1、三層轉發(fā)及 ARP、ND 操作目錄目錄第 1 章 L3 轉發(fā)配置1-11.1 三層接口1-1三層接口介紹1-1三層接口配置1-1三層功能1-2三層功能介紹1-2三層功能配置1-2IP配置1-3IPv4、IPv6 介紹1-3IP配置1-5IP配置舉例1-9IPv6 排錯幫助1-121.4 IP轉發(fā)1-12IP轉發(fā)介紹1-12IP路由聚合配置1-131.5 ARP1-13ARP介紹1-13ARP配置1-13ARP轉發(fā)排錯幫助1-141.6 l3 sion movement1-14l3 sl3 sion movement 介紹1-14ion movement配置1-15第 2 章 防ARP掃描功能操

2、作配置2-12.12.22.3防ARP掃描功能介紹2-1防ARP掃描配置任務序列2-1防ARP掃描典型案例2-32.4防ARP掃描排錯幫助2-4第 3 章 ARP、ND綁定配置3-13.1 概述3-13.1.1 ARP（地址協(xié)議）3-13.1.2 ARP綁定3-11三層轉發(fā)及 ARP、ND 操作目錄3.1.3 如何進行ARP/ND綁定3-13.2 ARP、ND綁定配置3-23.3 ARP、ND綁定舉例3-3第 4 章 ARP GUARD配置4-1ARP GUARD 的介紹4-1ARP GUARD配置任務序列4-1第 5 章 Arp local proxy配置5-15.1 Arp local p

3、roxy功能簡介5-1Arp local proxy功能配置任務序列5-2Arp local proxy功能典型案例5-2Arp local proxy功能排錯幫助5-3第 6 章 免費ARP發(fā)送功能操作配置6-16.16.2免費ARP發(fā)送功能簡介6-1免費ARP發(fā)送功能配置任務序列6-16.36.4免費ARP發(fā)送功能典型案例6-2免費ARP發(fā)送功能排錯幫助6-2第 7 章 Keepalive gateway配置7-17.1 keepalive gateway介紹7-1keepalive gateway功能配置任務序列7-1keepalive gateway舉例7-2keepalive gat

4、eway排錯幫助7-22三層轉發(fā)及 ARP、ND 操作第 1 章 L3 轉發(fā)配置第1章 L3 轉發(fā)配置交換機支持三層轉發(fā)功能。三層轉發(fā)是將三層協(xié)議報文（IP 報文）VLAN 進行轉發(fā)，這種轉發(fā)是用 IP 地址尋址的，當交換機的一個接口接收到 IP 報文后，會根據(jù)自己的路由表進行檢索，然后根據(jù)結果決定對數(shù)據(jù)報文的操作，如果 IP 報文的目的地址是本交換機可達的另一個子網(wǎng)，那么就將此報文從交換機的相應接口發(fā)送出去。交換機可以使用硬件對IP 報文進行轉發(fā)，交換機的轉發(fā)中有主機路由表和缺省路由表。其中，主機路由表用來與交換機直接相連的主機路由，缺省路由表（經(jīng)聚合算法計算后的）網(wǎng)段路由。當單播流量轉發(fā)需

5、要的路由（主機路由或網(wǎng)段路由）在轉發(fā)中存在了，流量的轉發(fā)就完全由硬件負責，因此大大了轉發(fā)效率，可以達到線速轉發(fā)。1.1 三層接口1.1.1 三層接口介紹在交換機上可以創(chuàng)建三層接口。三層接口并不是實際的物理接口，它是一個虛擬的接口。三層接口是在 VLAN 的基礎上創(chuàng)建的。三層接口可以包含一個或多個二層端口（它們同屬于一個 VLAN），但也可以不包含任何二層端口。三層接口包含的二層端口中，需要至少有一個是 UP 狀態(tài)，三層接口才是 UP 狀態(tài)，否則為 DOW N 狀態(tài)。交換機中所有的三層接口缺省使用一個相同的 MAC 地址，此地址是在三層接口創(chuàng)建時從交換機保留的 MAC 地址中選取的。三層接口是三

6、層協(xié)議的基礎，在三層接口上可以配置 IP 地址，交換機可以通過配置在三層接口上的 IP 地址，與其它設備進行 IP 協(xié)議的傳輸。交換機也可以在不同的三層接口之間轉發(fā) IP 協(xié)議報文。Loack 接口也屬于三層接口。1.1.2 三層接口配置三層接口配置任務序列：1.2.3.創(chuàng)建三層接口配置三層接口的帶寬配置 VLAN 接口描述4. 打開或關閉VLAN 接口1.創(chuàng)建三層接口1-1命令解釋全局配置模式erface vlan noerface vlan 創(chuàng)建一個 VLAN 接口（VLAN 接口屬于三層接口）；本命令的 no 操作為刪除交換機創(chuàng)建的 VLAN 接口（三層接口）。三層轉發(fā)及 ARP、ND

7、操作第 1 章L3 轉發(fā)配置2. 配置三層接口的帶寬3. 配置 VLAN 接口描述4 打開或關閉 VLAN 接口1.2 三層功能1.2.1 三層功能介紹三層功能默認關閉，需要時可以使用以下命令打開三層功能，并且可以配置三層表項數(shù)目的大小。1.2.2 三層功能配置三層功能配置任務序列：1.2.3.4.打開三層功能配置 L3 表項的數(shù)目 配置 LPM 表項的數(shù)目關閉三層功能1-2命令解釋VLAN 接口配置模式shutdown no shutdown打開或關閉 VLAN 接口。命令解釋VLAN 接口配置模式description no description配置 VLAN 接口的描述信息；其 no

