arp防泄露配置

leaf和spine之间三层口的ARP学习机制如下：

1. QoS策略的精准过滤
   ARP防泄漏策略通过QoS ACL实现仅允许服务器VLAN接口发送ARP报文，而禁止其他接口（包括S-MLAG成员端口、上行接口）的ARP转发。但此策略仅作用于Leaf设备的下行物理接口，针对服务器接入层进行过滤，不会限制Leaf与Spine之间的三层互联接口。

2. 三层接口的信任机制
   Leaf与Spine之间的三层接口（如VLANIF接口）属于网络核心层，默认被标记为ARP信任接口（通过arp detection trust配置）。信任接口的ARP报文不受QoS策略拦截，允许正常收发ARP请求/应答，包括免费ARP报文。

3. 免费ARP的特殊处理
   免费ARP（Gratuitous ARP）是设备主动发送的广播报文，用于通告自身IP-MAC映射关系。此类报文在以下场景被允许：

   • 核心层接口：Leaf与Spine的三层互联接口作为信任接口，允许免费ARP透传，用于快速同步ARP表项。
   • 控制平面优先级：免费ARP属于设备控制协议报文，在芯片转发时具有较高优先级，避免被QoS策略误拦截。

4. 实现分离原则
   ARP防泄漏的设计目标是防止服务器侧ARP泛洪影响网络核心层，而非阻断必要的控制协议。因此：

   • 下行流量：服务器VLAN接口的ARP报文允许转发，但禁止非服务器接口的ARP泛洪（如S-MLAG成员端口间）。
   • 上行流量：Leaf与Spine的三层接口作为信任通道，允许ARP（包括免费ARP）正常交互，确保路由可达性。

总结：ARP防泄漏策略通过接口级精细化控制，在允许Leaf-Spine三层口ARP学习的同时，有效隔离服务器侧的ARP泛洪风险，实现网络稳定与安全性的平衡。