华为怎么配置配置ARP
路由器静态ARP设置指南
路由器静态ARP设置指南一、什么是ARPARP(Address Resolution Protocol)是一种通过IP地址获取物理MAC地址的协议,它在局域网中起到重要的作用。
在网络通信中,经常需要将目标IP地址转换为目标MAC地址,从而才能准确地将数据包发送到目标设备。
二、为什么需要静态ARP设置通常情况下,路由器会自动学习设备的ARP信息并建立ARP缓存表。
但在某些特定的情况下,我们需要手动设置静态ARP来解决一些问题。
比如,当网络中有某个设备需要经常与另一个设备通信,但由于某些原因,这两个设备无法直接通信,就需要通过设置静态ARP来实现它们之间的正常通信。
三、1. 确定目标设备的IP地址和MAC地址在设置静态ARP之前,首先需要获得目标设备的IP地址和MAC 地址。
可以通过以下方法获得:- 在目标设备上运行命令行工具,输入ipconfig(Windows系统)或ifconfig(Linux系统)命令,查看设备的IP地址和MAC地址。
- 如果无法直接访问目标设备,可以通过路由器的管理界面查看目标设备的网络信息。
2. 登录路由器管理界面使用浏览器输入路由器的管理IP地址,输入正确的用户名和密码登录路由器的管理界面。
3. 进入ARP设置页面不同品牌的路由器可能有不同的界面,但一般都会在网络设置或高级设置部分找到相关设置。
请查阅路由器的使用手册以确定如何进入ARP设置页面。
4. 添加静态ARP项在ARP设置页面中,应该有一个添加静态ARP的选项,点击进入该功能。
5. 填写静态ARP信息按照界面提示,填写目标设备的IP地址和MAC地址,并确定保存设置。
6. 验证静态ARP设置是否生效添加完成后,可以通过ping命令或其他方式验证静态ARP设置是否生效。
如果设置成功,则应该可以正常与目标设备通信。
四、注意事项在配置静态ARP时,需要注意以下几点:1. 确保填写的IP地址和MAC地址准确无误,否则可能导致通信异常。
路由器静态ARP配置命令
4.2.2 clear arp-cache< g>
清空ARP映射表。
clear arp-cache
【命令模式】
特权用户模式
【使用指南】
在某些情况下,需要清空并更新ARP映射表,这时可以用arp -d逐条删除,也可以用clear arp-cache命令一次清空。
【命令模式】
全局配置模式
【使用指南】
一般情况下,ARP映射表由动态ARP协议维护,在特殊情况下,才需要手工配置。另外ARP映射表只用于局域网内,对于广域网的地址解析,有其它的配置或获取方法(如帧中继的逆向地址解析)。
【举例】
配置局域网内IP地址129.102.0.1对应的以太网MAC地址为00-e0-fc-01-00-00,而且临时有效。
【相关命令】
arp,clear arp-cache
【参数说明】
-a表示显示ARP映射表。
-d表示删除ARP映射项。
-s表示增加ARP映射项。
ip-address为ARP映射项的IP地址,为点分十进制格式。
ether-address为ARP映射项的以太网MAC地址,格式为XX-XX-XX-XX-XX-XX,其中XX为十六进制数。
路由器静态ARP配置命令
2000-05-18 00:00作者:出处:华为责任编辑:
strong>静态ARP配置命令
4.2.1 arp
配置或显示ARP映射表。
arp -a [ ip-address ]
arp -d ip-address
arp -s ip-address ether-address [ temp ]
【举例】
华为交换机防止仿冒网关ARP攻击配置实例
华为交换机防止仿冒网关 ARP 攻击配置实例作者:未知 文章来源:转贴 点击数:1059 更新时间:2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击:一、组网需求:1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图:图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备, 其中 IP: 100.1.1.1 是所有 PC 的网关, S3552P 上的网关 MAC 地址为 000f-e200-3999。
PC-B 上装有 ARP 攻击软件。
现在需要对 S3026C_A 进行一些特殊配置,目的是过滤掉仿冒网关 IP 的 ARP 报文。
三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机,可以配置 ACL 来进行 ARP 报文过滤。
全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉,其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。
Rule1 允许通过网关发送的 ARP 报文,斜体部分为网关的 mac 地址 000f-e200-3999。
注意:配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。
在 S3026C-A 系统视图下发 acl 规则:[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文,其它主机都不能发送假冒网关的 arp 响应报文。
华为交换机 01-02 ARP配置
2.5 优化动态 ARP
ARP表项动态学习是主机和交换机本身就具有的功能,并且设备的缺省状态即为ARP表 项动态学习,不需要使用命令启动此功能。但根据网络需要,用户可以调整动态ARP 的一些参数。
前置任务