8、形式取消該 VLAN 接口的描述信息。命令解釋VLAN 接口配置模式bandwidth no bandwidth配置 erface vlan 的帶寬。本命令的 no命令為恢復 erface vlan 的帶寬值為默認值。erface loack noerface loack 創(chuàng)建一個 Lo ack 接口并進入Lo ack接口配置模式；本命令的 no 操作為刪除指定的 Lo ack 接口。三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置1.打開三層功能2.配置 L3 表項的數(shù)目3.配置 LPM 表項的數(shù)目4 關閉三層功能1.3 IP配置1.3.1 IPv4、IPv6 介紹IPv4 是用因特網(wǎng)

9、協(xié)議的當前版本。事實證明，IPv4 簡單、靈活、開放、穩(wěn)固耐用、便于實施，且能夠和多種上下層協(xié)議良好協(xié)同工作。 盡管 IPv4 自 20 世紀 80 年代初確立以來就幾乎未曾改動，但是 IPv4 始終支持因特網(wǎng)的升遷，一直發(fā)展到目前的全球規(guī)模。然而，隨著因特網(wǎng)基礎設施與因特網(wǎng)應用服務的發(fā)展不斷地突飛猛進，IPv4 在因特網(wǎng)的目前規(guī)模與復雜性面前已其之處。IPv6 指的是互聯(lián)網(wǎng)協(xié)議第六版，是由 IETF 設計的下一代互聯(lián)網(wǎng)協(xié)議，用以取代現(xiàn)有的互聯(lián)網(wǎng)協(xié)議第四版（IPv4）。IPv6 是專為彌補 IPv4進一步發(fā)展壯大。而開發(fā)出來的，以便讓因特網(wǎng)能夠1-3命令解釋全局配置模式No ipv4 hard

10、ware forwarding enable No ipv6 hardware forwarding enable關閉 IPv4 的三層轉發(fā)功能關閉 IPv6 的三層轉發(fā)功能命令解釋全局配置模式Ipv4 hardware forwarding lpm Ipv6 hardware forwarding lpm 設置 IPv4 的 LPM 表項數(shù)目設置 IPv6 的 LPM 表項數(shù)目命令解釋全局配置模式Ipv4 hardware forwarding l3 Ipv6 hardware forwarding l3 設置 IPv4 的 L3 表項數(shù)目設置 IPv6 的 L3 表項數(shù)目命令解釋全局配置模

11、式Ipv4 hardware forwarding enable打開 IPv4 的三層轉發(fā)功能Ipv6 hardware forwarding enable打開 Ipv6 的三層轉發(fā)功能三層轉發(fā)及 ARP、ND 操作第 1 章 L3 轉發(fā)配置IPv6 所解決的最重要問題就是增加 IP 地址的數(shù)量。IPv4 地址已近枯竭，而因特網(wǎng)用戶的數(shù)量卻在不斷以幾何級數(shù)增長。隨著需要使用 IP 地址的因特網(wǎng)服務與應用設備（利用因特網(wǎng)的信息終端、家庭與小型網(wǎng)絡、IP與無線服務等）不斷大量涌現(xiàn)，IP 地址的供給更顯緊張。人們早就開始著手解決 IPv4 地址緊缺，采用各種技術延長現(xiàn)有IPv4 基礎架構的，其中包括

12、網(wǎng)絡地址轉換（Network Address Translation，簡稱 NAT）和無類別域間路由（Classlesser-Routing，簡稱 CIDR）等技術。雖然CIDR、NAT 和私有編址的組合暫時緩和了 IPv4 地址空間緊缺，但是NAT技術破壞了 IP 設計初衷的端到端模型，使作為網(wǎng)絡中間節(jié)點的路由設備必須保持每個連接的狀態(tài)，大大增加了網(wǎng)絡延遲，降低了網(wǎng)絡性能。而且網(wǎng)絡數(shù)據(jù)包地址的變換阻礙了端到端的性檢查，如 IPSec 認證報頭(AH)就是一個例子。因此，要綜合解決 IPv4 存在的諸多問題，IETF 設計的下一代互聯(lián)網(wǎng)協(xié)議 IPv6 已經(jīng)成為目前唯一可行的解決方案。首先 IP

13、v6 協(xié)議 128 比特的編址方案能確保在時間和空間范圍內為全球 IP 網(wǎng)絡節(jié)點提供足夠的全球唯一的 IP 地址。而且，除了增加地址空間以外，IPv6 還對 IPv4 的其它許多關鍵設計進行了改進。層次化編址方案有助于路由聚合，有效減少了路由器的路由表項，提高了路由選擇與數(shù)據(jù)包處理的效率與可擴展性。IPv6 的包頭設計相比 IPv4 更有效率，數(shù)據(jù)字段更少，去掉了包頭校驗和，從而加快了基本 IPv6 包頭的處理速度。在 IPv6 包頭中，分片字段作為可選擴展字段出現(xiàn)，路由器轉發(fā)過程中不用再對數(shù)據(jù)包做分片處理，通過路徑 MTU 發(fā)現(xiàn)機制協(xié)同數(shù)據(jù)包源點工作，提高了路由器處理效率。支持地址自動配置與

