神州数码DCRS-5960 - 三层转发及ARP、ND操作 word

更新时间：2024-01-23 23:38:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

神州数码dcrs-5960-52t-r推荐度：
相关推荐

三层转发及ARP、ND操作目录

第1章 L3转发配置 ................................................................... 1-1

1.1 三层接口 .......................................................................................... 1-1

1.1.1 三层接口介绍 ............................................................................................ 1-1

1.1.2 三层接口配置 ............................................................................................ 1-1

1.2 IP配置 .............................................................................................. 1-3

1.2.1 IPv4、IPv6介绍 ........................................................................................ 1-3 1.2.2 IP配置 ....................................................................................................... 1-4 1.2.3 IP配置举例 .............................................................................................. 1-11 1.2.4 IPv6排错帮助..........................................................................................1-15

1.3 IP转发 ............................................................................................ 1-16

1.3.1 IP转发介绍 ..............................................................................................1-16

1.3.2 IP路由聚合配置 ......................................................................................1-16

1.4 URPF .............................................................................................. 1-16

1.4.1 URPF介绍 ..............................................................................................1-16

1.4.2 URPF配置任务序列 ................................................................................1-17 1.4.3 URPF典型案例 .......................................................................................1-17 1.4.4 URPF排错帮助 .......................................................................................1-18

1.5 ARP ................................................................................................ 1-18

1.5.1 ARP介绍 .................................................................................................1-18

1.5.2 ARP配置 .................................................................................................1-18 1.5.3 ARP转发排错帮助 ..................................................................................1-19

1.6 隧道硬件容量配置 .......................................................................... 1-20

1.6.1 隧道硬件容量介绍 ..................................................................................1-20

1.6.2 隧道硬件容量配置 ..................................................................................1-20 1.6.3 隧道硬件容量配置排错帮助 ....................................................................1-20

第2章防ARP扫描功能操作配置 ............................................. 2-1

2.1 防ARP扫描功能介绍 ...................................................................... 2-1 2.2 防ARP扫描配置任务序列 ............................................................... 2-1 2.3 防ARP扫描典型案例 ...................................................................... 2-3 2.4 防ARP扫描排错帮助 ...................................................................... 2-4

第3章 ARP、ND绑定配置 ....................................................... 3-1

3.1 概述 .................................................................................................. 3-1

三层转发及ARP、ND操作目录

3.1.1 ARP（地址解析协议） .............................................................................. 3-1 3.1.2 ARP绑定 ................................................................................................... 3-1 3.1.3 如何进行ARP/ND绑定 ............................................................................ 3-1

3.2 ARP、ND绑定配置 .......................................................................... 3-2 3.3 ARP、ND绑定举例 .......................................................................... 3-3

第4章 ARP GUARD配置 ......................................................... 4-1

4.1 ARP GUARD 的介绍 ........................................................................ 4-1 4.2 ARP GUARD配置任务序列 .............................................................. 4-1

第5章 Arp local proxy配置 .................................................... 5-1

5.1 Arp local proxy功能简介 ................................................................ 5-1 5.2 Arp local proxy功能配置任务序列 .................................................. 5-2 5.3 Arp local proxy功能典型案例 ......................................................... 5-2 5.4 Arp local proxy功能排错帮助 ......................................................... 5-3

第6章免费ARP发送功能操作配置 ......................................... 6-1

6.1 免费ARP发送功能简介 ................................................................... 6-1 6.2 免费ARP发送功能配置任务序列 .................................................... 6-1 6.3 免费ARP发送功能典型案例............................................................ 6-2 6.4 免费ARP发送功能排错帮助............................................................ 6-2

第7章 Keepalive gateway配置 ............................................... 7-1

7.1 keepalive gateway介绍 .................................................................. 7-1 7.2 keepalive gateway功能配置任务序列 ............................................. 7-1 7.3 keepalive gateway举例 .................................................................. 7-2 7.4 keepalive gateway排错帮助 ........................................................... 7-2

三层转发及ARP、ND操作第1章 L3转发配置

第1章 L3转发配置

交换机支持三层转发功能。三层转发是将三层协议报文（IP报文）跨越VLAN进行转发，这种转发是用IP地址寻址的，当交换机的一个接口接收到IP报文后，会根据自己的路由表进行检索，然后根据结果决定对数据报文的操作，如果IP报文的目的地址是本交换机可达的另一个子网，那么就将此报文从交换机的相应接口发送出去。交换机可以使用硬件对IP报文进行转发，交换机的转发芯片中有主机路由表和缺省路由表。其中，主机路由表用来存储与交换机直接相连的主机路由，缺省路由表存储（经聚合算法计算后的）网段路由。

当单播流量转发需要的路由（主机路由或网段路由）在转发芯片中存在了，流量的转发就完全由硬件负责，因此大大提升了转发效率，可以达到线速转发。

1.1 三层接口 1.1.1 三层接口介绍

在交换机上可以创建三层接口。三层接口并不是实际的物理接口，它是一个虚拟的接口。三层接口是在VLAN的基础上创建的。三层接口可以包含一个或多个二层端口（它们同属于一个VLAN），但也可以不包含任何二层端口。三层接口包含的二层端口中，需要至少有一个是UP状态，三层接口才是UP状态，否则为DOWN状态。交换机中所有的三层接口缺省使用一个相同的MAC地址，此地址是在三层接口创建时从交换机保留的MAC地址中选取的。三层接口是三层协议的基础，在三层接口上可以配置IP地址，交换机可以通过配置在三层接口上的IP地址，与其它设备进行IP协议的传输。交换机也可以在不同的三层接口之间转发IP协议报文。Loopback接口也属于三层接口。

1.1.2 三层接口配置

三层接口配置任务序列： 1. 创建三层接口 2. 配置三层接口的带宽 3. 配置VLAN接口描述 4. 打开或关闭VLAN接口 5. VRF配置

(1) 创建VRF实例，并进入VPN实例视图 (2) 配置VRF实例的RD （可选） (3) 配置VRF实例的RT （可选） (4) 配置VRF实例与接口关联

1-1

三层转发及ARP、ND操作第1章 L3转发配置 1.创建三层接口命令全局配置模式 interface vlan no interface vlan interface loopback no interface loopback

