在網路檢查中有時會需要查詢設備的 ARP 表,若要對 Fortigate 進行 ARP 表查詢,需要透過 CLI 命令列進行操作,GUI 圖形管理界面目前沒有查詢 ARP 表的功能,本文說明如何查詢與調整 Fortigate 防火牆的 ARP 表,請繼續閱讀。
ARP:Address Resolution Protocol ( 地址解析協議 ),是一個通過解析網絡層地址來找尋數據鏈路層地址的網絡傳輸協議。
示範設備為一台 Fortigate 40F,韌體版本為 v7.2.4。
登入 fortigate 管理介面後,點擊右上角 CLI 功能。
列出 ARP 表的指令:
get system arp
清除 ARP 表所有條目的指令:
execute clear system arp table
診斷 ARP 表:
diagnose ip arp list
當診斷 ARP 表時,會出現類似下面的條目:
index=5 ifname=wan1 224.0.1.140 01:00:5e:00:01:8c state=00000040 use=924202 confirm=930202 update=924202 ref=1
ARP 條目的 state 有多種可能的狀態,常見的狀態包括以下幾種:
000000002 或 0x02:REACHABLE (可達):收到 ARP 響應
000000004 或 0x04:STALE (陳舊):在預期時間內沒有 ARP 響應
000000008 或 0x08:DELAY (延遲):STALE 和 REACHABLE 之間的轉換狀態
000000020 或 0x20:FAILED (失敗):未能在配置的最大偵測次數內解決問題
000000040 或 0x40:NOARP:設備不支援 ARP,例如 IPsec 介面
000000080 或 0x80:PERMANENT (永恆):靜態定義的 ARP 條目
設定 ARP 表最大數量:可以增加到 ARP 表中的動態學習 MAC 地址的最大數量(131072 到 2147483647,預設 = 131072)。
config system global
set arp-max-entry [ 131072 ~ 2147483647 ]
end
設定介面的 ARP 頻率時間:發送 ARP 請求的頻率,預設值為 30 秒。實際 ARP 請求時間是基本請求時間的一半到三分之二之間的隨機數,即 15 到 45 秒;隨機數每五分鐘更新一次。允許設定的值為(30000 到 3600000,預設 = 30000)
config system interface
edit port1
set reachable-time [ 300000 ~ 3600000 ]
next
end
從 ARP 表中刪除單個 ARP 條目:
diagnose ip arp delete <interface name> <IP address>
增加靜態 ARP 條目:
config system arp-table
edit 1
set interface "internal"
set ip [ xxx.xxx.xxx.xxx ]
set mac [ xx:xx:xx:xx:xx:xx ]
next
end
查看 ARP 表的摘要:
diagnose sys device list root
以上是常用參數,也可以參考原廠文件:
https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/473534/arp-table
沒有留言:
張貼留言