华为---代理ARP简介及示例配置

[1. 概念](#1. 概念)

[2. 前提条件](#2. 前提条件)

[3. 使用环境](#3. 使用环境)

[4. 工作过程](#4. 工作过程)

[5. 优点](#5. 优点)

[6. 缺点](#6. 缺点)

[7. 示例配置](#7. 示例配置)

[7.1 示例场景](#7.1 示例场景)

7.2基本配置

[7.3 配置端口隔离](#7.3 配置端口隔离)

[7.4 开启代理ARP](#7.4 开启代理ARP)

[7.4.1 VLAN内代理ARP](#7.4.1 VLAN内代理ARP)

[7.4.2 VLAN间代理ARP](#7.4.2 VLAN间代理ARP)

7.4.3路由式ARP代理

1. 概念

代理ARP（Proxy ARP）：当主机没有配置网关，向是同一网段的另一广播域终端发送ARP广播请求，配置了代理ARP的设备收到了这个ARP请求后，确认IP地址可达后，会使用自己端口的mac地址作回应该ARP请求，使处于不同物理网络的同一网段主机正常通信。
扩展了局域网，将物理上分割开的广播域连接在一起。

2. 前提条件

同一网段的局域网设备，被分割为多个局域网（多个广播域），在局域网各个终端不设置网关的情况下，要使被分隔开的各同一网段的终端能够通信，则需要在相应设备上配置代理ARP。屏蔽了分离的物理网络，使用起来好像在同一个物理网络上。

3. 使用环境

代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。

4. 工作过程

如上图所示，同一网段的局域网设备，被路由器分割为多个局域网（多个广播域），在局域网各个终端不设置网关的情况下，要使被物理上分隔开的各同一网段的终端能够通信，则需要在路由器上设置代理ARP。
当A区域的终端发送ARP广播请求，查找B区域终端的MAC地址时，连接A区域的路由器端口1收到ARP请求时（由于路由器不会转发广播包，因此ARP请求只能到达路由器，不能到达区域B），三层设备会查看ARP请求，发现IP地址属于它连接的另一个网络，因此路由器用端口1的MAC地址代替B区域终端的MAC地址，向A区域终端回复ARP应答。
A区域终端收到ARP应答后，会认为B区域终端的MAC地址就是连接A区域的路由器端口的MAC地址，不会感知到ARP代理的存在。

5. 优点

最主要的一个优点就是在不影响路由表的情况下，可以和同一网段的另一广播域终端正常通信。

6. 缺点

增加了某一网段上ARP流量；
主机需要更大的ARP table来处理IP地址到MAC地址的映射；
安全问题，比如ARP欺骗（spoofing）；
和不使用ARP来解析地址的网络无法通信；
不能概括和扩展网络拓扑。

7. 示例配置

7.1 示例场景

如上图所示，所有PC终端都在同一网段下，也都没有配置网关， PC1和PC2与交换机SW连接的端口加入隔离组，在上述条件下，实现所有PC终端能够正常通信。

7.2基本配置

PC2、PC3和PC5配置与PC1和PC4类似，不再赘述。

<Huawei>system-view
$Huawei$ sysname R1
$R1$ interface GigabitEthernet 0/0/1
$R1-GigabitEthernet0/0/1$ ip address 192.168.10.30 27
$R1-GigabitEthernet0/0/1$ interface GigabitEthernet 0/0/2
$R1-GigabitEthernet0/0/2$ ip address 12.0.0.1 30
$R1-GigabitEthernet0/0/2$ quit
$R1$ ip route-static 192.168.10.32 27 12.0.0.2
$R1$ ip route-static 192.168.10.64 27 12.0.0.2

