静态ARP配置不生效的故障解决步骤如下:
网络环境
如图所示,NE80/40下接的网络中有一台PC对路由器发起攻击。我们对该PC的IP地址和MAC地址进行ARP静态绑定,防止其继续对路由器发起攻击。
组网图
在系统视图下执行命令arp static 192.168.101.2 0018-8b89-d949 vpn-instance YNBTN_CAIWU,配置完成后,发现路由器仍然遭到来自PC的ARP攻击,防攻击配置实效。
故障分析
步骤 1 通过命令display arp查看设备的ARP表项,如下所示:
- <Quidway> display arp
- Arp Table:
- Total number of arp:3 static:1 dynamic:2
- IP Address MAC Address VlanID Type VPN-Instance Interface
- 192.168.101.2 0018-8b89-d949 S YNBTN_CAIWU
- 192.168.101.2 0050-8bb3-c8b3 98 D YNBTN_CAIWU Eth8/0/1
- 100.1.1.168 000d-88f8-332c D MEth0
从显示信息中可以看到,接口Eth8/0/1学到的是动态ARP(即IP地址192.168.101.2对应MAC地址0050-8bb3-c8b3对应),用于防攻击的静态ARP配置没有生效,失效原因为配置静态ARP时,没有与接口关联,导致ARP表项没有更新。
----结束
处理步骤
在路由器上执行以下操作。
步骤 1 配置静态ARP时,将其与接口Eth8/0/1关联。
- <Quidway> system-view
- [Quidway] arp static 192.168.101.2 0018-8b89-d949 vid 98 interface ethernet 8/0/1
步骤 2 在设备上查询ARP表项。
- <Quidway> display arp
- Arp Table:
- Total number of arp:2 static:1 dynamic:1
- IP Address MAC Address VlanID Type VPN-Instance Interface
- 192.168.101.2 0018-8b89-d949 98 S YNBTN_CAIWU Eth8/0/1
- 100.1.1.168 000d-88f8-332c D MEth0
查看到ARP表项已经更新,防攻击配置生效。
----结束
案例总结
在配置静态ARP时,需要将其与接口进行关联,否则配置不生效。
【编辑推荐】