2. 配置三层接口的带宽命令 VLAN接口配置模式 bandwidth no bandwidth

3. 配置VLAN接口描述命令 VLAN接口配置模式 description no description

4．打开或关闭VLAN接口命令 VLAN接口配置模式 shutdown no shutdown

5. VRF配置

(1) 创建VRF实例，并进入VPN实例视图 (2) 配置VRF实例的RD （可选） (3) 配置VRF实例的RT （可选） (4) 配置VRF实例与接口关联命令全局配置模式 ip vrf no ip vrf 1-2

解释创建VRF实例；缺省情况下未创建VRF实例。解释打开或关闭VLAN接口。解释配置VLAN接口的描述信息；其no形式取消该VLAN接口的描述信息。解释配置interface vlan 的带宽。本命令的no命令为恢复interface vlan的带宽值为默认值。解释创建一个VLAN接口（VLAN接口属于三层接口）；本命令的no操作为删除交换机创建的VLAN接口（三层接口）。创建一个Loopback接口并进入Loopback接口配置模式；本命令的no操作为删除指定的Loopback接口。三层转发及ARP、ND操作第1章 L3转发配置 VRF配置模式 rd 配置VRF实例的RD。缺省情况下未创建RD。 route-target {import | export | both} 配置VRF实例的RT。 no route-target {import | export | both} 接口配置模式 ip vrf forwarding < vrf-name > no ip vrf forwarding < vrf-name > ip address no ip address

配置直连接口的私网IP地址。配置VRF实例与接口关联。 1.2 IP配置

1.2.1 IPv4、IPv6介绍

IPv4 是全球通用因特网协议的当前版本。事实证明，IPv4简单、灵活、开放、稳固耐用、便于实施，且能够和多种上下层协议良好协同工作。尽管 IPv4 自 20 世纪 80 年代初确立以来就几乎未曾改动，但是IPv4始终支持因特网的升迁，一直发展到目前的全球规模。然而，随着因特网基础设施与因特网应用服务的发展不断地突飞猛进，IPv4 在因特网的目前规模与复杂性面前已暴露其不足之处。

IPv6指的是互联网协议第六版，是由IETF设计的下一代互联网协议，用以取代现有的互联网协议第四版（IPv4）。IPv6 是专为弥补IPv4不足而开发出来的，以便让因特网能够进一步发展壮大。

IPv6 所解决的最重要问题就是增加 IP 地址的数量。IPv4 地址已近枯竭，而因特网用户的数量却在不断以几何级数增长。随着需要使用 IP 地址的因特网服务与应用设备（利用因特网的信息终端、家庭与小型办公室网络、IP 电话与无线服务等）不断大量涌现，IP 地址的供给更显紧张。人们早就开始着手解决 IPv4 地址紧缺的问题，采用各种技术延长现有 IPv4 基础架构的寿命，其中包括网络地址转换（Network Address Translation，简称 NAT）和无类别域间路由（Classless Inter-Domain Routing，简称 CIDR）等技术。

虽然CIDR、NAT和私有编址的组合暂时缓和了IPv4地址空间紧缺的问题，但是NAT技术破坏了IP设计初衷的端到端模型，使作为网络中间节点的路由设备必须保持每个连接的状态，大大增加了网络延迟，降低了网络性能。而且网络数据包地址的变换阻碍了端到端的网络安全性检查，如IPSec认证报头(AH)就是一个例子。

因此，要综合解决IPv4存在的诸多问题，IETF设计的下一代互联网协议IPv6已经成为目前唯一可行的解决方案。

1-3

三层转发及ARP、ND操作第1章 L3转发配置

首先IPv6协议128比特的编址方案能确保在时间和空间范围内为全球IP网络节点提供足够的全球唯一的IP地址。而且，除了增加地址空间以外，IPv6 还对 IPv4 的其它许多关键设计进行了改进。

层次化编址方案有助于路由聚合，有效减少了路由器的路由表项，提高了路由选择与数据包处理的效率与可扩展性。

IPv6的包头设计相比IPv4更有效率，数据字段更少，去掉了包头校验和，从而加快了基本 IPv6 包头的处理速度。在IPv6包头中，分片字段作为可选扩展字段出现，路由器转发过程中不用再对数据包做分片处理，通过路径MTU发现机制协同数据包源点工作，提高了路由器处理效率。

支持地址自动配置与即插即用。IPv6 的地址自动配置功能使大量IP 主机能够轻松发现网络路由器，并自动获得全球唯一的 IPv6 地址，这使利用IPv6因特网的设备具备了即插即用特性。自动地址配置功能还使对现有网络的重新编址变得更加简单便捷，使网络运营商能够更加方便地管理从一个提供商到另一个提供商的转换。

支持IPSec。IPSec 在 IPv4 中为可选项，而在 IPv6 协议中则是必须实现的。 IPv6 提供了安全扩展包头，能够提供诸如访问控制、机密性与数据完整性等端到端的安全服务，从而使加密、验证和虚拟专用网络 (VPN) 的实施变得更加容易。

增强对移动 IP (Mobile IP) 与移动计算设备的支持。在 IETF标准中定义的移动 IP 协议使移动设备不必脱离其现有连接即可自由移动，这是一种日益重要的网络功能。与 IPv4 不同的是，IPv6 的移动性是使用内置自动配置获取转交地址 (Care-Of-Address)，因而无需外地代理 (Foreign Agent)。此外，这种联编过程使通信节点 (Correspondent Node) 能够与移动节点 (Mobile Node) 直接通信，从而避免了在 IPv4 中所要求的三角路由选择的额外系统开销。其结果是，在 IPv6 中，移动 IP的处理效率大为提高。

避免网络地址转换 (NAT)的使用。NAT 机制的引入是为了在不同的网络区段之间共享和重新使用相同的地址空间。这种机制在暂时缓解了 IPv4 地址紧缺问题的同时，却为网络设备与应用程序增加了处理地址转换的负担。由于 IPv6 的地址空间大大增加，也就无需再进行地址转换，NAT 部署带来的问题与系统开销也随之解决。

支持广泛部署的路由选择协议。IPv6 保持并扩展了对现有内部网关协议（Interior Gateway Protocols，简称 IGP）与外部网关协议（Exterior Gateway Protocols，简称 EGP）的支持，例如，RIPng、OSPFv3、IS-ISv6与 MBGP4+ 等IPv6路由协议。

