acl能控制arp报文吗，命令是什么？

仅仅想控制arp接收，可以考虑下面这两个命令，或者使用arp-detection，可以参考华三官网配置手册学习一下。

1.10.1  arp filter binding

arp filter binding命令用来开启ARP过滤保护功能并配置ARP过滤保护表项。

undo arp filter binding命令用来删除ARP过滤保护表项。

【命令】

arp filter binding ip-address mac-address

undo arp filter binding ip-address

【缺省情况】

ARP过滤保护功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

ip-address：允许通过的ARP报文的源IP地址。

mac-address：允许通过的ARP报文的源MAC地址。

【使用指导】

ARP过滤保护表项可以限制只有特定源IP地址和源MAC地址的ARP报文才允许通过。

每个接口最多支持配置8组允许通过的ARP报文的源IP地址和源MAC地址。

不能在同一接口下同时配置命令arp filter source和arp filter binding。

【举例】

# 在Ten-GigabitEthernet1/0/1下开启ARP过滤保护功能，允许源IP地址为1.1.1.1、源MAC地址为0e10-0213-1023的ARP报文通过。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 0e10-0213-1023

1.11  配置ARP报文源IP地址检查功能配置命令

1.11.1  arp sender-ip-range

arp sender-ip-range命令用来配置可接受的ARP报文中sender IP的地址范围。

undo arp sender-ip-range命令用来恢复缺省情况。

【命令】

arp sender-ip-range start-ip-address end-ip-address

undo arp sender-ip-range

【缺省情况】

未限制ARP报文中sender IP的地址范围。

【视图】

VLAN视图

【缺省用户角色】

network-admin

【参数】

start-ip-address：起始IP地址。

end-ip-address：终止IP地址，必须大于等于起始IP地址。

【使用指导】

如果设备收到的VLAN内ARP报文的sender IP不在指定地址范围内，则将该ARP报文丢弃。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在VLAN 2内配置可接受的ARP报文中sender IP的地址范围为1.1.1.1～1.1.1.20。

<Sysname> system-view

[Sysname] vlan 2

[Sysname–vlan2] arp sender-ip-range 1.1.1.1 1.1.1.20