神州数码DCRS-5960_三层转发及ARP、ND操作.word

更新时间：2024-06-20 17:38:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

神州数码dcrs5960推荐度：
相关推荐

三层转发及ARP、ND操作目录

第1章 L3转发配置 ................................................................... 1-1

1.1 三层接口 .......................................................................................... 1-1

1.1.1 三层接口介绍 ............................................................................................ 1-1

1.1.2 三层接口配置 ............................................................................................ 1-1

1.2 IP配置 .............................................................................................. 1-3

1.2.1 IPv4、IPv6介绍 ........................................................................................ 1-3 1.2.2 IP配置 ....................................................................................................... 1-4 1.2.3 IP配置举例 .............................................................................................. 1-11 1.2.4 IPv6排错帮助..........................................................................................1-15

1.3 IP转发 ............................................................................................ 1-16

1.3.1 IP转发介绍 ..............................................................................................1-16

1.3.2 IP路由聚合配置 ......................................................................................1-16

1.4 URPF .............................................................................................. 1-16

1.4.1 URPF介绍 ..............................................................................................1-16

1.4.2 URPF配置任务序列 ................................................................................1-17 1.4.3 URPF典型案例 .......................................................................................1-17 1.4.4 URPF排错帮助 .......................................................................................1-18

1.5 ARP ................................................................................................ 1-18

1.5.1 ARP介绍 .................................................................................................1-18

1.5.2 ARP配置 .................................................................................................1-18 1.5.3 ARP转发排错帮助 ..................................................................................1-19

1.6 隧道硬件容量配置 .......................................................................... 1-20

1.6.1 隧道硬件容量介绍 ..................................................................................1-20

1.6.2 隧道硬件容量配置 ..................................................................................1-20 1.6.3 隧道硬件容量配置排错帮助 ....................................................................1-20

第2章防ARP扫描功能操作配置 ............................................. 2-1

2.1 防ARP扫描功能介绍 ...................................................................... 2-1 2.2 防ARP扫描配置任务序列 ............................................................... 2-1 2.3 防ARP扫描典型案例 ...................................................................... 2-3 2.4 防ARP扫描排错帮助 ...................................................................... 2-4

第3章 ARP、ND绑定配置 ....................................................... 3-1

3.1 概述 .................................................................................................. 3-1

三层转发及ARP、ND操作目录

3.1.1 ARP（地址解析协议） .............................................................................. 3-1 3.1.2 ARP绑定 ................................................................................................... 3-1 3.1.3 如何进行ARP/ND绑定 ............................................................................ 3-1

3.2 ARP、ND绑定配置 .......................................................................... 3-2 3.3 ARP、ND绑定举例 .......................................................................... 3-3

第4章 ARP GUARD配置 ......................................................... 4-1

4.1 ARP GUARD 的介绍 ........................................................................ 4-1 4.2 ARP GUARD配置任务序列 .............................................................. 4-1

第5章 Arp local proxy配置 .................................................... 5-1

5.1 Arp local proxy功能简介 ................................................................ 5-1 5.2 Arp local proxy功能配置任务序列 .................................................. 5-2 5.3 Arp local proxy功能典型案例 ......................................................... 5-2 5.4 Arp local proxy功能排错帮助 ......................................................... 5-3

第6章免费ARP发送功能操作配置 ......................................... 6-1

6.1 免费ARP发送功能简介 ................................................................... 6-1 6.2 免费ARP发送功能配置任务序列 .................................................... 6-1 6.3 免费ARP发送功能典型案例............................................................ 6-2 6.4 免费ARP发送功能排错帮助............................................................ 6-2

第7章 Keepalive gateway配置 ............................................... 7-1

7.1 keepalive gateway介绍 .................................................................. 7-1 7.2 keepalive gateway功能配置任务序列 ............................................. 7-1 7.3 keepalive gateway举例 .................................................................. 7-2 7.4 keepalive gateway排错帮助 ........................................................... 7-2

