配置静态ARP示例

组网图形

图1 配置静态ARP组网图

静态ARP简介

静态ARP表项是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。

正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习，生成的动态ARP表项可以被老化，可以被更新。但是当网络中存在ARP攻击时，设备中动态ARP表项可能会被更新成错误的ARP表项，或者被老化，造成合法用户通信异常。静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址，此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系，从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。

对于以下场景，用户可以配置静态ARP表项。

• 对于网络中的重要设备，如服务器等，可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新，从而保证用户与重要设备之间正常通信。
• 当网络中用户设备的MAC地址为组播MAC地址时，可以在交换机上配置静态ARP表项。缺省情况下，设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。
• 当希望禁止某个IP地址访问设备时，可以在交换机上配置静态ARP表项，将该IP地址与一个不存在的MAC地址进行绑定。

配置注意事项

• 设备上配置的静态ARP表项数目不能大于设备静态ARP表项规格，可以执行命令display arp statistics all查看设备上已有的ARP表项数目。

如需了解交换机硬件规格，以及产品部件的配套关系，请点击硬件中心进行查询；如需了解交换机的关键规格和全量软件规格，请点击规格查询进行查询。

S5751-L、S5731-L和S5731S-L属于远端模块，不支持Web管理、YANG和命令行，仅支持通过中心交换机对其下发配置，相关操作请参见《S300, S500, S2700, S5700, S6700 V200R024C00 配置指南-设备管理》中的“智能极简园区网络配置（小行星方案）”。

组网需求

如图1所示，企业通过Switch实现各个部门之间的互连，且各个部门加入不同的VLAN。总裁办公室和文件备份服务器采取手工方式分配已经获取到固定IP地址，市场部和研发部主机通过DHCP方式已经获取到动态IP地址。由于市场部拥有访问外网的权利，主机经常会感染ARP病毒，攻击Switch并修改Switch上的动态ARP表项，造成总裁办公室与外界的通信中断以及各个部门不能正常访问文件备份服务器。公司希望在Switch上配置静态ARP表项，以保证总裁办公室与外界的通信安全，并保证各个部门能正常访问文件备份服务器。

配置思路

静态ARP的配置思路如下：

1. 在Switch上为总裁办公室主机配置静态ARP表项，防止总裁办公室主机的ARP表项被ARP攻击报文修改，造成总裁办公室与外界的通信中断。
2. 在Switch上为文件备份服务器配置静态ARP表项，防止文件备份服务器的ARP表项被ARP攻击报文修改，造成各个部门不能正常访问文件备份服务器。

操作步骤

1. 在Switch上创建VLAN，并配置各接口的IP地址

# 创建VLAN10，将接口加入VLAN10，并配置接口VLANIF10的IP地址。

<HUAWEI> system-view

[HUAWEI]