• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

04-三層技術-IP業務命令參考

目錄

01-ARP命令

本章節下載 01-ARP命令  (516.33 KB)

01-ARP命令

  錄

1 ARP

1.1 ARP配置命令

1.1.1 arp check enable

1.1.2 arp check log enable

1.1.3 arp hardware log enable

1.1.4 arp mac-interface-consistency check enable

1.1.5 arp max-learning-num

1.1.6 arp max-learning-number

1.1.7 arp mode uni

1.1.8 arp multiport

1.1.9 arp smooth

1.1.10 arp static

1.1.11 arp timer aging

1.1.12 arp timer aging probe-count

1.1.13 arp timer aging probe-interval

1.1.14 arp unknown-source-mac-probing enable

1.1.15 arp user-ip-conflict record enable

1.1.16 arp user-move record enable

1.1.17 display arp

1.1.18 display arp entry-limit

1.1.19 display arp ip-address

1.1.20 display arp openflow count

1.1.21 display arp timer aging

1.1.22 display arp usage

1.1.23 display arp user-ip-conflict record

1.1.24 display arp user-move record

1.1.25 display arp vpn-instance

1.1.26 reset arp

2 免費ARP

2.1 免費ARP配置命令

2.1.1 arp ip-conflict log prompt

2.1.2 arp local-proxy gratuitous-arp forward enable

2.1.3 arp send-gratuitous-arp

2.1.4 gratuitous-arp mac-change retransmit

2.1.5 gratuitous-arp-learning enable

2.1.6 gratuitous-arp-sending enable

3 代理ARP

3.1 代理ARP配置命令

3.1.1 display local-proxy-arp

3.1.2 display proxy-arp

3.1.3 display proxy-arp statistics

3.1.4 local-proxy-arp enable

3.1.5 proxy-arp enable

4 ARP Snooping

4.1 ARP Snooping配置命令

4.1.1 arp snooping enable

4.1.2 arp snooping uplink

4.1.3 display arp snooping

4.1.4 reset arp snooping

5 ARP直連路由通告

5.1 ARP直連路由通告配置命令

5.1.1 arp route-direct advertise

5.1.2 arp route-direct advertise delay

5.1.3 arp route-direct advertise mad-down-single-homed

5.1.4 display arp route-direct advertise

6 數據報文觸發ARP解析時禁止主動發送ARP請求功能

6.1 數據報文觸發ARP解析時禁止主動發送ARP請求功能配置命令

6.1.1 arp fib-miss drop

7 ARP-Ping

7.1 ARP-Ping配置命令

7.1.1 ping arp ip

7.1.2 ping arp mac

 


1 ARP

1.1  ARP配置命令

1.1.1  arp check enable

arp check enable命令用來開啟動態ARP表項的檢查功能。

undo arp check enable命令用來關閉動態ARP表項的檢查功能。

【命令】

arp check enable

undo arp check enable

【缺省情況】

動態ARP表項的檢查功能處於開啟狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

動態ARP表項檢查功能可以控製設備上是否可以學習ARP報文中的發送端MAC地址為組播MAC的動態ARP表項。

開啟ARP表項的檢查功能後,設備上不能學習ARP報文中發送端MAC地址為組播MAC的動態ARP表項,也不能手工添加MAC地址為組播MAC的靜態ARP表項。

關閉ARP表項的檢查功能後,設備可以學習以太網源MAC地址為單播MAC且ARP報文中發送端MAC地址為組播MAC的動態ARP表項,也可以手工添加MAC地址為組播MAC的靜態ARP表項。

【舉例】

# 開啟動態ARP表項的檢查功能。

<Sysname> system-view

[Sysname] arp check enable

1.1.2  arp check log enable

arp check log enable命令開啟ARP日誌信息功能。

undo arp check log enable命令關閉ARP日誌信息功能。

【命令】

arp check log enable

undo arp check log enable

【缺省情況】

設備ARP日誌信息功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

ARP日誌可以方便管理員定位問題和解決問題,對處理ARP報文的信息進行的記錄,包括設備未使能ARP代理功能時收到目的IP不是設備接口IP地址或VRRP備份組的虛擬IP地址;收到的ARP報文中源地址和接收接口地址或VRRP備份組中的虛擬IP地址衝突,且此報文不是ARP請求報文等。

設備生成的ARP日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。

為了防止設備輸出過多的ARP日誌信息而影響設備性能,除了審計或定位問題,一般情況下建議不要打開此功能。

【舉例】

# 開啟ARP日誌信息功能。

<Sysname> system-view

[Sysname] arp check log enable

1.1.3  arp hardware log enable

arp hardware log enable命令用來開啟ARP表項下發硬件日誌功能。

undo arp hardware log enable命令用來關閉ARP表項下發硬件日誌功能。

【命令】

arp hardware log enable [ count-limit count-limit-value ]

undo arp hardware log enable

【缺省情況】

ARP表項下發硬件日誌功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

count-limit count-limit-value:每秒輸出的ARP表項下發硬件的日誌條目最大值,取值範圍為1~2000。如果未指定本參數,則設備每秒最多輸出2000條ARP表項下發硬件日誌。

【使用指導】

設備學習ARP表項後,會將ARP表項下發到硬件,以供芯片轉發報文時使用。開啟ARP表項下發硬件日誌功能後,如果ARP表項下發到硬件的過程產生異常,設備會時輸出日誌信息記錄此事件。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,最終決定日誌報文的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的設置請參見“網絡管理和監控配置指導”中的“信息中心”。

為了避免生成日誌的過程占用內存,建議用戶隻在流量的轉發產生異常,需要定位問題時開啟本功能。如果每秒鍾生成的日誌條目達到最大值,則即使有新的ARP表項在下發到硬件的過程中產生異常,設備也不會輸出此ARP表項的日誌。

【舉例】

# 開啟ARP表項下發硬件日誌功能,且每秒最多輸出100條日誌。

<Sysname> system-view

[Sysname] arp hardware log enable count-limit 100

1.1.4  arp mac-interface-consistency check enable

arp mac-interface-consistency check enable命令用來開啟ARP表項出接口和MAC地址表項出接口一致性檢查功能。

undo arp mac-interface-consistency check enable命令用來關閉ARP表項出接口和MAC地址表項出接口一致性檢查功能。

【命令】

arp mac-interface-consistency check enable

undo arp mac-interface-consistency check enable

【缺省情況】

ARP表項出接口和MAC地址表項出接口一致性檢查功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

當網絡環境不穩定時,設備收到某個用戶發送的報文的接口可能會發生變化。這時,設備會更新該用戶的MAC地址表項中的接口信息。由於該用戶對應的ARP表項的出接口信息無法及時更新,匹配該ARP表項的報文會從錯誤的接口轉發出去。開啟本功能後,ARP會定時檢查某個用戶的ARP表項的出接口和MAC地址表項的出接口是否一致。如果不一致,ARP會在該用戶的ARP表項記錄的VLAN內發送ARP請求報文進行探測,並將收到ARP應答報文的接口信息更新到ARP表項中,保證了ARP表項的出接口信息能夠及時更新,解決了某個用戶的ARP表項出接口和MAC地址表項出接口不一致的問題。

使用display mac-address命令可以查看MAC地址表信息。

【舉例】

# 開啟ARP表項出接口和MAC地址表項出接口一致性檢查功能。

<Sysname> system-view

[Sysname] arp mac-interface-consistency check enable

【相關命令】

·     display mac-address(二層技術-以太網交換命令參考/MAC地址表)

1.1.5  arp max-learning-num

arp max-learning-num命令用來配置接口允許學習動態ARP表項的最大數目。

undo arp max-learning-num命令用來恢複缺省情況。

【命令】

arp max-learning-num max-number [ alarm alarm-threshold ]

undo arp max-learning-num

【缺省情況】

接口允許學習動態ARP表項的最大個數為設備ARP表的容量值,與設備當前剩餘資源和arp mode uni命令的配置狀態有關,請以實際情況為準 。

【視圖】

二層以太網接口視圖

二層聚合接口視圖

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VXLAN中的VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

max-number:接口允許學習動態ARP表項的最大數目。取值範圍為0~N(N的值為設備的ARP表容量值)。

alarm alarm-threshold:設置動態ARP表項數量的告警閾值。alarm-threshold的取值範圍為1~100,單位為百分比。當接口學到的動態ARP表項數到達(max-number×alarm-threshold/100)時,設備會生成日誌信息。如果未指定本參數,設備不會生成日誌信息。

【使用指導】

設備可以通過ARP協議自動生成動態ARP表項。為了防止部分接口下的用戶占用過多的ARP資源,可以通過設置接口學習動態ARP表項的最大數目來進行限製。當接口學習動態ARP表項的數目達到所設置的值時,該接口將不再學習動態ARP表項。

當配置接口允許學習動態ARP表項的最大數目為0時,表示禁止接口學習動態ARP表項。

【舉例】

# 配置VLAN接口40上可以學習動態ARP表項的最大數目為10。

<Sysname> system-view

[Sysname] interface vlan-interface 40

[Sysname-Vlan-interface40] arp max-learning-num 10

# 配置接口Ten-GigabitEthernet1/0/1上可以學習動態ARP表項的最大數目為10。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp max-learning-num 10

# 配置二層聚合接口1上可以學習動態ARP表項的最大數目為10。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] arp max-learning-num 10

# 配置三層聚合接口1上可以學習動態ARP表項的最大數目為10。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] arp max-learning-num 10

1.1.6  arp max-learning-number

arp max-learning-number命令用來配置設備允許學習動態ARP表項的最大數目。

undo arp max-learning-number命令用來恢複缺省情況。

【命令】

arp max-learning-number max-number slot slot-number

undo arp max-learning-number slot slot-number

【缺省情況】

設備允許學習動態ARP表項的最大個數為設備ARP表的容量值,與設備當前剩餘資源和arp mode uni命令的配置狀態有關,請以實際情況為準 。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

max-number:設備允許學習動態ARP表項的最大數目,取值範圍為0~N(N的值為設備的ARP表容量值)。

slot slot-number:設置指定成員設備上學習動態ARP表項的最大數目,slot-number表示設備在IRF中的成員編號。

【使用指導】

設備可以通過ARP協議自動生成動態ARP表項。為了防止用戶占用過多的ARP資源,可以通過設置設備學習動態ARP表項的最大數目來進行限製。當設備學習動態ARP表項的數目達到所設置的值時,該設備將不再學習動態ARP表項。

