H3C交换机如何配置ARP

1、打开H3C模拟器。

2、创建设备，开机，双击交换机，稍等几秒，然后Ctrl+D就进入到配置界面。

3、配置交换机，这里我给交换机随便配置了IP地址，还有路由。

4、配置完了，保存配置（save）“yes”“回车”“yes”，然后重启（reboot）。

5、重启之后配置还在，现在我们就清除数据。只需一条命令。

6、”reset saved-configuration“就搞定。提示选择"YES"就可以了。再重启交换机配置就都清除了。

ARP(Address Resolution Protocol)地址转换，把高层的地址映射到物理地址。

ARP动态地址转换基本思路：当主机A要转换IP地址I时，他广播一个特殊的分组，请求IP地址为I的主机用物理地址P做出响应。包括B在没的所有主机接收到这个请求，但只有主机B识别它的IP地址，并发出一个包含其物理地址的应答。当A收到应答后，就用该物理地址吧互联网分组直接发送给B。

地址转换协议ARP允许主机在只知道同一物理网络上一个目的站IP地址的情况下，找到目的主机的物理地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗

华为的介绍是这样的：

设备在转发报文时，如果报文的目的地址和设备三层接口地址在同一个网段，正常情况下会查找arp进行直接转发，如果查找不到arp表项，就会上送CPU触发ARP-MISS流程来学习ARP。

上层软件收到ARP Miss消息后，首先生成一个ARP假表项发送给设备，防止相同的ARP Miss消息不断上报；然后上层软件发送ARP请求报文，在收到回应后，用学习到的ARP表项替换原有的假表项发送给设备，流量可以正常转发。

动态ARP假表项有一个老化时间，在老化时间之内，设备不再向上层软件发送ARP Miss消息。老化时间超时后，假表项被清除，设备转发时再次匹配不到对应的ARP表项，重新生成ARP Miss消息上报给上层软件。如此循环重复。

对于同一个源IP发送的触发ARP-MISS流程报文，一秒钟内如果超过门限值（默认为5个），系统会认为这是一种非法的攻击报文，就会针对该ip地址下发一条ACL规则，丢弃该源IP发送的所有需要上送CPU处理的报文；如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况，该ACL规则会自动删除，触发arp-miss流程的报文可以继续上送CPU处理。

其实本质上就是一个RFC规定的处理方式，如果下一跳为直连路由，且没有对应的ARP表项，则发起ARP查询并丢弃数据包，直到通过ARP获取目的IP的mac地址，arp-miss就是对这种规定的具体实现方式（发送假表项，肯定后续数据包是转发失败的），并且多了一个攻击防护功能。

1、配置ARP代理。

  路由式Proxy ARP:适用于需要互通的主机（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络的场景。