三层转发及ARP、ND操作第1章 L3转发配置

第1章 L3转发配置

交换机支持三层转发功能。三层转发是将三层协议报文（IP报文）跨越VLAN进行转发，这种转发是用IP地址寻址的，当交换机的一个接口接收到IP报文后，会根据自己的路由表进行检索，然后根据结果决定对数据报文的操作，如果IP报文的目的地址是本交换机可达的另一个子网，那么就将此报文从交换机的相应接口发送出去。交换机可以使用硬件对IP报文进行转发，交换机的转发芯片中有主机路由表和缺省路由表。其中，主机路由表用来存储与交换机直接相连的主机路由，缺省路由表存储（经聚合算法计算后的）网段路由。

当单播流量转发需要的路由（主机路由或网段路由）在转发芯片中存在了，流量的转发就完全由硬件负责，因此大大提升了转发效率，可以达到线速转发。

1.1 三层接口 1.1.1 三层接口介绍

在交换机上可以创建三层接口。三层接口并不是实际的物理接口，它是一个虚拟的接口。三层接口是在VLAN的基础上创建的。三层接口可以包含一个或多个二层端口（它们同属于一个VLAN），但也可以不包含任何二层端口。三层接口包含的二层端口中，需要至少有一个是UP状态，三层接口才是UP状态，否则为DOWN状态。交换机中所有的三层接口缺省使用一个相同的MAC地址，此地址是在三层接口创建时从交换机保留的MAC地址中选取的。三层接口是三层协议的基础，在三层接口上可以配置IP地址，交换机可以通过配置在三层接口上的IP地址，与其它设备进行IP协议的传输。交换机也可以在不同的三层接口之间转发IP协议报文。Loopback接口也属于三层接口。

1.1.2 三层接口配置

三层接口配置任务序列： 1. 创建三层接口 2. 配置三层接口的带宽 3. 配置VLAN接口描述 4. 打开或关闭VLAN接口 5. VRF配置

(1) 创建VRF实例，并进入VPN实例视图 (2) 配置VRF实例的RD （可选） (3) 配置VRF实例的RT （可选） (4) 配置VRF实例与接口关联

1-1

三层转发及ARP、ND操作第1章 L3转发配置 1.创建三层接口命令全局配置模式 interface vlan no interface vlan interface loopback no interface loopback

2. 配置三层接口的带宽命令 VLAN接口配置模式 bandwidth no bandwidth

3. 配置VLAN接口描述命令 VLAN接口配置模式 description no description

4．打开或关闭VLAN接口命令 VLAN接口配置模式 shutdown no shutdown

5. VRF配置

(1) 创建VRF实例，并进入VPN实例视图 (2) 配置VRF实例的RD （可选） (3) 配置VRF实例的RT （可选） (4) 配置VRF实例与接口关联命令全局配置模式 ip vrf no ip vrf 1-2

解释创建VRF实例；缺省情况下未创建VRF实例。解释打开或关闭VLAN接口。解释配置VLAN接口的描述信息；其no形式取消该VLAN接口的描述信息。解释配置interface vlan 的带宽。本命令的no命令为恢复interface vlan的带宽值为默认值。解释创建一个VLAN接口（VLAN接口属于三层接口）；本命令的no操作为删除交换机创建的VLAN接口（三层接口）。创建一个Loopback接口并进入Loopback接口配置模式；本命令的no操作为删除指定的Loopback接口。三层转发及ARP、ND操作第1章 L3转发配置 VRF配置模式 rd 配置VRF实例的RD。缺省情况下未创建RD。 route-target {import | export | both} 配置VRF实例的RT。 no route-target {import | export | both} 接口配置模式 ip vrf forwarding < vrf-name > no ip vrf forwarding < vrf-name > ip address no ip address

配置直连接口的私网IP地址。配置VRF实例与接口关联。 1.2 IP配置

1.2.1 IPv4、IPv6介绍

IPv4 是全球通用因特网协议的当前版本。事实证明，IPv4简单、灵活、开放、稳固耐用、便于实施，且能够和多种上下层协议良好协同工作。尽管 IPv4 自 20 世纪 80 年代初确立以来就几乎未曾改动，但是IPv4始终支持因特网的升迁，一直发展到目前的全球规模。然而，随着因特网基础设施与因特网应用服务的发展不断地突飞猛进，IPv4 在因特网的目前规模与复杂性面前已暴露其不足之处。