當配置設備允許學習動態ARP表項的最大數目為0時,表示禁止該設備學習動態ARP表項。

【舉例】

# 限製Slot1上學習的ARP表項的最大數目為64。

<Sysname> system-view

[Sysname] arp max-learning-number 64 slot 1

1.1.7  arp mode uni

arp mode uni命令用來配置接口為用戶側接口。

undo arp mode命令用來恢複缺省情況。

【命令】

arp mode uni

undo arp mode

【缺省情況】

接口為網絡側接口。

【視圖】

VLAN接口視圖

VXLAN中的VSI虛接口視圖

【缺省用戶角色】

network-admin

【使用指導】

當接口連接終端主機時,可以配置接口為用戶側接口。對於這種接口上學到的ARP表項,不再和設備上的路由信息相關聯。

當接口連接網絡設備時,需要配置接口為網絡側接口。對於這種接口上學到的ARP表項,可以與設備上的路由信息關聯,可作為路由信息的下一跳。

配置接口為用戶側或網絡側接口時,接口實際允許學習的動態ARP表項的最大取值不同。當接口連接網絡設備時,接口允許學習的ARP表項的最大取值受硬件路由下一跳資源的限製。根據實際使用情況,正確配置接口的工作模式,可以適當的節省硬件資源。

【舉例】

# 配置VLAN接口2角色為用戶側接口。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp mode uni

1.1.8  arp multiport

arp multiport命令用來配置多端口ARP表項。

undo arp命令用來刪除ARP表項。

【命令】

arp multiport ip-address mac-address { vlan-id | vsi-interface vsi-interface-id vsi vsi-name } [ vpn-instance vpn-instance-name ] [ description text ]

undo arp ip-address [ vpn-instance-name ]

【缺省情況】

不存在多端口ARP表項。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip-address:ARP表項的IP地址部分。

mac-address:ARP表項的MAC地址部分,格式為H-H-H。

vlan-id:ARP表項所屬的VLAN,取值範圍為1~4094。vlan-id必須是用戶已經創建好的VLAN的ID。

vsi-interface vsi-interface-id:ARP表項的VSI虛接口信息。vsi-interface-id為VSI虛接口編號,取值為已創建的VSI虛接口的編號。

vsi vsi-name:ARP表項的VSI信息。vsi-name為1~31個字符的字符串,區分大小寫。

vpn-instance vpn-instance-name:指定多端口ARP表項所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。該VPN實例必須已經存在。如果未指定本參數,則表示多端口ARP表項位於公網中。

description text:多端口ARP表項的描述信息。text為1~255個字符的字符串,區分大小寫。

【使用指導】

為多端口ARP表項配置描述信息後,可以方便管理員對表項進行審計和管理。

當多端口ARP表項所對應的VLAN、VLAN接口、VSI虛接口信息或VSI信息被刪除時,該表項需刪除。

用戶需要先配置多端口單播MAC地址表項或組播MAC地址表項來指定所有的出接口,這種MAC地址表項需要和多端口ARP表項有相同的MAC地址、VLAN ID和VSI信息,且保證多端口ARP表項中IP地址與VLAN接口的IP地址屬於同一網段,此時該多端口ARP表項才能正常指導轉發。

多端口ARP表項中的VSI和VSI虛接口共同確定一個VXLAN網關,當VSI和VSI虛接口的對應關係不正確時,配置多端口ARP表項失敗。VSI虛接口和VSI的描述請參見“VXLAN使用指導”中的“配置VXLAN”。

如果設備轉發的報文匹配到多端口ARP表項,且出端口是分布在多個IRF成員設備上的聚合端口時,需要在該設備上使用link-aggregation global load-sharing mode命令,配置非源MAC地址和非目的MAC地址的聚合負載分擔類型,否則將可能導致報文無法轉發。關於link-aggregation global load-sharing mode命令的詳細描述請參見“二層技術-以太網交換命令參考”中的“以太網鏈路聚合”。

【舉例】

# 配置一條多端口ARP表項,IP地址為202.38.10.2,對應的MAC地址為00e0-fc01-0000,此條ARP表項屬於VLAN 10。

<Sysname> system-view

[Sysname] arp multiport 202.38.10.2 00e0-fc01-0000 10

# 配置一條多端口ARP表項,IP地址為1.1.1.1,對應的MAC地址為00e0-fc01-0000,此條ARP表項的入接口為VSI虛接口1,VSI名稱為a。

<Sysname> system-view

[Sysname] arp multiport 1.1.1.1 00e0-fc01-0000 vsi-interface 1 vsi a

【相關命令】

·     display arp multiport

·     reset arp multiport

1.1.9  arp smooth

arp smooth命令用來觸發一次將IRF主設備的ARP表項同步到其他所有IRF從設備的操作。

【命令】

arp smooth

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【舉例】

# 觸發一次將IRF主設備的ARP表項同步到其他所有IRF從設備的操作。

<Sysname> arp smooth

1.1.10  arp static

arp static命令用來配置靜態ARP表項。

undo arp命令用來刪除ARP表項。

【命令】

arp static ip-address mac-address [ vlan-id interface-type interface-number | vsi-interface vsi-interface-id tunnel number vsi vsi-name | vsi-interface vsi-interface-id interface-type interface-number service-instance instance-id vsi vsi-name ] [ vpn-instance vpn-instance-name ] [ description text ]

undo arp ip-address [ vpn-instance-name ]

【缺省情況】

不存在靜態ARP表項。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip-address:ARP表項的IP地址部分。

mac-address:ARP表項的MAC地址部分,格式為H-H-H。

vlan-id:靜態ARP表項所屬的VLAN,取值範圍為1~4094。

interface-type interface-number:指定接口類型和接口編號。

vsi-interface vsi-interface-id:指定VSI虛接口,vsi-interface-id為VSI虛接口編號,取值為已創建的VSI虛接口的編號。

tunnel number:指定Tunnel接口,number為Tunnel接口編號,取值為已創建的Tunnel接口的編號。

vsi vsi-name:表示VSI的名稱,vsi-name為1~31個字符的字符串,區分大小寫。

service-instance instance-id:ARP表項的以太網服務實例,instance-id為以太網服務實例ID,取值範圍為1~4096。如果本參數前配置的是二層以太網接口,則必須配置本參數;如果本參數前配置的是其他類型接口,則無法配置本參數。

vpn-instance vpn-instance-name:指定靜態ARP表項所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。該VPN實例必須已經存在。如果未指定本參數,則表示靜態ARP表項位於公網中。

description text:靜態ARP表項的描述信息。為1~255個字符的字符串,區分大小寫。

【使用指導】

靜態ARP表項通過手工配置和維護,不會被老化,不會被動態ARP表項覆蓋,可以增加通信的安全性。

靜態ARP表項分為短靜態ARP表項和長靜態ARP表項:

·     對於已經解析的短靜態ARP表項,會由於外部事件,比如解析到的出接口狀態down或者vlan-id所對應的VLAN和VLAN接口被刪除等原因,恢複到未解析狀態。

·     對於長靜態ARP表項,根據設備的當前狀態可能處於有效或無效兩種狀態。處於無效狀態的原因可能是該ARP表項中的IP地址與本地IP地址衝突或設備上沒有與該ARP表項中的IP地址在同一網段的接口地址等原因。處於無效狀態的長靜態ARP表項不能指導報文轉發。

指定vlan-id interface-type interface-number參數時,需要注意:

·     interface-type interface-number可以為以太網接口或聚合接口。

·     vlan-id所對應的VLAN和VLAN接口必須存在,接口interface-type interface-number必須屬於此VLAN。

·     vlan-id對應的VLAN接口的IP地址必須和ip-address屬於同一網段。

·     vlan-id所對應的VLAN和VLAN接口被刪除時,長靜態ARP表項則會被刪除。

vsi-interface vsi-interface-id tunnel number vsi vsi-name用於VXLAN網關通過Tunnel口相連的組網中,VSI和VSI虛接口共同確定一個VXLAN網關,且一個VSI虛接口會對應多個Tunnel接口。那麼配置長靜態ARP表項時,需要通過該參數指定VSI虛接口、VSI和Tunnel口之間的對應關係。VSI虛接口、VSI和Tunnel口的描述請參見“VXLAN使用指導”中的“配置VXLAN”。

vsi-interface vsi-interface-id interface-type interface-number service-instance instance-id vsi vsi-name用於VXLAN網關關聯本地站點。VSI和VSI虛接口共同確定一個VXLAN網關,一個VXLAN網關下可能存在多個本地站點,本地站點通過以太網服務實例和VSI相關聯。那麼配置長靜態ARP表項時,需要通過該參數指定VSI虛接口、連接本地站點的二層以太網接口、以太網服務實例和VSI之間的對應關係。以太網服務實例的詳細描述請參見“VXLAN配置指導”中的“配置VXLAN”。

為靜態ARP表項配置描述信息後,可以方便管理員對表項進行審計和管理。

【舉例】

# 配置一條長靜態ARP表項,IP地址為202.38.10.2,對應的MAC地址為00e0-fc01-0000,此條ARP表項對應的出接口為屬於VLAN 10的接口Ten-GigabitEthernet1/0/1。

<Sysname> system-view

[Sysname] arp static 202.38.10.2 00e0-fc01-0000 10 ten-gigabitethernet 1/0/1

# 配置一條長靜態ARP表項,IP地址為1.1.1.1,對應的MAC地址為00e0-fc01-0000,此條ARP表項對應的入接口為VSI虛接口1,出接口為Tunnel 1,VSI的名稱為a。

<Sysname> system-view

[Sysname] arp static 1.1.1.1 00e0-fc01-0000 vsi-interface 1 tunnel 1 vsi a

# 配置一條長靜態ARP表項,IP地址為1.1.1.1,對應的MAC地址為00e0-fc01-0000,此條ARP表項對應的入接口為VSI虛接口1,出接口為Ten-GigabitEthernet1/0/1上的以太網服務實例1,VSI名稱為a。