  脚本：

  system-view

  vlan batch 10

  interface vlanif 10

  ip address 10111 24

  arp-proxy enable

  VLAN内Proxy ARP:适用于需要互通的主机处于相同网段，并且属于相同VLAN，但是VLAN内配置了端口隔离的场景。

  脚本：

  system-view

  vlan batch 10

  interface vlanif 10

  ip address 10111 24

  arp-proxy inner-sub-vlan-proxy enable

  VLAN间Proxy ARP:适用于需要互通的主机处于相同网段，但属于不同VLAN的场景。

  脚本：

  system-view

  vlan batch 10

  interface vlanif 10

  ip address 10111 24

  arp-proxy inter-sub-vlan-proxy enable

2、屏蔽基于源IP地址的ARP Miss告警。

    当某个源IP地址触发了ARP Miss告警，用户希望屏蔽此源IP地址的ARP Miss告警时，可以对这个IP地址的ARP Miss消息不进行限速。

    脚本：

  system-view

  arp-miss speed-limit source-ip 10111 maximum 0  //配置对IP地址10111的ARP Miss消息不进行限速。

    脚本：

  system-view

  arp-miss speed-limit source-ip maximum 0  //配置对所有源IP地址的ARP Miss消息不进行限速。

3、配置动态ARP检测（DAI）。

  该功能主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

  DAI是基于绑定表（DHCP动态和静态绑定表）对ARP报文进行匹配检查。

  设备收到ARP报文时，将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行对比：

  （1）如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过。

  （2）否则就认为是攻击，丢弃该ARP报文。

    例：

    脚本：

  system-view

  dhcp enable

  dhcp snooping enable ipv4

  interface gigabitethernet 1/0/10

  dhcp snooping enable  //设备与用户侧相连的接口使能DHCP Snooping功能。

  quit

  interface gigabitethernet 1/0/11

  dhcp snooping trusted  //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。

    quit

  user-bind static ip-address 10111 vlan 10  //对于静态配置IP地址的用户，在设备上配置静态绑定表。

  interface gigabitethernet 1/0/10

  arp anti-attack check user-bind enable  //设备与用户侧相连的接口使能DAI功能。

  quit

  脚本：

  system-view

  dhcp enable

  dhcp snooping enable ipv4

  vlan 10

  dhcp snooping enable  //用户设备所属VLAN内使能DHCP Snooping功能。

  quit

  vlan 20

  dhcp snooping enable

  dhcp snooping trusted interface gigabitethernet 1/0/10  //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。

  quit

  user-bind static ip-address 10111 vlan 10 //对于静态配置IP地址的用户，在设备上配置静态绑定表。

  vlan 10

  arp anti-attack  check user-bind enable  //用户侧所属VLAN内使能DAI功能。

  quit

4、配置ARP防网关冲突。

  如果有攻击者仿冒网关，在局域网内发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。就会把发往网关的流量均发送给了攻击者，攻击者可轻易窃听到他们发送的数据内容，并且最终会造成这些用户主机无法访问网络。

  为了防范攻击者仿冒网关，当用户主机直接接入网关时，可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一：

  ARP报文的源IP地址与报文入接口对应的VLAN接口的IP地址相同。

  ARP报文的源IP地址是入接口的虚拟IP地址，但ARP源MAC地址不是VRRP虚MAC。

  设备就认为该ARP报文时与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

  脚本：

    在网关设备上使能ARP防网关冲突攻击功能。缺省情况下设备上防网关冲突攻击功能处于未使能状态。

  system-view

  arp anti-attack gateway-duplicate enable

ARP欺骗指恶意用户通过发送伪造的ARP报文，恶意修改网关或网络内其他主机的ARP表项，造成用户或网络的报文转发异常。

恶意用户仿冒其他用户向网关发送ARP报文，导致网关学习到错误的用户ARP表项。

恶意用户仿冒网关发出ARP报文，导致网络中其他用户学习到错误的网关ARP表项。

恶意用户通过构造畸形的ARP报文进行攻击，导致路由器学习到错误的ARP表项。

安全策略

针对以上攻击行为，可以在路由器上配置如下安全策略。

ARP表项固化

路由器支持三种ARP表项固化模式，这三种模式适用于不同的应用场景，且是互斥关系。

fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入路由器时，路由器上该用户对应的ARP表项中的接口信息可以及时更新。

fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

动态ARP检测（DAI）

使能DAI的路由器会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。绑定表通常通过DHCP Snooping动态生成，也可手工配置指定。

ARP防网关冲突

为了防范攻击者仿冒网关，当用户主机直接接入网关时，可以在网关路由器上使能ARP防网关冲突攻击功能。当路由器收到的ARP报文存在下列情况之一：

ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。

ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC。

路由器就认为该ARP报文是与网关地址冲突的ARP报文，路由器将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

发送ARP免费报文

在网关路由器上配置发送免费ARP报文的功能，用来定期更新合法用户的ARP表项，使得合法用户ARP表项中记录的是正确的网关地址映射关系。

ARP报文内MAC地址一致性检查

路由器收到ARP报文时，对以太报文头中的源、目的MAC地址和ARP报文中的源、目的MAC地址进行一致性检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。可以有效防止恶意用户通过构造畸形ARP报文对网络或者网络路由器的攻击。

