ARP安全配置注意事项
介绍配置ARP安全的注意事项。
涉及网元
无需其他网元配合。
License支持
ARP安全特性属于交换机基础功能,其受基本软件功能License控制。基本软件功能License在设备出厂时已经内置并激活,不需要用户再手动激活。
版本支持
产品 |
最低支持版本 |
---|---|
CE12804/CE12808/CE12812 |
V100R001C00 |
CE12816 |
V100R003C00 |
CE12804S/CE12808S |
V100R005C00 |
CE12804E/CE12808E/CE12816E |
V200R002C50 |
如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件查询工具。
软件版本演进关系:V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10
特性依赖和限制
一般在用户侧的接口下配置免费ARP报文主动丢弃功能。
禁止接口下的动态ARP学习能力,可能会造成转发不通,用户配置时需要注意。
禁止ARP学习前,如果接口上已经有动态学习到的ARP表项,系统并不会自动删除这些表项。用户可以根据需要,手动删除或保留这些已经学习到的动态ARP表项。
当在VLAN下同时使能DAI和VLAN内协议报文透传功能时,VLAN内协议报文透传功能不生效。
对于安装了FD-X系列单板的CE12800E,当在接口下配置ARP限速,同时vlan下配置DAI时,则ARP限速不生效。
对于安装了FD-X系列单板的CE12800E,当在跨板LAG下配置ARP限速时,如果LAG下的不同单板上接口发送的ARP报文加起来达到限速值,而单个单板上没达到限速值,则ARP限速不生效。
对于安装了FD-X系列单板的CE12800E,如果设备同时配置了接口ARP限速和sFlow/NetStream功能,则接口ARP限速不准确。当接口ARP报文很多时,接口上送CPU的ARP报文数为配置的ARP限速值与sFlow/NetStream采样到的ARP报文数之和。
- 配置了基于所有接口的ARP报文限速功能后,基于端口的ARP本机自动防攻击功能不生效。