<Huawei>system-view
$Huawei$ sysname R2
$R2$ interface GigabitEthernet 0/0/0
$R2-GigabitEthernet0/0/0$ ip address 192.168.10.62 27
$R2-GigabitEthernet0/0/0$ interface GigabitEthernet 0/0/1
$R2-GigabitEthernet0/0/1$ ip address 192.168.10.94 27
$R2-GigabitEthernet0/0/1$ interface GigabitEthernet 0/0/2
$R2-GigabitEthernet0/0/2$ ip address 12.0.0.2 30
$R2-GigabitEthernet0/0/2$ quit
$R2$ ip route-static 192.168.10.0 27 12.0.0.1

<Huawei>system-view
$Huawei$ sysname SW
$SW$ vlan batch 10 20
$SW$ interface GigabitEthernet 0/0/23
$SW-GigabitEthernet0/0/23$ port link-type trunk
$SW-GigabitEthernet0/0/23$ port trunk allow-pass vlan 10 20

<Huawei>system-view
$Huawei$ sysname SW1
$SW1$ vlan batch 10 20
$SW1$ interface Ethernet 0/0/1
$SW1-Ethernet0/0/1$ port link-type access
$SW1-Ethernet0/0/1$ port default vlan 10
$SW1-Ethernet0/0/1$ interface Ethernet 0/0/2
$SW1-Ethernet0/0/2$ port link-type access
$SW1-Ethernet0/0/2$ port default vlan 10
$SW1-Ethernet0/0/2$ interface Ethernet 0/0/3
$SW1-Ethernet0/0/3$ port link-type access
$SW1-Ethernet0/0/3$ port default vlan 20
$SW1$ interface GigabitEthernet 0/0/1
$SW1-GigabitEthernet0/0/1$ port link-type trunk
$SW1-GigabitEthernet0/0/1$ port trunk allow-pass vlan 10 20

在上述基本配置下测试网络环境

经过上图测试说明，所有PC终端都无法跨网段通信。

7.3 配置端口隔离

将PC1和PC2与交换机SW连接的端口加入隔离组

配置如下：

<Huawei>system-view
$Huawei$ sys SW1
$SW1$ interface GigabitEthernet 0/0/1
$SW1-Ethernet0/0/1$ port-isolate enable group 5
$SW1-Ethernet0/0/1$ interface GigabitEthernet 0/0/2
$SW1-Ethernet0/0/2$ port-isolate enable group 5

测试PC1和PC2通信情况

将PC1和PC2与交换机SW连接的端口加入隔离组5后，PC1和PC2无法正常通信。

7.4 开启代理ARP

7.4.1 VLAN内代理ARP

VLAN内ARP代理的功能就是使那些处于相同的VLAN，但是相互之间配置了端口隔离的设备之间能够相互通信。

PC1和PC2与交换机SW连接的端口加入隔离组5后，PC1和PC2无法正常通信，现要求在端口隔离的情况下，实现VLAN 10下的PC1和PC2能够通信。

为满足上述要求，在SW1交换机上配置VLAN内代理ARP，具体配置如下：

$SW1$ interface Vlanif 10
$SW1-Vlanif10$ ip address 192.168.10.14 28
$SW1-Vlanif10$ arp-proxy inner-sub-vlan-proxy enable //配置VLAN内代理ARP

测试PC1和PC2通信情况

PC1和PC2与交换机SW连接的端口在隔离组5中，在SW1交换机上配置VLAN 10内代理ARP，实现了PC1和PC2正常通信。

7.4.2 VLAN间代理ARP

VLAN间ARP代理的功能就是使那些处于不同的VLAN的设备（未配置网关）之间能够相互通信。

PC1和PC2与交换机SW连接的端口在隔离组5中，在SW1交换机上配置VLAN 10内代理ARP，实现了PC1和PC2正常通信。但PC3还无法和PC1、PC2通信，现要求在不给PC1、PC2和PC3配置网关的情况下，PC3和PC1、PC2能够正常通信。

为满足上述要求，在SW1交换机上配置VLAN间代理ARP，具体配置如下：

$SW1-Vlanif10$ undo arp-proxy inner-sub-vlan-proxy enable
$SW1-Vlanif10$ undo ip address 192.168.10.14 255.255.255.240

