华为交换机常见ARP操作

1. 查看ARP表项 <HUAWEI> display arp network 172.16.0.0 16
2. 刷新ARP表项：先清除设备上的ARP表项，这样设备会重新学习ARP表项 <HUAWEI> reset arp all <HUAWEI> reset arp static [HUAWEI] undo arp static 172.16.20.1 0023-0045-0067 interface gigabitethernet 1/0/1 <HUAWEI>reset arp interface vlanif 100 ip 172.16.20.1 //如果不指定IP地址，则删除设备上所有VLANIF100接口学习到的ARP表项
3. 配置ARP老化时间：ARP老化时间仅对动态ARP表项生效，缺省值是20分钟 [HUAWEI] vlan batch 100 [HUAWEI] interface vlanif 100 [HUAWEI-Vlanif100] arp expire-time 1800 <HUAWEI> display current-configuration | include arp //查看设备上已配置的动态ARP表项的老化时间
4. 配置静态ARP表项：静态ARP表项不会被老化，不会被动态ARP表项覆盖 通过手工方式配置静态ARP表项： （1）配置一条静态ARP表项，IP地址为172.16.10.2，MAC地址为0023-0045-0067，出接口GE1/0/1处于二层模式，此条ARP表项属于VLAN100 [HUAWEI] vlan batch 100 [HUAWEI] interface vlanif 100 [HUAWEI-Vlanif100] ip address 172.16.10.1 24 //VLANIF接口的IP地址需要与静态ARP表项中的IP地址（172.16.10.2）同网段。 [HUAWEI-GigabitEthernet1/0/1] port link-type trunk [HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 //接口GigabitEthernet1/0/1处于二层模式，需要加入VLAN100。 [HUAWEI] arp static 172.16.10.2 0023-0045-0067 vid 100 interface gigabitethernet 1/0/1 （2）配置一条静态ARP表项，IP地址为172.16.20.2，MAC地址为0023-0045-0068，出接口GE1/0/2处于三层模式。 [HUAWEI-GigabitEthernet1/0/2] undo portswitch [HUAWEI-GigabitEthernet1/0/2] ip address 172.16.20.1 24 //GigabitEthernet1/0/2的IP地址需要与静态ARP表项中的IP地址（172.16.20.2）同网段 [HUAWEI]arp static 172.16.20.2 0023-0045-0068 interface gigabitethernet 1/0/2 （3）配置一条静态ARP表项，IP地址为172.16.30.2，MAC地址为0023-0045-0069，此静态ARP表项属于VPN实例vpn1。 [HUAWEI] ip vpn-instance vpn1 [HUAWEI-vpn-instance-vpn1] ipv4-family [HUAWEI]arp static 172.16.30.2 0023-0045-0069 vpn-instance vpn1 （4）配置一条静态ARP表项，IP地址为172.16.40.2，MAC地址为02bf-0045-0070。（例如设备采用多端口ARP方式与NLB服务器群集连接时，可以配置这种短静态的ARP表项。） [HUAWEI] arp static 172.16.40.2 02bf-0045-0070 通过自动扫描与固化方式批量配置静态ARP表项： （5）接口VLANIF103的IP地址为172.16.50.1/24，自动扫描该网段IP地址为172.16.50.2～172.16.50.4的ARP表项，并将学习到的ARP表项固化为静态ARP表项 [HUAWEI] vlan batch 103 [HUAWEI] interface vlanif 103 [HUAWEI-Vlanif103] ip address 172.16.50.1 24 [HUAWEI-GigabitEthernet1/0/3] port link-type trunk [HUAWEI-GigabitEthernet1/0/3] port trunk allow-pass vlan 103 [HUAWEI]interface vlanif 103 [HUAWEI-Vlanif103]arp scan 172.16.50.2 to 172.16.50.4 //在接口VLANIF103上进行自动扫描，172.16.50.2～172.16.50.4与VLANIF103接口的IP地址172.16.50.1在同一网段，即ARP自动扫描区间的起始IP地址和结束IP地址必须与VLANIF接口的IP地址（主IP地址或者从IP地址）在同一网段 [HUAWEI-Vlanif103]arp fixup //在接口VLANIF103上进行固化，将学习的动态ARP表项固化为静态ARP表项
