交换机
- 0关注
- 1收藏,641浏览
31.2 配置ARP Detection功能
配置用户合法性检查功能时,必须至少配置IP Source Guard静态绑定表项、DHCP Snooping功能、802.1X功能三者之一,否则所有从ARP非信任端口收到的ARP报文都将被丢弃(使能了Voice VLAN功能的情况下,源MAC地址为OUI MAC地址的ARP报文不会被丢弃)。在配置IP Source Guard静态绑定表项时,必须指定VLAN参数,否则ARP报文将无法通过基于IP Source Guard静态绑定表项的检查。
(1) 在导航栏中选择“网络 > ARP防攻击”,默认进入“ARP Detection”页签的页面,如图31-1所示。
(2) 配置ARP Detection功能,详细配置如表31-1所示。
(3) 单击<确定>按钮完成操作。
表31-1 ARP Detection的详细配置
|
配置项 |
说明 |
|
VLAN配置 |
设置要使能ARP Detection功能的VLAN 在“未使能VLAN”列表框中选中一个或多个VLAN,单击“<<”按钮,可以将选中的VLAN添加到“已使能VLAN”列表框中;在“已使能VLAN”列表框中选中一个或多个VLAN,单击“>>”按钮,可以将选中的VLAN添加到“未使能VLAN”列表框中 |
|
信任端口 |
设置ARP信任端口和非信任端口 在“非信任端口”列表框中选中一个或多个端口,单击“<<”按钮,可以将选中的端口添加到“信任端口”列表框中;在“信任端口”列表框中选中一个或多个端口,单击“>>”按钮,可以将选中的端口添加到“非信任端口”列表框中 |
|
报文检查 |
设置对ARP报文进行有效性检查的方式,包括: · 如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文 如果配置了报文检查方式,则先进行ARP报文有效性检查,再进行用户合法性检查;如果未配置任何报文检查方式,则不对ARP报文进行有效性检查 |
31.3 配置免费ARP定时发送功能
仅S5500-WiNet和S3100V2-WiNet系列交换机支持免费ARP定时发送特性。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(2) 单击“免费ARP定时发送”页签,进入如图31-2所示的页面。
图31-2 免费ARP定时发送
(3) 设置定时发送免费ARP报文的接口和发送间隔时间:在“待选接口”框中选中要设置的接口,指定发送间隔时间,单击“<<”按钮,可将设置添加到“定时发送接口”框中;在“定时发送接口”框中选中接口和发送间隔时间的组合,单击“>>”按钮,可将其从“定时发送接口”框中删除。
(4) 单击<确定>按钮完成操作。
· 设备最多允许同时在1024个接口上使能定时发送免费ARP功能。
· 配置本功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效。
· 如果修改了免费ARP报文的发送周期,则在下一个发送周期才能生效。
· 如果同时在很多接口下使能本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的发送频率可能会远远低于用户的预期。
31.4 配置ARP自动扫描功能
· 仅S5500-WiNet和S3100V2-WiNet系列交换机支持ARP自动扫描特性。
· 建议用户在ARP自动扫描期间不要进行其他操作。
· ARP自动扫描操作可能比较耗时,用户随时可以通过单击页面中的<中止>按钮来终止扫描。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(2) 单击“扫描”页签,进入如图31-3所示的页面。
(3) 配置ARP自动扫描参数,详细配置如表31-2表所示。
(4) 单击<开始>按钮开始进行ARP自动扫描。在扫描过程中,可以随时单击<中止>按钮中止扫描。
表31-2 ARP自动扫描功能的详细配置
|
配置项 |
说明 |
|
接口 |
设置进行ARP自动扫描的接口 |
|
开始IP地址 |
设置ARP自动扫描区间的开始IP地址和结束IP地址 如果用户知道局域网内邻居分配的IP地址范围,指定了ARP扫描区间,则对该范围内的邻居进行扫描,减少扫描等待的时间。如果指定的扫描区间同时在接口下多个IP地址的网段内,则发送的ARP请求报文的源IP地址选择网段范围较小的接口IP地址
开始IP地址和结束IP地址必须同时设置或同时不设置。都不设置时,仅对接口下的主IP地址网段内的邻居进行扫描。其中,发送的ARP请求报文的源IP地址就是接口的主IP地址 开始IP地址和结束IP地址必须与接口的主IP地址或手工配置的从IP地址在同一网段,并且开始IP地址必须小于或等于结束IP地址 |
|
结束IP地址 |
|
|
对已存在ARP表项的IP地址也进行扫描 |
设置是否对已存在ARP表项的IP地址也进行ARP自动扫描 |
31.5 配置ARP固化功能
· 仅S5500-WiNet和S3100V2-WiNet系列交换机支持ARP固化特性。
· 固化后的静态ARP表项与配置产生的静态ARP表项完全相同。
· 固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。
· 如果用户执行固化前有D个动态ARP表项,S个静态ARP表项,由于固化过程中存在动态ARP表项的老化或者新建动态ARP表项的情况,所以固化后的静态ARP表项可能为(D+S+M-N)个。其中,M为固化过程中新建的动态ARP表项个数,N为固化过程中老化的动态ARP表项个数。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(2) 单击“固化”页签,进入如图31-4所示的页面。页面显示所有静态ARP表项(包括手工配置的和固化生成的)和动态ARP表项的信息。
在固化页面可以进行的操作如下:
· 单击<全部固化>按钮,可以将所有ARP表项固化为静态ARP表项,对于静态ARP表项不进行任何操作。
· 单击<解除全部固化>按钮,可以将所有静态ARP表项删除,对于非静态ARP表项不进行任何操作。
· 选中ARP表项前的复选框,单击<固化>按钮,可以将选中的动态ARP表项固化为静态ARP表项,对于选中的静态ARP表项不进行任何操作。
· 选中ARP表项前的复选框,单击<解除固化>按钮,可以将选中的静态ARP表项删除,对于选中的非静态ARP表项不进行任何操作。
- 2020-05-18回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论