14、即插即用。IPv6 的地址自動配置功能使大量 IP 主機能夠輕松發(fā)現(xiàn)網(wǎng)絡路由器，并自動獲得全球唯一的 IPv6 地址，這使利用 IPv6 因特網(wǎng)的設備具備了即插即用特性。自動地址配置功能還使對現(xiàn)有網(wǎng)絡的重新編址變得更加簡單便捷，使網(wǎng)絡運營商能夠更加方便地管理從一個提供商到另一個提供商的轉換。支持 IPSec。IPSec 在 IPv4 中為可選項，而在 IPv6 協(xié)議中則是必須實現(xiàn)的。 IPv6提供了安全擴展包頭，能夠提供諸如控制、性與數(shù)據(jù)完整性等端到端的安全服務，從而使加密、驗證和虛擬網(wǎng)絡 () 的實施變得更加容易。增強對移動 IP (Mobile IP) 與移動計算設備的支持。在 IETF

15、標準中定義的移動 IP 協(xié)議使移動設備不必脫離其現(xiàn)有連接即可移動，這是一種日益重要的網(wǎng)絡功能。與 IPv4不同的是，IPv6 的移動性是使用內置自動配置獲取轉交地址 (Care-Of-Address)，因而無需外地(Foreign Agent)。 此外，這種聯(lián)編過程使通信節(jié)點 (Correspondent Node) 能夠與移動節(jié)點 (Mobile Node) 直接通信，從而避免了在 IPv4 中所要求的三角路由選擇的額外系統(tǒng)開銷。其結果是，在 IPv6 中，移動 IP 的處理效率大為提高。避免網(wǎng)絡地址轉換 (NAT)的使用。NAT 機制的引入是為了在不同的網(wǎng)絡區(qū)段之間共享和重新使用相同的地址

16、空間。這種機制在暫時緩解了 IPv4 地址緊缺問題的同時，卻為網(wǎng)絡設備與應用程序增加了處理地址轉換的負擔。 由于 IPv6 的地址空間大大增加，也就無需再進行地址轉換，NAT 部署帶來與系統(tǒng)開銷也隨之解決。1-4三層轉發(fā)及 ARP、ND 操作第 1 章 L3 轉發(fā)配置支持廣泛部署的路由選擇協(xié)議。IPv6 保持并擴展了對現(xiàn)有網(wǎng)關協(xié)議（ eriorGateway Protocols，簡稱 IGP）與外部網(wǎng)關協(xié)議（Exteriateway Protocols，簡稱 EGP）的支持，例如，RIPng、OSPFv3、IS-ISv6 與 MBGP4+ 等 IPv6 路由協(xié)議。組播地址數(shù)量增加，對組播的支持

17、有所增強。IPv6 取消了廣播功能，使用組播機制來處理 IPv4 的廣播功能，不僅節(jié)省了網(wǎng)絡帶寬，而且提高了網(wǎng)絡效率。1.3.2 IP配置可以將三層接口配置為 IPv4 接口或者 IPv6 接口。1.3.2.1 IPv4 地址配置IPv4 配置任務序列：1. 配置三層接口的 IPv4 地址1 配置三層接口的 IPv4 地址1.3.2.2 IPv6 地址配置IPv6 配置任務序列如下：IPv6 基本配置配置接口 IPv6 地址配置 IPv6 靜態(tài)路由IPv6 鄰居發(fā)現(xiàn)配置配置DAD 鄰居請求消息數(shù)目配置發(fā)送鄰居請求消息間隔（3）使能與路由器公告配置路由器公告生存期配置路由器公告最小間隔時間配置路

18、由器公告最大間隔時間配置前綴公告參數(shù)設置靜態(tài)鄰居表項清除鄰居表項設置發(fā)送路由公告的 hoplimit 值1-5命令解釋VLAN 接口配置模式ip address secondary no ip address 配置 VLAN 接口的 IP 地址；本命令的 no 操作為刪除 VLAN 接口 IP 地址。三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置設置發(fā)送路由公告的 mtu 值設置發(fā)送路由公告的 reachable-time 值設置發(fā)送路由公告的 retrans-timer 值配置標識除地址信息之外的其他信息是否由 dhcpv6 獲取配置標識地址信息是否由 dhcpv6 獲取1. IPv

19、6 基本配置(1)配置接口 IPv6 地址(2)設置 IPv6 靜態(tài)路由2. IPv6 鄰居發(fā)現(xiàn)配置（1）配置DAD 鄰居請求消息數(shù)目1-6命令解釋接口配置模式命令解釋全局配置模式ipv6 route | | distancenoipv6route| | distance配置 IPv6 靜態(tài)路由。本命令的 no 操作 為刪除 IPv6 靜態(tài)路由。命令解釋接口配置模式ipv6address eui-64 noipv6address配置 IPv6 地址，包括可聚合全球單播地址，本地站點地址，本地鏈路地址。本命令的 no操作為刪除 IPv6 地址。三層轉發(fā)及 ARP、ND 操作第 1 章 L3 轉發(fā)

20、配置（2）配置發(fā)送鄰居請求消息間隔命令解釋接口配置模式ipv6 nd ns-erval 設置接口發(fā)送鄰居請求消息的時間間隔。本命令的 no 操作為恢復默認值（1 秒） no ipv6 nd ns-erval。（3）使能與路由器公告（4）配置路由器公告生存期（5）配置路由器公告最小間隔時間命令解釋接口配置模式ipv6ndmin-ra-erval配置用于路由器公告的最小時間間隔，本命令的 no 操作為恢復默認值（200 秒）。 no ipv6 nd min-ra-erval（6）配置路由器公告最大間隔時間命令解釋接口配置模式ipv6ndmax-ra-erval配置用于路由器公告的最大時間間隔，本命