<Sysname> system-view

[Sysname] arp static 1.1.1.1 00e0-fc01-0000 vsi-interface 1 ten-gigabitethernet 1/0/1 service-instance 1 vsi a

【相關命令】

·     display arp

·     reset arp

1.1.11  arp timer aging

arp timer aging命令用來配置動態ARP表項的老化時間。

undo arp timer aging命令用來恢複缺省情況。

【命令】

arp timer aging { aging-minutes | second aging-seconds }

undo arp timer aging

【缺省情況】

係統視圖下,動態ARP表項的老化時間為20分鍾。

接口視圖下,動態ARP表項的老化時間以係統視圖下配置的老化時間為準。

【視圖】

係統視圖

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VXLAN中的VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

aging-minutes:以分鍾形式表示的動態ARP表項的老化時間,取值範圍為1~1440,單位為分鍾。

second aging-seconds:以秒形式表示的動態ARP表項的老化時間,取值範圍為5~86400,單位為秒。

【使用指導】

為適應網絡的變化,ARP表需要不斷更新。ARP表中的動態ARP表項並非永遠有效,每一條記錄都有一個生存周期,到達生存周期仍得不到刷新的記錄將被從ARP表中刪除,這個生存周期被稱作老化時間。如果在到達老化時間前紀錄被刷新,則重新計算老化時間。

係統視圖和接口視圖下都可以配置動態ARP表項的老化時間,接口視圖下配置的動態ARP表項的老化時間優先級高於係統視圖下配置的動態ARP表項的老化時間。

配置代理ARP功能後,應該減小動態ARP表項的老化時間,以便盡快刪除無效的動態ARP表項,減少發給設備而設備卻不能轉發的報文,以盡快刪除無效的動態ARP表項。

【舉例】

# 配置動態ARP表項的老化時間為10分鍾。

<Sysname> system-view

[Sysname] arp timer aging 10

# 配置動態ARP表項的老化時間為200秒。

<Sysname> system-view

[Sysname] arp timer aging second 200

# 在VLAN接口2上配置動態ARP表項的老化時間為200秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp timer aging second 200

【相關命令】

·     arp timer aging probe-count

·     arp timer aging probe-interval

·     display arp timer aging

1.1.12  arp timer aging probe-count

arp timer aging probe-count命令用來配置動態ARP表項老化探測次數。

undo arp timer aging probe-count命令用來恢複缺省情況。

【命令】

arp timer aging probe-count count

undo arp timer aging probe-count

【缺省情況】

係統視圖下,動態ARP表項老化探測次數為3次。

接口視圖下,動態ARP表項老化探測次數以係統視圖下配置的探測次數為準。

【視圖】

係統視圖

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VXLAN中的VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

count:動態ARP表項老化探測次數,取值範圍為0~10。當配置為0時,則不進行動態ARP表項老化探測。

【使用指導】

某條動態ARP表項老化前,設備會向該表項中的IP地址發送ARP請求報文進行老化探測,設備收到ARP應答報文後,動態ARP表項的老化時間會刷新,如果未收到應答,則刪除此動態ARP表項。動態ARP表項老化刷新機製保證了合法的動態ARP表項不會被老化,流量轉發時不需要重新發起ARP解析過程。

係統視圖和接口視圖下都可以配置動態ARP表項老化探測次數,接口視圖下配置的動態ARP表項老化探測次數優先級高於係統視圖下配置的動態ARP表項老化探測次數。

【舉例】

# 配置動態ARP表項老化探測次數為5次。

<Sysname> system-view

[Sysname] arp timer aging probe-count 5

# 在VLAN接口2上配置動態ARP表項老化探測次數為5次。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp timer aging probe-count 5

【相關命令】

·     arp timer aging

·     arp timer aging probe-interval

1.1.13  arp timer aging probe-interval

arp timer aging probe-interval命令用來配置動態ARP表項老化探測時間間隔。

undo arp timer aging probe-interval命令用來恢複缺省情況。

【命令】

arp timer aging probe-interval interval

undo arp timer aging probe-interval

【缺省情況】

係統視圖下,動態ARP表項老化探測時間間隔為5秒。

接口視圖下,動態ARP表項老化探測時間間隔以係統視圖下配置的時間間隔為準。

【視圖】

係統視圖

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VXLAN中的VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

interval:動態ARP表項老化探測時間間隔,取值範圍為1~60,單位為秒。

【使用指導】

動態ARP表項老化刷新機製保證了合法的動態ARP表項不會被老化,流量轉發時不需要重新發起ARP解析過程。動態ARP表項老化前,設備會按照配置的老化探測時間間隔向該表項中的IP地址發送ARP請求報文進行老化探測。

·     如果在老化探測時間間隔內,設備收到ARP應答報文後,動態ARP表項的老化時間會刷新;

·     如果在老化探測時間間隔內,設備未收到ARP應答報文,探測次數加1,開始下一次探測;

·     如果到達最大探測次數後,設備仍未收到ARP應答報文,則該動態ARP表項會被刪除。

係統視圖和接口視圖下都可以配置動態ARP表項老化探測時間間隔,接口視圖下配置的動態ARP表項老化探測時間間隔優先級高於係統視圖下配置的動態ARP表項老化探測時間間隔。

【舉例】

# 配置動態ARP表項老化探測時間間隔為10秒。

<Sysname> system-view

[Sysname] arp timer aging probe-interval 10

# 在VLAN接口2上配置動態ARP表項老化探測時間間隔為10秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp timer aging probe-interval 10

【相關命令】

·     arp timer aging

·     arp timer aging probe-count

1.1.14  arp unknown-source-mac-probing enable

arp unknown-source-mac-probing enable命令用來開啟未知源MAC地址的IP數據報文觸發ARP探測的功能。

undo arp unknown-source-mac-probing enable命令用來關閉未知源MAC地址的IP數據報文觸發ARP探測的功能。

【命令】

arp unknown-source-mac-probing enable

undo arp unknown-source-mac-probing enable

【缺省情況】

未知源MAC地址的IP數據報文觸發ARP探測的功能處於關閉狀態。

【視圖】

二層以太網接口視圖

二層聚合接口視圖

【缺省用戶角色】

network-admin

【使用指導】

通常,在移動組網環境下,設備可能收到未知源MAC地址的數據報文。例如,在同一個局域網中,Device A下連接了AP 1,Device B下連接了 AP 2。移動終端Mobile先通過AP 1接入網絡,獲取到IP地址,之後漫遊到AP 2下,且IP地址不更改,繼續使用已獲取到的IP地址通信。此時Device B收到的移動終端Mobile發來的首個報文可能就是未知源MAC地址的數據報文。

缺省情況下,設備收到未知源MAC地址的數據報文,會學習MAC地址表項並轉發此數據報文,不會根據此數據報文學習ARP表項。後續,發送給移動終端Mobile的報文,不能被正確地轉發到Device B上。為了解決這個問題,用戶可以執行本命令,開啟未知源MAC地址的IP數據報文觸發ARP探測的功能。

開啟本功能後,設備收到未知源MAC地址的數據報文後,會使用數據報文的源IP地址作為ARP探測報文的目的IP地址,在接收到此數據報文的接口下發送ARP探測報文,如果收到了相應的ARP應答報文,則根據應答應報文生成對應的ARP表項。

請用戶根據實際組網環境判斷是否需要開啟本功能。

【舉例】

# 在二層以太網接口Ten-GigabitEthernet1/0/1上開啟對未知源MAC地址的IP數據報文觸發ARP探測的功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp unknown-source-mac-probing enable

1.1.15  arp user-ip-conflict record enable

arp user-ip-conflict record enable命令用來開啟ARP記錄終端用戶間IP地址衝突功能。

undo arp user-ip-conflict record enable命令用來關閉ARP記錄終端用戶間IP地址衝突功能。

【命令】

arp user-ip-conflict record enable

undo arp user-ip-conflict record enable

【缺省情況】

ARP記錄終端用戶間IP地址衝突功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

開啟本功能後,ARP模塊收到ARP報文時,會將ARP報文中的發送端IP地址和已有ARP表項中的IP地址進行比較。如果發現發送端IP地址和某條ARP表項中的IP地址相同,但MAC地址不同,則認為網絡中存在終端用戶間的IP地址衝突。此時,ARP模塊會生成終端用戶間IP地址衝突表項,同時生成對應的IP地址衝突日誌。生成的IP地址衝突日誌將被發送給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。

