09-ARP配置 MyPower S4330 V1.0 系列交换机配置手册-USB迷|专注于互联网分享

2024年9月4日发(作者：齐衍)

ARP配置

本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人

不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处

* * *

迈普通信技术有限公司

地址：成都市高新区九兴大道16号迈普大厦

技术支持热线：400-886-8669

传真：（+8628）85148948

E-mail：support@

网址：

邮编：610041

版本：2011年 8月v1.0版

第1章 ARP配置 ............................................................................................................... 1

1.1 ARP简介 ........................................................................................................................ 1

1.1.1 ARP的作用 .......................................................................................................... 1

1.1.2 ARP的工作过程 ................................................................................................... 1

1.1.3 ARP的报文结构 ................................................................................................... 3

1.1.4 ARP表 .................................................................................................................. 3

1.2 配置防止ARP欺骗 ......................................................................................................... 4

1.2.1 ARP欺骗简介 ....................................................................................................... 4

1.2.2 arp anti-spoofing防护机制 ................................................................................... 5

1.2.3 配置anti-spoofing ................................................................................................ 6

1.2.4 配置防网关欺骗功能 ............................................................................................. 6

1.2.5 配置ARP报文源MAC一致性检查 ...................................................................... 7

1.2.6 Anti-spoofing功能的默认配置 .............................................................................. 7

1.2.7 anti-spoofing功能的显示和维护 ........................................................................... 7

1.3 配置防止ARP泛洪攻击 ................................................................................................. 8

1.3.1 ARP flood攻击 ..................................................................................................... 8

1.3.2 arp anti-flood防护机制 ......................................................................................... 8

1.3.3 配置arp anti-flood ................................................................................................ 9

1.3.4 ARP Anti-flood功能的显示和维护 ...................................................................... 10

1.4 配置举例 ....................................................................................................................... 10

第1章 ARP配置

1.1 ARP简介

1.1.1 ARP的作用

ARP（Address Resolution Protocol，地址解析协议）是TCP/IP协议族中最重要的协

议之一，主要用于IP地址到以太网MAC地址的解析。当两台主机开始通信并只知道对方

的IP地址时（IP地址只是主机在网络层中的地址），如果要将网络层中数据包传送给目的

主机，必须知道目的主机的硬件地址（比如以太网络MAC地址），因此需要将IP地址解析

为数据链路层地址。

在本文档中，如无特殊说明，主机硬件地址均指的是48bits的以太网MAC地址。

1.1.2 ARP的工作过程

我们以FTP通信为例，描述一下ARP的工作过程。

1. 如图1-1，主机A希望能够访问到网络里IP地址为192.168.1.4的主机。

图1-1.

组网图

2. 假定这是一个以太网，并且每一台主机都不知道局域网中有其他的主机。那么主

机A需要知道192.168.1.4主机的MAC地址，才能建立通信。

3. 根据ARP协议，主机A会发送一个ARP请求（ARP Request），内容为请求

192.168.1.4主机的MAC地址。该请求是一个广播报文，局域网内的所有主机都将收到主

机A发出的这个请求。如图1-2所示。

图1-2.

发送ARP请求

4. 按照协议，只有主机D才会响应主机A的请求。这时，这个回应报文（ARP Reply）

是一个单播报文。

图1-3.

发送ARP响应

5. 主机A收到主机D的应答后，会将主机D的IP地址和MAC地址记录在ARP缓

存中。下次通信时，就不需要再发送ARP来请求目的主机的MAC地址了，除非该表项被

老化。

1.1.3 ARP的报文结构

图1-4.