21、令的 no 操作為恢復默認值（600 秒）。 no ipv6 nd max-ra-erval（7）配置前綴公告參數(shù)1-7命令解釋命令解釋接口配置模式ipv6 nd ra-lifetime no ipv6 nd ra-lifetime配置路由器公告的生存期，本命令的 no 操作為恢復默認值（1800 秒）。命令解釋接口配置模式ipv6 nd suppress-rano ipv6 nd suppress-raIPv6 路由器公告，本命令的 no 操作為開啟 IPv6 路由器公告。ipv6 ndttempts no ipv6 ndttempts設置接口進行重復地址檢測時，連續(xù)發(fā)出的鄰居請求消息數(shù)目，

22、本命令的 no 操作為恢復默認值（1）。三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置（8）設置靜態(tài)鄰居表項（9）清除鄰居表項（10）設置發(fā)送路由公告的 hoplimit 值（11）設置發(fā)送路由公告的 mtu 值（12）設置發(fā)送路由公告的 reachable-time 值1-8命令解釋接口配置模式命令解釋接口配置模式ipv6 nd ra-mtu 設置發(fā)送路由公告的mtu 值。命令解釋接口配置模式ipv6 nd ra-hoplimit 設置發(fā)送路由公告的 hoplimit 值。命令解釋配置模式clear ipv6 neighbors清除所有靜態(tài)鄰居表項。命令解釋接口配置模式ipv6nei

23、ghborerface 設置靜態(tài)鄰居表項，包括鄰居 IPv6 地址，MAC地址，二層端口。no ipv6 neighbor 刪除鄰居表項接口配置模式ipv6ndprefixoff-link no-autoconfignoipv6ndprefixoff-link no-autoconfig配置路由器公告的地址前綴及其公告參數(shù), 本命令的 no 操作為刪除路由公告的地址前綴。三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置（13）設置發(fā)送路由公告的 retrans-timer 值（14）配置標識除地址信息之外的其他信息是否由 dhcpv6 獲?。?5）配置標識地址信息是否由 dhcpv6 獲

24、取1.3.3 IP配置舉例1.3.3.1 IPv4 典型案例PC1Switch2PC2Switch1圖 1-1 IPv4 典型案例用戶有如下配置需求：在switch 1 和switch 2 上配置不同網(wǎng)段的 IPv4 地址，配置靜態(tài)路由，利用配置說明：功能驗證可達性。1、 在 Switch1 上配置兩個 vlan，分別為 vlan1 和 vlan21-9命令解釋接口配置模式ipv6 nd managed-config-flag標識地址信息是否由DHCPv6 獲取。命令解釋接口配置模式ipv6 nd other-config-flag標識除地址信息之外的其他信息是否由 DHCPv6 獲取。命令解

25、釋接口配置模式ipv6 nd retrans-timer 設置發(fā)送路由公告的retrans-timer 值。ipv6ndreachable-time設置發(fā)送路由公告的reachable-time 值。三層轉發(fā)及 ARP、ND 操作第 1 章 L3 轉發(fā)配置2、 在 Switch1 的 vlan1 內配置 IPv4 地址 192.168.1.1 255.255.255.0，在 vlan2 內配置 IPv4 地址 192.168.2.1 255.255.255.03、 在 Switch2 上配置兩個 vlan，分別為 vlan2 和 vlan34、 在 Switch2 的 vlan2 內配置 IP

26、v4 地址 192.168.2.2 255.255.255.0，在 vlan3 內配置 IPv4 地址 192.168.3.1 255.255.255.05、 PC1 的 IPv4 地址為 192.168.1.100 255.255.255.0 ， PC2 的 IPv4 地址是192.168.3.100 255.255.255.06、 在 Switch1 上配置靜態(tài)路由 192.168.3.0/24 , 在 Switch2 上配置靜態(tài)路由192.168.1.0/247、 PC 機之間互注：首先要確定 PC1 和 Switch1 可以配置步驟如下：Switch1(Config)#erface v

27、lan 1通，PC2 和 Switch2 可以通Switch1(Config-if-Vlan1)#ip address 192.168.1.1 255.255.255.0 Switch1(Config)#erface vlan 2Switch1(Config-if-Vlan2)#ip address 192.168.2.1 255.255.255.0 Switch1(Config-if-Vlan2)#exitSwitch1(Config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2Switch2(Config)#erface vlan 2Swi

28、tch2(Config-if-Vlan2)#ip address 192.168.2.2 255.255.255.0 Switch2(Config)#erface vlan 3Switch2(Config-if-Vlan3)#ip address 192.168.3.1 255.255.255.0 Switch2(Config-if-Vlan3)#exitSwitch2(Config)#ip route 192.168.1.0 255.255.255.0 192.168.2.11.3.3.2 IPv6 典型案例案例 1：PC1Switch2PC2Switch11-10三層轉發(fā)及 ARP、ND

29、操作第 1 章 L3 轉發(fā)配置圖 1-2 IPv6 典型案例用戶有如下配置需求：在 Switch 1 和 Switch 2 上配置不同網(wǎng)段的 IPv6 地址，配置靜態(tài)路由，利用配置說明：6 功能驗證可達性。1、 在 Switch1 上配置兩個 vlan，分別為 vlan1 和 vlan22、 在 Switch1 的 vlan1 內配置 IPv6 地址 2001:1/64,在 vlan2 內配置 IPv6 地址2002:1/643、 在 Switch2 上配置兩個 vlan，分別為 vlan2 和 vlan34、 在 Switch2 的 vlan2 內配置 IPv6 地址 2002:2/64，在

