所有的VLAN接口都能接收Resilient ARP报文。

相关配置可参考命令display resilient-arp

【举例】

# 配置可发送Resilient ARP报文的VLAN接口为Vlan-interface2。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] resilient-arp interface vlan-interface 2


5 MFF配置命令

5.1  MFF配置命令

5.1.1  arp mac-forced-forwarding

【命令】

arp mac-forced-forwarding { auto | default-gateway gateway-ip }

undo arp mac-forced-forwarding { auto | default-gateway }

【视图】

VLAN视图

【参数】

auto:MFF功能工作在自动方式。

default-gateway gateway-ip:MFF功能工作在手工方式,gateway-ip为缺省网关IP地址。

【描述】

arp mac-forced-forwarding命令用来开启MFF功能,同时配置MFF的工作方式,如果是手工方式,就需要指定缺省网关。undo arp mac-forced-forwarding命令用来关闭MFF功能。

缺省情况下,交换机的MFF功能处于关闭状态。

需要注意的是:

l              多次执行此命令,新的配置会覆盖已有的配置。

l              如果配置的是自动方式,则需要保证DHCP Snooping的正常运行。

【举例】

# 配置VLAN 1下的自动MFF功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] vlan 1

[Sysname-vlan1] arp mac-forced-forwarding auto

5.1.2  arp mac-forced-forwarding network-port

【命令】

arp mac-forced-forwarding network-port

undo arp mac-forced-forwarding network-port

【视图】

以太网端口视图

【参数】

【描述】

arp mac-forced-forwarding network-port命令用来配置当前端口为MFF网络口。undo arp mac-forced-forwarding network-port命令用来取消当前端口为MFF网络口的配置。

缺省情况下,没有配置交换机的以太网端口为MFF网络口。

需要注意的是:若当前以太网端口已被配置为MFF用户口,则必须先取消用户口配置,才允许配置为MFF网络口。

【举例】

# 配置以太网端口Ethernet1/0/1为MFF网络口。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] arp mac-forced-forwarding network-port

5.1.3  arp mac-forced-forwarding server

【命令】

arp mac-forced-forwarding server server-ip&<1-10>

undo arp mac-forced-forwarding server [ server-ip&<1-10> ]

【视图】

VLAN视图

【参数】

server-ip&<1-10>:网络中部署的服务器的IP地址,&<1-10>表示前面的参数最多可以输入10次。

【描述】

arp mac-forced-forwarding server命令用于手动配置MFF特性的服务器的IP地址。undo arp mac-forced-forwarding server命令用来删除服务器的IP地址,不指定参数表示删除所有的服务器IP地址。

缺省情况下,没有配置MFF特性的服务器的IP地址。

需要注意的是:

l              在MFF手工方式和自动方式下,都可以通过此命令配置网络中服务器的IP地址,否则网络中部署的服务器不能和客户端之间进行通信。

l              当交换机的MFF工作在自动方式,且网关与DHCP服务器不是同一台设备,则必须通过此命令指定DHCP服务器的IP地址。

l              当VRRP备份组作为MFF的网关时,为保证MFF功能的正确实现,必须通过此命令指定VRRP备份组中所有交换机的IP地址。

l              MFF不检查服务器的IP地址和网关IP地址是否在同一个网段,只检查是否是全0或全1的IP地址,全0或全1的IP地址不能作为服务器IP地址进行配置。

【举例】

# 配置网络中部署的服务器的IP地址为192.168.1.100。

<Sysname> system-view

[Sysname] vlan 1

[Sysname-vlan1] arp mac-forced-forwarding server 192.168.1.100

5.1.4  arp mac-forced-forwarding user-port

【命令】

arp mac-forced-forwarding user-port

undo arp mac-forced-forwarding user-port

【视图】

以太网端口视图

【参数】

【描述】

arp mac-forced-forwarding user-port命令用来配置当前端口为MFF用户口。undo arp mac-forced-forwarding user-port命令用来取消当前端口为MFF用户口的配置。

缺省情况下,没有配置交换机的以太网端口为MFF用户口。

需要注意的是:

l              若当前以太网端口已被配置为MFF网络口,则必须先取消网络口的配置,才允许将其配置为MFF用户口。

l              要配置为MFF用户口的端口必须首先配置IP过滤功能;若某端口已被配置为MFF用户口,则不能取消此端口的IP过滤配置。

【举例】

# 配置Ethernet1/0/2端口为MFF用户口。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Ethernet 1/0/2

[Sysname-Ethernet1/0/2] arp mac-forced-forwarding user-port

5.1.5  display arp mac-forced-forwarding interface

【命令】

display arp mac-forced-forwarding interface

【视图】

任意视图

【参数】

【描述】

display arp mac-forced-forwarding interface命令用来显示MFF端口配置信息。

相关配置可参考命令arp mac-forced-forwarding network-port、arp mac-forced-forwarding user-port

【举例】

# 显示MFF端口配置信息。

<Sysname> display arp mac-forced-forwarding interface

User Port:

-------------------------------------------------------------------------

Ethernet1/0/9

Network Port:

-------------------------------------------------------------------------

Ethernet1/0/2

表5-1 display arp mac-forced-forwarding interface命令显示信息描述表

字段

描述

User Port

配置为用户口的端口列表

Network Port

配置为网络口的端口列表

 

5.1.6  display arp mac-forced-forwarding vlan

【命令】

display arp mac-forced-forwarding vlan [ vlan-id ]

【视图】

任意视图

【参数】

vlan-id:显示指定VLAN的MFF信息。

【描述】

display arp mac-forced-forwarding vlan命令用来显示MFF的开启信息。如果指定vlan-id参数,则显示该VLAN的MFF配置信息。如果不指定vlan-id参数,则显示交换机上MFF的配置数目。

相关配置可参考命令arp mac-forced-forwarding

【举例】

# 显示交换机的MFF的配置数目。

<Sysname> display arp mac-forced-forwarding vlan

Total Configuration Number: 4

Manual Mode Number: 3

-------------------------------------------------------------------------

VLAN 1 to 2, VLAN 5

Auto Mode Number: 1

-------------------------------------------------------------------------

VLAN 10

# 显示VLAN1内MFF的配置信息。

<Sysname> display arp mac-forced-forwarding vlan 1

VLAN 1

Mode   : Manual

Gateway:

-------------------------------------------------------------------------

10.10.10.1       (N/A)

Server :

-------------------------------------------------------------------------

10.10.0.1

表5-2 display arp mac-forced-forwarding vlan命令显示信息描述表

字段

描述

Total Configuration Number

交换机MFF开启的数目

Manual Mode Number

手工方式数

Auto Mode Number

自动方式数

VLAN 1

网关IP所对应的VLAN ID

Mode

MFF运行方式,分为自动方式和手动方式

Gateway

网关IP地址和网关MAC地址,未学习到则显示“N/A”

Server

Server IP地址,未配置则显示“N/A”

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们