ARP报文合法性检查

为了防止非法ARP报文的攻击，可以在接入路由器或网关路由器上配置ARP报文合法性检查功能，用来对MAC地址和IP地址不合法的ARP报文进行过滤。路由器提供以下三种可以任意组合的检查项配置：

IP地址检查：路由器会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

源MAC地址检查：路由器会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文。

目的MAC地址检查：路由器会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文。

ARP表项严格学习

配置ARP表项严格学习功能后，只有本路由器主动发送的ARP请求报文的应答报文才能触发本路由器学习ARP，其他路由器主动向本路由器发送的ARP报文不能触发本路由器学习ARP，这样可以拒绝大部分的ARP报文攻击。

DHCP触发ARP学习

在DHCP用户场景下，当DHCP用户数目很多时，路由器进行大规模ARP表项的学习和老化会对路由器性能和网络环境形成冲击。为了避免此问题，可以在网关路由器上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址，网关路由器会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。

配置方法

配置ARP表项固化

使能ARP表项固化功能，指定固定模式为固化MAC方式。

<Huawei> system-view

[Huawei] arp anti-attack entry-check fixed-mac enable

配置动态ARP检测（DAI）

使能接口Eth1/0/1下的动态ARP检测功能。

<Huawei> system-view

[Huawei] interface ethernet 1/0/1

[Huawei-Ethernet1/0/1] arp anti-attack check user-bind enable

配置ARP防网关冲突

使能ARP防网关冲突攻击功能。

<Huawei> system-view

[Huawei] arp anti-attack gateway-duplicate enable

配置发送ARP免费报文

在接口VLANIF10下使能发送免费ARP报文的功能。

<Huawei> system-view

[Huawei] interface vlanif 10

[Huawei-Vlanif10] arp gratuitous-arp send enable

配置ARP报文内MAC地址一致性检查

使能指定接口的ARP报文内MAC地址一致性检查。

<Huawei> system-view

[Huawei] interface gigabitethernet 1/0/1

[Huawei-GigabitEthernet1/0/1] arp validate source-mac destination-mac

配置ARP报文合法性检查

使能ARP报文合法性检查功能，并指定ARP报文合法性检查时检查源MAC地址。

<Huawei> system-view

[Huawei] arp anti-attack packet-check sender-mac

配置ARP表项严格学习

指定接口的ARP表项严格学习功能。

<Huawei> system-view

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp learning strict force-enable

配置DHCP触发ARP学习

使能接口VLANIF100的DHCP触发ARP学习功能。

<Huawei> system-view

[Huawei] vlan batch 100

[Huawei] dhcp enable

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp learning dhcp-trigger

防ARP泛洪攻击

攻击行为

当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。

安全策略

针对以上攻击行为，可以在路由器上配置如下安全策略。

ARP表项限制

设备基于接口限制学习ARP表项的总数目，可以有效地防止ARP表项溢出，保证ARP表项的安全性。

ARP速率抑制

设备对单位时间内收到的ARP报文进行数量统计，如果ARP报文的数量超过了配置的阈值，超出部分的ARP报文将被忽略，设备不作任何处理，有效防止ARP表项溢出。

ARP表项严格学习

设备仅学习本端发送的ARP请求报文的应答报文，并不学习其它设备向路由器发送的ARP请求报文和非本端发送的ARP请求报文的应答报文，可以拒绝掉ARP请求报文攻击和非自己发送的ARP请求报文对应的应答报文攻击。

ARP端口级防护

设备基于端口对ARP上送速率进行监控，当某端口ARP上送控制面报文速率超过特定阈值时，会将该端口的ARP报文通过单独通道上送控制面，避免攻击影响正常的ARP报文。此外，设备还支持将攻击端口的ARP报文阻塞一段时间，而不是通过单独的通道上送。