IPv6指的是互联网协议第六版，是由IETF设计的下一代互联网协议，用以取代现有的互联网协议第四版（IPv4）。IPv6 是专为弥补IPv4不足而开发出来的，以便让因特网能够进一步发展壮大。

IPv6 所解决的最重要问题就是增加 IP 地址的数量。IPv4 地址已近枯竭，而因特网用户的数量却在不断以几何级数增长。随着需要使用 IP 地址的因特网服务与应用设备（利用因特网的信息终端、家庭与小型办公室网络、IP 电话与无线服务等）不断大量涌现，IP 地址的供给更显紧张。人们早就开始着手解决 IPv4 地址紧缺的问题，采用各种技术延长现有 IPv4 基础架构的寿命，其中包括网络地址转换（Network Address Translation，简称 NAT）和无类别域间路由（Classless Inter-Domain Routing，简称 CIDR）等技术。

虽然CIDR、NAT和私有编址的组合暂时缓和了IPv4地址空间紧缺的问题，但是NAT技术破坏了IP设计初衷的端到端模型，使作为网络中间节点的路由设备必须保持每个连接的状态，大大增加了网络延迟，降低了网络性能。而且网络数据包地址的变换阻碍了端到端的网络安全性检查，如IPSec认证报头(AH)就是一个例子。

因此，要综合解决IPv4存在的诸多问题，IETF设计的下一代互联网协议IPv6已经成为目前唯一可行的解决方案。

1-3

三层转发及ARP、ND操作第2章防ARP扫描功能操作配置 SwitchB(Config-If-Ethernet1/0/1)exit

2.4 防ARP扫描排错帮助

? 防ARP扫描默认是关闭的。打开防ARP扫描后，可以同时打开调试开关debug

anti-arpscan来查看调试信息。

2-4

三层转发及ARP、ND操作第3章 ARP、ND绑定配置

第3章 ARP、ND绑定配置

3.1 概述

3.1.1 ARP（地址解析协议）

简单地说，ARP （RFC-826）协议主要负责将局域网中的IP地址转换为对应的48位物理地址，即网卡的MAC地址，比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

3.1.2 ARP绑定

按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一台主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ARP绑定”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方即黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

3.1.3 如何进行ARP/ND绑定

由于现在网络上充斥着很多基于ARP协议的嗅探、监听及攻击行为，而且几乎所有的攻击行为都是基于ARP绑定来进行的，所以如何防止ARP绑定就显得十分重要。ARP绑定首先是通过伪造合法IP进入正常的网络环境，向交换机发送大量的伪造的ARP申请报文，交换机在学习到这些报文后，可能会覆盖原来学习到的正确的IP、MAC地址的映射关系，将一些正确的IP、MAC地址映射关系修改成攻击报文设置的对应关系，导致交换机在转发报文时出错，从而影响整个网络的运行。或者交换机被恶意攻击者利用，利用错误的ARP表，截获交换机转发的报文或者对其它服务器、主机或者网络设备进行攻击。

在网络中防止基于ARP的攻击和绑定交换机的方法有两种：一、关闭交换机的自动更新功能

关闭交换机的自动更新功能以后，当交换机收到ARP报文时，如果是新的ARP报文（交换机的ARP表中不存在该IP的表项），则正常学习，这样新的用户可以正常登录网络；如果该ARP报文对应的IP地址在交换机的ARP表中已经存在，则判断ARP报文中的MAC

3-1

三层转发及ARP、ND操作第3章 ARP、ND绑定配置地址、收到ARP报文的端口和交换机ARP表中记录的是否相同，不相同则认为是欺骗报文予以丢弃，相同则正常接收，相应的ARP表项老化定时器被重置。通过该机制可以防止合法的ARP表项被欺骗报文篡改，从而可以避免交换机遭受ARP绑定和攻击。