30、 vlan3 內配置 IPv6 地址2003:1/645、 PC1 的 IPv6 地址為 2001:11/64,PC2 的 IPv6 地址是 2003:33/646、 在 Switch1 上配置靜態(tài)路由 2003:33/64,在 Switch2 上配置靜態(tài)路由 2001:11/647、 pc 機之間互相6注：首先要確定 PC1 和 Switch1 可以配置步驟如下：Switch1(Config)#erface vlan 1通，PC2 和 Switch2 可以通Switch1(Config-if-Vlan1)#ipv6 address 2001:1/64 Switch1(Config)#erfa

31、ce vlan 2Switch1(Config-if-Vlan2)#ipv6 address 2002:1/64 Switch1(Config-if-Vlan2)#exitSwitch1(Config)#ipv6 route 2003:33/64 2002:2Switch2(Config)#erface vlan 2Switch2(Config-if-Vlan2)#ipv6 address 2002:2/64 Switch2(Config)#erface vlan 3Switch2(Config-if-Vlan3)#ipv6 address 2003:1/64 Switch2(Config-i

32、f-Vlan3)#exitSwitch2(Config)#ipv6 route 2001:33/64 2002:1Switch1#6 2003:33配置結果：Switch1#show run erface Vlan1ipv6 address 2001:1/64!erface Vlan2ipv6 address 2002:2/64!1-11三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置erface Lomtu 3924ack!ipv6 route 2003:/64 2002:2!no login!endSwitch2#show run erface Vlan2ipv6 address 2

33、002:2/64!erface Vlan3ipv6 address 2003:1/64!erface Lomtu 3924ack!ipv6 route 2001:/64 2002:1!no login!End1.3.4 IPv6 排錯幫助配置路由器的生存期時不應該小于發(fā)送路由器公告的時間間隔。如果相連IPv6 地址時，應注意RA 公告的開關（默認為關閉）。PC 未獲得1.4 IP轉發(fā)1.4.1 IP轉發(fā)介紹網(wǎng)關設備可以將 IP 協(xié)議報文從一個子網(wǎng)轉發(fā)到另一個子網(wǎng)中，這種轉發(fā)是通過路由尋徑的。交換機的 IP 轉發(fā)是由硬件協(xié)助完成的，可以達到端口的線速轉發(fā)；同時還可以提供各種靈活的控制，對轉為進行

34、調整和。交換機可以支持或允許優(yōu)化的聚合算法以調整交換中網(wǎng)段路由表項的生成，查看 IP 轉發(fā)的統(tǒng)計信息，監(jiān)視 IP 報文的收發(fā)狀況，1-12三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置以及查看硬件轉發(fā)的狀況。1.4.2 IP路由聚合配置IP 路由聚合配置任務序列：1 配置是否使用優(yōu)化 IP 路由聚合算法1.配置是否使用優(yōu)化 IP 路由聚合算法1.5 ARP1.5.1 ARP介紹ARP（Address Resolution Protocol）地址協(xié)議，主要用于 IP 地址到以太網(wǎng) MAC地址的。交換機除了支持動態(tài) ARP 外，也支持靜態(tài)配置。此外，在某些應用換機還支持配置ARP。如當交換

35、機的接口收到某 ARP 請求，該請求的 IP 地址與接口地址在一個 IP 網(wǎng)段，但卻不在同一物理網(wǎng)絡中，此時該接口若啟動了ARP 的功能，接口會將自己的 MAC 地址作為 ARP 的回應，然后將收到的實際數(shù)據(jù)報文進行轉發(fā)。啟動ARP 功能可以使因為物理網(wǎng)絡分離但屬于同一 IP 網(wǎng)段的機器忽視物理網(wǎng)絡分離的事實，經(jīng)過具有ARP 接口的轉發(fā)像處在一個物理網(wǎng)絡中。1.5.2 ARP配置ARP 配置任務序列：1.2.3.4.配置靜態(tài) ARP配置 ARP清除動態(tài) ARP清除 ARP 報文統(tǒng)計信息1. 配置靜態(tài) ARP1-13命令解釋VLAN 接口模式arp 配置靜態(tài) ARP 表項；本命令的 no 操作為

36、刪命令解釋全局配置模式ip fib optimize no ip fib optimize配置交換機使用優(yōu)化 IP 路由聚合算法；本命令的 no 操作為交換機不使用優(yōu)化 IP 路由聚合算法。三層轉發(fā)及 ARP、ND 操作第 1 章L3 轉發(fā)配置2. 配置ARP3.清除動態(tài) ARP4.清除 ARP 報文統(tǒng)計信息1.5.3 ARP轉發(fā)排錯幫助交換機無法通直接相連的網(wǎng)絡設備，檢查可能存在的情況和建議的解決方法：首先檢查交換機是否學習到相應的 ARP。若 ARP 未能學習到，那么使用 ARP 的調試信息，觀察 ARP 協(xié)議報文的收用戶比較容易遇到的現(xiàn)象是線纜有問題，導致 ARP 不能學習。況。1.6

37、l3 sion movement1.6.1 l3 sion movement 介紹正常情況下當出現(xiàn) arp/nd 切換端口信息。如果當 PC 或其他網(wǎng)絡節(jié)點切換端，根據(jù) arp/nd 報文重新學習 arp/nd 表項的端，沒有發(fā)送或者接收 ARP 報文的情況認為是非安全切換，因此不予重新學習。新的“l(fā)3 sion movement”的功能是為了滿足特殊條件下的 arp/nd 切換端口的功能，實現(xiàn)原理為，當打開本功能時候的，如果出現(xiàn) MAC，認為這是安全的網(wǎng)絡節(jié)點切換，任何從新端口收到的網(wǎng)絡報文（src mac切換端為發(fā)生切換的網(wǎng)絡節(jié)點）觸發(fā) arp/nd 切換，重新學習 arp/nd 到新的端