ARP用户级防护

设备对用户（基于MAC地址或者IP地址）上送控制面的ARP报文速率进行监控，当某用户ARP报文速率超过特定阈值时，会将该用户ARP报文丢弃一段时间。

配置方法

ARP表项限制

配置指定接口最多可以学习到的ARP表项数量。

<Huawei> system-view

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp-limit maximum 20

ARP速率抑制

对ARP报文采用基于源IP地址进行时间戳抑制，速率为每秒50个ARP报文。

<Huawei> system-view

[Huawei] arp speed-limit source-ip maximum 50

配置ARP表项严格学习

ARP表项严格学习既可以基于全局，也可以基于指定的接口配置，两者有如下的关系：

当全局和接口同时配置了ARP严格学习功能时，采用接口下配置的策略。

当接口下没有配置ARP严格学习功能时，采用全局下配置的ARP严格学习策略。

使能全局的ARP表项严格学习功能。

<Huawei> system-view

[Huawei] arp learning strict

使能指定接口的ARP表项严格学习功能。

<Huawei> system-view

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp learning strict force-enable

配置ARP端口级防护

ARP端口级防护默认开启，无需手工配置。此外，还可以配置ARP报文限速。

配置接口Eth2/0/0在1秒钟内最多允许50个ARP报文通过。

<Huawei> system-view

[Huawei] interface ethernet 2/0/0

[Huawei-Ethernet2/0/0] arp anti-attack rate-limit enable

[Huawei-Ethernet2/0/0] arp anti-attack rate-limit 50 1

配置ARP用户级防护

ARP用户级防护基于用户MAC地址或者IP地址进行。

<Huawei> system-view

[Huawei] cpu-defend policy antiatk

[Huawei-cpu-defend-policy-antiatk] auto-defend enable

[Huawei-cpu-defend-policy-antiatk] auto-defend threshold 30

[Huawei-cpu-defend-policy-antiatk] undo auto-defend trace-type source-portvlan

[Huawei-cpu-defend-policy-antiatk] undo auto-defend protocol tcp telnet ttl-expired igmp icmp dhcp

[Huawei-cpu-defend-policy-antiatk] auto-defend action deny timer 300

[Huawei-cpu-defend-policy-antiatk] quit

[Huawei] cpu-defend-policy antiatk

[Huawei] cpu-defend-policy antiatk

互联网或者任何IP网络中，运行IP协议的任何一台主机或者网络设备上都有一个ARP表，它记录着本网络中IP地址和MAC地址的映射，这个表由ARP协议自动管理和维护，也可手动添加删除和更新表项，如果ARP表出现错误，那数据传输将寸步难行。下面我们深入讨论它的重要性。

1为什么需要ARP

这得从TCP/IP网络体系的数据流动说起。下图是TCP/IP体系结构的简单描述，也是TCP/IP相关协议关系的描述。

最下层为网络接口层，实质上TCP/IP对网络接口层没有任何的规定，网络接口层（对应标准参考模型OSI的物理层和数据链路层）实际是各种局域网、广域网技术，比如以太网、令牌环网、无限局域网、4G网络、5G网络等等。这些物理网络技术仅实现物理层和数据链路层的功能，在各自的网络内实现数据传输，采用各自的网络技术在网络内解决主机到主机的数据（帧）传输问题，这些物理网络技术一般采用硬件地址标识主机或网络节点，或者叫媒体访问控制地址（MAC地址）。

而TCP/IP中的IP协议利用IP地址进行寻址，一方面把各种网络技术统一起来，屏蔽了这些物理网络技术之间的差异性，另一方面通过路由协议实现了多种网络、多个网络的互连。IP协议的英文全称是Internet protocol，直接翻译即为网络互联协议。数据从IP层到数据链路层的转发就必然需要IP地址到物理地址（MAC地址）的转换，这就需要ARP地址解析协议来完成。

