Si muchos hosts de usuarios envían simultáneamente una gran cantidad de paquetes ARP a un dispositivo, el procesamiento de paquetes ARP consume considerables recursos de CPU. El dispositivo aprende muchas entradas ARP no válidas, que agotan los recursos de entrada ARP y evitan que el dispositivo aprenda las entradas ARP para paquetes ARP de usuarios autorizados. En consecuencia, se interrumpe la comunicación de los usuarios autorizados.
Para evitar este problema, configure la función estricta de aprendizaje ARP en la puerta de enlace. Esta función permite que la puerta de enlace aprenda solo las entradas ARP para los paquetes de respuesta ARP en respuesta a los paquetes de solicitud ARP que ha enviado. De esta forma, la puerta de enlace puede prevenir la mayoría de los ataques ARP.
El aprendizaje estricto de ARP se puede configurar globalmente o en la vista de interfaz.
- Si el aprendizaje ARP estricto está habilitado globalmente, todas las interfaces del dispositivo aprenden las entradas ARP estrictamente.
- Si el aprendizaje ARP estricto está habilitado en la vista de la interfaz, solo esta interfaz aprende las entradas ARP estrictamente.
Cuando el aprendizaje ARP estricto está habilitado globalmente y en la vista de interfaz simultáneamente, la configuración en la interfaz tiene prioridad sobre la configuración global.
Realice los siguientes pasos para configurar el aprendizaje ARP estricto a nivel mundial:
1. Ejecute el comando system-view para ingresar a la vista del sistema.
2. Ejecute el comando arp learning strict para habilitar el aprendizaje ARP estricto a nivel mundial.
De forma predeterminada, el aprendizaje ARP estricto está desactivado.
Realice los siguientes pasos para configurar el aprendizaje ARP estricto en una interfaz:
1. Ejecute el comando system-view para ingresar a la vista del sistema.
2. Ejecute el comando interface interface-type interface-number para ingresar a la vista de la interfaz.
3. (Opcional) En una interfaz Ethernet, ejecute el comando undo portswitch para cambiar la interfaz al modo de Capa 3.
De forma predeterminada, una interfaz Ethernet funciona en modo Capa 2.
4. Ejecute el comando arp learning strict { force-enable | force-disable | trust } para habilitar el aprendizaje ARP estricto en la interfaz.
De forma predeterminada, el aprendizaje ARP estricto está desactivado en la interfaz.