组播地址数量增加，对组播的支持有所增强。IPv6取消了广播功能，使用组播机制来处理IPv4的广播功能，不仅节省了网络带宽，而且提高了网络效率。

1.2.2 IP配置

可以将三层接口配置为IPv4接口或者IPv6接口。

1.2.2.1 IPv4地址配置

IPv4配置任务序列：

1-4

三层转发及ARP、ND操作第1章 L3转发配置 1. 配置三层接口的IPv4地址

1．配置三层接口的IPv4地址命令 VLAN接口配置模式 ip address [secondary] no ip address [ ]

解释配置VLAN接口的IP地址；本命令的no操作为删除VLAN接口IP地址。 1.2.2.2 IPv6地址配置

IPv6配置任务序列如下： 1． IPv6基本配置（1）配置接口IPv6地址（2）配置IPv6静态路由 2． IPv6邻居发现配置

（1）配置DAD邻居请求消息数目（2）配置发送邻居请求消息间隔（3）使能与禁止路由器公告（4）配置路由器公告生存期（5）配置路由器公告最小间隔时间（6）配置路由器公告最大间隔时间（7）配置前缀公告参数（8）设置静态邻居表项（9）清除邻居表项

（10）设置发送路由公告的hoplimit值（11）设置发送路由公告的mtu值

（12）设置发送路由公告的reachable-time值（13）设置发送路由公告的retrans-timer值

（14）配置标识除地址信息之外的其他信息是否由dhcpv6获取（15）配置标识地址信息是否由dhcpv6获取 3． IPv6隧道配置（1）创建/删除隧道（2）配置隧道描述（3）配置隧道源（4）配置隧道目的（5）配置隧道下一跳（6）配置隧道模式

1-5

三层转发及ARP、ND操作第1章 L3转发配置（7）配置隧道路由

1. IPv6基本配置 (1) 配置接口IPv6地址命令接口配置模式 ipv6 no

(2) 设置IPv6静态路由命令全局配置模式 ipv6 route { { }} [distance] no ipv6 route | address> { {

2. IPv6邻居发现配置

（1）配置DAD邻居请求消息数目命令接口配置模式 ipv6 nd dad attempts no ipv6 nd dad attempts

（2）配置发送邻居请求消息间隔命令解释 1-6 解释设置接口进行重复地址检测时，连续发出的邻居请求消息数目，本命令的 no操作为恢复默认值（1）。 | }} 配置IPv6静态路由。本命令的no操作为删除IPv6静态路由。 | | 解释 ipv6 address address [eui-64] /prefix-length> 三层转发及ARP、ND操作第1章 L3转发配置接口配置模式 ipv6 nd ns-interval no ipv6 nd ns-interval

（3）使能与禁止路由器公告命令接口配置模式 ipv6 nd suppress-ra no ipv6 nd suppress-ra

（4）配置路由器公告生存期命令接口配置模式 ipv6 nd ra-lifetime no ipv6 nd ra-lifetime

（5）配置路由器公告最小间隔时间命令接口配置模式 ipv6 nd min-ra-interval 解释配置用于路由器公告的最小时间间隔，本命令的 no操作为恢复默认值（200秒）。解释配置路由器公告的生存期，本命令的 no操作为恢复默认值（1800秒）。解释禁止IPv6路由器公告，本命令的no操作为开启IPv6路由器公告。设置接口发送邻居请求消息的时间间隔。本命令的 no操作为恢复默认值（1秒）。 no ipv6 nd min-ra-interval

（6）配置路由器公告最大间隔时间命令接口配置模式 ipv6 nd max-ra-interval 解释配置用于路由器公告的最大时间间隔，本命令的 no操作为恢复默认值（600秒）。 no ipv6 nd max-ra-interval

（7）配置前缀公告参数命令接口配置模式解释 1-7

三层转发及ARP、ND操作第1章 L3转发配置 ipv6 nd prefix [no-autoconfig] no ipv6 nd [no-autoconfig]

（8）设置静态邻居表项命令接口配置模式 ipv6 neighbor interface

（9）清除邻居表项命令特权配置模式 clear ipv6 neighbors

（10）设置发送路由公告的hoplimit值命令接口配置模式 ipv6 nd ra-hoplimit

（11）设置发送路由公告的mtu值命令接口配置模式 ipv6 nd ra-mtu

（12）设置发送路由公告的reachable-time值命令接口配置模式解释解释设置发送路由公告的mtu值。解释设置发送路由公告的hoplimit值。解释清除所有静态邻居表项。解释设置静态邻居表项，包括邻居IPv6地址，MAC地址，二层端口。 [off-link] [off-link] 配置路由器公告的地址前缀及其公告参数, 本prefix 命令的 no操作为删除路由公告的地址前缀。 no ipv6 neighbor 删除邻居表项 1-8

三层转发及ARP、ND操作第1章 L3转发配置 ipv6

（13）设置发送路由公告的retrans-timer值命令接口配置模式 ipv6 nd retrans-timer

（14）配置标识除地址信息之外的其他信息是否由dhcpv6获取命令接口配置模式 ipv6 nd other-config-flag

（15）配置标识地址信息是否由dhcpv6获取命令接口配置模式 ipv6 nd managed-config-flag

3. IPv6隧道配置（1）创建/删除隧道命令全局配置模式 interface tunnel no interface tunnel

（2）配置隧道描述命令隧道配置模式 description no description

（3）配置隧道源命令隧道配置模式解释解释配置隧道描述，本命令的no操作删除隧道描述。解释创建一条隧道。本命令的no操作为删除一条隧道。解释标识地址信息是否由DHCPv6获取。解释标识除地址信息之外的其他信息是否由DHCPv6获取。解释设置发送路由公告的retrans-timer值。 nd reachable-time 设置发送路由公告的reachable-time值。 1-9

三层转发及ARP、ND操作第1章 L3转发配置或者允许隧道源tunnel source { | 配置隧道源端IPv4/IPv6地址， } no tunnel source