在优化动态ARP之前,需完成以下任务: ● 配置接口的链路层协议参数,使接口的链路协议状态为Up。
2.2 设备支持的 ARP 特性
ARP可以分为静态和动态两种。设备还支持一些扩展ARP的应用,比如Proxy ARP、出 口ARP检测EAI(Egress ARP Inspection)功能以及配置IP地址冲突检测功能。
动态 ARP 和静态 ARP 对比
ARP表项分为动态ARP表项和静态ARP表项。动态ARP和静态ARP的概念、表项生成与 维护情况和应用场景如表2-1所示。
该场景存在这样一个问题:当SwitchB接收到ARP请求报文时,SwitchB会在整个VLAN 内广播该ARP请求报文,增大了该VLAN内的网络负荷。
图 2-1 EAI 功能组网图 SwitchA
DHCP Server SwitchB
VLAN2 VLANIF 2 10.10.10.12/24
UserC
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
2 ARP 配置
关于本章
ARP(Address Resolution Protocol)是一种地址解析协议。通过ARP协议,建立IP地 址与MAC地址之间的映射,实现以太网数据帧在物理网络中的传送。
2.1 ARP概述 ARP提供了一种将IP地址解析为MAC地址的解析机制,是以太网通信的基础。
表 2-1 动态 ARP 与静态 ARP 对比表
华为技术之之ARP、RARP与InverseARP
华为技术之ARP、RARP与InverseARP1.Vlan Disable 的使用说明1.1. Vlan Disable的功能所谓Vlan Disable功能就是指让交换机不对Vlan Tag信息做任何处理。
当交换机启动了Vlan Disable功能之后,交换机的功能就相当于一个不具备VLAN功能的LanSwitch。
在QuidwayS3026/2016/2008中都提供了Vlan Disable功能。
以上交换机默认的 Vlan模式是Vlan Enable的。
所谓Vlan Enable就是指交换机会对Vlan Tag信息做相应的处理,根据需要达到二层隔离的目的。
Vlan Disable功能是为了实现交换机能够透传更多的Vlan数目而产生的。
在Vlan Enable的模式下,由于硬件本身的限制,目前S3026/2016/2008本身只能支持32个Vlan。
在有些情况下,这些设备需要透传的VLAN ID数远多于32个。
为了解决这个问题,Vlan Disable的功能就应运而生了。
1.2. Vlan Disable的使用环境假设有如下组网图:组网需求:S3026下挂的两台S2403F每个端口在二层进行两两隔离,并要求S2403F上所有的VLAN ID都要透传到MA5200上。
分析上面的组网,结合S3026只能透传32个VLAN的限制,我们可以得出如下一些结论:其中2403F-1和2403F-2交换机各通过10M口接了24个用户并且要求两台2403F下所有的用户在二层两两隔离。
在S3026的Vlan Enable模式下,无法实现组网要求,因为下挂的两个2403F透传上来的Vlan会超过32个(S2403F-1有24个,S2403F-2也有24个,一共是48个 VLAN要透传)。
这个时候就需要启动S3026的Vlan Disable功能了,启动该功能之后,交换机就不会对交换报文的Vlan信息做任何处理了,整个设备的功能就相当于不具备VLAN功能的LanSwitch。
华为QUIDWAY3900 系列华为交换机操作手册---23-ARP操作
ARP 报文分为 ARP 请求和 ARP 应答报文,ARP 请求和应答报文的格式如图 1-1所 示。
z 当一个 ARP 请求发出时,除了接收端硬件地址(正是请求方想要获取的地址) 字段为空外,其他所有的字段都被使用。
z ARP 应答报文使用了所有的字段。
硬件类型(16位) 协议类型(16位)
硬件地址长度
协议地址长度
操作码(16位)
发送端硬件地址 发送端IP地址
接收端硬件地址
接收端IP地址
图1-1 ARP 请求和应答报文格式
ARP 报文各字段的含义如表 1-1所示。
报文字段 硬件类型 协议类型
表1-1 ARP 报文字段解释 字段含义
识别硬件接口的类型,合法取值请参见表 1-2 表示要映射的协议地址类型,它的值为 0x0800 即表示 IP 地址
第 2 章 Resilient ARP 配置......................................................................................................2-1 2.1 Resilient ARP 简介............................................................................................................. 2-1 2.2 Resilient ARP 配置............................................................................................................. 2-1 2.3 Resilient ARP 的显示 ......................................................................................................... 2-2 2.4 Resilient ARP 配置示例 ..................................................................................................... 2-2
