华为交换机常见ARP操作

晴川

查看ARP表项
display arp network 172.16.0.0 16
刷新ARP表项：先清除设备上的ARP表项，这样设备会重新学习ARP表项
reset arp all
reset arp static
[HUAWEI] undo arp static 172.16.20.1 0023-0045-0067 interface gigabitethernet 1/0/1
reset arp interface vlanif 100 ip 172.16.20.1 //如果不指定IP地址，则删除设备上所有VLANIF100接口学习到的ARP表项
配置ARP老化时间：ARP老化时间仅对动态ARP表项生效，缺省值是20分钟
[HUAWEI] vlan batch 100
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] arp expire-time 1800
display current-configuration | include arp //查看设备上已配置的动态ARP表项的老化时间
配置静态ARP表项：静态ARP表项不会被老化，不会被动态ARP表项覆盖
通过手工方式配置静态ARP表项：
（1）配置一条静态ARP表项，IP地址为172.16.10.2，MAC地址为0023-0045-0067，出接口GE1/0/1处于二层模式，此条ARP表项属于VLAN100
[HUAWEI] vlan batch 100
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 172.16.10.1 24 //VLANIF接口的IP地址需要与静态ARP表项中的IP地址（172.16.10.2）同网段。
[HUAWEI-GigabitEthernet1/0/1] port link-type trunk
[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 //接口GigabitEthernet1/0/1处于二层模式，需要加入VLAN100。
[HUAWEI] arp static 172.16.10.2 0023-0045-0067 vid 100 interface gigabitethernet 1/0/1
（2）配置一条静态ARP表项，IP地址为172.16.20.2，MAC地址为0023-0045-0068，出接口GE1/0/2处于三层模式。
[HUAWEI-GigabitEthernet1/0/2] undo portswitch
[HUAWEI-GigabitEthernet1/0/2] ip address 172.16.20.1 24 //GigabitEthernet1/0/2的IP地址需要与静态ARP表项中的IP地址（172.16.20.2）同网段
[HUAWEI]arp static 172.16.20.2 0023-0045-0068 interface gigabitethernet 1/0/2
（3）配置一条静态ARP表项，IP地址为172.16.30.2，MAC地址为0023-0045-0069，此静态ARP表项属于VPN实例vpn1。
[HUAWEI] ip vpn-instance vpn1
[HUAWEI-vpn-instance-vpn1] ipv4-family
[HUAWEI]arp static 172.16.30.2 0023-0045-0069 vpn-instance vpn1
（4）配置一条静态ARP表项，IP地址为172.16.40.2，MAC地址为02bf-0045-0070。（例如设备采用多端口ARP方式与NLB服务器群集连接时，可以配置这种短静态的ARP表项。）
[HUAWEI] arp static 172.16.40.2 02bf-0045-0070
通过自动扫描与固化方式批量配置静态ARP表项：
（5）接口VLANIF103的IP地址为172.16.50.1/24，自动扫描该网段IP地址为172.16.50.2～172.16.50.4的ARP表项，并将学习到的ARP表项固化为静态ARP表项
[HUAWEI] vlan batch 103
[HUAWEI] interface vlanif 103
[HUAWEI-Vlanif103] ip address 172.16.50.1 24
[HUAWEI-GigabitEthernet1/0/3] port link-type trunk
[HUAWEI-GigabitEthernet1/0/3] port trunk allow-pass vlan 103
[HUAWEI]interface vlanif 103
[HUAWEI-Vlanif103]arp scan 172.16.50.2 to 172.16.50.4 //在接口VLANIF103上进行自动扫描，172.16.50.2～172.16.50.4与VLANIF103接口的IP地址172.16.50.1在同一网段，即ARP自动扫描区间的起始IP地址和结束IP地址必须与VLANIF接口的IP地址（主IP地址或者从IP地址）在同一网段
[HUAWEI-Vlanif103]arp fixup //在接口VLANIF103上进行固化，将学习的动态ARP表项固化为静态ARP表项
配置ARP代理：Proxy ARP分为路由式Proxy ARP、VLAN内Proxy ARP和VLAN间Proxy ARP
（1）路由式Proxy ARP：需要互通的主机（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络（即不在同一广播域）的场景
[HUAWEI] vlan batch 100
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 172.16.1.1 24
[HUAWEI-Vlanif100] arp-proxy enable
（2）VLAN内Proxy ARP：需要互通的主机处于相同网段，并且属于相同VLAN，但是VLAN内配置了端口隔离的场景
[HUAWEI] vlan batch 100
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 172.16.1.1 24
[HUAWEI-Vlanif100]arp-proxy inner-sub-vlan-proxy enable
（3）VLAN间Proxy ARP：需要互通的主机处于相同网段，但属于不同VLAN的场景
[HUAWEI] vlan batch 100
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 172.16.1.1 24
[HUAWEI-Vlanif100]arp-proxy inter-sub-vlan-proxy enable
屏蔽基于源IP地址的ARP Miss告警：当某个源IP地址触发了ARP Miss告警，用户希望屏蔽此源IP地址的ARP Miss告警时，可以对这个IP地址的ARP Miss消息不进行限速
[HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 0 //针对单个源地址
[HUAWEI] arp-miss speed-limit source-ip maximum 0 //针对所有源地址
配置动态ARP检测（DAI）：主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新；DAI功能是基于绑定表（DHCP动态和静态绑定表）对ARP报文进行匹配检查；设备收到ARP报文时，将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较（比较的内容用户可以根据需要进行配置，例如可以只将ARP报文中的源IP地址和VLAN信息与绑定表的信息进行比较），
如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。
（1）设备上配置DHCP Snooping功能，并在设备与用户侧相连的接口上使能DAI功能
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable //设备与用户侧相连的接口使能DHCP Snooping功能。
[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。
[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //对于静态配置IP地址的用户，在设备上配置静态绑定表
[HUAWEI-GigabitEthernet1/0/1]arp anti-attack check user-bind enable //设备与用户侧相连的接口使能DAI功能
（2）设备上配置DHCP Snooping功能，并在用户侧所属VLAN内使能DAI功能
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable //用户设备所属VLAN内使能DHCP Snooping功能
[HUAWEI] vlan 200
[HUAWEI-vlan200] dhcp snooping enable
[HUAWEI-vlan200] dhcp snooping trusted interface gigabitethernet 1/0/2 //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口
[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //对于静态配置IP地址的用户，在设备上配置静态绑定表
[HUAWEI] vlan 100
[HUAWEI-vlan100]arp anti-attack check user-bind enable //用户侧所属VLAN内使能DAI功能。
配置ARP防网关冲突：如果有攻击者仿冒网关，在局域网内发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者，攻击者可轻易窃听到他们发送的数据内容，并且最终会造成这些用户主机无法访问网络。在网关设备上使能ARP防网关冲突攻击功能后，当设备收到的ARP报文存在下列情况之一时，设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播：
ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同
ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC
[HUAWEI] arp anti-attack gateway-duplicate enable //在网关设备上使能ARP防网关冲突攻击功能
————————————————
版权声明：本文为CSDN博主「Tony_long7483」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/Tony_long7483/article/details/120969811