从上图，我们能清晰的知道，互联网上任何两台电脑上的应用程序A和B（准确地说是进程：运行着的程序）之间要进行通信，必然要经过如下的过程：A若要传输数据到B，A将数据按照应用层协议封装数据报文，交给TCP或者UDP封装成传输层数据报文，再由IP协议封装成IP数据包，交给数据链路层封装数据帧，在封装数据帧时，会判断B的IP地址和A是否在同一个IP网络内（判断方法用B的IP地址和A的子网掩码按位相与得出一个网络号，再与A的网络号相比较，相等则在同一子网），如果在同一子网内，A则需要知道B的MAC地址，才能进行数据帧的封装，如果不知道，就需要运行ARP协议，来广播查询B的MAC地址；查询到B的MAC地址后即可进行帧的封装，然后交给物理层进行bit流的传输。如果不在同一个网络内，A则按本机的IP路由表的指示将数据转发给目标IP地址C，同样需要使用C的MAC地址封装为数据帧，如果不知道C的MAC地址，也需要利用ARP协议进行广播查询。当数据帧到达目标主机B后，各层进行数据解封装，向上层传递相应数据，最终达到应用程序。

如果没有ARP表，在进行数据帧封装时就找不到目标IP地址对应的物理地址（MAC地址），因此维护正确的ARP表是极为重要的。不管利用WiFi还是以太网，或者4G、5G、FTTH等方式上网，都需要ARP协议的支撑，否则数据将无法传输。

2、如何管理维护ARP表

在Windows系统中，可以使用ARP命令来查看、管理本机的ARP表项。这里介绍三种用法。

（1）查看ARP表：arp -a

在命令窗口中，输入该命令，显示结果为：

其显示的有动态和静态2种类型，动态类型是系统ARP协议动态添加的，比如19216811，是本机的网关地址，其物理地址为ec-f8-eb-e7-6b-00。静态类型中的1921681255是本网广播地址，对应的MAC地址为所有位全1，代表物理网络广播，当运行ARP协议解析某个IP地址时，用ff-ff-ff-ff-ff-ff作为数据链路层的广播地址。224、239开头的静态地址为组播地址，一般视频直播等应用使用该地址。255255255255是默认广播地址。

（2）添加静态的ARP表项：arp -s 19216816 00-aa-00-62-c6-09

该命令在windows 10环境中需要管理员权限，可以运行powershell，开始菜单按右键，选择windows powershell，然后输入该命令。

运行成功系统没有任何提示，可以运行arp –a查看添加的表项，如下图。

（3）删除静态的ARP表项：arp -d 19216816

该命令在windows 10环境中也需要管理员权限。运行正确后系统无任何提示，表示删除成功。-d参数后只需要写将要删除的IP地址。

扩展：默认网关地址表项对于我们访问互联网极其重要，它是默认路由地址。网络中有时存在arp攻击（比如ARP病毒），其原理是：发送错误的默认网关ARP表项给目标主机，目标主机会更新该表项，导致目标主机默认网关的ARP表项错误，访问外网的所有数据帧被转发给错误的MAC地址，造成网络不可访问。如果出现这种问题，可以使用此命令手动方式添加静态的网关地址表项，保证正确数据转发。

MAC地址：MAC地址也叫物理地址、硬件地址，由网络设备制造商生产时烧录在网卡上的固定地址，我们笔记本电脑的无线网卡、手机中均有MAC地址。MAC地址的长度为48位(6个字节)，通常表示为12个16进制数，其中前6个16进制数代表网络硬件制造商的编号，它由IEEE(电气与电子工程师协会)分配，而后6位16进制数AE-3C-40代表该制造商所制造的某个网络产品(如网卡)的系列号。只要不更改自己的MAC地址，MAC地址在世界上是唯一的。就如前面所讲的，MAC地址是数据链路层的地址，在网络中标识一个网络节点，数据帧结构中一般含有目的MAC，源MAC。

以上就是关于H3C交换机如何配置ARP全部的内容，包括:H3C交换机如何配置ARP、ARP动态地址转换基本思路、华为交换机ARP-MISS是啥意思有什么用等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！