ARP配置（IP与MAC地址绑定，静态绑定）

一、ARP介绍

1.1 ARP简介

ARP（Address Resolution Protocol，地址解析协议），是根据IP地址获取物理地址的一个TCP/IP协议。静态ARP表项，是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。 通过将特定IP地址与对应的MAC地址进行固定映射，防止局域网内的IP冲突及ARP欺骗攻击。其核心原理是配置静态的IP-MAC对应关系，仅允许授权设备使用指定IP，并支持条目编辑、启用或删除管理功能。

1.2 ARP绑定类型

• ‌静态绑定‌：管理员手动配置的IP地址到MAC地址的绑定。这种方式通常用于关键网络设备的配置，以确保网络的安全性和稳定性。

1. 静态ARP表项不会被老化，不会被动态ARP表项覆盖。用户可以通过手工方式配置静态ARP表项，也可以通过自动扫描与固化方式批量配置静态ARP表项。

2. 对于出接口是以太网接口，并且以太网接口处于二层模式的情况，建议用户尽量配置长静态ARP表项，即配置ARP表项时同时指定VLAN和出接口。

3. 设备上配置的静态ARP表项数目不能大于设备静态ARP表项规格，可以执行命令display arp statistics all查看设备上已有的ARP表项数目。

• ‌动态绑定‌：通过ARP协议自动建立的绑定。这是最常见的方式，适用于大多数的网络通信场景。

1.3 应用场景

• 1. 对于网络中的重要设备，如服务器等，可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新，从而保证用户与重要设备之间正常通信。
  • 2. 当网络中用户设备的MAC地址为组播MAC地址时，可以在交换机上配置静态ARP表项。缺省情况下，设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。
    • 3. 当希望禁止某个IP地址访问设备时，可以在交换机上配置静态ARP表项，将该IP地址与一个不存在的MAC地址进行绑定。

注意事项

• ‌安全性‌：ARP欺骗是一种网络安全攻击，攻击者可以伪造IP地址和MAC地址的绑定关系，导致数据被错误地发送到攻击者的设备。因此，使用安全的网络配置和定期更新网络设备的安全设置非常重要。

• ‌动态更新‌：由于网络设备的移动或更换可能导致MAC地址的变化，因此动态ARP绑定需要定期更新以保持准确性。

二、静态ARP表项配置

组网拓扑

企业通过核心交换机实现各个部门网络互通。办公室和服务器采取手工方式分配已经获取到固定IP地址，市场部和研发部主机通过DHCP方式已经获取到动态IP地址。在Switch上配置静态ARP表项，可以防止ARP欺骗攻击，并保护ARP表项不被伪造的ARP报文动态覆盖，从而保护设备不受到网络攻击。

​

配置思路

核心交换机静态ARP绑定，配置思路如下：

1. 配置静态ARP表项绑定。
2. 验证配置结果。

配置步骤

1. 网络基础配置（省略）。

2. 在核心交换机配置静态ARP表项绑定。

HUAWEI\] arp static 192.168.3.2 00e0-fc01-0001 //配置办公室PC静态ARP表项 \[HUAWEI\] arp static 192.168.200.50 00e0-fc02-1234 //配置服务器静态ARP表项

3. 静态ARP表项配置案例。

配置一条静态ARP表项，IP地址为172.16.10.2，MAC地址为0023-0045-0067，出接口GE1/0/1处于二层模式，此静态ARP表项属于VLAN 100。

HUAWEI\] arp static 172.16.10.2 0023-0045-0067 vid 100 interface gigabitethernet 1/0/1

配置一条静态ARP表项，IP地址为172.16.20.2，MAC地址为0023-0045-0068，出接口GE1/0/2处于三层模式。

HUAWEI\] arp static 172.16.20.2 0023-0045-0068 interface gigabitethernet 1/0/2

配置一条静态ARP表项，IP地址为172.16.30.2，MAC地址为0023-0045-0069，此静态ARP表项属于VPN实例vpn1。

HUAWEI\] arp static 172.16.30.2 0023-0045-0069 vpn-instance vpn1

配置一条静态ARP表项，IP地址为172.16.40.2，MAC地址为02bf-0045-0070。（例如设备采用多端口ARP方式与NLB服务器群集连接时，可以配置这种短静态的ARP表项。）

HUAWEI\] arp static 172.16.40.2 02bf-0045-0070

4. 在核心交换机验证配置结果。

查看已配置的静态ARP表项。

HUAWEI\] display arp static IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN/CEVLAN ------------------------------------------------------------------------------ 192.168.3.2 00e0-fc01-0001 S-- GE0/0/3 10/- 192.168.200.50 00e0-fc02-1234 S-- GE0/0/4 200/- ------------------------------------------------------------------------------ Total:2 Dynamic:0 Static:2 Interface:0

静态ARP其它查询命令。

查看设备所有的静态ARP表项信息。

<HUAWEI> display arp static

查看设备所有的动态ARP表项信息。

<HUAWEI> display arp dynamic

查看设备上已有的ARP表项数目。

<HUAWEI> display arp statistics

<HUAWEI> display arp statistics all

查看指定IP地址ARP表项信息。

<HUAWEI> display arp | include 10.78.120.25

查看指定网段的ARP映射表。

<HUAWEI> display arp network 192.168.10.0 255.255.255.0

查看指定网段IP地址的ARP映射表。

<HUAWEI> display arp network 192.168.10.5

查看vlan 80的ARP表项信息。

<HUAWEI> display arp interface vlan 80

三、ARP老化时间配置

用户可以在系统视图或接口视图下执行命令arp expire-time expire-time，配置动态ARP表项的老化时间。ARP老化时间expire-time取值范围：框式交换机是60～62640，盒式交换机是30～62640，单位是秒。ARP老化时间仅对动态ARP表项生效，缺省值是20分钟。

配置动态ARP表项的老化时间为1800秒。

HUAWEI\] arp expire-time 1800

配置完成后查看设备上已配置的动态ARP表项的老化时间。

<HUAWEI> display current-configuration | include arp

arp expire-time 1800

查看当前动态ARP表项的老化时间。

<HUAWEI> display arp

四、清除ARP表项

在需要刷新设备 ARP 表项时，可先清除现有表项，设备将自动重新进行 ARP 学习。清除操作会删除 IP 地址与 MAC 地址的映射关系，可能造成部分网络节点无法访问，执行前请务必确认。

清除设备上所有的ARP表项。

<HUAWEI> reset arp all

清除设备上IP地址为172.16.10.1的动态ARP表项。

<HUAWEI> reset arp dynamic ip 172.16.10.1 //不指定IP地址，则删除设备上所有动态ARP表项。

清除设备上所有的静态ARP表项。

<HUAWEI> reset arp static

删除设备上IP地址为172.16.20.1，MAC地址为0023-0045-0067，出接口为GE1/0/1的静态ARP表项。

HUAWEI\] undo arp static 172.16.20.1 0023-0045-0067 interface gigabitethernet 1/0/1

删除设备上IP地址为172.16.20.1，从VLANIF100接口学习到的ARP表项。

<HUAWEI> reset arp interface vlanif 100 ip 172.16.20.1 //不指定IP地址，则删除设备上所有VLANIF 100接口学习到的ARP表项。