linux多网卡添加arp

.首先给虚拟机设置2块网卡:

2、关闭系统中的NetworkManager:

3、编辑文件/etc/modprobe.d/dist.conf添加alias bond0 bonding:

4、修改/etc/sysconfig/network-scripts中的ifcfg-eth0 ifcfg-eth1并创建bond0：

❝

miimon是指多久时间要检查网路一次，单位是ms(毫秒)

mode=0：平衡负载模式，两块网卡都在工作,负载均衡。

mode=1：自动主备模式，其中一块网卡在工作（若eth0断掉）

则自动切换到另一个块网卡（eth1做备份）实验结果:

1、重启网络.service network restart，或者计算机。

2、用另外一台虚拟机ping网卡绑定后的主机。

3、任意ipdown任意网卡，网络通讯均不受影响。

对于网络负载均衡是我们在文件服务器中常用到的，比如把三块网卡，当做一块来用，解决一个IP地址，流量过大，服务器网络压力过大的问题。 对于文件服务器来说，比如NFS或SAMBA文件服务器，没有任何一个管理员会把内部网的文件服务器的IP地址弄很多个来解决网络负载的问题。

如果在内网中，文件服务器为了管理和应用上的方便，大多是用同一个IP地址。对于一个百M的本地网络来说，文件服务器在多个用户同时使用的情况下，网络压力是极大的，特别是SAMABA和NFS服务器。为了解决同一个IP地址，突破流量的限制，毕竟网线和网卡对数据的吞吐量是有限制的。如果在有限的资源的情况下，实现网络负载均衡. 网卡

*** 作步骤: 1.首先给虚拟机设置2块网卡:

添加网卡

2、关闭系统中的NetworkManager:

关闭NetWorkManager服务

3、编辑文件/etc/modprobe.d/dist.conf添加alias bond0 bonding: 编辑网卡绑定配置文件

4、修改/etc/sysconfig/network-scripts中的ifcfg-eth0 ifcfg-eth1并创建bond0： 创建bond0

miimon是指多久时间要检查网路一次，单位是ms(毫秒) mode=0：平衡负载模式，两块网卡都在工作,负载均衡。 mode=1：自动主备模式，其中一块网卡在工作（若eth0断掉）

则自动切换到另一个块网卡（eth1做备份）实验结果:

1、重启网络.service network restart，或者计算机。

2、用另外一台虚拟机ping网卡绑定后的主机。

3、任意ipdown任意网卡，网络通讯均不受影响。使用bind绑定多个网卡

由于服务器上对于可用性的要求都比较高，对于各项功能都会有有冗余设计，比如，磁盘、电源、网卡、甚至服务器本身等等，今天尝试做一下网卡绑定实现网卡的冗余。

网卡绑定的实现表面上看起来有些像是硬盘实现逻辑卷，都是通过创建一个逻辑设备来实现的。实现网卡的绑定其实还挺简单的，相比逻辑卷更容易理解。

首先，我们在/etc/sysconfig/network-scripts/目录下创建一个文件，文件名通常会叫ifcfg-bondxx,除了ifcfg-后面的内容其实都是可以自己定义的，但通常都会写成bind之类的，文件的内容其实和普通网卡配置文件的内容是一样的，就像这样第一行的DEVICE是你给这个逻辑设备指定的名字，这个名字得和文件名的后半部分一样。

第二行是指定IP的获取方式，你也可以写dhcp让他自动获取，如果是自动获取，那么IPADDR、GATEWAY和PREFIX都不需要再填

最后一行是比较重要的，必须得填，这个是绑定网卡的选项，mode代表绑定网卡的工作模式，miimon是一个时间间隔，代表备份网卡每隔多久查询一次工作网卡的工作情况。单位是ms

以上只是第一步，逻辑网卡已经创建好了，下面就要指定那些网卡属于这个逻辑网卡了。也很简单，只要把你想加入这个逻辑网卡的物理网卡的配置文件稍微修改一下就可以了。就像这样