（4）配置隧道目的命令隧道配置模式 tunnel { } no tunnel destination

（5）配置隧道下一跳命令隧道配置模式 tunnel nexthop no tunnel nexthop

（6）配置隧道模式命令隧道配置模式 tunnel mode [[gre] | ipv6ip [ 6to4 | isatap]] no tunnel mode

（7）配置隧道路由命令全局配置模式解释解释配置隧道模式，本命令的no操作为清除隧道模式。解释配置隧道的下一跳IPv4地址，本命令的no操作为删除隧道的下一跳IPv4地址。 destination | 配置隧道目的端的IPv4/IPv6地址，本命令的no操作为删除隧道目的端的IPv4/IPv6地址。解释 | 取自接口的主IPv4/IPv6地址，本命令的no操作为删除隧道源端的IPv4/IPv6地址或隧道源接口名。 1-10

三层转发及ARP、ND操作第1章 L3转发配置 ipv6 { } no ipv6 { }

| tunnel | tunnel 配置隧道路由，本命令的no操作为删除隧道路route 由。 route 1.2.3 IP配置举例

1.2.3.1 IPv4典型案例

PC1 Switch2 Switch1

PC2

图 1-1 IPv4典型案例

用户有如下配置需求：在switch 1和switch 2上配置不同网段的IPv4地址，配置静态路由，利用ping功能验证可达性。配置说明：

1、在Switch1上配置两个vlan，分别为vlan1和vlan2

2、在Switch1的vlan1内配置IPv4地址192.168.1.1 255.255.255.0，在vlan2内配

置IPv4地址192.168.2.1 255.255.255.0

3、在Switch2上配置两个vlan，分别为vlan2和vlan3

4、在Switch2的vlan2内配置IPv4地址192.168.2.2 255.255.255.0，在vlan3内配

置IPv4地址192.168.3.1 255.255.255.0

5、 PC1的IPv4地址为192.168.1.100 255.255.255.0，PC2的IPv4地址是

192.168.3.100 255.255.255.0

6、在Switch1上配置静态路由192.168.3.0/24 ,在Switch2上配置静态路由

1-11

三层转发及ARP、ND操作第1章 L3转发配置

192.168.1.0/24 7、 PC机之间互ping

注：首先要确定PC1和Switch1可以ping通，PC2和Switch2可以ping通配置步骤如下：

Switch1(Config)#interface vlan 1

Switch1(Config-if-Vlan1)#ip address 192.168.1.1 255.255.255.0 Switch1(Config)#interface vlan 2

Switch1(Config-if-Vlan2)#ip address 192.168.2.1 255.255.255.0 Switch1(Config-if-Vlan2)#exit

Switch1(Config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2

Switch2(Config)#interface vlan 2

Switch2(Config-if-Vlan2)#ip address 192.168.2.2 255.255.255.0 Switch2(Config)#interface vlan 3

Switch2(Config-if-Vlan3)#ip address 192.168.3.1 255.255.255.0 Switch2(Config-if-Vlan3)#exit

Switch2(Config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1

1.2.3.2 IPv6典型案例

案例1：

PC1 Switch2 Switch1

PC2

图 1-2 IPv6典型案例

用户有如下配置需求：在Switch 1和Switch 2上配置不同网段的IPv6地址，配置静态路由，利用ping6功能验证可达性。配置说明：

1、在Switch1上配置两个vlan，分别为vlan1和vlan2

2、在Switch1的vlan1内配置IPv6地址2001::1/64,在vlan2内配置IPv6地址

2002::1/64

1-12

三层转发及ARP、ND操作第1章 L3转发配置

3、在Switch2上配置两个vlan，分别为vlan2和vlan3

4、在Switch2的vlan2内配置IPv6地址2002::2/64，在vlan3内配置IPv6地址

2003::1/64

5、 PC1的IPv6地址为2001::11/64,PC2的IPv6地址是2003::33/64

6、在Switch1上配置静态路由2003::33/64,在Switch2上配置静态路由2001::11/64 7、 pc机之间互相ping6

注：首先要确定PC1和Switch1可以ping通，PC2和Switch2可以ping通配置步骤如下：

Switch1(Config)#interface vlan 1

Switch1(Config-if-Vlan1)#ipv6 address 2001::1/64 Switch1(Config)#interface vlan 2

Switch1(Config-if-Vlan2)#ipv6 address 2002::1/64 Switch1(Config-if-Vlan2)#exit

Switch1(Config)#ipv6 route 2003::33/64 2002::2

Switch2(Config)#interface vlan 2

Switch2(Config-if-Vlan2)#ipv6 address 2002::2/64 Switch2(Config)#interface vlan 3

Switch2(Config-if-Vlan3)#ipv6 address 2003::1/64 Switch2(Config-if-Vlan3)#exit

Switch2(Config)#ipv6 route 2001::33/64 2002::1

Switch1#ping6 2003::33

配置结果： Switch1#show run interface Vlan1

ipv6 address 2001::1/64 !

interface Vlan2

ipv6 address 2002::2/64 !

interface Loopback mtu 3924 !

ipv6 route 2003::/64 2002::2 ! no login !

1-13

三层转发及ARP、ND操作第1章 L3转发配置 end

Switch2#show run interface Vlan2

ipv6 address 2002::2/64 !

interface Vlan3

ipv6 address 2003::1/64 !

interface Loopback mtu 3924 !

ipv6 route 2001::/64 2002::1 ! no login ! End 案例2：

SW1 SW3

SW2 PC1 PC2

图 1-3 IPv6隧道

该案例为IPv6隧道，用户有如下配置需求：SW1和SW2为隧道的节点，支持双栈。SW3只是运行IPv4，PC1和PC2进行通信配置说明：

1、在SW1上配置两个vlan，分别为vlan1和vlan2。Vlan1是IPv6域，vlan2连接IPv4

域

2、在SW1的vlan1中配置IPv6地址2002:caca:ca01:2::1/64，并且打开RA功能，

在vlan2配置IPv4地址202.202.202.1

3、在SW2上配置两个vlan，分别是vlan3和vlan4，vlan4是IPv6域，vlan3是连接

IPv4域

1-14

三层转发及ARP、ND操作第1章 L3转发配置

4、在SW2的vlan4中配置IPv6地址2002:cbcb:cb01:2::1/64，并且打开RA功能，

在vlan3上配置IPv4地址203.203.203.1

5、在SW1上配置手工隧道，隧道的源IPv4地址为202.202.202.1, 配置默认IPv6路

由指向该隧道

6、在SW2上配置手工隧道，隧道的源IPv4地址为203.203.203.1, 配置默认IPv6路

由指向该隧道

7、在SW3上配置两个vlan，分别为vlan2和vlan3，在vlan2上配置IPv4地址

202.202.202.202在vlan3上配置IPv4地址203.203.203.203 8、 PC1和PC2通过SW1和SW2获得2002的前缀自动配置IPv6地址 9、在PC1上ping PC2的IPv6地址配置步骤如下：