$SW1-vlan23$ access-vlan 10 20
Error: The VLAN has a L3 interface. Please delete it first.
为了消除上述错误，进行如下配置。
$SW1$ undo interface Vlanif 10
$SW1$ undo interface Vlanif 20

$SW1-vlan23$ aggregate-vlan //VLAN23设置为聚合VLAN（Super VLAN）
$SW1-vlan23$ access-vlan 10 //VLAN10设置为VLAN23的子VLAN（Sub-VLAN）
$SW1-vlan23$ access-vlan 20
$SW1$ interface Vlanif 23
$SW1-Vlanif23$ ip add
$SW1-Vlanif23$ ip address 192.168.10.29 27
$SW1-Vlanif23$ arp-proxy inner-sub-vlan-proxy enable //配置VLAN内代理ARP
$SW1-Vlanif23$ arp-proxy inter-sub-vlan-proxy enable //配置VLAN间代理ARP

测试PC1、PC2和PC3通信情况

PC1和PC2与交换机SW连接的端口在隔离组5中，在SW1交换机的聚合VLAN23上配置VLAN 内代理ARP和VLAN 间代理ARP，不给PC1、PC2和PC3配置网关的情况下，实现了PC1、PC2和PC3通信正常。

7.4.3路由式ARP代理

通过8.4.1 VLAN内代理ARP和8.4.2 VLAN间代理ARP两小节，虽然实现了实现了PC1、PC2和PC3通信正常，但是还无法实现跨路由器通信，即，PC1、PC2、PC3无法和PC4或PC5通信。

为实现PC1、PC2、PC3和PC4或PC5正常通信，进行如下配置：

在R1的GE 0/0/1端口配置子端口，分别对应VLAN10和VLAN20，实现单臂路由功能，因为所有PC终端都没有设置网关IP地址（即默认路由），只能在同网段相互通信。在VLAN10和VLAN20各自对应的GE 0/0/1子端口开启ARP代理，同时在R2的GE 0/0/0端口开启代理ARP，以实现PC1、PC2、PC3和PC4正常通信，PC1、PC2、PC3能访问PC5，但PC5访问不了PC1、PC2和PC3。

$R1$ interface GigabitEthernet0/0/1.10
$R1-GigabitEthernet0/0/1.10$ ip address 192.168.10.14 255.255.255.240
$R1-GigabitEthernet0/0/1.10$ dot1q termination vid 10
$R1-GigabitEthernet0/0/1.10$ arp-proxy enable
$R1-GigabitEthernet0/0/1.10$ arp broadcast enable
$R1-GigabitEthernet0/0/1.10$ quit
$R1$ interface GigabitEthernet0/0/1.20
$R1-GigabitEthernet0/0/1.20$ ip address 192.168.10.30 255.255.255.240
$R1-GigabitEthernet0/0/1.20$ dot1q termination vid 20
$R1-GigabitEthernet0/0/1.20$ arp-proxy enable
$R1-GigabitEthernet0/0/1.20$ arp broadcast enable

$R2-GigabitEthernet0/0/0$ arp-proxy enable

测试PC1、PC2、PC3和PC4或PC5的通信情况

通过上图可以看出，PC1、PC2、PC3和PC4正常通信，PC1、PC2、PC3能访问PC5，但PC5访问不了PC1、PC2和PC3。

为什么PC5访问不了PC1、PC2和PC3？

因为PC5没有设置网关IP地址，只能通过ARP广播查找和自己同网段终端，但和PC5相连的路由器R2隔离了ARP广播，和PC5相连的R2路由器GE0/0/1端口没有开启代理ARP，所以PC5的数据出不了自己所在的局域网。

为什么PC1、PC2、PC3、PC4和PC5无法访问12.0.0.1和12.0.0.2两个IP地址？

因为本示例各PC终端都是通过代理ARP实现192.168.10.0/24网段通信，没有设置网关IP地址，各PC终端无法实现跨网段通信。