一、原理介绍：

二、使用场景说明：

      开启准入管控的场景中，设备需要收到终端发起ARP报文终端才能进行准入管控，网络中可能存在某些终端只会被动回应ARP报文而不主动发起ARP报文，该情况下则终端准入就会失败。

      在该场景中则需要在N18K上开启ARP主动打通功能，主动去进行ARP扫描，通过终端的ARP回应报文进行准入管控。

二、使用注意：

1、  极简  X  支持配置打通  ARP  网段。  当访问打印机哑终端后  发现没有目标的  ARP  ，如果  属于  ARP打通网段  ，则网关设备  就直接向  所属  supervlan中的所有subvlan进行  ARP  广播  泛洪  请求  。  打印机收到ARP报文后响应，设备即学习  到  哑  终端  ARP信息  ，  正常通信  。

2、  为了防止有  IP  或者  ARP  扫描，最多配置  16  个网段  ,  并且  IP  总  数不能超过  1024(  例如  24  位掩码的就认为占用  256  个  ip  )  ，  因此  arp  打通的一个业务子网  最  多  只能配置22位  掩码  。

3、  需要进行  arp  打通的  ip  地址存储在队列中，队列长度为  1024  ，多出来的直接丢弃，每秒默认取出  10  个  IP  进行打通，每个  IP  地址最多打通  5  次（每秒打通一次）  ，  没有回复的话就将  该  ARP  的  subvlan  信息  删除。这样打印机  在不同  subvlan  迁移后，保证第二次访问的时候能够通   

4、  ARP  打通  可以基于业务子网（  ONC  ），基于  IP  地址（  CLI  ），基于  vlan  （  CLI  ），免认证  vlan  具备免认证以及  arp  打通功能。  如果配置了  arp  打通  vlan  ，则免认证  vlan  不再具备打通  arp  功能，仅能免认证。

5、      ARP  打通  vlan  优先级高于  arp  打通  IP  ，  高于  免认证  vlan  ，  不  符合  ARP  打通  vlan  与  网  段的报文转入传统极简的打通逻辑（免认证vlan打通）

四、ONC针对哑终端业务子网开启ARP打通功能

五、netconf下发业务子网的ARP打通命令到设备上   

N18K#show run | in arp

arp resolve ip 10.4.1.0 10.4.1.255   

arp resolve ip 10.3.1.0 10.3.1.255 //arp打通网段定义startip-endip范围

六、N18K上也可以针对单独个别IP地址CLI配置ARP打通功能

arp resolve ip 10.5.1.10 10.5.1.12      //开启arp打通功能

arp resolve scan  10.5.1.10 10.5.1.12     //触发arp扫描

七、N18K上CLI配置指定某些vlan 有ARP打通功能

arp resolve vlan 10,20       //arp打通vlan列表范围 

PS:如果配置了arp打通vlan，则免认证vlan不再具备打通arp功能，仅能免认证。

八、测试效果

下联某终端模拟访问一个内网不存在的IP：10.3.1.88，观察N18K是否会主动发ARP进行解析

    ip   access-list extended 100   

         permit ip host 10.13.1.78 any

         permit ip any host 10.3.1.88

N18K#debug arp 100

*Apr 28 16:25:46: %P1031-7-DEBUG: ARP: No direct vlan exist, send arp 10.3.1.88 fail.

*Apr 28 16:25:46: %P1031-7-DEBUG: ARP: Broadcast arp 10.3.1.88 to all vlan, as arp resolve ip cfg.

*Apr 28 16:25:46: %P1031-7-DEBUG:   ARP: Ipv4Arp_SendRequest_Raw_ex, send arp req to vlan 2000, inner_vid 0.

//N18K往supervlan 2000的所有subvlan广播请求10.3.1.88的arp，尝试5次

注意：此处仅为了试验效果的查看，实际项目不建议开启debug调试