SW1(Config-if-Vlan1)#ipv6 address 2002:caca:ca01:2::1/64 SW1(Config-if-Vlan1)#no ipv6 nd suppress-ra SW1(Config-if-Vlan1)#interface vlan 2

SW1(Config-if-Vlan2)#ipv4 address 202.202.202.1 255.255.255.0 SW1(Config-if-Vlan1)#exit SW1(config)# interface tunnel 1

SW1(Config-if-Tunnel1)#tunnel source 202.202.202.1 SW1(Config-if-Tunnel1)#tunnel destination 203.203.203.1 SW1(Config-if-Tunnel1)#tunnel mode ipv6ip SW1(config)#ipv6 route ::/0 tunnel1

SW2(Config-if-Vlan4)#ipv6 address 2002:cbcb:cb01::2/64 SW2(Config-if-Vlan4)#no ipv6 nd suppress-ra SW2 (Config-if-Vlan3)#interface vlan 3

SW2 (Config-if-Vlan2)#ipv4 address 203.203.203.1 255.255.255.0 SW2 (Config-if-Vlan1)#exit SW2(Config)#interface tunnel 1

SW2(Config-if-Tunnel1)#tunnel source 203.203.203.1 SW2(Config-if-Tunnel1)#tunnel destination 202.202.202.1 SW2(Config-if-Tunnel1)#tunnel mode ipv6ip SW2(config)#ipv6 route ::/0 tunnel1

1.2.4 IPv6排错帮助

? 配置路由器的生存期时不应该小于发送路由器公告的时间间隔。如果相连PC未获得

IPv6地址时，应注意RA公告的开关（默认为关闭）。

1-15

三层转发及ARP、ND操作第1章 L3转发配置

1.3 IP转发 1.3.1 IP转发介绍

网关设备可以将IP协议报文从一个子网转发到另一个子网中，这种转发是通过路由寻径的。交换机的IP转发是由硬件协助完成的，可以达到端口的线速转发；同时还可以提供各种灵活的控制，对转发行为进行调整和监控。交换机可以支持禁止或允许优化的聚合算法以调整交换芯片中网段路由表项的生成，查看IP转发的统计信息，监视IP报文的收发状况，以及查看硬件转发芯片的状况。

1.3.2 IP路由聚合配置

IP路由聚合配置任务序列：

1．配置是否使用优化IP路由聚合算法

1.配置是否使用优化IP路由聚合算法命令全局配置模式 ip fib optimize no ip fib optimize

解释配置交换机使用优化IP路由聚合算法；本命令的no操作为交换机不使用优化IP路由聚合算法。 1.4 URPF 1.4.1 URPF介绍

URPF（Unicast Reverse Path Forwarding，单播逆向路径转发）将组播中使用的RPF技术应用到单播中，用于防止基于源地址欺骗的网络攻击行为。

交换机接收报文，同时获取报文的源地址和入接口，然后把该源地址作为目的地址在路由表中查找路由，如果查到的路由出接口和接收该报文的入接口不匹配，交换机则认为该报文的源地址是伪装的，并丢弃该报文。

源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文，对于使用基于IP 地址验证的应用来说，此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限，甚至是以管理员权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。

1-16

三层转发及ARP、ND操作第1章 L3转发配置

1.1.1.8/8

源IP地址：2.2.2.1/8

2.2.2.1/8

Router A Router B Router C

图 1-4 URPF应用环境

如上图所示，在Router A上伪造源地址为2.2.2.1/8 的报文，向服务器Router B发起请求，Router B响应请求时将向真正的“2.2.2.1/8”发送报文。这种非法报文对Router B和Router C都造成了攻击。URPF 技术可以应用在上述环境中，阻止基于源地址欺骗的攻击。

1.4.2 URPF配置任务序列

1) 启动URPF

2) 显示和调试URPF相关信息

1) 全局启动URPF 命令全局配置模式 urpf enable no urpf enable 2) 显示和调试URPF相关信息命令特权和配置模式 show urpf 解释显示哪些端口启动了URPF。解释全局启动和关闭URPF。 1.4.3 URPF典型案例

1-17

三层转发及ARP、ND操作第1章 L3转发配置

SW3

全局启动 URPF

SW1

E1/0/8 E1/0/8

SW2

E1/0/2 Vlan3

10.1.1.10/24 vlan1 E1/0/2 Vlan4 E1/0/3 启动URPF 伪装成SW2的IP地址10.1.1.10进行攻击 PC PC 2002::4/64 非法访问主机主机1

如上图所示的网络拓扑中，一台SW3上启动URPF功能。当链接的网络中有人冒充别人的 IP地址进行恶意攻击时，交换机通过硬件功能直接丢弃所有的攻击报文。设置SW3启动URPF功能。 SW3配置任务序列： Switch#config

Switch(config)#urpf enable

1.4.4 URPF排错帮助

? 如果在正常配置下，URPF运行的情况仍然和预期不匹配，请打开URPF的调试功能，

并且利用show urpf观察URPF是否开启，并将结果发送给技术服务中心。

1.5 ARP 1.5.1 ARP介绍

ARP（Address Resolution Protocol）地址解析协议，主要用于IP地址到以太网MAC地址的解析。交换机除了支持动态ARP外，也支持静态配置。此外，在某些应用中，交换机还支持配置代理ARP。如当交换机的接口收到某ARP请求，该请求的IP地址与接口地址在一个IP网段，但却不在同一物理网络中，此时该接口若启动了代理ARP的功能，接口会将自己的MAC地址作为ARP的回应，然后将收到的实际数据报文进行转发。启动代理ARP功能可以使因为物理网络分离但属于同一IP网段的机器忽视物理网络分离的事实，经过具有代理ARP接口的转发像处在一个物理网络中。