二、关闭交换机的自动学习功能

关闭交换机的自动学习功能以后，交换机不再接收ARP报文，适合静态配置ARP表项的场合。一方面可以配置静态ARP表项，另一方面可以将当前学习到的动态ARP表项转换为静态表项（可以减轻一一配置ARP静态表项所带来的繁重工作量。关闭交换机的自动学习功能时，如果动态表项不转换为静态表项，会正常老化掉）。在ARP表项均为静态配置的情况下，可以有效地避免ARP绑定。

ND是IPV6协议中的邻居发现协议，其工作原理同ARP类似，因此我们采取同ARP绑定相同的方法处理利用ND进行绑定和攻击的手段。

3.2 ARP、ND绑定配置

配置ARP、ND绑定配置序列如下: 1. 关闭ARP、ND自动更新功能 2. 关闭ARP、ND自动学习与更新功能

3. 将动态的ARP、ND转化为静态ARP、ND的功能

1. 关闭ARP、ND自动更新功能命令全局配置模式和接口配置模式 ip arp-security updateprotect no ip arp-security updateprotect ipv6 nd-security updateprotect no ipv6 nd-security updateprotect

2. 关闭ARP、ND自动学习与更新功能命令全局配置模式和接口配置模式 ip arp-security learnprotect no Ip arp-security learnprotect ipv6 nd-security learnprotect no ipv6 nd-security learnprotect

3. 将动态的ARP、ND转化为静态ARP、ND的功能命令全局配置模式和接口配置模式解释 3-2

关闭和启动ARP、ND的自动学习与更新功能。解释关闭和启动ARP、ND的自动更新功能。解释三层转发及ARP、ND操作第3章 ARP、ND绑定配置 ip arp-security convert ipv6 nd-security convert 将动态ARP、ND转化静态。 3.3 ARP、ND绑定举例

Switch

A B

设备说明：设备 switch A B C

配置

数量 1 1 1 若干 IP:192.168.2.4; IP:192.168.1.4; mac: 00-00-00-00-00-04 IP:192.168.2.1; mac: 00-00-00-00-00-01 IP:192.168.1.2; mac: 00-00-00-00-00-02 IP:192.168.2.3; mac: 00-00-00-00-00-03 在上图中首先B与C正常通信。A想要交换机将B发给C的报文转发给自己，所以需要交换机将从B来的报文发给A。首先A先发送ARP应答包给交换机，格式如：192.168.2.3，00-00-00-00-00-01。就是将自己的MAC地址换上C的IP，这样交换机在更新ARP表时就会将B发给IP地址：192.168.2.3的数据报发到00-00-00-00-00-01的地址（A地址）去了。

进一步将A也可以将收到的数据报中的源地址，目的地址更改下，让交换机将自己发的包给C，这样B与C相互通信的数据在不知情的状况下就都可以被A接收。由于ARP表是定时更新的，所以A还有1个任务是持续不断的向交换机发送ARP应答包，刷新交换机的ARP表。

所以重要的是将ARP表保护起来，可以在环境稳定后配置禁止ARP学习的命令，然后将所有的动态ARP转换为静态的，这样已经学习到的ARP就不会被刷新，从而为用户提供保护。 Switch(config)#

Switch(Config)#interface vlan 1

Switch(Config-If-Vlan1)#arp 192.168.2.1 00-00-00-00-00-01 interface eth 1/0/2

3-3

三层转发及ARP、ND操作第3章 ARP、ND绑定配置 Switch(Config-If-Vlan1)#interface vlan 2

Switch(Config-If-Vlan2)#arp 192.168.1.2 00-00-00-00-00-02 interface eth 1/0/2 Switch(Config-If-Vlan2#interface vlan 3

Switch(Config-If-Vlan3)#arp 192.168.2.3 00-00-00-00-00-03 interface eth 1/0/2 Switch(Config-If-Vlan3)#exit