對於單個成員設備,ARP模塊一秒內最多生成10條終端用戶間IP地址衝突日誌。

管理員可以通過執行display arp user-ip-conflict record命令查看到更多的終端用戶間源IP地址衝突表項。

【舉例】

# 開啟ARP記錄終端用戶間源IP地址衝突功能。

<Sysname> system-view

[Sysname] arp user-ip-conflict record enable

【相關命令】

·     display arp user-ip-conflict record

1.1.16  arp user-move record enable

arp user-move record enable命令用來開啟ARP記錄終端用戶端口遷移功能。

undo arp user-move record enable命令用來關閉ARP記錄終端用戶端口遷移功能。

【命令】

arp user-move record enable

undo arp user-move record enable

【缺省情況】

ARP記錄終端用戶端口間遷移功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

對於單個成員設備,ARP模塊一秒內最多生成10條終端用戶遷移日誌。

管理員可以通過執行display arp user-move record命令查看到更多的終端用戶遷移表項。

【舉例】

# 開啟ARP記錄終端用戶端口遷移功能。

<Sysname> system-view

[Sysname] arp user-move record enable

【相關命令】

·     display arp user-move record

1.1.17  display arp

display arp命令用來顯示ARP表項。

【命令】

display arp [ [ all | dynamic | multiport | static ] [ slot slot-number ] | vlan vlan-id | interface interface-type interface-number ] [ count | verbose ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

all:顯示所有的ARP表項。

dynamic:顯示動態ARP表項。

multiport:顯示多端口ARP表項。

static:顯示靜態ARP表項。

slot slot-number:顯示指定成員設備的ARP表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的ARP表項。

vlan vlan-id:顯示指定VLAN的ARP表項,vlan-id的取值範圍為1~4094。

interface interface-type interface-number:顯示指定接口的ARP表項。interface-type interface-number用來指定接口類型和接口編號。如果未指定本參數,則顯示所有接口的ARP表項。

count:顯示ARP表項的數目。

verbose:顯示ARP表項的詳細信息。

【使用指導】

使用本命令可以查看靜態、動態和多端口ARP表項的具體內容,包括IP地址、MAC地址、VLAN ID、出接口、表項類型以及老化時間等信息。

【舉例】

# 顯示所有ARP表項的信息。

<Sysname> display arp all

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

1.1.1.1         02e0-f102-0023 1             XGE1/0/1                 --    S

1.1.1.2         00e0-fc00-0001 12            XGE1/0/2                 960   D

1.1.1.3         00e0-fe50-6503 vsi1          Tunnel1 960   D

1.1.1.4         00e0-fe60-5000 vsi2          --                       --    M

# 顯示所有ARP表項的詳細信息。

<Sysname> display arp all verbose

IP address          : 1.1.1.1             MAC address    : 02e0-f102-0023

Type                : Static              Aging          : --

Interface           : XGE1/0/1            VLAN           : 1

VPN instance        : --

Link ID             : --

Service instance    : 1

VXLAN ID            : --

VSI name            : --

VSI interface       : --

Nickname            : --

Description         : User1

 

IP address          : 1.1.1.2             MAC address    : 0015-e944-adc5

Type                : Dynamic             Aging          : 960 sec

Interface           : XGE1/0/2            VLAN           : 12

VPN instance        : --

Link ID             : --

Service instance    : --

VXLAN ID            : --

VSI name            : --

VSI interface       : --

Nickname            : --

Description         : --

 

IP address          : 1.1.1.3             MAC address    : 0013-1234-0001

Type                : Dynamic             Aging          : 960 sec

Interface           : Tunnel1             VLAN           : --

VPN instance        : --

Link ID             : 0x5000001

Service instance    : --

VXLAN ID            : --

VSI name            : vsi1

VSI interface       : Vsi1

Nickname            : --

Description         : --

 

IP address          : 1.1.1.4                  MAC address    : 00e0-fe60-5000

Type                : Multiport                Aging          : --

Interface           : --                       VLAN           : --

VPN instance        : --

Link ID             : --

Service instance    : --

VXLAN ID            : 1

VSI name            : vsi2

VSI interface       : Vsi1

Nickname            : --

Description         : User2

# 顯示所有ARP表項的數目。

<Sysname> display arp all count

 Total number of entries : 4

表1-1 display arp命令顯示信息描述表

字段

描述

IP address

ARP表項的IP地址

MAC address

ARP表項的MAC地址

VLAN/VSI name

ARP表項所屬的VLAN ID或VSI名稱(當表項類型為靜態表項時,“--”表示未解析的短靜態ARP表項;如果ARP表項中的接口不屬於某個VLAN或VSI,也顯示“--”)

Interface

ARP表項所對應的出接口(當表項類型為靜態表項時,“--”表示未解析的短靜態ARP表項;當表項類型為多端口表項時,“--”表示ARP表項不持有端口信息,需要參考對應的多端口MAC地址)

Link ID

出鏈路標識符,如果ARP表項不屬於VSI,則顯示為“--”

Aging

ARP表項的老化時間,對於靜態ARP表項,本字段取值為“N/A”,表示沒有老化時間;對於動態ARP表項,取值包括:

·     具體老化時間值,單位為秒

·     “--”表示老化時間不可知

Type

ARP表項類型:動態,用D表示;靜態,用S表示;OpenFlow,用O表示;Rule,用R表示;多端口,用M表示;無效,用I表示

VPN instance

VPN實例名稱,“--”表示未配置相應ARP的VPN實例

Service instance

以太網服務實例,如果ARP表項未指定二層以太網接口或二層聚合接口上以太網服務實例,則顯示“--”

VXLAN ID

ARP表項對應的VXLAN ID,又稱VNI(VXLAN網絡標識符)。“--”表示該表項不屬於任何VXLAN

VSI name

ARP表項的VSI的名稱,“--”表示該表項不屬於VSI

VSI interface

與VSI關聯的VSI虛接口,如果未指定VSI關聯的VSI虛接口,則顯示“--”

Nickname

(暫不支持)ARP表項的NickName(長度為4的十六進製數字,例如012a)

Description

ARP表項的描述信息,如果不存在描述信息,則顯示為“--”

Total number of entries

ARP表項數目

【相關命令】

·     arp multiport

·     arp static

·     reset arp

1.1.18  display arp entry-limit

display arp entry-limit命令用來顯示設備支持ARP表項的最大數目。

【命令】

display arp entry-limit

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【舉例】

# 顯示設備支持ARP表項的最大數目。

<Sysname> display arp entry-limit

ARP entries: 131072

1.1.19  display arp ip-address

display arp ip-address命令用來顯示指定IP地址的ARP表項。

【命令】

display arp ip-address [ slot slot-number ] [ verbose ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

ip-address:顯示指定IP地址的ARP表項。

slot slot-number:顯示指定成員設備的ARP表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的ARP表項。

verbose:顯示ARP表項的詳細信息。

【使用指導】

用戶可以通過本命令查看指定IP地址的ARP表項的具體內容,包括IP地址、MAC地址、VLAN ID、出接口、表項類型以及老化時間等信息。

【舉例】

# 顯示IP地址為20.1.1.1的ARP表項的信息。

<Sysname> display arp 20.1.1.1

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

20.1.1.1        00e0-fc00-0001 --            --                       --    S

【相關命令】

·     arp static

·     reset arp

1.1.20  display arp openflow count

display arp openflow count命令用來顯示OpenFlow類型ARP表項個數。

【命令】

display arp openflow count [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

slot slot-number:顯示指定成員設備的OpenFlow類型ARP表項個數。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的OpenFlow類型ARP表項個數。

【舉例】

# 顯示OpenFlow類型ARP表項個數。

<Sysname> display arp openflow count

 Total number of OpenFlow ARP entries: 6

1.1.21  display arp timer aging

display arp timer aging命令用來顯示動態ARP表項的老化時間。

【命令】

display arp timer aging

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【使用指導】

不論通過arp timer aging命令配置的老化時間使用哪種時間單位,本命令顯示的老化時間單位均為秒。

【舉例】

# 顯示動態ARP表項的老化時間。

<Sysname> display arp timer aging

Current ARP aging time is 1200 seconds

以上顯示信息表示動態ARP表項的缺省老化時間為1200秒。

【相關命令】

·     arp timer aging

1.1.22  display arp usage

display arp usage命令用來顯示ARP表項數的使用率。

【命令】

display arp usage

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【使用指導】

通過本命令可以查看到設備支持的ARP表項最大數目,和ARP表項數目的曆史使用率信息。管理員通過查看此統計數據,可對設備上的ARP表項數進行實時監控,提前避免ARP表項數達到上限的問題。另外,管理員也可以通過表項學習的速度可以判斷網絡中是否存在ARP泛洪攻擊等問題。

設備最多支持顯示前一小時內ARP表項數的統計信息。

【舉例】

# 顯示ARP表項數的使用率。

<Sysname> display arp usage

ARP table upper limit: 131072

  Time          ARP entry count    Usage

  Current       42                 0%

  1 min ago     42                 0%

  2 min ago     42                 0%

  3 min ago     42                 0%

  …

  59 min ago    42                 0%

  60 min ago    42                 0%

表1-2 display arp usage命令顯示信息描述表

字段

描述

ARP table upper limit

設備支持ARP表項的最大數目

Time

統計ARP表項數的時間點,Current表示當前

ARP entry count

ARP表項個數

Usage

ARP表項的使用率

 

1.1.23  display arp user-ip-conflict record

display arp user-ip-conflict record命令用來顯示ARP記錄的終端用戶間IP地址衝突表項信息。

【命令】

display arp user-ip-conflict record [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

slot slot-number:顯示指定成員設備上ARP記錄的終端用戶間IP地址衝突表項信息。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上ARP記錄的終端用戶間IP地址衝突表項信息。

【使用指導】

單個成員設備最多支持保存200條終端用戶間IP地址衝突日誌。

當保存的衝突表項數超過上限時,新的表項會覆蓋生成時間最早的表項。

【舉例】

# 顯示設備上所有ARP記錄的終端用戶間IP地址衝突表項信息。

<Sysname> display arp user-ip-conflict record

IP address: 10.1.1.1

System time: 2018-02-02 11:22:29

Conflict count: 1

Log suppress count: 0

Old interface: Ten-GigabitEthernet1/0/1

New interface: Ten-GigabitEthernet1/0/2

Old SVLAN/CVLAN: 100/2

New SVLAN/CVLAN: 100/2

Old MAC: 00e0-ca63-8141

New MAC: 00e0-ca63-8142

 