静态ARP绑定的大前提就是PC使用固定的IP，动态IP其实就是从网络获取，而只要是从网络获取的IP都有可能受到攻击，一个数据包就能修改你的IP所以固定IP是大前提！而固定IP是用户手工指定的，权限最高，PC不会响应网络上的DHCP广播，安全性最高！如果有可能在路由器上使用静态ARP表还能提高网络安全，即路由器的ARP表是手工维护，除了手工添加的ARP信息，路由器不响应任何其他IP的数据包，这样安全性可以提高很多，基本上搞定ARP，但是还是无法完全根绝ARP攻击，因为路由和PC的互绑仅仅保证了上网的安全，但是PC间的通讯无法保证，不过现在的ARP病毒对PC间通讯不感兴趣，要想完全根除ARP就要使用其他的通讯协议，比如ppp，带用户名密码的访问协议，这种是经过验证的，安全性比DHCP高很多，DHCP只能算是个简单的IP/MAC验证，要不受攻击就没天理了，还有一种方法就是在交换机端口限制IP/MAC，即PC接交换机的端口绑定对应的IP/MAC，这样任何虚假的，欺骗包连交换端口都出不去，也算根除ARP！

交换机端口限制IP/MAC 首先要使用可网管的交换机，普通的傻瓜交换机是不行的，另外就是交换机必须带有端口 IP/MAC 绑定功能，不过可网管的交换机一般都有，在端口绑定IP/MAC的坏处就是，机器不能随便换端口，一旦更换端口就需要重新绑定，否则无法连接！不过现在高端的思科华为都有更高级的绑定策略，比如计算单位时间内的IP/MAC信息，以最多的IP/MAC为主，自动绑定！当然还有更多的策略，具体的可以百度查询！

你好，

MAC是123d.dedg.25df？"g"是什么？好像最高是"f"吧，恕我孤陋寡闻了:)

你的问题，我以前做过类似实验。

配置很简单，但是要小心，因为设置不好有可能导致交换机瘫痪:)

你的需求是绑定APP（IP-MAC的映射），但不是在端口绑定。

方法如下：

借用Cisco交换机提供的DAI（Dynamic ARP Inspection，动态ARP检测）机制，它原本以DHCP Snooping绑定表为基础，对ARP报文进行有效性检测。

如果交换机没有采用DHCP服务，可以通过静态添加ARP Access-list，作为其判断的依据。

实验如下：

1.网络描述：核心交换机（4503）连接多个接入层交换机（3560），核心交换机配置有多个VLAN，与接入层交换机启用VTP协议，传递VLAN信息。

与你的网络有2个不同，请注意：

1）实验中接入层交换机为3560，你的是2950；

2）核心交换机与接入层交换机启用了VTP协议交换VLAN信息，你的好像没有，看你描述的“核心交换机接2960的端口都在一个VLAN中”；

配置如下：（此处配置按照没有启用DHCP服务的背景来配置）

在各接入层交换机以及核心交换机配置如下：（配置除具体端口外，其他相同）

3b#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

3b(config)#arp access-list Vlan3-Static-Arp /*定义ARP Access-list名称

3b(config-arp-nacl)#permit ip host 172.16.8.1 mac host 123d.ded9.25df /*定义合法的ARP对应关系（按需求定义多个，这里只列出1个）

3b(config-arp-nacl)#exit

3b(config)#int gigabitEthernet 0/51 （与其他交换机相连的端口）

3b(config-if)#ip arp inspection trust /*将接入层交换机与核心层交换机的连接端口（Trunk）定义为可信任端口，非常重要！！

3b(config-if)#exit

3b(config)#ip arp inspection filter Vlan3-Static-Arp vlan 3 /*定义将哪个ARP访问列表应用到哪个VLAN

3b(config)#ip arp inspection vlan 3 /*定义对哪些VLAN进行ARP报文检测

最后,当端口接收到非法的ARP报文时，交换机将其丢弃并报警，报警信息如下：

1w4d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Gi0/5, vlan 3. ([098a.8989.6d77/172.16.8.54 /0000.0000.0000/172.16.8.20/02:58:47 UTC Sat May 22 2010]) /*交换机DAI机制拒绝：1个无效的ARP请求信息来自端口Gi0/5，隶属于vlan 3，ARP报文中源主机MAC：098a.8989.6d77，IP：172.16.8.54，请求172.16.8.20的MAC地址

以上，供参考，有问题M我一起探讨。

---