38、口。1-14命令解釋用戶模式clear arp traffic清除交換機 ARP 報文統(tǒng)計信息。命令解釋用戶模式clear arp-cache清除交換機學習到的動態(tài) ARP。命令解釋VLAN 接口模式ip proxy-arpno ip proxy-arp打開以太口ARP 的功能；本命令的 no操作為關閉ARP 的功能。erface ethernet no arp 除指定 IP 地址的 ARP 表項。三層轉發(fā)及 ARP、ND 操作第 1 章 L3 轉發(fā)配置1.6.2 l3 sion movement配置 1. 啟動/關閉 l3-sion-move 功能命令解釋全局配置模式l3-sion-move

39、啟動或者關閉l3 sion move 功能。 no l3-sion-move1-15三層轉發(fā)及 ARP、ND 操作第 2 章 防 ARP 掃描功能操作配置第2章 防ARP掃描功能操作配置2.1 防ARP掃描功能介紹ARP 掃描是一種常見的網(wǎng)絡方式。為了探測網(wǎng)段內的所有活動主機，源將會源產(chǎn)生大量的 ARP 報文在網(wǎng)段內廣播，這些廣播報文極大的消耗了網(wǎng)絡的帶寬資源；甚至有可能通過的 ARP 報文而在網(wǎng)絡內實施大流量，使網(wǎng)絡帶寬消耗殆盡而癱瘓。而且 ARP 掃描通常是其他更加嚴重的方式的前奏，如自動服務，或者繼而進行端等?？趻呙?、掃描以實施如信息竊取、畸形報文，由于 ARP 掃描給網(wǎng)絡的安全和穩(wěn)定帶

40、來了極大的，所以防 ARP 掃描功能將具有意義。交換機防 ARP 掃描的整體思路是若發(fā)現(xiàn)網(wǎng)段內存在具有 ARP 掃描特征的主機或端口，將切斷，保障網(wǎng)絡的安全。有兩種方式來防 ARP 掃描：基于端口和基于 IP。基于端口的 ARP 掃描會計算一段時間內從某個端口接收到的 ARP 報文的數(shù)量，若超過了預先設定的閾值，則會 down 掉此端口。基于 IP 的 ARP 掃描則計算一段時間內從網(wǎng)段內某 IP 收到的 ARP 報文的數(shù)量，若超過了預先設置的閾值，則來自此 IP 的任何流量，而不是 down 與此 IP 相連的端口。此兩種防 ARP 掃描功能可以同時啟用。端口或 IP 被禁掉后，可以通過自動

41、恢復功能自動恢復其狀態(tài)。為了提高交換機的效率，可以配置受信任的端口和 IP，交換機口或 IP 的 ARP 報文，這樣可以有效地減少交換機的負擔。測來自受信任的端2.2 防ARP掃描配置任務序列1)2)3)4)5)6)啟動防 ARP 掃描功能配置基于端口和基于 IP 的防 ARP 掃描的閾值配置信任端口配置信任 IP配置自動恢復時間顯示和調試防 ARP 掃描相關信息1) 啟動防 ARP 掃描功能2) 配置基于端口和基于 IP 的防 ARP 掃描的閾值2-1命令解釋全局配置模式anti-arpscan enableno anti-arpscan enable全局啟動或關閉防 ARP 掃描功能。三層

42、轉發(fā)及 ARP、ND 操作第 2 章防 ARP 掃描功能操作配置3)配置信任端口4)配置信任 IP5)配置自動恢復時間6)顯示和調試防 ARP 掃描相關信息2-2命令解釋全局配置模式anti-arpscan log enable no anti-arpscan log enable打開或關閉防 ARP 掃描的日志功能。anti-arpscan trnable no anti-arpscan trnable打開或關閉防 ARP 掃描的功能。show anti-arpscan trust | prohibited 顯示防 ARP 掃描的運行和配置情況。用戶配置模式命令解釋全局配置模式anti-ar

43、pscan recovery enable no anti-arpscan recovery enable啟動或關閉自動恢復功能。anti-arpscan recovery time no anti-arpscan recovery time設置自動恢復時間。命令解釋全局配置模式anti-arpscan trust ip no anti-arpscan trust ip 設置 IP 的信任屬性。命令解釋端口配置模式anti-arpscan trust no anti-arpscan trust 設置端口的信任屬性。命令解釋全局配置模式anti-arpscan port-based thresh

44、old no anti-arpscan port-based threshold設置基于端口的防 ARP掃描閾值。anti-arpscan ip-based threshold no anti-arpscan ip-based threshold設置基于 IP 的防 ARP掃描閾值。三層轉發(fā)及 ARP、ND 操作第 2 章 防 ARP 掃描功能操作配置2.3 防ARP掃描典型案例SWITCH BE1/0/1 E1/0/19SWITCH AE1/0/2PCPCServer192.168.1.100/24圖 2-1 防 ARP 掃描典型配置案例在上述網(wǎng)絡拓撲圖中，SWITCH B 的端口e1/0/

45、1 與 SWITCH A 的端口e1/0/19 相連， SWITCH A 上的端口e1/0/2 與文件服務器(IP 地址為 192.168.1.100/24)相連，其他端口都與普通PC 相連。可通過下面的配置有效地防止 ARP 掃描，而又不影響系統(tǒng)的正常運行。 SWITCH A 配置任務序列：SwitchA(config)#anti-arpscan enable SwitchA(config)#anti-arpscan recovery time 3600SwitchA(config)#anti-arpscan trust ip 192.168.1.100 255.255.255.0 Swit