IP address: 10.1.1.2

System time: 2018-02-02 10:20:30

Conflict count: 1

Log suppress count: 0

Old interface: Ten-GigabitEthernet1/0/1

New interface: Ten-GigabitEthernet1/0/2

Old SVLAN/CVLAN: 100/--

New SVLAN/CVLAN: 100/--

Old MAC: 00e0-ca63-8141

New MAC: 00e0-ca63-8142

表1-3 display arp user-ip-conflict record命令顯示信息描述表

字段

描述

IP address

終端用戶的IP地址

System time

衝突發生的係統時間

Conflict count

衝突發生的次數

Log suppress count

抑製生成衝突日誌的次數

Old interface

舊ARP表項中的接口信息

New interface

新ARP表項中的接口信息

Old SVLAN/CVLAN

舊ARP表項中的外層VLAN/內層VLAN,內外層VLAN都可能顯示為“--”

New SVLAN/CVLAN

新ARP表項中的外層VLAN/內層VLAN,內外層VLAN都可能顯示為“--”

Old MAC

舊ARP表項中的MAC地址

New MAC

新ARP表項中的MAC地址

【相關命令】

·     arp user-ip-conflict record enable

1.1.24  display arp user-move record

display arp user-move record命令用來顯示ARP記錄的終端用戶遷移表項信息。

【命令】

display arp user-move record [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

slot slot-number:顯示指定成員設備上ARP記錄的終端用戶遷移表項信息。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上ARP記錄的終端用遷移表項信息。

【使用指導】

單個成員設備最多支持顯示200條終端用戶遷移表項信息。

當保存的衝突表項數超過上限時,新的表項會覆蓋生成時間最早的表項。

【舉例】

# 顯示設備上所有ARP記錄的終端用戶遷移表項信息。

<Sysname> display arp user-move record

IP address: 10.1.1.1

MAC address: 0001-0201-0e81

System time: 2018-02-02 11:22:29

Move count: 1

Log suppress count: 0

Before:

  interface: Ten-GigabitEthernet1/0/1

  SVLAN/CVLAN: 100/2

After:

  interface: Ten-GigabitEthernet1/0/2

  SVLAN/CVLAN: 100/2

 

IP address: 10.1.1.2

MAC address: 0001-0201-0e82

System time: 2018-02-02 10:20:30

Move count: 1

Log suppress count: 0

Before:

  interface: Ten-GigabitEthernet1/0/1

  SVLAN/CVLAN: 100/--

After:

  interface: Ten-GigabitEthernet1/0/2

  SVLAN/CVLAN: 100/--

表1-4 display arp user-move record命令顯示信息描述表

字段

描述

IP address

終端用戶的IP地址

MAC address

終端用戶的MAC地址

System time

端口遷移發生的係統時間,每次端口遷移後都會刷新該係統時間

Move count

端口遷移發生的次數

Log suppress count

抑製生成端口遷移日誌的次數

Before

端口遷移前

interface

ARP表項中的接口信息

SVLAN/CVLAN

用戶所在的外層VLAN/內層VLAN,內外層VLAN都可能顯示為“--”

After

端口遷移後

 

【相關命令】

·     arp user-move record enable

1.1.25  display arp vpn-instance

display arp vpn-instance命令用來顯示指定VPN實例的ARP表項。

【命令】

display arp vpn-instance vpn-instance-name [ count | verbose ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

vpn-instance-name:顯示指定VPN實例的ARP表項。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,不可以包含空格,區分大小寫。

count:顯示ARP表項的數目。

verbose:顯示ARP表項的詳細信息。

【使用指導】

用戶可以通過本命令查看指定VPN實例的ARP表項的具體內容,包括IP地址、MAC地址、VLAN ID、出接口、表項類型以及老化時間等信息。

【舉例】

# 顯示VPN實例名為test的ARP表項。

<Sysname> display arp vpn-instance test

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

20.1.1.1        00e0-fc00-0001 --            --                       --    S

【相關命令】

·     arp static

·     reset arp

1.1.26  reset arp

reset arp命令用來清除ARP表項。

【命令】

reset arp { all | dynamic | interface interface-type interface-number | multiport | slot slot-number | static }

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

all:表示清除所有的ARP表項。

dynamic:表示清除動態ARP表項。

multiport:表示清除多端口ARP表項。

static:表示清除靜態ARP表項。

slot slot-number:表示清除指定成員設備的ARP表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則清除主設備上的ARP表項。

interface interface-type interface-number:表示清除指定接口的ARP表項。interface-type interface-number用來指定接口的類型和編號。如果未指定本參數,則清除所有接口的ARP表項。

【使用指導】

注意

執行本命令會清除設備上已有的ARP表項,可能會導致外部流量無法及時發給局域網中的用戶。

 

【舉例】

# 清除靜態ARP表項。

<Sysname> reset arp static

【相關命令】

·     arp static

·     display arp


2 免費ARP

2.1  免費ARP配置命令

2.1.1  arp ip-conflict log prompt

arp ip-conflict log prompt命令用來開啟源IP地址衝突提示功能。

undo arp ip-conflict log prompt命令用來關閉源IP地址衝突提示功能。

【命令】

arp ip-conflict log prompt

undo arp ip-conflict log prompt

【缺省情況】

源IP地址衝突提示功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

設備接收到其它設備發送的ARP報文後,如果發現報文中的源IP地址和自己的IP地址相同,該設備會根據當前源IP地址衝突提示功能的狀態,進行如下處理:

·     如果源IP地址衝突提示功能處於關閉狀態時,設備發送一個免費ARP報文確認是否衝突,如果收到對應的ARP應答後才提示存在IP地址衝突。

·     如果源IP地址衝突提示功能處於開啟狀態時,設備立刻提示存在IP地址衝突。

【舉例】

# 在設備上開啟源IP地址衝突提示功能。

<Sysname> system-view

[Sysname] arp ip-conflict log prompt

2.1.2  arp local-proxy gratuitous-arp forward enable

arp local-proxy gratuitous-arp forward enable命令用來開啟VSI的免費ARP報文轉發功能。

undo arp local-proxy gratuitous-arp forward enable命令用來關閉VSI的免費ARP報文轉發功能。

【命令】

arp local-proxy gratuitous-arp forward enable

undo arp local-proxy gratuitous-arp forward enable

【缺省情況】

VSI的免費ARP報文轉發功能處於開啟狀態。

【視圖】

VSI視圖

【缺省用戶角色】

network-admin

【使用指導】

應用場景

當認證域內接入的用戶進行認證時,若設備檢測到該域下所有認證服務器都不可達,設備進入逃生狀態,並允許該逃生用戶免認證上線,同時將其加入逃生域。這時如果開啟了本地代理ARP功能(配置local-proxy-arp enable命令),則設備對逃生域內VSI下的逃生用戶發送的免費ARP報文直接丟棄,不會進行轉發。

工作機製

開啟本功能後,設備會對逃生域內當前VSI下的逃生用戶發送的免費ARP報文進行轉發。

推薦配置

建議僅在逃生用戶所在的VSI下配置本命令。

注意事項

如果關閉了指定VSI的免費ARP報文轉發功能,則設備接收到該VSI內的免費ARP報文後會丟棄該報文,不會進行正常轉發。

【舉例】

# 關閉名為vpn1的VSI的免費ARP報文轉發功能。

<Sysname> system-view

[Sysname] vsi vpn1

[Sysname-vsi-vpn1] undo arp local-proxy gratuitous-arp forward enable

2.1.3  arp send-gratuitous-arp

arp send-gratuitous-arp命令用來在接口上開啟定時發送免費ARP功能。

undo arp send-gratuitous-arp命令用來關閉定時發送免費ARP功能。

【命令】

arp send-gratuitous-arp [ interval interval ]

undo arp send-gratuitous-arp

【缺省情況】

定時發送免費ARP功能處於關閉狀態。

【視圖】

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VLAN接口視圖

VXLAN中的VSI虛接口視圖

【缺省用戶角色】

network-admin

【參數】

interval interval:發送免費ARP報文的時間間隔,取值範圍為200~200000,單位為毫秒,缺省值為2000。

【使用指導】

配置本命令後,隻有當接口鏈路狀態up並且配置IP地址後,此功能才真正生效。

隻能為VRRP虛擬IP地址、接口主IP地址和手工配置的從IP地址發送免費ARP。主IP地址可以是手工配置或者通過其他方式獲取的,但是從IP地址必須是手工配置的。

如果修改了免費ARP報文的發送時間間隔,則在下一個發送時間間隔才能生效。

如果同時在很多接口下開啟本功能,或者每個接口有大量的從IP地址,或者兩種情況共存的同時又配置很小的發送時間間隔,那麼免費ARP報文的實際發送時間間隔可能會遠遠高於用戶設定的時間間隔。

【舉例】

# 在VLAN接口2上開啟定時發送免費ARP功能,發送免費ARP報文的時間間隔為300毫秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp send-gratuitous-arp interval 300

2.1.4  gratuitous-arp mac-change retransmit

gratuitous-arp mac-change retransmit命令用來配置當接口MAC地址變化時,重新發送免費ARP報文的次數和時間間隔。

undo gratuitous-arp mac-change retransmit命令用來恢複缺省情況。

【命令】

gratuitous-arp mac-change retransmit times interval seconds

undo gratuitous-arp mac-change retransmit

【缺省情況】

當設備的接口MAC地址變化時,該接口隻會發送一次免費ARP報文。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

times:重發免費ARP報文的次數,取值範圍為1~10。

interval seconds:重發免費ARP報文的時間間隔,seconds取值範圍為1~10,單位為秒。

【使用指導】

當設備的MAC地址發生變化後,設備會通過免費ARP報文將修改後的MAC地址通告給其他設備。由於目前免費ARP報文沒有重傳機製,其他設備可能無法收到免費ARP報文。為了解決這個問題,用戶可以配置當接口MAC地址變化時,該接口重新發送免費ARP報文的次數和時間間隔,保證其他設備可以收到該免費ARP報文。