1.5.2 ARP配置

1-18

三层转发及ARP、ND操作第1章 L3转发配置 ARP配置任务序列： 1. 配置静态ARP 2. 配置代理ARP 3. 清除动态ARP

4. 清除ARP报文统计信息

1. 配置静态ARP 命令 VLAN接口模式 arp {interface [ethernet] } no arp

2. 配置代理ARP 命令 VLAN接口模式 ip proxy-arp no ip proxy-arp

3.清除动态ARP 命令特权用户模式 clear arp-cache

4. 清除ARP报文统计信息命令特权用户模式 clear arp traffic

解释清除交换机ARP报文统计信息。解释清除交换机学习到的动态ARP。解释打开以太口代理ARP的功能；本命令的no操作为关闭代理ARP的功能。解释配置静态ARP表项；本命令的no操作为删除指定IP地址的ARP表项。 1.5.3 ARP转发排错帮助

交换机无法PING通直接相连的网络设备，检查可能存在的情况和建议的解决方法： ? 首先检查交换机是否学习到相应的ARP；

? 若ARP未能学习到，那么使用ARP的调试信息，观察ARP协议报文的收发情况。 ? 用户比较容易遇到的现象是线缆有问题，导致ARP不能学习。

1-19

三层转发及ARP、ND操作第1章 L3转发配置

1.6 隧道硬件容量配置 1.6.1 隧道硬件容量介绍

隧道硬件容量是本机硬件能够转发的最大隧道、MPLS的数量。该容量可通过命令进行调整，增大该容量会减少本机支持的硬件路由数，反之亦然。

1.6.2 隧道硬件容量配置

隧道硬件容量配置任务序列： 1. 配置隧道硬件容量命令全局配置模式 hardware tunnel-capacity < size> no hardware tunnel-capacity 解释设置硬件隧道和MPLS容量；本命令的no操作为恢复硬件默认的隧道和MPLS容量。注：修改隧道硬件容量后，必须重新启动交换机使配置生效。URPF典型案例

1.6.3 隧道硬件容量配置排错帮助

? 配置隧道硬件容量后，必须作配置保留，重启交换机后，配置才能生效。

1-20

三层转发及ARP、ND操作第2章防ARP扫描功能操作配置

第2章防ARP扫描功能操作配置

2.1 防ARP扫描功能介绍

ARP扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机，攻击源将会产生大量的ARP报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有可能通过伪造的ARP报文而在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。而且ARP扫描通常是其他更加严重的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务攻击等。

由于ARP扫描给网络的安全和稳定带来了极大的威胁，所以防ARP扫描功能将具有重大意义。交换机防ARP扫描的整体思路是若发现网段内存在具有ARP扫描特征的主机或端口，将切断攻击源头，保障网络的安全。

有两种方式来防ARP扫描：基于端口和基于IP。基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP报文的数量，若超过了预先设定的阈值，则会down掉此端口。基于IP的ARP扫描则计算一段时间内从网段内某IP收到的ARP报文的数量，若超过了预先设置的阈值，则禁止来自此IP的任何流量，而不是down与此IP相连的端口。此两种防ARP扫描功能可以同时启用。端口或IP被禁掉后，可以通过自动恢复功能自动恢复其状态。

为了提高交换机的效率，可以配置受信任的端口和IP，交换机不检测来自受信任的端口或IP的ARP报文，这样可以有效地减少交换机的负担。

2.2 防ARP扫描配置任务序列

1) 启动防ARP扫描功能

2) 配置基于端口和基于IP的防ARP扫描的阈值 3) 配置信任端口 4) 配置信任IP 5) 配置自动恢复时间

6) 显示和调试防ARP扫描相关信息

1) 启动防ARP扫描功能命令全局配置模式 anti-arpscan enable no anti-arpscan enable

2) 配置基于端口和基于IP的防ARP扫描的阈值

2-1 解释全局启动或关闭防ARP扫描功能。三层转发及ARP、ND操作第2章防ARP扫描功能操作配置命令全局配置模式 anti-arpscan port-based threshold no anti-arpscan port-based threshold anti-arpscan ip-based threshold no anti-arpscan ip-based threshold

3) 配置信任端口命令端口配置模式 anti-arpscan trust no anti-arpscan trust

4) 配置信任IP 命令全局配置模式 anti-arpscan trust ip [] no anti-arpscan trust ip []

5) 配置自动恢复时间命令全局配置模式 anti-arpscan recovery enable no anti-arpscan recovery enable anti-arpscan recovery time no anti-arpscan recovery time

6) 显示和调试防ARP扫描相关信息命令全局配置模式 anti-arpscan log enable no anti-arpscan log enable anti-arpscan trap enable no anti-arpscan trap enable show anti-arpscan [trust | prohibited ] 特权用户配置模式 2-2 解释打开或关闭防ARP扫描的日志功能。打开或关闭防ARP扫描的SNMP Trap功能。解释启动或关闭自动恢复功能。设置自动恢复时间。解释设置IP的信任属性。解释设置端口的信任属性。解释设置基于端口的防ARP扫描阈值。设置基于IP的防ARP扫描阈值。三层转发及ARP、ND操作第2章防ARP扫描功能操作配置 debug anti-arpscan no debug anti-arpscan 打开或关闭防ARP扫描的调试开关。 2.3 防ARP扫描典型案例

SWITCH B E1/0/1 E1/0/19

SWITCH A

E1/0/2 Server 192.168.1.100/24

PC PC

图 2-1 防ARP扫描典型配置案例

在上述网络拓扑图中，SWITCH B的端口e1/0/1与SWITCH A的端口e1/0/19相连，SWITCH A上的端口e1/0/2与文件服务器(IP 地址为192.168.1.100/24)相连，其他端口都与普通PC相连。可通过下面的配置有效地防止ARP扫描，而又不影响系统的正常运行。 SWITCH A配置任务序列： SwitchA(config)#anti-arpscan enable

SwitchA(config)#anti-arpscan recovery time 3600

SwitchA(config)#anti-arpscan trust ip 192.168.1.100 255.255.255.0 SwitchA(config)#interface ethernet1/0/2