ARP报文结构图



硬件类型：表示硬件地址的类型。它的值为1 表示以太网地址；

协议类型：表示要映射的协议地址类型。它的值为0x0800 即表示IP 地址；

硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单

位。对于以太网上IP 地址的ARP 请求或应答来说，它们的值分别为6 和4；



操作类型（OP）：1 表示ARP 请求，2 表示ARP 应答；

源MAC 地址：发送方设备的硬件地址；

源IP 地址：发送方设备的IP 地址；

目的MAC 地址：接收方设备的硬件地址。

目的IP 地址：接收方设备的IP 地址。

1.1.4 ARP表

设备通过ARP解析到目的MAC地址后，将会向自己的ARP表中增加包含IP地址、

MAC地址、端口等的映射表项，以作为后续报文转发的依据。

ARP表项分为动态ARP表项和静态ARP表项。

（1）动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以

被新的ARP报文更新，可以被静态ARP表项覆盖。当到达老化时间、端口down 时会删除

相应的动态ARP 表项。

（2）静态ARP表项主要通过手工配置和维护，不会被老化，不会被动态ARP表项覆

盖。

静态ARP 表项分为短静态ARP 表项和长静态ARP 表项。

 在配置长静态ARP 表项时，除了配置IP 地址和MAC 地址项外，还必须配置该

ARP 表项所在VLAN 和出端口。长静态ARP 表项可以直接用于报文转发。

 在配置短静态ARP 表项时，只需要配置IP 地址和MAC 地址项。短静态ARP表

项不能直接用于报文转发。当需要用到短静态ARP表项时，先发送ARP请求报文，如果

收到的响应报文中的源IP 地址和源MAC 地址与所配置的IP 地址和MAC地址相同，则将

该ARP表项补充完整，之后就可以用于IP 数据包的转发。

注意：

在手工配置长静态ARP表项时，该表项里的IP地址需和出端口所在的VLAN接口的IP在同一网段，

否则就会添加不成功。

1.2 配置防止ARP欺骗

1.2.1 ARP欺骗简介

从前面的介绍我们可以知道，网络中两台主机需要通信时，需要知道双方的MAC地址。

ARP协议使得这个过程对用户是透明的。但因为ARP协议里没有对报文的认证说明，也就

是说无条件的相信，就导致了攻击者有机可乘。

还是以上面的例子来说明。由于局域网内所有的设备都能接收到主机A的ARP请求，

如果主机C是一个恶意的攻击者，它冒充主机B发送了ARP回应给主机A，说：我的地址

是00:00:00:00:00:03。主机A会无条件的相信这个回应报文并且增加或者覆盖掉原有的

ARP表项，这个表项的IP是192.168.1.4，但对应的MAC却是00:00:00:00:00:03。

这样，主机C就截获了本来应该发给主机B的信息。

由于主机A被虚假的ARP欺骗，这也叫ARP欺骗攻击。

1.2.2 arp anti-spoofing防护机制

要防护ARP欺骗的攻击，关键是要识别和禁止转发伪装的ARP报文。从ARP欺骗的

原理我们可以看到，要防止ARP欺骗的攻击需要从两方面入手，首先防止病毒主机伪装成

网关，这样会造成整个网段的用户不能上网；其次是防止病毒主机伪装成其他主机，窃听

数据或导致同一网段内个别主机之间不能通信。

交换机提供了主动防御ARP欺骗的功能，在实际应用中，网络中的主机第一次通信，

交换机便会记录其ARP表项，表项中有报文中的sender IP、MAC、VID和port的对应关

系。

在开启防ARP欺骗功能后，可以实现下面几种操作：

（1）自动绑定动态ARP表项。防ARP欺骗的一个有效手段就是添加静态ARP表

项，但在实际网络中，管理员不可能一条一条的去添加ARP表项，并且这样的方法也容易

出错。而现在，管理员只需要确认动态ARP表项里的信息正确，就可以只执行一条命令，

交换机就会自动将动态ARP表项转换为静态表项。

（2）防ARP欺骗功能开启后，交换机对收到的每一个ARP报文与静态ARP表项

进行比较，如果该ARP报文包含的信息，比如VID、port和MAC与表项的信息完全相同，

则转发报文；如果有所不同，则丢弃此报文。如果在静态ARP表项里没有找到与这个报文

相关的信息，则可以根据用户的配置来丢弃或者是泛洪该报文。

（3）某些ARP攻击报文的以太网数据帧首部中的源MAC和ARP协议报文中的源