Switch(Config)#ip arp-security learnprotect Switch(Config)#

Switch(config)#ip arp-security convert

如果环境经常变动，也可以开启禁止ARP更新的命令，这样一旦学习到的ARP属性，就不会被新的ARP应答包所更新，保护用户数据不会被“嗅探”。 Switch#config

Switch(config)#ip arp-security updateprotect

3-4

三层转发及ARP、ND操作第4章 ARP GUARD配置

第4章 ARP GUARD配置

4.1 ARP GUARD 的介绍

ARP协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机，攻击者发送ARP REQUEST报文或者ARP REPLY报文通告错误的IP地址和MAC地址映射关系，导致网络通讯故障。ARP欺骗的危害主要表项为两种形式：1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址，将导致本应该发送给PC2的IP报文全部发送到了PC4，这样PC4就可以监听、截获PC2的报文；2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址，将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗，将导致整个网络瘫痪。

PC1 HUB PC2 A B C D Switch

PC3 PC4

PC5

PC6

图 4-1 ARP GUARD原理图

我们利用交换机的过滤表项保护重要网络设备的ARP表项不能被其它设备假冒。基本

原理就是利用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP报文的源IP地址是受到保护的IP地址，就直接丢弃报文，不再转发。

ARP GUARD功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC不受ARP欺骗攻击，需要在端口配置大量受保护的ARP GUARD地址，这将占用大量芯片FFP表项资源，可能会因此影响到其它应用功能，并不适合。此时推荐采用FREE RESOURCE相关接入方案，详细请参考相关文档。

4.2 ARP GUARD配置任务序列

1. 配置受到保护的IP地址命令端口配置模式解释 4-1

三层转发及ARP、ND操作第4章 ARP GUARD配置 arp-guard ip 配置/删除ARP GUARD地址。 no arp-guard ip

4-2

三层转发及ARP、ND操作第5章 Arp local proxy配置

第5章 Arp local proxy配置

5.1 Arp local proxy功能简介

某种实际的应用环境中，为了防止ARP的欺骗，要求汇聚层的交换机实现local arp proxy功能，限制ARP报文在同一vlan内的转发，从而引导数据流量通过交换机进行L3转发。

图 5-1 Arp local proxy功能示意图

例如上图，PC1要向PC2发送一个IP报文，整个的流程大致如下（省略了一些非ARP

的细节）：

1. 由于PC1没有PC2的ARP，因此PC发送ARP REQUEST并广播出去。

2. 交换机硬件收到ARP报文，依据新的ARP处理规则，芯片不会硬件转发该报文，

只是把ARP REQUEST送CPU。

3. 在启动local arp proxy的情况下，交换机向PC1发送arp reply报文（填充自己的

mac地址）。

4. PC1收到该arp reply之后，创建ARP，发送ip报文，封装的以太网头的目的MAC

为交换机的MAC。

5. 当交换机收到该ip报文之后，交换机查询路由表（创建路由缓存），并下发硬件表

项。

6. 当交换机有PC2的ARP的情况下，直接封装以太网头部并发送报文（目的MAC

为PC2）。

7. 如果交换机没有PC2的ARP，那么会请求PC2的ARP，然后发送ip报文。

该功能通常需要和其他的安全功能配合使用，例如在汇聚交换机上配置local arp proxy，而在下连的二层交换机上配置端口隔离功能，这样将会引导所有的ip流量通过汇聚交换机上进行三层转发，而由于端口隔离，ARP报文不会在vlan内转发，其他PC也不会收到。

5-1

三层转发及ARP、ND操作第5章 Arp local proxy配置

5.2 Arp local proxy功能配置任务序列

1. 启动/关闭arp local proxy功能

1. 启动/关闭arp local proxy功能命令 VLAN接口配置模式 ip local proxy-arp no ip local proxy-arp 解释启动或者关闭arp local proxy功能。 5.3 Arp local proxy功能典型案例

如下图所示，S1为支持arp local proxy的中高端三层交换机，S2为支持端口隔离的二层接入交换机。

为了安全的考虑，在S2上启动端口隔离功能，这样S2的所有下连端口彼此隔离，所有的ARP报文都能通过S1转发。如果再在S1上启动arp local proxy，则在S1上的所有端口隔离ARP，同时代理ARP，从而引导IP流量经过S1进行3层转发，而不是原来的2层转发。

