关闭对带双层VLAN tag报文的ARP学习功能

背景信息

当交换机不需要通过带双层VLAN tag的报文学习ARP表项时，可以关闭对带双层VLAN tag报文的ARP学习功能。

如图2-22所示，用户属于不同的VLAN，通过交换机与网关路由器相连。交换机通过接口VLANIF 100与路由器上用于终结VLAN的子接口相连。交换机的接口GE0/0/1配置为hybrid类型，并且以untagged方式加入VLAN10，以tagged方式加入VLAN20和VLAN30。路由器上为用户2和用户3配置了静态ARP绑定，并指定了内外层VLAN。

图2-22 关闭对带双层VLAN tag报文的ARP学习功能的组网

当在路由器上ping交换机VLANIF 100接口的IP地址192.168.1.10时，交换机学习到路由器子接口IP地址192.168.1.20、VLAN为100的ARP表项。

当路由器向不与交换机直连的用户（例如用户2）发送ARP探测报文时，探测报文的源IP地址为路由器子接口IP地址192.168.1.20，并且含有双层VLAN tag，即外层VLAN为100，内层VLAN为20。探测报文经过交换机时，交换机刷新原来的ARP表项，记录外层VLAN100和内层VLAN20。

缺省情况下，交换机已使能ping快回功能。收到ICMP请求报文时，交换机不再将ICMP报文上送到CPU处理，而是由接口直接回复ICMP应答报文。此时在路由器上ping交换机VLANIF 100接口的IP地址192.168.1.10时，ICMP应答报文匹配到IP地址192.168.1.20对应的ARP表项，且该ARP表项对应外层VLAN100和内层VLAN20。因此，交换机发送的ICMP应答报文包含双层VLAN tag。路由器对收到的报文做VLAN检查时，发现应该只带一层VLAN tag的报文实际带了双层VLAN tag，因此将报文丢弃。因此，路由器无法ping通交换机VLANIF 100接口的IP地址192.168.1.10。

此时，可以在交换机上关闭对带双层VLAN tag报文的ARP学习功能。关闭该功能后，路由器向用户发送携带双层VLAN tag的ARP探测报文时，交换机不会通过该报文学习ARP，之前已经学习到的IP地址为192.168.1.20、VLAN为100的ARP表项也就不会被刷新。路由器始终能ping通交换机VLANIF 100接口的IP地址192.168.1.10。

仅S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-S、S5731S-H、S5732-H、S5732-H-K、S6720-EI、S6720S-EI、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S支持关闭对带双层VLAN tag报文的ARP学习功能。