s5820x上发现未回应arp广播
问题描述:
交换机上发现每秒几百次ARP广播报文,能否将询问指定目的ip的广播报文丢弃,意思就是让交换机接收到询问指定ip的报文不转发丢弃掉 ,请求的这个地址并不存在
组网及组网描述:
5小时前提问
建议收集诊断信息咨询400
5小时前回答暂无
用户合法性检查可以帮到你
将目的IP进行匹配1.9.2 用户合法性检查
1. 功能简介
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于用户合法性规则检查和基于DHCP Snooping表项的检查。
设备收到ARP报文后,首先进行基于用户合法性规则检查,如果找到与报文匹配的规则,则按照该规则对报文进行处理;如果未找到与报文匹配的规则,则继续进行基于DHCP Snooping表项的检查:
· 只要符合DHCP Snooping表项,就认为该ARP报文合法,进行转发。转发时查询报文目的IP地址对应的DHCP Snooping表项:
? 如果查询到匹配的表项,且和源IP地址对应表项的接口不一致,则将报文从目的IP地址对应的表项中的接口发送出去;
? 如果查询到匹配的表项,且和源IP地址对应表项的接口一致,则将报文进行二层转发;
? 如果未查到任何表项,则将报文进行二层转发。
· 如果没有找到匹配的表项,则认为是非法报文,直接丢弃。
DHCP Snooping安全表项通过DHCP Snooping功能自动生成,详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。
2. 配置限制和指导
配置用户合法性检查功能时,必须至少配置用户合法性规则或者DHCP Snooping功能两者之一,否则所有从ARP非信任接口收到的ARP报文都将被丢弃。
3. 配置步骤
进入系统视图。
system-view
(可选)配置用户合法性检查规则。
arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id ]
缺省情况下,未配置用户合法性检查规则。
进入VLAN视图。
vlan vlan-id
(4) 开启ARP Detection功能。
arp detection enable
缺省情况下,ARP Detection功能处于关闭状态,即不进行用户合法性检查。
(5) (可选)将不需要进行用户合法性检查的接口配置为ARP信任接口。
a. 退回系统视图。
quit
b. 进入接口视图。
interface interface-type interface-number
支持的接口类型包括二层以太网接口和二层聚合接口视图。
c. 将不需要进行用户合法性检查的接口配置为ARP信任接口。
arp detection trust
缺省情况下,接口为ARP非信任接口。
5小时前回答暂无
你正在内容来源:知了社区,s5820x上发现未回应arp广播