图 5-2 Arp local proxy功能典型案例示意图

我们可以对S1进行如下配置： Switch(config)#interface vlan 1

Switch(Config-if-Vlan1)#ip address192.168.1.1 255.255.255.0

5-2

三层转发及ARP、ND操作第5章 Arp local proxy配置

Switch(Config-if-Vlan1)#ip local proxy-arp Switch(Config-if-Vlan1)#exit

5.4 Arp local proxy功能排错帮助

arp local proxy功能默认是关闭的，可以使用显示命令（show running-config）看目前的配置情况。在确认配置正确的情况下，打开ARP的debug，可以看到是不是成功代理ARP，并发送代理ARP报文。

在操作过程中，如果有操作错误，系统将会给出具体的错误提示信息。

5-3

三层转发及ARP、ND操作第6章免费ARP发送功能操作配置

第6章免费ARP发送功能操作配置

6.1 免费ARP发送功能简介

主机发送以自己IP地址为目标IP地址的ARP请求，这种ARP请求称为免费ARP（gratuitous ARP）。

交换机基于三层接口的免费ARP发送功能的整体思路是：在交换机的接口模式下配置该接口定时发送免费ARP报文；或者在交换机的全局配置模式下配置交换机系统中所有存在的接口定时发送免费ARP报文。

在本系统中主要实现免费ARP的如下两个作用：

1. 减少局域网内主机向交换机网关发送ARP请求的次数。局域网内主机会每隔一段时间

向交换机网关发送ARP请求，请求网关的MAC地址。如果交换机每隔一段时间向局域网内广播免费ARP，这样局域网内主机就不用发送ARP请求了，从而减少了局域网内主机向网关发送ARP请求的次数。

2. 可以防止针对网关的ARP欺骗。交换机定时向局域网内主机广播免费ARP，这样局域

网内主机的ARP缓存会定时更新，所以在局域网内主机受到针对网关的ARP欺骗后，主机会在收到交换机的免费ARP后，更新其ARP缓存而得到正确网关MAC地址，这样就防止了针对网关的ARP欺骗。

6.2 免费ARP发送功能配置任务序列

1. 启动免费ARP发送功能和配置免费ARP报文的发送时间间隔 2. 显示免费ARP发送功能的配置信息

1. 启动免费ARP发送功能和配置免费ARP报文的发送时间间隔命令全局配置模式和接口配置模式 ip gratuitous-arp <5-1200> no ip gratuitous-arp 2. 显示免费ARP发送功能的配置信息命令特权和配置模式 6-1 解释解释使能免费ARP发送功能，并设置发送免费ARP报文的发送时间间隔。其中no操作取消使能免费ARP发送功能。三层转发及ARP、ND操作第6章免费ARP发送功能操作配置 show ip gratuitous-arp [interface vlan <1-4094>] 显示免费ARP发送功能的配置信息。 6.3 免费ARP发送功能典型案例

Switch

Interface vlan1 192.168.14.254 255.255.255.0 Interface vlan10 192.168.15.254 255.255.255.0 PC1 PC2 PC3

PC4 PC5

图6-1 免费ARP发送功能配置案例

在上述网络拓扑图中，Switch系统中的interface vlan 10（IP地址为192.168.15.254，子网掩码为：255.255.255.0）下连接有3台PC主机（PC3、PC4和PC5），interface vlan 1（IP地址为：192.168.14.254，子网掩码为：255.255.255.0）下连接有两台PC主机（PC1和PC2）。可通过如下方法配置免费ARP发送功能：

1．一次设置两个接口的免费ARP发送功能 Switch(config)#ip gratuitous-arp 300 Switch(config)#exit

2．一次设计一个接口的免费ARP发送功能 Switch(config)#interface vlan 10

Switch(Config-if-Vlan10)#ip gratuitous-arp 300 Switch(Config-if-Vlan10)#exit Switch(config)#exit