5. 配置ARP代理：Proxy ARP分为路由式Proxy ARP、VLAN内Proxy ARP和VLAN间Proxy ARP （1）路由式Proxy ARP：需要互通的主机（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络（即不在同一广播域）的场景 [HUAWEI] vlan batch 100 [HUAWEI] interface vlanif 100 [HUAWEI-Vlanif100] ip address 172.16.1.1 24 [HUAWEI-Vlanif100] arp-proxy enable （2）VLAN内Proxy ARP：需要互通的主机处于相同网段，并且属于相同VLAN，但是VLAN内配置了端口隔离的场景 [HUAWEI] vlan batch 100 [HUAWEI] interface vlanif 100 [HUAWEI-Vlanif100] ip address 172.16.1.1 24 [HUAWEI-Vlanif100]arp-proxy inner-sub-vlan-proxy enable （3）VLAN间Proxy ARP：需要互通的主机处于相同网段，但属于不同VLAN的场景 [HUAWEI] vlan batch 100 [HUAWEI] interface vlanif 100 [HUAWEI-Vlanif100] ip address 172.16.1.1 24 [HUAWEI-Vlanif100]arp-proxy inter-sub-vlan-proxy enable
6. 屏蔽基于源IP地址的ARP Miss告警：当某个源IP地址触发了ARP Miss告警，用户希望屏蔽此源IP地址的ARP Miss告警时，可以对这个IP地址的ARP Miss消息不进行限速 [HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 0 //针对单个源地址 [HUAWEI] arp-miss speed-limit source-ip maximum 0 //针对所有源地址
7. 配置动态ARP检测（DAI）：主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新；DAI功能是基于绑定表（DHCP动态和静态绑定表）对ARP报文进行匹配检查；设备收到ARP报文时，将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较（比较的内容用户可以根据需要进行配置，例如可以只将ARP报文中的源IP地址和VLAN信息与绑定表的信息进行比较）， 如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。 （1）设备上配置DHCP Snooping功能，并在设备与用户侧相连的接口上使能DAI功能 [HUAWEI] dhcp enable [HUAWEI] dhcp snooping enable ipv4 [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable //设备与用户侧相连的接口使能DHCP Snooping功能。 [HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。 [HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //对于静态配置IP地址的用户，在设备上配置静态绑定表 [HUAWEI-GigabitEthernet1/0/1]arp anti-attack check user-bind enable //设备与用户侧相连的接口使能DAI功能 （2）设备上配置DHCP Snooping功能，并在用户侧所属VLAN内使能DAI功能 [HUAWEI] dhcp enable [HUAWEI] dhcp snooping enable ipv4 [HUAWEI] vlan 100 [HUAWEI-vlan100] dhcp snooping enable //用户设备所属VLAN内使能DHCP Snooping功能 [HUAWEI] vlan 200 [HUAWEI-vlan200] dhcp snooping enable [HUAWEI-vlan200] dhcp snooping trusted interface gigabitethernet 1/0/2 //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口 [HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //对于静态配置IP地址的用户，在设备上配置静态绑定表 [HUAWEI] vlan 100 [HUAWEI-vlan100]arp anti-attack check user-bind enable //用户侧所属VLAN内使能DAI功能。
8. 配置ARP防网关冲突：如果有攻击者仿冒网关，在局域网内发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者，攻击者可轻易窃听到他们发送的数据内容，并且最终会造成这些用户主机无法访问网络。在网关设备上使能ARP防网关冲突攻击功能后，当设备收到的ARP报文存在下列情况之一时，设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播： ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同 ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC [HUAWEI] arp anti-attack gateway-duplicate enable //在网关设备上使能ARP防网关冲突攻击功能