所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 12800, 12800E V200R005C00 配置指南-IP业务

本文档介绍了IP业务的配置,具体包括IPv4基础配置、ARP配置、DHCP配置、DNS配置、UDP Helper配置、IP性能配置、IPv6基础配置、DHCPv6配置、IPv6 DNS配置和IPv6过渡技术配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
去使能非同网段ARP学习功能

去使能非同网段ARP学习功能

用户可以综合考虑当前网络的安全状况和业务访问的需求,选择去使能或者使能非同网段ARP学习功能。

背景信息

非同网段ARP学习场景如图2-13所示,如果Device1和Device3需要互通,需要在Device2上使能路由式ARP代理功能。
  1. Device1发送ARP请求报文,请求Device3的MAC地址。
  2. Device2收到ARP请求报文后,发现目的IP地址10.2.2.1路由可达,满足路由式代理的条件,于是回复ARP响应报文,响应报文的源IP地址是10.2.2.1,源MAC地址为Device2收到ARP请求的接口的MAC地址2-2-2。
  3. Device1收到ARP响应报文后,不对报文的源IP地址进行合法性检查,而直接进行MAC学习。后续再向Device3发送数据报文时,会使用2-2-2作为目的MAC地址,通过Device2实现数据互通。
图2-13 非同网段ARP学习场景

设备的物理主接口在默认情况下支持非同网段ARP学习功能,从而通过路由式ARP代理能够访问与自己不同网段的设备,而逻辑接口和三层子接口则默认不学习。物理主接口不对ARP报文的源IP进行检查会带来一些潜在的风险,比如,如果在同网段内有一个网络攻击者,利用虚假的源IP地址向设备发送大量的ARP请求报文,那么设备的ARP表项资源将被耗尽。配置去使能非同网段ARP学习功能后,物理主接口将对收到的ARP报文进行源IP地址检查,如果发现是非同网段的地址,就不进行ARP学习,从而避免受到网络攻击。

用户可以自行控制设备是否在物理主接口上开启学习非同网段的ARP响应报文的功能,从而更好的兼顾业务访问和网络安全两方面的需求。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令arp learning on-different-segment disable,去使能非同网段ARP学习功能。

    缺省情况下,非同网段ARP学习功能使能。

    该命令配置后,设备将无法学习到非同网段的IP地址的ARP表项,但是对于配置前已经学习到的非同网段ARP表项,仍然是有效的,直至ARP表项的老化周期结束。

  3. 执行命令commit,提交配置。
翻译
下载文档
更新时间:2019-04-19

文档编号:EDOC1100039516

浏览量:7972

下载量:205

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页