6.4 免费ARP发送功能排错帮助

免费ARP发送功能默认是关闭的。打开免费ARP发送功能后，可以打开调试开关debug arp send来查看交换机发送的arp报文信息。

6-2

三层转发及ARP、ND操作第6章免费ARP发送功能操作配置

在全局配置模式下使能免费ARP发送功能后，必须在全局配置模式才能取消使能免费ARP发送功能；在接口配置模式下使能免费ARP发送功能后，必须在接口配置模式下才能取消使能免费ARP发送功能。

6-3

三层转发及ARP、ND操作第7章 Keepalive gateway配置

第7章 Keepalive gateway配置

7.1 keepalive gateway介绍

市场需要使用以太端口参与备份或者负载均衡，由于以太端口是广播式信道，在网关down的情况下由于检测不到物理信号的变化，所以以太端口无法down下来。该功能主要用在网关使用以太端口上连上一级网关形成点到点的网络拓扑的情况下，希望可以检测到上一级网关的连通性。

例如：路由器连接光端机，路由器到光端机的线路始终是up的，而moden与远端设备之间的线路不通的时候环境下，需要使用有效手段检测对端设备是否可达。目前，使用ARP机制来检测网关的连通性，通过定时的给网关发送ARP请求来探测网关的连通性，如果ARP解析失败，表明网关已经down，这时down掉三层接口；继续定时的发送ARP请求，如果ARP解析成功，则up接口。

该功能只对三层交换机支持，二层交换机不支持。

7.2 keepalive gateway功能配置任务序列

1．开启或关闭keepalive gateway功能和配置发送ARP请求报文的间隔周期和判定探测失败的重试次数

2．显示接口keepalive gateway运行情况和接口ipv4运行状态

1．启动keepalive gateway功能和配置发送ARP请求报文的间隔周期和判定探测失败的重试次数命令接口配置模式 keepalive gateway 解释配置探测的网使能keepalive gateway功能，| msec 关IP地址、发送ARP请求报文的间隔周期和判定探测失败的重试次数；no命令为关闭该功能。 [{ no keepalive gateway

} [retry-count]] 2．显示接口keepalive gateway运行情况和接口ipv4运行状态命令特权和配置模式 show keepalive 如果不gateway 显示指定接口的keepalive运行情况。指定则显示所有接口的keepalive运行情况。显示指定接口的IPv4运行状态。如果不指定7-1 解释 [interface-name] show ip interface [interface-name] 三层转发及ARP、ND操作第7章 Keepalive gateway配置

则显示所有接口的IPv4运行状态。 7.3 keepalive gateway举例

网关A网关B

图 7-1 keepalive gateway典型应用举例

在上述网络拓扑中，网关A interface vlan10 接口地址为1.1.1.1 255.255.255.0，网关B interface vlan100接口地址为1.1.1.2 255.255.255.0，网关B支持keepalive gate功能，可通过如下方法配置网关B上的keepalive gateway功能：

1、采用默认的发送arp间隔和判定探测失败重复次数（缺省发送arp探测报文周期为10s,

缺省判定探测失败重复次数为5次） Switch(config)#interface vlan 100

Switch(config-if-vlan100)#keepalive gateway 1.1.1.1 Switch(config-if-vlan100)#exit

2、手动配置发送arp间隔和判定探测失败重复次数

Switch(config)#interface vlan 100

Switch(config-if-vlan100)#keepalive gateway 1.1.1.1 3 3 Switch(config-if-vlan100)#exit

探测网关A是否可达，每隔3秒发送一次ARP探测，探测3次失败后认为网关A不可达。

7.4 keepalive gateway排错帮助

当在使用keepalive gateway过程中遇到问题，请检查是否是如下原因： ? 确认设备为三层交换机，二层交换机不支持该功能。 ? 该种探测方法仅适用于点对点的拓扑模式。

7-2

三层转发及ARP、ND操作第7章 Keepalive gateway配置

? 该方法是探测的IPv4可达性。因此探测结果，只能影响接口的IPv4工作状态。当