MAC不同。通过使能ARP报文源MAC 一致性检查功能，可以过滤掉这一类的ARP 攻击

报文。

（4）防止网关伪装者。在交换机作为网络里某些主机的网关的情况下，如果交换

机检测到网络里有主机冒充为网关，则直接将该主机拖入黑名单，并主动发出免费ARP，

以便网络里的主机知道正确的网关所在。

1.2.3 配置anti-spoofing

表 1-1 配置anti-spoofing

步骤

步骤1

步骤2

configure terminal

arp anti-spoofing

命令操作

进入全局模式

开启防止ARP欺骗功能。

配置对于在静态ARP表里没

步骤3

arp anti-spoofing unknown {diacard | flood}

有对应信息的ARP报文的处

理办法。

步骤4

步骤5

end

copy running-config startup-config

返回特权模式

保存修改的配置

1.2.4 配置防网关欺骗功能

当交换机作为某些局域网内设备的网关时，如果局域网内有攻击者想冒充交换机而使

得网内其他设备认为其是网关的话，交换机会将这个攻击者列入黑名单，并同时发送免费

ARP告知网内设备说“我才是正确的网关”。

缺省配置下，该功能处于关闭状态。

表 1-1

配置防网关欺骗

步骤

步骤1

步骤2

步骤3

步骤4

步骤5

configure terminal

arp anti-spoofing deny disguiser { ipadress mac}

show arp anti-spoofing

end

copy running-config startup-config

验证操作

返回特权模式

保存修改的配置

命令操作

进入全局模式

开启防网关欺骗功能

1.2.5 配置ARP报文源MAC一致性检查

对于某些ARP攻击报文，它的以太网数据帧首部中的源MAC和ARP协议报文中的源

MAC不同。使能ARP报文源MAC一致性检查功能后，交换机将会检查送到CPU的ARP

报文的以太网源地址MAC是否和ARP协议报文中的源MAC相同，不一致则丢弃该报文。

缺省配置下，该功能处于关闭状态

表 1-2

配置ARP报文源MAC一致性检查

步骤

步骤1

步骤2

步骤3

步骤4

步骤5

configure terminal

arp anti-spoofing valid-check

show arp anti-spoofing

end

copy running-config startup-config

命令操作

进入全局模式

开启ARP报文源MAC一致

性检查

验证操作

返回特权模式

保存修改的配置

1.2.6 Anti-spoofing功能的默认配置

表 1-3

Anti-spoofing的默认配置

功能

arp anti-spoofing

ARP报文源MAC地址一致性检测

默认配置

disable

discard

防网关欺骗功能

arp anti-spoofing unknown {diacard | flood}

1.2.7 anti-spoofing功能的显示和维护

表 1-4

anti-spoofing功能的显示和维护

命令行操作

show arp anti-spoofing

查看anti-spoofing功能的当

前状态

查看是否有用户被添加到黑

名单

show mac-address-table blackhole

1.3 配置防止ARP泛洪攻击

1.3.1 ARP flood攻击

flood攻击的原理一般都是以大量的报文流量攻击网络中的设备，如路由器、交换机和

服务器等，导致网络设备的CPU资源耗尽而使网络瘫痪。

面对此类flood攻击，最重要的是要保证网络设备的正常运行，防止大面积的网络瘫痪。

网络中flood攻击的方式多种多样，对设备危害最大的就是ARP类的攻击，根据前面讲到

的ARP机制，网络中所有的设备收到ARP 请求报文时都会送到CPU去处理，这样才能判

断是不是其他设备在请求自己的MAC地址。ARP flood攻击就是利用ARP机制的这种缺陷

在局域网中随机发送大量的ARP请求报文来对网络设备进行攻击。

1.3.2 arp anti-flood防护机制

ARP flood攻击的主要目的就是冲击网络设备的CPU，导致核心设备的CPU资源耗尽。