SwitchA (Config-If-Ethernet1/0/2)#anti-arpscan trust port SwitchA (Config-If-Ethernet1/0/2)#exit SwitchA(config)#interface ethernet1/0/19

SwitchA (Config-If-Ethernet1/0/19)#anti-arpscan trust supertrust-port Switch A(Config-If-Ethernet1/0/19)#exit

SWITCH B配置任务序列：

SwitchB(config)#anti-arpscan enable SwitchB(config)#interface ethernet1/0/1

SwitchB(Config-If-Ethernet1/0/1)#anti-arpscan trust port

2-3

三层转发及ARP、ND操作第4章 ARP GUARD配置

第4章 ARP GUARD配置

4.1 ARP GUARD 的介绍

ARP协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机，攻击者发送ARP REQUEST报文或者ARP REPLY报文通告错误的IP地址和MAC地址映射关系，导致网络通讯故障。ARP欺骗的危害主要表项为两种形式：1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址，将导致本应该发送给PC2的IP报文全部发送到了PC4，这样PC4就可以监听、截获PC2的报文；2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址，将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗，将导致整个网络瘫痪。

PC1 HUB PC2 A B C D Switch

PC3 PC4

PC5

PC6

图 4-1 ARP GUARD原理图

我们利用交换机的过滤表项保护重要网络设备的ARP表项不能被其它设备假冒。基本

原理就是利用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP报文的源IP地址是受到保护的IP地址，就直接丢弃报文，不再转发。

ARP GUARD功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC不受ARP欺骗攻击，需要在端口配置大量受保护的ARP GUARD地址，这将占用大量芯片FFP表项资源，可能会因此影响到其它应用功能，并不适合。此时推荐采用FREE RESOURCE相关接入方案，详细请参考相关文档。

4.2 ARP GUARD配置任务序列

1. 配置受到保护的IP地址命令端口配置模式解释 4-1

三层转发及ARP、ND操作第4章 ARP GUARD配置 arp-guard ip 配置/删除ARP GUARD地址。 no arp-guard ip

4-2

三层转发及ARP、ND操作第5章 Arp local proxy配置

第5章 Arp local proxy配置

5.1 Arp local proxy功能简介

某种实际的应用环境中，为了防止ARP的欺骗，要求汇聚层的交换机实现local arp proxy功能，限制ARP报文在同一vlan内的转发，从而引导数据流量通过交换机进行L3转发。

图 5-1 Arp local proxy功能示意图

例如上图，PC1要向PC2发送一个IP报文，整个的流程大致如下（省略了一些非ARP

的细节）：

1. 由于PC1没有PC2的ARP，因此PC发送ARP REQUEST并广播出去。

2. 交换机硬件收到ARP报文，依据新的ARP处理规则，芯片不会硬件转发该报文，

只是把ARP REQUEST送CPU。

3. 在启动local arp proxy的情况下，交换机向PC1发送arp reply报文（填充自己的

mac地址）。

4. PC1收到该arp reply之后，创建ARP，发送ip报文，封装的以太网头的目的MAC

为交换机的MAC。

5. 当交换机收到该ip报文之后，交换机查询路由表（创建路由缓存），并下发硬件表

项。

6. 当交换机有PC2的ARP的情况下，直接封装以太网头部并发送报文（目的MAC

为PC2）。

7. 如果交换机没有PC2的ARP，那么会请求PC2的ARP，然后发送ip报文。

该功能通常需要和其他的安全功能配合使用，例如在汇聚交换机上配置local arp proxy，而在下连的二层交换机上配置端口隔离功能，这样将会引导所有的ip流量通过汇聚交换机上进行三层转发，而由于端口隔离，ARP报文不会在vlan内转发，其他PC也不会收到。

5-1

三层转发及ARP、ND操作第5章 Arp local proxy配置

5.2 Arp local proxy功能配置任务序列

1. 启动/关闭arp local proxy功能

1. 启动/关闭arp local proxy功能命令 VLAN接口配置模式 ip local proxy-arp no ip local proxy-arp 解释启动或者关闭arp local proxy功能。 5.3 Arp local proxy功能典型案例

如下图所示，S1为支持arp local proxy的中高端三层交换机，S2为支持端口隔离的二层接入交换机。

为了安全的考虑，在S2上启动端口隔离功能，这样S2的所有下连端口彼此隔离，所有的ARP报文都能通过S1转发。如果再在S1上启动arp local proxy，则在S1上的所有端口隔离ARP，同时代理ARP，从而引导IP流量经过S1进行3层转发，而不是原来的2层转发。

图 5-2 Arp local proxy功能典型案例示意图

我们可以对S1进行如下配置： Switch(config)#interface vlan 1

Switch(Config-if-Vlan1)#ip address192.168.1.1 255.255.255.0

5-2

三层转发及ARP、ND操作第5章 Arp local proxy配置

Switch(Config-if-Vlan1)#ip local proxy-arp Switch(Config-if-Vlan1)#exit

5.4 Arp local proxy功能排错帮助

arp local proxy功能默认是关闭的，可以使用显示命令（show running-config）看目前的配置情况。在确认配置正确的情况下，打开ARP的debug，可以看到是不是成功代理ARP，并发送代理ARP报文。

在操作过程中，如果有操作错误，系统将会给出具体的错误提示信息。

5-3

三层转发及ARP、ND操作第6章免费ARP发送功能操作配置

第6章免费ARP发送功能操作配置

6.1 免费ARP发送功能简介

主机发送以自己IP地址为目标IP地址的ARP请求，这种ARP请求称为免费ARP（gratuitous ARP）。

交换机基于三层接口的免费ARP发送功能的整体思路是：在交换机的接口模式下配置该接口定时发送免费ARP报文；或者在交换机的全局配置模式下配置交换机系统中所有存在的接口定时发送免费ARP报文。

在本系统中主要实现免费ARP的如下两个作用：

1. 减少局域网内主机向交换机网关发送ARP请求的次数。局域网内主机会每隔一段时间

向交换机网关发送ARP请求，请求网关的MAC地址。如果交换机每隔一段时间向局域网内广播免费ARP，这样局域网内主机就不用发送ARP请求了，从而减少了局域网内主机向网关发送ARP请求的次数。