執行本命令後,設備會按照指定的時間間隔重發免費ARP報文,直到到達配置的發送次數為止。

【舉例】

# 配置當接口MAC地址變化時,該接口重新發送3次免費ARP報文,重新發送免費ARP報文時間間隔為5秒。

<Sysname> system-view

[Sysname] gratuitous-arp mac-change retransmit 3 interval 5

2.1.5  gratuitous-arp-learning enable

gratuitous-arp-learning enable命令用來開啟免費ARP報文的學習功能。

undo gratuitous-arp-learning enable命令用來關閉免費ARP報文學習功能。

【命令】

gratuitous-arp-learning enable

undo gratuitous-arp-learning enable

【缺省情況】

免費ARP報文的學習功能處於開啟狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

開啟免費ARP報文學習功能後,設備會根據收到的免費ARP報文中攜帶的信息對自身維護的ARP表進行修改(新建或者更新ARP表項)。

關閉免費ARP報文學習功能後,設備不會根據收到的免費ARP報文來新建ARP表項,但是會更新已存在的對應ARP表項。如果用戶不希望通過免費ARP報文來新建ARP表項,可以關閉免費ARP報文學習功能,以節省ARP表項資源。

【舉例】

# 開啟免費ARP報文的學習功能。

<Sysname> system-view

[Sysname] gratuitous-arp-learning enable

2.1.6  gratuitous-arp-sending enable

gratuitous-arp-sending enable命令用來開啟設備收到非同一網段的ARP請求時發送免費ARP報文功能。

undo gratuitous-arp-sending enable命令用來關閉設備收到非同一網段的ARP請求時發送免費ARP報文功能。

【命令】

gratuitous-arp-sending enable

undo gratuitous-arp-sending enable

【缺省情況】

設備收到非同一網段的ARP請求時發送免費ARP報文功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【舉例】

# 關閉設備收到非同一網段的ARP請求時發送免費ARP報文功能。

<Sysname> system-view

[Sysname] undo gratuitous-arp-sending enable


3 代理ARP

3.1  代理ARP配置命令

3.1.1  display local-proxy-arp

display local-proxy-arp命令用來顯示本地代理ARP的狀態。

【命令】

display local-proxy-arp [ interface interface-type interface-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

interface interface-type interface-number:顯示指定接口的本地代理ARP的狀態。interface-type interface-number指定接口類型和接口編號。如果未指定本參數,則顯示所有接口的本地代理ARP的狀態。

【使用指導】

使用本命令可以查看本地代理ARP是處於開啟(enabled)狀態還是關閉(disabled)狀態。

【舉例】

# 顯示VLAN接口2的本地代理ARP狀態。

<Sysname> display local-proxy-arp interface vlan-interface 2

Interface Vlan-interface2

 Local Proxy ARP status: enabled

【相關命令】

·     local-proxy-arp enable

3.1.2  display proxy-arp

display proxy-arp命令用來顯示代理ARP的狀態。

【命令】

display proxy-arp [ interface interface-type interface-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

interface interface-type Interface-number:顯示指定接口的代理ARP的狀態。interface-type interface-number用來指定接口類型和接口編號。如果未指定本參數,則顯示所有接口的代理ARP的狀態。

【使用指導】

使用本命令可以查看代理ARP是處於開啟(enabled)狀態還是關閉(disabled)狀態。

【舉例】

# 顯示VLAN接口2的代理ARP狀態。

<Sysname> display proxy-arp interface vlan-interface 2

Interface Vlan-interface2

 Proxy ARP status: disabled

【相關命令】

·     proxy-arp enable

3.1.3  display proxy-arp statistics

display proxy-arp statistics命令用來顯示代理ARP應答報文數的統計信息。

【命令】

display proxy-arp statistics

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【使用指導】

通過本命令可以查看到代理ARP應答報文數目的曆史統計信息。

最近1分鍾內的統計信息以秒為間隔進行顯示,1分鍾以前的統計信息以5分鍾為間隔進行顯示。設備最多支持顯示最近一小時內的代理ARP功能應答報文數。

【舉例】

# 顯示代理ARP應答報文數的統計信息。

<Sysname> display proxy-arp statistics

Last 1 sec proxy count: 200

Last 2 sec proxy count: 400

Last 1 min proxy count: 12000

Last 5 min proxy count: 18000

Last 10 min proxy count: 24000

Last 60 min proxy count: 182445

表3-1 display proxy-arp statistics命令顯示信息描述表

字段

描述

Last n sec proxy count:

前n秒內代理ARP功能應答報文數

Last n min proxy count:

前n分鍾內代理ARP功能應答報文數

 

3.1.4  local-proxy-arp enable

local-proxy-arp enable命令用來開啟本地代理ARP功能。

undo local-proxy-arp enable命令用來關閉本地代理ARP功能。

【命令】

local-proxy-arp enable [ ip-range start-ip-address to end-ip-address ]

undo local-proxy-arp enable

【缺省情況】

本地代理ARP功能處於關閉狀態。

【視圖】

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VXLAN中的VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

ip-range start-ip-address to end-ip-address:配置對指定IP地址範圍進行本地代理ARP。start-ip-address表示起始IP地址。end-ip-address表示結束IP地址。start-ip-address必須小於等於end-ip-address

【使用指導】

如果ARP請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一台主機,那麼連接它們的具有代理ARP功能的設備就可以回答該請求,這個過程稱作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分離的物理網絡這一事實,使用戶使用起來,好像在同一個物理網絡上。

代理ARP分為普通代理ARP和本地代理ARP,二者的應用場景有所區別:

·     普通代理ARP的應用場景為:想要互通的主機分別連接到設備的不同三層接口上,且這些主機不在同一個廣播域中。

·     本地代理ARP的應用場景為:想要互通的主機連接到設備的同一個三層接口上,且這些主機不在同一個廣播域中。

需要注意的是,多次執行本命令配置不同的IP地址範圍進行本地代理ARP時,最後一次執行的命令生效。

【舉例】

# 在VLAN接口2上開啟本地代理ARP功能。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] local-proxy-arp enable

# 在VLAN接口2上開啟本地代理ARP功能,並指定進行ARP代理的IP地址範圍。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] local-proxy-arp enable ip-range 1.1.1.1 to 1.1.1.20

【相關命令】

·     display local-proxy-arp

3.1.5  proxy-arp enable

proxy-arp enable命令用來開啟代理ARP功能。

undo proxy-arp enable命令用來關閉代理ARP功能。

【命令】

proxy-arp enable

undo proxy-arp enable

【缺省情況】

代理ARP功能處於關閉狀態。

【視圖】

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VXLAN中的VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【使用指導】

如果ARP請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一台主機,那麼連接它們的具有代理ARP功能的設備就可以回答該請求,這個過程稱作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分離的物理網絡這一事實,使用戶使用起來,好像在同一個物理網絡上。

代理ARP分為普通代理ARP和本地代理ARP,二者的應用場景有所區別:

·     普通代理ARP的應用場景為:想要互通的主機分別連接到設備的不同三層接口上,且這些主機不在同一個廣播域中。

·     本地代理ARP的應用場景為:想要互通的主機連接到設備的同一個三層接口上,且這些主機不在同一個廣播域中。

【舉例】

# 在VLAN接口2上開啟代理ARP。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] proxy-arp enable

【相關命令】

·     display proxy-arp


4 ARP Snooping

4.1  ARP Snooping配置命令

4.1.1  arp snooping enable

arp snooping enable命令用來開啟ARP Snooping功能。

undo arp snooping enable命令用來關閉ARP Snooping功能。

【命令】

arp snooping enable

undo arp snooping enable

【缺省情況】

ARP Snooping功能處於關閉狀態。

【視圖】

VLAN視圖

VSI視圖

【缺省用戶角色】

network-admin

【使用指導】

應用場景

在二層交換網絡環境中,若設備收到大量ARP請求報文,且將這些ARP請求報文都進行廣播轉發,則網絡中會出現大量的ARP請求報文,導致網絡擁塞,從而造成其他業務無法正常運行。為了解決該問題,用戶可以配置ARP Snooping功能。

工作機製

ARP Snooping功能通過偵聽ARP報文建立ARP Snooping表項,從而提供給ARP快速應答和MFF(MAC-Forced Forwarding,MAC強製轉發)等使用。關於MFF的詳細介紹,請參見“安全配置指導”中的“MFF”。

注意事項

隻要在二層以太網接口或二層以太網接口所在的VLAN上開啟了ARP Snooping功能,二層以太網接口的ARP Snooping功能就會被開啟;隻有將二層以太網接口和二層以太網接口所在的VLAN上的ARP Snooping功能全部關閉後,該二層以太網接口上的ARP Snooping功能才能被關閉。

VLAN和VXLAN關聯後,如果同時在VLAN視圖下開啟了ARP Snooping功能和ARP泛洪抑製功能,則ARP Snooping功能不再生效。關於在VLAN視圖下配置ARP泛洪抑製功能的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN”。

【舉例】

# 開啟VLAN 2下的ARP Snooping功能。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] arp snooping enable

# 開啟VSI實例vsi1下的ARP Snooping功能。

<Sysname> system-view

[Sysname] vsi vsi1

[Sysname-vsi-vsi1] arp snooping enable

4.1.2  arp snooping uplink

arp snooping uplink命令用來配置接口為ARP Snooping上行接口,以禁止該接口學習ARP Snooping表項。

undo arp snooping uplink命令用來恢複缺省情況。

【命令】

arp snooping uplink

undo arp snooping uplink

【缺省情況】

接口不指定為ARP Snooping的上行接口。開啟ARP Snooping功能後,接口上允許學習ARP Snooping表項。

【視圖】

二層以太網接口視圖

二層聚合接口視圖

【缺省用戶角色】

network-admin

【使用指導】

接入設備上通過arp snooping enable命令開啟ARP Snooping功能後,接入設備會通過偵聽ARP報文建立ARP Snooping表項。在網關位於彙聚設備上的組網環境中,如果網關設備上通過local-proxy-arp enable命令開啟了本地代理ARP功能,則接入設備的上行接口也會學習到ARP Snooping表項。這會導致ARP Snooping表項所對應的入接口在上行接口和下行接口之間來回變化的問題。為了避免此問題,用戶可以在接入設備上配置本功能。

