Visão geral do ARP Policer
O envio de pacotes IP em uma rede multi-acesso requer mapeamento de um endereço IP para um endereço de controle de acesso de mídia (MAC) (o endereço físico ou de hardware).
Em um ambiente Ethernet, o Protocolo de Resolução de Endereços (ARP) é usado para mapear um endereço MAC em um endereço IP. O ARP vincula dinamicamente o endereço IP (o endereço lógico) ao endereço MAC correto. Antes de enviar pacotes IP unicast, o ARP descobre o endereço MAC usado para a interface Ethernet onde o endereço IP está configurado.
Os hosts que usam ARP mantêm um cache de mapeamentos de endereços de Internet para Ethernet descobertos para minimizar o número de mensagens de transmissão ARP. Para evitar que o cache cresça muito grande, uma entrada é removida se não for usada dentro de um determinado período de tempo. Antes de enviar um pacote, o host pesquisa seu cache para mapeamento de endereços Internet-to-Ethernet. Se você não conseguir encontrar o mapeamento, o host envia uma solicitação de ARP.
A partir do Junos OS Release 18.4R1, você pode aplicar policiais no tráfego ARP em firewalls da Série SRX. O suporte para policiais ARP em interfaces pseudowire em roteadores da Série MX está disponível no Junos OS Release 20.2R1. Os princípios de configuração são os mesmos.
Você pode configurar o limite de taxa para o policiador especificando a largura de banda e o limite de tamanho de explosão. Os pacotes que excedem os limites do policiador são descartados. O tráfego para o mecanismo de roteamento é controlado aplicando o policial no tráfego ARP. O uso de policiais ajuda a evitar o congestionamento da rede causado por tempestades de transmissão. Você pode usar policiais para especificar limites de taxa no tráfego. Um filtro de firewall configurado com um policiador permite tráfego apenas dentro de um conjunto especificado de limites de taxa, fornecendo assim proteção contra ataques de negação de serviço (DoS). O tráfego que excede os limites de taxa especificados pelo policiador é descartado imediatamente ou é marcado como prioridade menor do que o tráfego que está dentro dos limites de taxa. O switch descarta o tráfego de menor prioridade quando há congestionamento de tráfego.
Um policial aplica dois tipos de limites de taxa no tráfego:
Largura de banda — o número de bits por segundo permitido, em média
Tamanho máximo de explosão — o tamanho máximo permitido para rajadas de dados que excedem o limite de largura de banda determinado
O policiamento usa um algoritmo para aplicar um limite na largura de banda média, ao mesmo tempo em que permite rajadas de até um valor máximo especificado. Você pode definir classes específicas de tráfego em uma interface e aplicar um conjunto de limites de taxa a cada classe. Depois de nomear e configurar um policial, ele é armazenado como um modelo. Em seguida, você pode usar o policiador em uma configuração de filtro de firewall.
Em dispositivos de SRX5400, SRX5600 e SRX5800, as ações dos policiais de ARP são aplicadas nas SPUs e no Mecanismo de Roteamento. Por exemplo, a SPU A lida com 15000 pacotes de tráfego ARP, e a SPU B lida com 5000 pacotes. Um policial é configurado como limite de taxa de 10K, descarta e é aplicado ao protocolo ARP. Como resultado, a SPU A descarta 5000 pacotes de tráfego ARP e encaminha 10000 pacotes para o Mecanismo de Roteamento, e o SPU B encaminha 5000 pacotes de ARP, o Mecanismo de Roteamento. O mecanismo de roteamento recebe, portanto, um total de 15000 pacotes de tráfego ARP.
Benefícios do ARP Policer
Evita o congestionamento da rede causado por tempestades de transmissão
Protege os mecanismos de roteamento em firewalls da Série SRX que são afetados por tempestades de broadcast
Oferece proteção contra ataques de negação de serviço (DoS)
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.