2. 可以防止针对网关的ARP欺骗。交换机定时向局域网内主机广播免费ARP，这样局域

网内主机的ARP缓存会定时更新，所以在局域网内主机受到针对网关的ARP欺骗后，主机会在收到交换机的免费ARP后，更新其ARP缓存而得到正确网关MAC地址，这样就防止了针对网关的ARP欺骗。

6.2 免费ARP发送功能配置任务序列

1. 启动免费ARP发送功能和配置免费ARP报文的发送时间间隔 2. 显示免费ARP发送功能的配置信息

1. 启动免费ARP发送功能和配置免费ARP报文的发送时间间隔命令全局配置模式和接口配置模式 ip gratuitous-arp <5-1200> no ip gratuitous-arp 2. 显示免费ARP发送功能的配置信息命令特权和配置模式 6-1 解释解释使能免费ARP发送功能，并设置发送免费ARP报文的发送时间间隔。其中no操作取消使能免费ARP发送功能。三层转发及ARP、ND操作第6章免费ARP发送功能操作配置 show ip gratuitous-arp [interface vlan <1-4094>] 显示免费ARP发送功能的配置信息。 6.3 免费ARP发送功能典型案例

Switch

Interface vlan1 192.168.14.254 255.255.255.0 Interface vlan10 192.168.15.254 255.255.255.0 PC1 PC2 PC3

PC4 PC5

图6-1 免费ARP发送功能配置案例

在上述网络拓扑图中，Switch系统中的interface vlan 10（IP地址为192.168.15.254，子网掩码为：255.255.255.0）下连接有3台PC主机（PC3、PC4和PC5），interface vlan 1（IP地址为：192.168.14.254，子网掩码为：255.255.255.0）下连接有两台PC主机（PC1和PC2）。可通过如下方法配置免费ARP发送功能：

1．一次设置两个接口的免费ARP发送功能 Switch(config)#ip gratuitous-arp 300 Switch(config)#exit

2．一次设计一个接口的免费ARP发送功能 Switch(config)#interface vlan 10

Switch(Config-if-Vlan10)#ip gratuitous-arp 300 Switch(Config-if-Vlan10)#exit Switch(config)#exit

6.4 免费ARP发送功能排错帮助

免费ARP发送功能默认是关闭的。打开免费ARP发送功能后，可以打开调试开关debug arp send来查看交换机发送的arp报文信息。

6-2

三层转发及ARP、ND操作第6章免费ARP发送功能操作配置

在全局配置模式下使能免费ARP发送功能后，必须在全局配置模式才能取消使能免费ARP发送功能；在接口配置模式下使能免费ARP发送功能后，必须在接口配置模式下才能取消使能免费ARP发送功能。

6-3

三层转发及ARP、ND操作第7章 Keepalive gateway配置

第7章 Keepalive gateway配置

7.1 keepalive gateway介绍

市场需要使用以太端口参与备份或者负载均衡，由于以太端口是广播式信道，在网关down的情况下由于检测不到物理信号的变化，所以以太端口无法down下来。该功能主要用在网关使用以太端口上连上一级网关形成点到点的网络拓扑的情况下，希望可以检测到上一级网关的连通性。

例如：路由器连接光端机，路由器到光端机的线路始终是up的，而moden与远端设备之间的线路不通的时候环境下，需要使用有效手段检测对端设备是否可达。目前，使用ARP机制来检测网关的连通性，通过定时的给网关发送ARP请求来探测网关的连通性，如果ARP解析失败，表明网关已经down，这时down掉三层接口；继续定时的发送ARP请求，如果ARP解析成功，则up接口。

该功能只对三层交换机支持，二层交换机不支持。

7.2 keepalive gateway功能配置任务序列

1．开启或关闭keepalive gateway功能和配置发送ARP请求报文的间隔周期和判定探测失败的重试次数

2．显示接口keepalive gateway运行情况和接口ipv4运行状态

1．启动keepalive gateway功能和配置发送ARP请求报文的间隔周期和判定探测失败的重试次数命令接口配置模式 keepalive gateway 解释配置探测的网使能keepalive gateway功能，| msec 关IP地址、发送ARP请求报文的间隔周期和判定探测失败的重试次数；no命令为关闭该功能。 [{ no keepalive gateway

} [retry-count]] 2．显示接口keepalive gateway运行情况和接口ipv4运行状态命令特权和配置模式 show keepalive 如果不gateway 显示指定接口的keepalive运行情况。指定则显示所有接口的keepalive运行情况。显示指定接口的IPv4运行状态。如果不指定7-1 解释 [interface-name] show ip interface [interface-name] 三层转发及ARP、ND操作第7章 Keepalive gateway配置

则显示所有接口的IPv4运行状态。 7.3 keepalive gateway举例

网关A网关B

图 7-1 keepalive gateway典型应用举例

在上述网络拓扑中，网关A interface vlan10 接口地址为1.1.1.1 255.255.255.0，网关B interface vlan100接口地址为1.1.1.2 255.255.255.0，网关B支持keepalive gate功能，可通过如下方法配置网关B上的keepalive gateway功能：

1、采用默认的发送arp间隔和判定探测失败重复次数（缺省发送arp探测报文周期为10s,

缺省判定探测失败重复次数为5次） Switch(config)#interface vlan 100

Switch(config-if-vlan100)#keepalive gateway 1.1.1.1 Switch(config-if-vlan100)#exit

2、手动配置发送arp间隔和判定探测失败重复次数

Switch(config)#interface vlan 100

Switch(config-if-vlan100)#keepalive gateway 1.1.1.1 3 3 Switch(config-if-vlan100)#exit

探测网关A是否可达，每隔3秒发送一次ARP探测，探测3次失败后认为网关A不可达。

7.4 keepalive gateway排错帮助

当在使用keepalive gateway过程中遇到问题，请检查是否是如下原因： ? 确认设备为三层交换机，二层交换机不支持该功能。 ? 该种探测方法仅适用于点对点的拓扑模式。

7-2

三层转发及ARP、ND操作第7章 Keepalive gateway配置

? 该方法是探测的IPv4可达性。因此探测结果，只能影响接口的IPv4工作状态。当