46、chA(config)#erface ethernet1/0/2SwitchA (Config-If-Ethernet1/0/2)#anti-arpscan trust port SwitchA (Config-If-Ethernet1/0/2)#exitSwitchA(config)#erface ethernet1/0/19SwitchA (Config-If-Ethernet1/0/19)#anti-arpscan trust supertrust-port Switch A(Config-If-Ethernet1/0/19)#exitSWITCH B 配置任務序列： SwitchB(c

47、onfig)#anti-arpscan enable SwitchB(config)#erface ethernet1/0/1SwitchB(Config-If-Ethernet1/0/1)#anti-arpscan trust port2-3debug anti-arpscan no debug anti-arpscan 打開或關閉防 ARP 掃描的調試開關。三層轉發(fā)及 ARP、ND 操作第 2 章 防 ARP 掃描功能操作配置SwitchB(Config-If-Ethernet1/0/1)exit2.4 防ARP掃描排錯幫助防ARP 掃描默認是關閉的。打開防ARP 掃描后， 可以同時打開調

48、試開關debuganti-arpscan來查看調試信息。2-4三層轉發(fā)及 ARP、ND 操作第 3 章 ARP、ND 綁定配置第3章ARP、ND綁定配置3.1 概述3.1.1 ARP（地址協(xié)議）簡單地說，ARP （RFC-826）協(xié)議主要負責將局域網(wǎng)中的 IP 地址轉換為對應的 48 位物理地址，即網(wǎng)卡的 MAC 地址，比如 IP 地址為 192.168.0.1 網(wǎng)卡 MAC 地址為 00-03-0F-FD-1D-2B。整個轉換過程是一臺主機先向目標主機發(fā)送包含 IP 地址信息的廣播數(shù)據(jù)包，即 ARP 請求，然后目標主機向該主機發(fā)送一個含有 IP 地址和 MAC 地址數(shù)據(jù)包，通過 MAC 地址

49、兩個主機就可以實現(xiàn)數(shù)據(jù)傳輸了。3.1.2 ARP綁定按照 ARP 協(xié)議的設計，為了減少網(wǎng)絡上過多的 ARP 數(shù)據(jù)通信，一臺主機，即使收到的 ARP 應答并非自己請求得到的，它也會將其到自己的 ARP 緩存表中，這樣，就造成了“ARP 綁定”的可能。如果想探聽同一網(wǎng)絡中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個 ARP 應答包，讓兩臺主機都“誤”認為對方的 MAC 地址是第即所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過所在的主機間接進行的。一方面得到了想要的通信內容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉發(fā)工作即可。在這種方式中，所在主

50、機是不所在的中轉主需要設置網(wǎng)卡的混雜模式的，因為通信雙方的數(shù)據(jù)包在物理上都是發(fā)送給機的。3.1.3 如何進行ARP/ND綁定由于現(xiàn)在網(wǎng)絡上充斥著很多基于 ARP 協(xié)議的、及行為，而且?guī)缀跛械男袨槎际腔?ARP 綁定來進行的，所以如何防止 ARP 綁定就顯得十分重要。ARP 綁定首先是通過合法IP 進入正常的網(wǎng)絡環(huán)境，向交換機發(fā)送大量的的ARP 申請報文，交換機在學習到這些報文后，可能會覆蓋原來學習到的正確的 IP、MAC 地址的關系，將一些正確的 IP、MAC 地址關系修改成報文設置的對應關系，導致交換機在轉發(fā)報文時出錯，從而影響整個網(wǎng)絡的運行?；蛘呓粨Q機被者利用，利用錯誤的 ARP表，截

51、獲交換機轉發(fā)的報文或者對其它服務器、主機或者網(wǎng)絡設備進行。在網(wǎng)絡中防止基于 ARP 的和綁定交換機的方法有兩種：一、關閉交換機的自動更新功能關閉交換機的自動更新功能以后，當交換機收到 ARP 報文時，如果是新的 ARP 報文（交換機的 ARP 表中不存在該 IP 的表項），常學習，這樣新的用戶可以正常登錄網(wǎng)絡；如果該 ARP 報文對應的 IP 地址在交換機的 ARP 表中已經(jīng)存在，則判斷 ARP 報文中的MAC3-1三層轉發(fā)及 ARP、ND 操作第 3 章 ARP、ND 綁定配置地址、收到 ARP 報文的端口和交換機 ARP 表中的是否相同，不相同則認為是報文予以丟棄，相同合法的 ARP 表項

52、被常接收，相應的 ARP 表項老化定時器被重置。通過該機制可以防止報文篡改，從而可以避免交換機ARP 綁定和。二、關閉交換機的自動學習功能關閉交換機的自動學習功能以后，交換機不再接收 ARP 報文，適合靜態(tài)配置 ARP 表項的場合。一方面可以配置靜態(tài) ARP 表項，另一方面可以將當前學習到的動態(tài) ARP 表項轉換為靜態(tài)表項（可以減輕一一配置 ARP 靜態(tài)表項所帶來的繁重工作量。關閉交換機的自動學習功能時，如果動態(tài)表項不轉換為靜態(tài)表項，會正常老化掉）。在 ARP配置的情況下，可以有效地避免 ARP 綁定。ND 是 IPV6 協(xié)議中的鄰居發(fā)現(xiàn)協(xié)議，其工作原理同 ARP 類似，因此表項均為靜態(tài)采取同