要防御该类型的攻击，交换机必须要提前判断并禁止flood报文的转发。

arp anti-flood功能可以识别每一条ARP流，根据设置的安全ARP速率阈值，判断是

否为ARP flood攻击，当一台主机的ARP流量超过设置的阈值，交换机便会认为是flood

攻击，立即将该病毒主机拉入黑名单，禁止来自该主机的所有报文的转发。

为了方便网络管理员的管理维护，在自动防护的同时还会在系统日志中保存相关的告

警信息。对于被禁止的用户，管理员可以设置手动恢复或者自动恢复。

在交换机上的整个处理流程如下：

1）启用arp anti-flood功能，将广播的ARP报文收上CPU，根据ARP报文中的源

MAC地址来识别不同的流。

2）设置安全的ARP速率，如果速率超过该阀值则交换机认为是ARP攻击。

3）上面命令如果选择了deny-all，当一个ARP流量超过设置的阀值，交换机会根据

源MAC地址判断，将该MAC地址加到黑洞地址列表中，禁止这个地址后续所有报文的转

发。

4）上面命令如果选择了deny-arp，当一个ARP流量超过设置的阀值，交换机会根

据源MAC地址来判断，禁止处理这个地址后续的所有ARP报文。

5）对于恢复被禁止掉的用户的转发，管理员可以设置自动恢复时间或者手动恢复两

种方式。

1.3.3 配置arp anti-flood

表 1-5

配置anti-flood

操作

进入全局模式

开启防止ARP泛洪功能。

configure terminal

arp anti-flood

必选

可选

配置安全触发阈值

arp anti-flood threshold threshold

缺省配置下，安全触发阈

值为16PPS

可选

配置对于攻击者的处理方式

arp anti-flood action {deny-arp|deny-all}

threshold threshold

缺省配置下，对于攻击者

的处理方式为deny arp

可选

可配置的时间范围为

配置被禁止的用户的自动恢

复时间

<0-1440>分钟，配置为0

命令说明

arp anti-flood recover-time time

时表示需手工恢复。

缺省配置下，被禁止用户

的自动恢复时间为10分

钟。

手工恢复被禁止用户的转

发。

arp anti-flood recover {H:H:H:H:H:H | all}

可选

1.3.4 ARP Anti-flood功能的显示和维护

操作

查看arp anti-flood功能所有相关配置

及攻击者列表

show arp anti-flood

命令行备注

任何模式下可执行

1.4 配置举例

组网需求

如图所示，Switch A的端口Eth0/0/1连接DHCP服务器，端口Eth0/0/2和Eth0/0/3

分别连接Client A和Client B。且三个端口都属于VLAN 1.

开启交换机DHCP Snooping功能，设置端口Eth0/0/1为DHCP Snooping的信任端口，

开启ARP防欺骗功能配置ARP报文源MAC一致性检查.

组网图

配置步骤

开启 DHCP Snooping功能

Switch(config)#dhcp-snooping

设置端口Ethernet 0/0/1 为DHCP Snooping 信任端口，ARP信任端口

Switch(config-if-ethernet-0/0/1)#dhcp-snooping trust

Config DHCP Snooping mode of port successfully.

Switch(config-if-ethernet-0/0/1)#arp anti trust

Config arp anti-attack mode of port successfully.

开启防止ARP欺骗功能，配置anti-spoofing

Switch(config)#arp anti-spoofing

Switch(config)#arp anti-spoofing unknown discard

配置防网关欺骗功能

Switch(config)#arp anti-spoofing deny-disguiser 1.1.1.1 00:01:1a:09:00:00

配置ARP 报文源MAC一致性检查

Switch(config)#arp anti-spoofing valid-check