arp防泄露配置

leaf和spine之間三層口的ARP學習機製如下：

1. QoS策略的精準過濾
   ARP防泄漏策略通過QoS ACL實現僅允許服務器VLAN接口發送ARP報文，而禁止其他接口（包括S-MLAG成員端口、上行接口）的ARP轉發。但此策略僅作用於Leaf設備的下行物理接口，針對服務器接入層進行過濾，不會限製Leaf與Spine之間的三層互聯接口。

2. 三層接口的信任機製
   Leaf與Spine之間的三層接口（如VLANIF接口）屬於網絡核心層，默認被標記為ARP信任接口（通過arp detection trust配置）。信任接口的ARP報文不受QoS策略攔截，允許正常收發ARP請求/應答，包括免費ARP報文。

3. 免費ARP的特殊處理
   免費ARP（Gratuitous ARP）是設備主動發送的廣播報文，用於通告自身IP-MAC映射關係。此類報文在以下場景被允許：

   • 核心層接口：Leaf與Spine的三層互聯接口作為信任接口，允許免費ARP透傳，用於快速同步ARP表項。
   • 控製平麵優先級：免費ARP屬於設備控製協議報文，在芯片轉發時具有較高優先級，避免被QoS策略誤攔截。

4. 實現分離原則
   ARP防泄漏的設計目標是防止服務器側ARP泛洪影響網絡核心層，而非阻斷必要的控製協議。因此：

   • 下行流量：服務器VLAN接口的ARP報文允許轉發，但禁止非服務器接口的ARP泛洪（如S-MLAG成員端口間）。
   • 上行流量：Leaf與Spine的三層接口作為信任通道，允許ARP（包括免費ARP）正常交互，確保路由可達性。

總結：ARP防泄漏策略通過接口級精細化控製，在允許Leaf-Spine三層口ARP學習的同時，有效隔離服務器側的ARP泛洪風險，實現網絡穩定與安全性的平衡。