华为交换机防止同网段ARP欺骗攻击配置案例
在S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。
上述配置案例中仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。
1.1.2 配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文
acl um 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。
2 仿冒他人IP的arp攻击
作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。
如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习错误的arp,如下所示:
华为路由器 配置ARP
华为路由器配置ARP华为路由器配置ARP1、简介本文档介绍了如何配置华为路由器的ARP(地质解析协议)功能。
ARP是一种网络协议,用于将IP地质映射到MAC地质,以实现本地网络设备之间的通信。
2、确认网络拓扑在开始配置ARP之前,需要确认网络拓扑,以确定各设备之间的连接方式和IP地质分配情况。
3、配置基本网络参数首先,通过命令行界面(CLI)或Web界面登录路由器,并进入系统视图。
3.1 设置路由器主机名在系统视图下,使用以下命令设置路由器的主机名:hostname [主机名]3.2 设置IP地质使用以下命令设置路由器的IP地质:interface [接口名称]ip address [IP地质] [子网掩码]3.3 启动接口使用以下命令启动接口:interface [接口名称]undo shutdown4、配置ARP表项在确认网络拓扑后,可以开始配置路由器的ARP表项。
4.1 添加静态ARP表项对于已知的设备,可以手动添加静态ARP表项来加速地质解析过程。
使用以下命令添加静态ARP表项:arp static [IP地质] [MAC地质] interface [接口名称]4.2 添加动态ARP表项对于未知的设备,路由器可以自动添加动态ARP表项。
可以通过以下命令开启ARP动态学习功能:arp learning enable5、配置静态ARP高速缓存为了提高ARP表项的查找速度,可以配置静态ARP高速缓存。
使用以下命令配置静态ARP高速缓存:arp cache enable6、配置ARP缓存超时时间为了控制ARP缓存中的表项有效期,可以配置ARP缓存超时时间。
使用以下命令配置ARP缓存超时时间:arp cache timeout [超时时间]7、配置ARP请求重试次数为了提高地质解析的成功率,可以配置ARP请求的重试次数。
使用以下命令配置ARP请求重试次数:arp retry [重试次数]8、保存配置并重启路由器完成上述配置后,使用以下命令保存配置并重启路由器:savereboot本文档涉及附件:无本文所涉及的法律名词及注释:无。
华为配置静态ARP
配置静态ARP示例图1 配置静态ARP组网图静态ARP简介静态ARP表项是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。
正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。
但是当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。
静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。
静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。
一般在网关设备上配置静态ARP表项。
对于以下场景,用户可以配置静态ARP表项。
•对于网络中的重要设备,如服务器等,可以在交换机上配置静态ARP表项。
这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。
•当网络中用户设备的MAC地址为组播MAC地址时,可以在交换机上配置静态ARP表项。
缺省情况下,设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。
•当希望禁止某个IP地址访问设备时,可以在交换机上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。
配置注意事项•设备上配置的静态ARP表项数目不能大于设备静态ARP表项规格,可以执行命令display arp statistics all查看设备上已有的ARP表项数目。
•本举例适用于S系列交换机所有产品的所有版本。
如需了解交换机软件配套详细信息,请点击Info-Finder,在选择产品系列或产品型号后,在“硬件中心”进行查询。
S5731-L和S5731S-L属于远端模块,不支持Web管理、YANG和命令行,仅支持通过中心交换机对其下发配置,相关操作请参见《S300, S500, S2700,S5700, S6700 V200R021C10 配置指南-设备管理》中的“极简架构配置(小行星方案)”。
华为交换机VLAN内Proxy ARP配置示例
