設備在轉發報文時,如果報文的目的地址和設備三層接口地址在同一個網段,正常情況下會查找arp進行直接轉發,如果查找不到arp表項,就會上送CPU觸發ARP-MISS流程來學習ARP。
上層軟件收到ARP Miss消息后,首先生成一個ARP假表項發送給設備,防止相同的ARP Miss消息不斷上報;然后上層軟件發送ARP請求報文,在收到回應后,用學習到的ARP表項替換原有的假表項發送給設備,流量可以正常轉發。
動態ARP假表項有一個老化時間,在老化時間之內,設備不再向上層軟件發送ARP Miss消息。老化時間超時后,假表項被清除,設備轉發時再次匹配不到對應的ARP表項,重新生成ARP Miss消息上報給上層軟件。如此循環重復。
對於同一個源IP發送的觸發ARP-MISS流程報文,一秒鍾內如果超過門限值(默認為5個),系統會認為這是一種非法的攻擊報文,就會針對該ip地址下發一條ACL規則,丟棄該源IP發送的所有需要上送CPU處理的報文;如果50s之內系統沒有再次檢測到該源ip發送的報文有arp-miss超過門限的情況,該ACL規則會自動刪除,觸發arp-miss流程的報文可以繼續上送CPU處理。