配置本功能後,在接入設備上開啟ARP Snooping功能,當ARP Snooping上行接口收到ARP報文時,不會學習ARP Snooping表項。

【舉例】

# 配置二層以太網接口Ten-GigabitEthernet1/0/1為ARP Snooping上行接口,以禁止該接口學習ARP Snooping表項。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp snooping uplink

# 配置二層聚合接口Bridge-Aggregation1為ARP Snooping上行接口,以禁止該接口學習ARP Snooping表項。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] arp snooping uplink

【相關命令】

·     arp snooping enable

4.1.3  display arp snooping

display arp snooping命令用來顯示ARP Snooping表項。

【命令】

display arp snooping { interface [ interface-type interface-number ] | vlan [ vlan-id ] | vsi [ vsi-name ] } [ slot slot-number ] [ count ]

display arp snooping { interface | vlan } ip ip-address [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

interface:顯示接口下的ARP Snooping表項。

interface-type interface-number:指定接口類型和接口編號。如果未指定本參數,則顯示所有二層以太網接口和二層聚合接口下的ARP Snooping表項。

vlan:顯示VLAN內的ARP Snooping表項。

vlan-id:顯示指定VLAN內的ARP Snooping表項,取值範圍為1~4094。如果未指定本參數,則顯示所有VLAN下的ARP Snooping表項。

vsi:顯示VSI內的ARP Snooping表項。

vsi-name:顯示指定VSI內的ARP Snooping表項。為1~31個字符的字符串,區分大小寫。如果未指定本參數,則顯示所有VSI下的ARP Snooping表項。

count:顯示當前ARP Snooping表項的計數。如果未指定本參數,則顯示的是ARP Snooping表項。

ip ip-address:顯示接口或VLAN下指定IP地址的ARP Snooping表項。

slot slot-number:顯示指定成員設備上的所有ARP Snooping表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的ARP Snooping表項。

【舉例】

# 顯示VLAN 2下的ARP Snooping表項。

<Sysname> display arp snooping vlan 2

IP address      MAC address    VLAN ID Interface  Aging       Status

3.3.3.3         0003-0003-0003 2       XGE1/0/1   20          Valid

3.3.3.4         0004-0004-0004 2       XGE1/0/2   5           Invalid

# 顯示所有VSI的ARP snooping表項。

<Sysname> display arp snooping vsi

IP address      MAC address    VSI name                    Link ID    Aging(min)

1.1.1.2         000f-e201-0101 vsi1                        0x70000    14

1.1.1.3         000f-e201-0202 vsi1                        0x80000    18

1.1.1.4         000f-e201-0203 vsi2                        0x90000    10

# 顯示VLAN下IP地址為1.1.1.1的ARP Snooping表項。

<Sysname> display arp snooping vlan ip 1.1.1.1

IP address      MAC address    VLAN ID Interface  Aging       Status

1.1.1.1         001f-e201-0111 2       XGE1/0/1   15          Valid

# 顯示VSI內的所有ARP Snooping表項個數。

<Sysname> display arp snooping vsi count

Total entries: 3

表4-1 display arp snooping命令顯示信息描述表

字段

描述

IP address

ARP Snooping表項的IP地址

MAC address

ARP Snooping表項的MAC地址

VLAN ID

ARP Snooping表項所屬的VLAN的編號

Interface

ARP Snooping表項所對應的入接口

Aging

ARP Snooping表項的老化時間,單位為分鍾。當顯示N/A時,表示當前成員設備不是創建ARP Snooping表項的端口所在的成員設備

Status

ARP Snooping表項的狀態,分為以下三種:

·     Valid:有效

·     Invalid:無效

·     Collision:衝突

VSI name

ARP Snooping表項所屬VSI的名稱

Link ID

ARP snooping表項的出鏈路標識符,用來在VSI內唯一標識一條AC或一條VXLAN隧道

Total entries

ARP Snooping表項數目

 

【相關命令】

·     reset arp snooping

4.1.4  reset arp snooping

reset arp snooping命令用來清除ARP Snooping表項。

【命令】

reset arp snooping { interface [ interface-type interface-number ] | vlan [ vlan-id ] | vsi [ vsi-name ] }

reset arp snooping { interface | vlan } ip ip-address

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

interface:清除接口下的ARP Snooping表項。

interface-type interface-number:指定接口類型和接口編號。如果未指定本參數,則清除所有二層以太網接口和二層聚合接口下的ARP Snooping表項。

vlan:清除VLAN內的ARP Snooping表項。

vlan-id:清除指定VLAN的ARP Snooping表項。取值範圍為1~4094。如果未指定本參數,則清除所有VLAN下的ARP Snooping表項。

vsi:清除VSI內的ARP Snooping表項。

vsi-name:清除指定VSI內的ARP Snooping表項,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則清除所有VSI下的ARP Snooping表項。

ip ip-address:清除VLAN下指定IP地址的ARP Snooping表項。

【舉例】

# 清除VLAN 2下的ARP Snooping表項。

<Sysname> reset arp snooping vlan 2

This command will delete all ARP snooping entries for the specified VLAN. Continue? [Y/N]: y

<Sysname>

【相關命令】

·     display arp snooping


5 ARP直連路由通告

5.1  ARP直連路由通告配置命令

5.1.1  arp route-direct advertise

arp route-direct advertise命令用來開啟ARP直連路由通告功能。

undo arp route-direct advertise命令用來關閉ARP直連路由通告功能。

【命令】

arp route-direct advertise [ preference preference-value | tag tag-value ] *

undo arp route-direct advertise

【缺省情況】

ARP直連路由通告功能處於關閉狀態。

【視圖】

接口視圖

【缺省用戶角色】

network-admin

【參數】

preference preference-value:ARP通告的直連路由的路由優先級,preference-value的取值範圍為1~255,缺省值為0。preference-value值越小,ARP直連路由的優先級越高。

tag tag-value:ARP直連路由的路由標記值,tag-value的取值範圍為1~4294967295,缺省值為0。

【使用指導】

工作機製

開啟本功能後,ARP模塊將ARP表項信息通告給路由管理模塊,生成對應的直連路由條目。通過路由優先級,可以確定生成的直連路由條目的匹配順序;通過路由標記值,以便於動態路由協議引用對應標記值的直連路由,從而實現將該直連路由通告到對應的網絡中的目的。

多次執行本命令,最後一次執行的命令生效。

注意事項

arp route-direct advertise命令與arp route-direct advertise mad-down-single-homed命令互斥,如果同時配置,以最後一次執行的命令生效。

【舉例】

# 在VLAN接口10下開啟ARP直連路由通告功能。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] arp route-direct advertise

【相關命令】

·     display arp route-direct advertise

5.1.2  arp route-direct advertise delay

arp route-direct advertise delay命令用來配置ARP直連路由生成的延遲時間。

undo arp route-direct advertise delay命令用來恢複缺省情況。

【命令】

arp route-direct advertise delay delay-time

undo arp route-direct advertise delay

【缺省情況】

ARP直連路由不延遲生成。

【視圖】

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VLAN接口視圖

VSI虛接口視圖

【缺省用戶角色】

network-admin

【參數】

delay-time:ARP直連路由生成的延遲時間,取值範圍為0~3600,單位為秒。

【使用指導】

應用場景

通過arp route-direct advertise命令開啟ARP直連路由通告功能後,設備可以通過ARP表項生成到對端設備的直連路由及相關的鄰接表。當直連路由先於鄰接表生成時,會因報文封裝時缺少二層信息產生丟包情況。為了避免這種情況發生,可以通過本命令配置ARP直連路由生成的延遲時間,設備學到ARP表項後會等待delay-time再生成直連路由。

工作機製

開啟ARP直連路由通告功能與配置ARP直連路由生成的延遲時間,兩者無先後順序要求。如果先配置ARP直連路由生成的延遲時間,然後開啟ARP直連路由通告功能,則係統會等待配置的delay-time後再生成直連路由。

注意事項

如果開啟了ARP直連路由通告功能且配置了ARP直連路由生成的延遲時間,那麼設備學到ARP表項後會開始計時,計時達到delay-time後會生成直連路由。如果在計時達到delay-time之前修改了ARP直連路由通告功能的配置,設備會立即根據修改後的配置發送ARP直連路由通告。如果在計時達到delay-time之前配置了新的delay-time值,計時不會刷新:

·     如果此時的計時超過了新的delay-time,則直接生成直連路由。

·     如果此時計時沒有達到delay-time,則會繼續等待直到達到delay-time再生成直連路由。

【舉例】

# 在VLAN接口10下指定ARP直連路由通告延遲時間。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] arp route-direct advertise delay 200

【相關命令】

·     arp route-direct advertise

5.1.3  arp route-direct advertise mad-down-single-homed

arp route-direct advertise mad-down-single-homed命令用來開啟處於M-LAG MAD DOWN狀態的單掛接口ARP直連路由通告功能。

undo arp route-direct advertise mad-down-single-homed命令用來關閉處於M-LAG MAD DOWN狀態的單掛接口ARP直連路由通告功能。

【命令】

arp route-direct advertise mad-down-single-homed

undo arp route-direct advertise mad-down-single-homed

【缺省情況】

處於M-LAG MAD DOWN狀態的單掛接口ARP直連路由通告功能處於關閉狀態。

【視圖】

VLAN接口視圖

【缺省用戶角色】

network-admin

【使用指導】

應用場景

在M-LAG組網中,當peer-link鏈路故障後,M-LAG會提供MAD(Multi-Active Detection,多Active檢測)機製,即在M-LAG係統分裂時將從設備上除IRF保留接口、M-LAG保留接口外的所有接口置為M-LAG MAD DOWN狀態。處於M-LAG MAD DOWN狀態的接口不允許轉發流量,從而避免流量錯誤轉發,減少對業務影響。在此情況下,從設備下的單掛設備的流量不能被正常轉發,為了解決該問題,用戶可以通過開啟處於M-LAG MAD DOWN狀態的單掛接口ARP直連路由通告功能,將生成的直連路由通告到單掛設備上。