华为交换机VLAN内Proxy ARP配置示例首页>HuaWei > ARP 作者:杭州清默网络 2016年2月4日 17:00 星期四字号:小中大评论:0 条时间:2016-2-4 17:00 评论:0 条华为交换机VLAN内Proxy ARP配置示例1、组网需求图1 VLAN内Proxy ARP组网示例图如上图1所示,Switch的接口GE1/0/2和GE1/0/1属于同一个sub-VLAN2。
该sub-VLAN属于super-VLAN3。
要求:属于同一VLAN2的两台主机hostA和hostB之间二层隔离。
hostA和hostB之间通过VLAN内Proxy ARP实现三层互通。
Super-VLAN的VLANIF接口的IP地址为10.10.10.1,子网掩码为255.255.255.0。
2、配置思路2.1、创建和配置Super-VLAN和Sub-VLAN。
2.2、将接口加入到从Sub-VLAN中。
2.3、创建Super-VLAN的VLANIF接口并配置其IP地址。
2.4、在Super-VLAN的VLANIF接口使能VLAN内Proxy ARP(arp代理)功能。
3、操作步骤3.1、配置Super-VLAN和Sub-VLAN。
# 配置Sub-VLAN2。
<HUAWEI> system-view[HUAWEI] vlan 2[HUAWEI-vlan2] quit# 使能GE1/0/1和GE1/0/2端口隔离功能。
[HUAWEI] port-isolate mode l2[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] port-isolate enable[HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interface gigabitethernet 1/0/2[HUAWEI-GigabitEthernet1/0/2] port-isolate enable[HUAWEI-GigabitEthernet1/0/2] quit# 将GE1/0/1和GE1/0/2加入到Sub-VLAN2中。
华为配置命令手册
dis gvrp status 查看gvrp状态
配置RIP协议
rip 启用RIP默认V1
network 192.168.1.0 发布直连网段
version 2 配置v2版本
dis rip 查看rip
int vlanif 20 进入接口
ip add 192.168.2.254 24 配IP
dis ip interface brief 接口简略信息
dis port vlan 接口vlan信息
dis vlan 查看vlan信息
配置单臂路由VLAN间通信
ip add 192.168.1.254 24 配置IP
dot1q termination vid 10 封装
arp broadcast enable 开启arp
dis ip interface brief 查看接口
dis ip routing-table 查看路由表
display current-configuration 查看配置
undo negotiation auto 取消协商
duplex full 全双工
auto duplex full 自动协商速率
speed 10 速率10M
auto speed 100 自动协商速率
arp static 192.168.1.8 5489-99cf-2603 绑定MAC地址
port hybrid untagged vlan 20 去标签
port hybrid pvid vlan 2 设置默认vlan
port trunk allow-pass vlan 10 to 100 允许通过不连续用空格(前面加undo不允许)
华为路由器 配置ARP
文档版本 04 (2008-01-25)
华为技术有限公司
i
插图目录
Quidway Eudemon 100/100E/200/200S 配置指南 网际互联分册
插图目录
图 9-1 代理 ARP 的应用...................................................................................................................................9-2
图9-1 代理 ARP 的应用
管理员规定 该网络使用: 172.16.2.0
HOST A IP:172.16.2.2
(1)ARP REQUEST 172.16.4.4
Internet 1 IP:172.16.2.3 MAC:3333.3333.3333
Internet
(2)ARP REPLY
Router A
9.3 配置静态 ARP .............................................................................................................................................9-5 9.3.1 建立配置任务.....................................................................................................................................9-5 9.3.2 添加静态 ARP 表项...........................................................................................................................9-5 9.3.3 检查配置结果.....................................................................................................................................9-6
