文章插图
情况二:需要互通的主机Host_1与Host_2处于相同网段 , 并且属于相同VLAN , 但是VLAN内接口IF_1与IF_2配置了端口隔离 。由于IF_1与IF_2之间端口隔离 , Host_1发送的ARP请求报文Host_2是收不到的 , 这时可以在Switch上关联了VLAN10的VLANIF接口上使能VLAN内Proxy ARP功能(arp-proxy inner-sub-vlan-proxy enable) , 实现Host_1与Host_2之间的三层互通 。
文章插图
情况三:需要互通的主机Host_1与Host_2处于相同网段 , 但属于不同VLAN 。由于不在同一VLAN , Host_1发送的ARP请求报文Host_2当然也是收不到的 , 这时可以在Switch上关联了VLAN10和VLAN20的VLANIF30接口上使能VLAN间Proxy ARP功能(arp-proxy inter-sub-vlan-proxy enable) , 实现Host_1与Host_2之间的三层互通 。
文章插图
如何保证ARP表安全?1、保证合法用户的ARP报文可以上送CPU处理
缺省情况下 , 为了保证CPU的正常运行 , 交换机对每种上送CPU的协议报文都设置了CPCAR值 , 对于超过CPCAR值的报文就会被丢弃 。如果非法用户发送大量的ARP报文 , 就会导致合法用户的ARP报文无法上送CPU , 也就无法正常生成ARP表项 。
1.1、ARP报文限速功能
基于源MAC地址对ARP报文限速 。
[HUAWEI] arp speed-limit source-mac maximum 10 //对于任意MAC地址 , 每秒最多允许10个ARP报文通过基于源IP地址对ARP报文限速 。
[HUAWEI] arp speed-limit source-ip maximum 10 //对于任意IP地址 , 每秒最多允许10个ARP报文通过基于全局对ARP报文限速 。
[HUAWEI] arp anti-attack rate-limit enable //开启ARP限速功能[HUAWEI] arp anti-attack rate-limit packet 200 interval 10 //指定设备在10秒钟内最多允许上送200个ARP报文 , 超过限速值则丢弃基于VLAN对ARP报文限速 。
[HUAWEI-vlan3] arp anti-attack rate-limit enable //开启ARP限速功能[HUAWEI-vlan3] arp anti-attack rate-limit packet 200 interval 10 //指定VLAN3在10秒钟内最多允许上送200个ARP报文 , 超过限速值则丢弃基于接口对ARP报文限速 。
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable //开启ARP限速功能[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10 //指定接口GE0/0/1在10秒钟内最多允许上送200个ARP报文 , 超过限速值则丢弃1.2、ARP Miss消息限速功能
如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项 , 但设备上没有该路由表项中下一跳对应的ARP表项) , 将导致设备触发大量的ARP Miss消息 。这种触发ARP Miss消息的IP报文会被上送到CPU进行处理 , 设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文 , 这样就增加了设备CPU的负担 。
通过对ARP Miss消息进行限速 , 可以减少设备CPU的负担 , 这样合法用户的ARP报文就有可能会被上送处理 。
基于源IP地址的ARP Miss消息限速 。
[HUAWEI] arp-miss speed-limit source-ip maximum 60 //允许设备每秒最多处理同一个源IP地址触发的60个ARP Miss消息在全局对ARP Miss消息限速 。另外也可以基于VLAN或接口对ARP Miss消息限速 。
[HUAWEI] arp-miss anti-attack rate-limit enable //开启ARP Miss限速功能[HUAWEI] arp-miss anti-attack rate-limit packet 200 interval 10 //指定设备在10秒钟内最多允许上送200个ARP Miss消息 , 超过限速值则丢弃1.3、出口ARP检测功能
出口ARP检测就是通过减少VLAN内广播报文较少CPU的负担 。其核心原理是根据DHCP Snooping表查找目的IP地址对应的出接口 , 将ARP请求报文直接从查找到的出接口发送出去 , 减少VLAN内广播的ARP报文 , 从而减少CPU的负担 。
出口ARP检测功能主要是为了减少网关设备处理的ARP报文个数 。如图1所示 , 通过在L2switch上使能出口ARP检测功能 , 可以在L2switch广播ARP请求报文之前 , 查找DHCP Snooping绑定表 , 如果能够找到ARP报文中目的IP地址对应的出接口 , 则将ARP请求报文从找到的出接口发送出去 , 有效减少网关收到的ARP请求报文数量 。
推荐阅读
- ping,Telnet,tracert以及tnsping 检测网络是否正常
- 想成为网络高手除了ping命令外,大招还在这里
- 怎么用ping命令测试网络承载能力和连通性
- 不可不知的网络攻击
- 网络直播规定2020 直播平台流量排行2020
- 怎么解决 无法访问 您可能没有权限使用网络资源
- 车贷还完绿本拿到手还要干什么,车贷还完绿本拿到手必须一个月内去解压吗
- 珠海5G网络首次开通SA模式,实测速度超1.2Gbps
- 二层网络安全你知道多少
- 前端开发工程师必会的5种网页布局方式