53、 ARP綁定相同的方法處理利用ND 進行綁定和段。3.2 ARP、ND綁定配置配置 ARP、ND 綁定配置序列如下:1.2.3.關閉 ARP、ND 自動更新功能關閉 ARP、ND 自動學習與更新功能將動態(tài)的 ARP、ND 轉化為靜態(tài) ARP、ND 的功能1.關閉 ARP、ND 自動更新功能2.關閉 ARP、ND 自動學習與更新功能3.將動態(tài)的 ARP、ND 轉化為靜態(tài) ARP、ND 的功能3-2命令解釋全局配置模式和接口配置模式命令解釋全局配置模式和接口配置模式ip arp-security learnprotectno Ip arp-security learnprotect ipv6 nd

54、-security learnprotectno ipv6 nd-security learnprotect關閉和啟動 ARP、ND 的自動學習與更新功能。命令解釋全局配置模式和接口配置模式ip arp-security updateprotectno ip arp-security updateprotect ipv6 nd-security updateprotectno ipv6 nd-security updateprotect關閉和啟動 ARP、ND 的自動更新功能。三層轉發(fā)及 ARP、ND 操作第 3 章ARP、ND 綁定配置3.3 ARP、ND綁定舉例SwitchABC設備說明：

55、在上圖中首先 B 與 C 正常通信。A 想要交換機將B 發(fā)給C 的報文轉發(fā)給自己，所以需要交換機將從 B 來的報文發(fā)給A。首先 A 先發(fā)送 ARP 應答包給交換機，格式如：192.168.2.3， 00-00-00-00-00-01。就是將自己的 MAC 地址換上C 的 IP，這樣交換機在更新 ARP 表時就會將B 發(fā)給 IP 地址：192.168.2.3 的數(shù)據(jù)報發(fā)到 00-00-00-00-00-01 的地 址（A 地址）去了。進一步將 A 也可以將收到的數(shù)據(jù)報中的源地址，目的地址更改下，讓交換機將自己發(fā)的包給 C，這樣 B 與 C 相互通信的數(shù)據(jù)在不知情的狀況下就都可以被 A 接收。由于

56、 ARP 表是定時更新的，所以 A 還有 1 個任務是持續(xù)不斷的向交換機發(fā)送 ARP 應答包，刷新交換機的ARP 表。所以重要的是將 ARP 表保護起來，可以在環(huán)境穩(wěn)定后配置ARP 學習令，然后將所有的動態(tài) ARP 轉換為靜態(tài)的，這樣已經(jīng)學習到的 ARP 就不會被刷新，從而為用戶提供保護。Switch(config)#Switch(Config)#erface vlan 1Switch(Config-If-Vlan1)#arp 192.168.2.1 00-00-00-00-00-01erface eth 1/0/23-3設備配置數(shù)量switchIP:192.168.2.4; IP:192.1

57、68.1.4;mac: 00-00-00-00-00-041AIP:192.168.2.1;mac: 00-00-00-00-00-011:192.168.1.2;mac: 00-00-00-00-00-021CIP:192.168.2.3;mac: 00-00-00-00-00-03若干ip arp-security convert ipv6 nd-security convert將動態(tài) ARP、ND 轉化靜態(tài)。三層轉發(fā)及 ARP、ND 操作第 3 章 ARP、ND 綁定配置Switch(Config-If-Vlan1)#erface vlan 2Switch(Config-If-Vlan2

58、)#arp 192.168.1.2 00-00-00-00-00-02 Switch(Config-If-Vlan2#erface vlan 3Switch(Config-If-Vlan3)#arp 192.168.2.3 00-00-00-00-00-03 Switch(Config-If-Vlan3)#exitSwitch(Config)#ip arp-security learnprotect Switch(Config)#Switch(config)#ip arp-security converterface eth 1/0/2erface eth 1/0/2如果環(huán)境經(jīng)常變動，也可以開

59、啟ARP 更新令，這樣一旦學習到的 ARP 屬性，就不會被新的 ARP 應答包所更新，保護用戶數(shù)據(jù)不會被“ Switch#configSwitch(config)#ip arp-security updateprotect”。3-4三層轉發(fā)及 ARP、ND 操作第 4 章 ARP GUARD 配置第4章 ARP GUARD配置4.1 ARP GUARD 的介紹ARP 協(xié)議的設計存在嚴重的安全，任何網(wǎng)絡設備都可以發(fā)送 ARP 報文通告 IP 地址和MAC 地址的關系。這就為 ARP提供了可乘之機者發(fā)送 ARP REQUEST關系，導致網(wǎng)絡通訊故障。報文或者 ARP REPLY 報文通告錯誤的 I

60、P 地址和 MAC 地址ARP的危害主要表項為兩種形式：1、PC4 發(fā)送 ARP 報文通告 PC2 的 IP 地址為自己的 MAC 地址，將導致本應該發(fā)送給 PC2 的 IP 報文全部發(fā)送到了 PC4，這樣 PC4 就可以、截獲 PC2 的報文；2、PC4 發(fā)送 ARP 報文通告 PC2 的 IP 地址為的MAC 地址，將導致 PC2 無法接收到本應該發(fā)送給自己的報文。特別是如果者網(wǎng)關進行 ARP，將導致整個網(wǎng)絡癱瘓。PC1SwitchHUBABCDPC2PC3PC4PC5PC6圖 4-1 ARP GUARD 原理圖利用交換機的過濾表項保護重要網(wǎng)絡設備的 ARP 表項不能被其它設備?；驹砭?/p>