华为9306ARP策略
此外,还有基于ARP 协议的扫描攻击:攻击者利用工具扫描本网段主机或者跨网段进
行扫描时,S9300 在发送回应报文前,会查找ARP 表项,如果目的IP 地址对应的MAC
地址不存在,会导致S9300 的ARP 模块向上层软件发送ARP Miss 消息,要求上层软件
如果将速率配置为0,则表示不作ARP 报文源抑制。缺省情况下,所有IP 地址的ARP
报文源抑制速率为500pps。
七、配置ARP Miss 消息源抑制功能
背景信息
为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备,可以配置ARP Miss
源抑制功能,对攻击者的报文进行丢弃处理。
制速率。
步骤3 (可选)执行命令arp-miss speed-limit source-ip ip-address maximum maximum,配置指
定source-ip 用户的ARP Miss 源抑制速率。
完成上述配置后,对指定了source-ip 的用户,ARP Miss 源抑制速率为步骤3 中配置的
改MAC 地址,但是允许修改VLAN 和接口信息;Fixed-all 方式下,MAC、VLAN
和接口信息都不允许修改。
3.主动确认:S9300 收到一个涉及MAC 地址修改的ARP 报文时,不会立即修改ARP
表项,而是先对原ARP 表中与此MAC 地址对应的用户发一个单播确认,根据确认
结果再决定是否修改。
这样可以防止与网关地址冲突的ARP 报文在VLAN 内广播。
(三)短期内大量ARP 报文
某个源IP 地址发送大量ARP 报文,浪费设备的CPU 资源和给ARP 报文上送预留的有
01-11 配置ARPARP Proxy
MA5680T配置指南11 配置ARP/ARP Proxy11配置ARP/ARP Proxy 关于本章介绍了MA5680T中ARP和ARP Proxy的原理及其相关配置。
本文档介绍MA5680T设备的配置,先进行业务的概述,再以一个或多个实例介绍业务的配置过程,最后对常用的单个功能进行详细描述,对MA5680T设备有一定了解的读者建议直接阅读配置实例,对MA5680T设备不熟悉的读者建议先阅读单个功能的描述。
11.1 ARP概述简要介绍ARP Proxy业务描述和业务规格。
11.2 配置ARP Proxy实例通过本实例配置ARP Proxy,实现在同一个广播域但被隔离的端口或不同的广播域的端口之间的通信,需要在三层接口上启动ARP Proxy功能,为了不造成网络负担,ARP的请求报文被限制在一个VLAN内。
11.3 配置静态ARP表项通过本任务配置指定IP地址与MAC地址的静态映射关系,即添加静态ARP表项。
11.4 使能ARP Proxy功能通过本任务实现使能ARP Proxy功能,实现在同一个广播域但被隔离的端口或不同的广播域的端口之间的通信,需要在三层接口上启动ARP Proxy功能。
11.1 ARP 概述简要介绍ARP Proxy 业务描述和业务规格。
业务描述网络上的两台计算机需要通信时,双方必须知道对方的物理地址,即MAC 地址。
因为IP 地址只是计算机在网络层中的地址,若要将网络层数据报文传送给目的计算机,必须知道目的计算机的物理地址,因此必须将IP 地址解析为MAC 地址。
ARP (Address Resolution Protocol )就是用来将IP 地址解析为MAC 地址的协议。
通过配置ARP Proxy 与Super VLAN ,可以实现二层隔离的两台计算机之间的三层互通。
ARP Proxy 特性的详细介绍请参见“MA5680T 特性描述”中的“ARP Proxy ”。
业务规格MA5680T 对ARP 表项既可以动态维护,也可以手工维护;同时支持ARP Proxy 功能。
华为交换机静态ARP与动态ARP结合使用配置示例
华为交换机静态ARP与动态ARP结合使用配置示例1、组网需求图1 动态ARP与静态ARP组网示例图如上图1所示,Switch的接口GE1/0/1通过LAN Switch(即LSW)连接主机,接口GE1/0/2连接Server。
要求:GE1/0/1属于VLAN2,GE1/0/2属于VLAN3。
为了适应网络的快速变化,保证报文的正确转发,在Switch的接口VLANIF2上配置动态ARP的参数。
为了保证Server的安全性,防止其他设备仿冒Server发送非法ARP报文,在Switch的接口GE1/0/2上增加一个静态ARP表项,表项的IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000。
2、配置思路2.1、创建VLAN,并将接口加入到VLAN中。
2.2、配置用户侧VLANIF接口的动态ARP的参数。
2.3、配置静态ARP表项。
3、操作步骤3.1、创建VLAN,并将接口加入到VLAN中。
# 创建VLAN2和VLAN3。
<HUAWEI> system-view[HUAWEI] vlan batch 2 3# 将接口GE1/0/1加入VLAN2中,接口GE1/0/2加入VLAN3中。