工作機製

開啟本功能後,當M-LAG組網的peer-link鏈路故障時,從設備上的ARP模塊會將ARP表項信息通告給路由管理模塊,生成對應的直連路由,以便其他路由協議發布該直連路由或指導報文轉發。

多次執行本命令,最後一次執行的命令生效。

注意事項

arp route-direct advertise mad-down-single-homed命令與arp route-direct advertise命令互斥,如果同時配置,以最後一次執行的命令生效。

【舉例】

# 開啟VLAN接口10處於M-LAG MAD DOWN狀態的ARP直連路由通告功能。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] arp route-direct advertise mad-down-single-homed

5.1.4  display arp route-direct advertise

display arp route-direct advertise命令用來顯示通過ARP模塊通告生成的直連路由的相關信息。

【命令】

display arp route-direct advertise interface interface-type interface-number

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

interface interface-type interface-number:顯示指定接口下的通過ARP模塊通告生成的直連路由的相關信息,interface-type interface-number表示接口類型和接口編號。

【使用指導】

管理員開啟ARP直連路由通告功能後,設備從ARP表中學到對應的直連路由信息,以便其他路由協議發布該直連路由或指導報文轉發。管理員可以使用本命令查看ARP模塊通告的直連路由是否在路由管理模塊生成了對應的直連路由表項。

當Result字段顯示為“Unknown”時,表示路由管理模塊狀態忙,ARP模塊未獲取到的ARP表項是否生成直連路由條目的信息。建議管理員等待一段時間後,再執行本命令查詢相關信息。

【舉例】

# 顯示VLAN接口10通過ARP模塊通告生成的直連路由的相關信息。

<Sysname> display arp route-direct advertise interface vlan-interface 10

IP address      MAC address    VLAN/VSI   Interface       Route

1.1.1.1         02e0-f102-0023 1          Vlan10          Yes

1.1.1.2         00e0-fc00-0001 12         Vlan10          No

 

表5-1 display arp route-direct advertise命令顯示信息描述表

字段

描述

IP address

ARP表項的IP地址

MAC address

ARP表項的MAC地址

VLAN/VSI

ARP表項所屬的VLAN ID或VSI Index(虛擬交換實例索引)(當表項類型為靜態表項時,“--”表示未解析的短靜態ARP表項;如果ARP表項中的接口不屬於某個VLAN或VSI,也顯示“--”)

Interface

ARP表項所對應的出接口

Route

查詢路由生成結果,取值包括:

·     Unknown:未知情況

·     Yes:生成了對應的直連路由條目

·     No:未生成對應的直連路由條目

 

【相關命令】

·     arp route-direct advertise


6 數據報文觸發ARP解析時禁止主動發送ARP請求功能

6.1  數據報文觸發ARP解析時禁止主動發送ARP請求功能配置命令

6.1.1  arp fib-miss drop

arp fib-miss drop命令用來配置數據報文觸發ARP解析時,禁止設備主動發送ARP請求報文進行ARP表項學習。

undo arp fib-miss drop命令用來恢複缺省情況。

【命令】

arp fib-miss drop

undo arp fib-miss drop

【缺省情況】

數據報文觸發ARP解析時,設備會主動發送ARP請求報文進行ARP表項學習。

【視圖】

三層以太網接口視圖

三層以太網子接口視圖

三層聚合接口視圖

三層聚合子接口視圖

VSI虛接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【使用指導】

應用場景

缺省情況下,當設備收到目的IP地址非本機的數據報文時,如果查詢不到該報文下一跳對應的ARP表項,則會發送ARP請求報文去學習該下一跳的MAC地址,以便根據學習到的MAC地址生成對應的ARP表項。

當網絡中出現大量的ARP請求報文時,會占用過多的網絡資源,影響用戶業務的正常運行。可以通過配置本功能,當IP數據報文觸發ARP解析時,禁止設備主動發送ARP請求報文進行ARP表項學習,減少網絡內的ARP報文,從而起到抑製ARP泛洪的作用。

工作機製

配置本功能後,當設備收到目的IP地址為非本機的數據報文時,如果查詢不到該報文下一跳對應的ARP表項,設備不會再主動發送ARP請求報文去主動學習該主機的ARP表項。

注意事項

配置本功能後,即使設備主動發送數據報文觸發ARP解析,設備也不會主動發送ARP請求報文進行ARP表項學習,建議僅在發現有ARP泛洪攻擊的情況下配置本功能。

【舉例】

# 在VLAN接口100上配置數據報文觸發ARP解析時,禁止設備主動發送ARP請求報文進行ARP表項學習。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] arp fib-miss drop


7 ARP-Ping

7.1  ARP-Ping配置命令

7.1.1  ping arp ip

ping arp ip命令用來在局域網內通過ARP報文探測IPv4地址是否被其它設備使用。

【命令】

ping arp ip host [ interface interface-type interface-number [ vlan vlan-id ] ] [ timeout timeout ] [ count count ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

【參數】

host:目的端的IP地址或主機名。其中,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。

interface interface-type interface-number:指定發送ARP請求報文的接口,interface-type interface-number表示接口類型和接口編號。不指定該參數時,設備使用路由出接口發送ARP請求報文。

vlan vlan-id:指定發送ARP請求報文出接口所屬的VLANvlan-id取值範圍為1~4094。

timeout timeout:指定一個ARP請求報文的超時時間,單位為毫秒,取值範圍為1000~10000,缺省值為3000。

count count:指定ARP請求報文的發送次數,取值範圍為1~4294967295,缺省值為5。

【使用指導】

ping arp ip命令是利用ARP報文在局域網內探測IPv4地址是否被其他設備使用的一種方法。

設備向目的IPv4地址發送一個ARP請求報文後,如果在timeout毫秒內未收到對應的ARP應答報文,且未達到指定的發送次數count,則繼續發送下一個ARP請求報文;如果已達到指定的發送次數,則認為此IPv4地址未被其他設備使用,將停止發送探測用途的ARP請求報文。

通過ping命令也可以探測IPv4地址是否被網絡上的其他設備使用。但是如果目的端設備帶有防火牆功能且配置為對ICMP報文不進行回複時,就不會響應ICMP報文,造成探測結果不準確。由於ARP報文是二層協議,大多數情況下報文不會被防火牆攔下,從而避免了此類情況的發生。另外,ARP請求報文長度小於ICMP報文長度,占用的網絡資源更少,所以推薦使用ping arp ip命令。

如果要使用目的端的主機名執行ping arp ip命令,請事先在設備上配置DNS功能。關於DNS的詳細介紹,請參見“三層技術-IP業務”中的“域名解析”。

當局域網內有多台設備時,執行本命令可能會消耗較多時間。可以在執行命令過程中,輸入<Ctrl+C>終止ping arp ip命令。

【舉例】

# 在局域網內通過ARP報文探測1.1.1.3是否被其他設備使用。(假設IP地址已被其它設備使用)

<Sysname> ping arp ip 1.1.1.3

1.1.1.3 is used by 0003-0003-0003.

# 在局域網內通過ARP報文探測1.1.1.3是否被其他設備使用。(假設IP地址未被其它設備使用)

<Sysname> ping arp ip 1.1.1.3

The IP address is not used by anyone.

7.1.2  ping arp mac

ping arp mac命令用來通過ICMP報文探測指定網段內MAC地址是否存在或查看MAC地址對應的IPv4地址。

【命令】

ping arp mac mac-address { interface interface-type interface-number | ip ipv4-address [ vpn-instance vpn-instance-name ] } [ timeout timeout ] [ count count ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

【參數】

mac-address:目的端的MAC地址,格式為H-H-H。在配置時,可以省去MAC地址中每段開頭的“0”,例如輸入“f-e2-1”即表示輸入的MAC地址為“000f-00e2-0001”。該MAC地址不可以是組播或廣播地址,也不能是設備的虛MAC地址。

interface interface-type interface-number:指定發送ICMP回顯請求報文的接口,查詢接口所在網段內MAC地址是否存在。interface-type interface-number表示接口類型和接口編號。

ip ipv4-address:指定IPv4形式的目的網段地址,查詢此網段內MAC地址是否存在。

vpn-instance vpn-instance-name:探測指定VPN實例的MAC地址。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定本參數,則探測公網的MAC地址。

timeout timeout:指定一個ICMP回顯請求報文的超時時間,單位為毫秒,取值範圍為1000~10000,缺省值為3000。

count count:指定ICMP回顯請求報文的發送次數,取值範圍為1~4294967295,缺省值為5。

【使用指導】

當已知某網段一個特定的MAC地址而不知道其對應的IPv4地址時,通過本命令發送廣播形式的三層ICMP報文可以得到該MAC所對應的IPv4地址。

設備發送ICMP回顯請求報文後,如果在timeout毫秒內未收到ICMP回顯應答報文,且未達到指定的發送次數count,則繼續發送ICMP回顯請求報文;如果已達到指定的發送次數,則認為此MAC地址不存在,不再發送ICMP回顯請求報文。

當指定網段內有多台設備時,執行本命令可能會消耗較多時間。可以在執行命令過程中,輸入<Ctrl+C>終止ping arp mac命令。

【舉例】

# 查詢Ten-GigabitEthernet1/0/1接口所在網段內是否存在MAC地址為0003-0003-0003的主機。

<Sysname> ping arp mac 0003-0003-0003 interface ten-gigabitethernet 1/0/1

ARP-Ping MAC statistics:

  1 packet(s) transmitted

  1 packet(s) received

  IP address                MAC address

  1.1.1.3                   0003-0003-0003

# 查詢1.1.1.0網段內是否存在MAC地址為0003-0003-0003的主機。

<Sysname> ping arp mac 0003-0003-0003 ip 1.1.1.0

ARP-Ping MAC statistics:

  5 packet(s) transmitted

  0 packet(s) received

  MAC[0003-0003-0003] not in use

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們