[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] port link-type trunk[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 [HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interface gigabitethernet 1/0/2[HUAWEI-GigabitEthernet1/0/2] port link-type access[HUAWEI-GigabitEthernet1/0/2] port default vlan 3[HUAWEI-GigabitEthernet1/0/2] quit3.2、配置VLANIF接口的动态ARP的参数。
华为22-ARP命令
1.1.2 arp detection enable
第 3 章 Resilient ARP 配置命令...............................................................................................3-1 3.1 Resilient ARP 配置命令 ..................................................................................................... 3-1 3.1.1 display resilient-arp ................................................................................................. 3-1 3.1.2 resilient-arp enable.................................................................................................. 3-2 3.1.3 resilient-arp interface vlan-interface ........................................................................ 3-2
华为(H3C)3600、3900交换机阻止ARP病毒配置
定义自定义的ACL:
acl number 5000
rule 0 deny 0806 ffff 16 c0a802fe ffffffff 32
解释:
rule 0 :规则序号为0,当规则下发到硬件中执行时,序号不起作用;
deny :禁止;
下发到端口中(除了48号端口外):
[H3C_3952]int e1/0/40
[H3C_3952-Ethernet1/0/40]packet-filter inbound use上的计算机发送的ARP广播包中,如果其源地址是192.168.2.254时,则此数据包就会被丢弃。
c0a802fe ffffffff:前者“c0a802fe”是网关的IP地址“192.168.2.254”的十六进制表达方式(192=0xc0,168=0xa0,02=0x02,254=0xfe),后者是掩码,ffffffff表示每一位都要比较,必须全部相等才是匹配;
32 :IP地址在数据包中的偏移量,和协议号的偏移量一样,要根据不同的交换机型、交换板型号、配置等来确定,可能的值有32(协议号偏移量16时)、36(协议号偏移量20)、40(协议号偏移量24)、56(协议号偏移量40)。
解决这个问题的方法是阻止中了ARP病毒的计算机发送宣称自己是网关的ARP广播,这样就不能对局域网中的其他计算机造成危害了。
只有智能的交换机才有这样的功能,下面是在H3C的S3900和S3600系列的交换机上实现的例子(本人测试通过):
环境描述:局域网IP地址范围:192.168.2.0/24,网关是192.168.2.254
当不知道自己的交换机上ARP协议号的偏移量时,可以用此以下方法进行测试。
华为路由器ipmac地址绑定(保存配置)
1、登录学校路由器:Telnet 学校公网地址(不知道自己的互联网出口地址的可以看一下电脑的网关地址),然后回车如:telnet 60.219.7.229 回车或者Telnet 电脑ip的网关2、提示你输入路由的用户名和密码,在输入密码的时候是看不到输入的字符的,因为密码设置的为cipher模式。
然后敲回车。
3、输入dis arp,查看arp缓存信息这里记录者目前电脑通过自动获取的IP地址信息。
老师们可以将其复制到excel表格里,但是最好能确定mac地址所对应的是哪一台电脑。
4、然后执行system命令,敲回车,进入全局模式<twzx>会变成[twzx]5、在全局模式下关闭DHCP ,执行命令undo dhcp enable 回车,下面所有设备将不能自动获取地址,如图5、在全局模式下输入user-bind static ip-address x.x.x.x mac-address xxxx-xxxx-xxxx 敲回车如下图:对1.1.1.1进行绑定(删除绑定在命令前面加入undo)6、在全局模式下输入:dis dhcp static user-bind all 可查看绑定信息。
如图7、绑定的1.1.1.1 只能给0001-0001-0001 mac地址的电脑使用。
其他mac地址无法使用该IP地址。
8、还有一种方法:使用arp static x.x.x.x xxxx-xxxx-xxxx ,这样也可以做绑定。
绑定如图:以上通过arp绑定的方法需要将局域网内的所有IP与mac进行,例如一个局域网中有4台电脑,通过arp static绑定了4个电脑对应的ip与mac地址,但是这4台电脑还可以修改为没有做绑定的IP地址进行上网192.168.1.2 2222-2222-2222 (黎明)192.168.1.3 3333-3333-3333 (刘德华)192.168.1.4 4444-4444-4444 (周润发)192.168.1.5 5555-5555-5555 (梁朝伟)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置配置ARP
组网需求
如图所示,Switch的接口GE0/0/1通过LAN Switch(即LSW)连接主机,接口GE0/0/2通过路由器Router连接Server。
要求:
GE0/0/1属于VLAN2,GE0/0/2属于VLAN3。
为了适应网络的快速变化,保证报文的正确转发,在Switch的接口VLANIF2上配置动态ARP 的参数。
为了保证Server的安全性,防止非法ARP报文的侵入,在Switch的接口GE0/0/2上增加一个静态ARP表项,Router的IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000。
配置思路
ARP的配置思路如下:
创建VLAN,并将接口加入到VLAN中。
配置用户侧VLANIF接口的动态ARP的参数。
配置静态ARP表项。
数据准备
为完成此配置示例,需准备如下的数据:
接口GE0/0/1属于VLAN2,接口GE0/0/2属于VLAN3。
接口VLANIF2的IP地址为2.2.2.2,子网掩码为255.255.255.0。
ARP表项老化时间为60秒,老化探测次数为2次。
LSW的IP地址为2.2.2.1,子网掩码为255.255.255.0。
Router与Switch对接的接口IP地址为10.2.2.3,子网掩码为255.255.255.0,对应的MAC 地址为00e0-fc01-0000。
操作步骤
创建VLAN,并将接口加入到VLAN中。
# 创建VLAN2和VLAN3。
<Quidway> system-view
[Quidway] vlan batch 2 3
# 将接口GE0/0/1加入VLAN2中,接口GE0/0/2加入VLAN3中。
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port hybrid tagged vlan 2
[Quidway-GigabitEthernet0/0/1] quit
[Quidway] interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2] port hybrid tagged vlan 3
[Quidway-GigabitEthernet0/0/2] quit
配置VLANIF接口的动态ARP的参数。
# 创建接口VLANIF2。
[Quidway] interface vlanif 2# 配置接口VLANIF2的IP地址。
[Quidway-Vlanif2] ip address 2.2.2.2 255.255.255.0# 配置ARP表项老化时间为60秒。
[Quidway-Vlanif2] arp expire-time 60# 配置ARP表项老化探测次数为2次。
[Quidway-Vlanif2] arp detect-times 2
[Quidway-Vlanif2] quit
配置静态ARP表项。
# 创建接口VLANIF3。
[Quidway] interface vlanif 3# 配置接口VLANIF3的IP地址。
[Quidway-Vlanif3] ip address 10.2.2.2 255.255.255.0
[Quidway-Vlanif3] quit
# 配置一条静态ARP表项:IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000,VLAN 编号为3,出接口为GE0/0/2。
[Quidway] arp static 10.2.2.3 00e0-fc01-0000 vid 3 interface gigabitethernet 0/0/2
[Quidway] quit
检查配置结果。
# 执行命令display current-configuration,查看表项老化时间、老化探测次数和ARP映射表信息。
<Quidway> display current-configuration | include arp
arp expire-time 60
arp detect-times 2
arp static 10.2.2.3 00e0-fc01-0000 vid 3 interface GigabitEthernet0/0/2
配置文件
以下仅给出Switch的配置文件。
#
sysname Quidway
#
vlan batch 2 to 3
#
interface Vlanif2
ip address 2.2.2.2 255.255.255.0
arp expire-time 60
arp detect-times 2
#
interface Vlanif3
ip address 10.2.2.2 255.255.255.0
#
interface GigabitEthernet 0/0/1
port hybrid tagged vlan 2
#
interface GigabitEthernet 0/0/2
port hybrid tagged vlan 3
#
arp static 10.2.2.3 00e0-fc01-0000 vid 3 interface GigabitEthernet0/0/2
#
return。