Nesta página
Exemplo: Configurando o ARP Policer
Este exemplo mostra como configurar um policial do Protocolo de Resolução de Endereços (ARP) em firewalls da Série SRX.
O suporte para policiais ARP em interfaces pseudowire em roteadores da Série MX está disponível no Junos OS Release 20.2R1. Os princípios de configuração são os mesmos mostrados aqui.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX.
Versão Junos OS 18.4R1 ou posterior.
Antes de começar, veja Visão geral do ARP Policer.
Visão geral
O ARP é usado para mapear um endereço MAC em um endereço IP. O ARP vincula dinamicamente o endereço IP (o endereço lógico) ao endereço MAC correto. Antes que os pacotes ip unicast possam ser enviados, o ARP descobre o endereço MAC usado pela interface Ethernet onde o endereço IP está configurado. Esse recurso é compatível com todos os firewalls da Série SRX. O tráfego para o mecanismo de roteamento no firewall da Série SRX é controlado pela aplicação do policiador no ARP. Isso evita o congestionamento da rede causado por tempestades de transmissão.
Um policiador ARP padrão nomeado __default_arp_policer__ é usado e compartilhado por todas as interfaces Ethernet com family inet configuração, por padrão.
Nos roteadores da Série MX, você pode criar policiais para o tráfego ARP em interfaces pseudowire. (Você configura a limitação de taxa para o policiador especificando a largura de banda e o limite de tamanho estourado de um policiador de firewall e anexando a política a uma interface pseudowire, assim como você faria em qualquer outra interface, e aplica o policiador ARP a uma interface pseudowire no [edit interfaces interface-name unit unit-number family inet policer arp policy-name] nível da hierarquia. O tráfego que excede os limites de taxa especificados pode ser reduzido ou marcado como baixa prioridade e entregue quando o congestionamento permite.
Configuração
Este exemplo mostra como configurar o limite de taxa para o policiador especificando a largura de banda e o limite de tamanho de explosão.
Configuração do ARP Policer na interface
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Use o editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o policiador ARP:
Especifique o nome do policial.
[edit firewall] user@host# set policer arp-limit
Configure a limitação de taxa para o policiador.
Especifique o limite de largura de banda em bits por segundo (bps) para controlar a taxa de tráfego em uma interface:
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
O intervalo para o limite de largura de banda é de 1 a 150.000 bps.
Especifique o limite de tamanho de explosão (o tamanho máximo permitido de explosão em bytes) para controlar a quantidade de explosões de tráfego:
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
Para determinar o valor do limite de tamanho de explosão, multiplique a largura de banda da interface na qual o filtro é aplicado pela quantidade de tempo para permitir que uma explosão de tráfego nessa largura de banda ocorra:
tamanho de explosão = (largura de banda) * (tempo permitido para o tráfego estourado)
O intervalo para o limite de tamanho de explosão é de 1 a 150.000 bytes.
Especifique o descarte da ação do policiador para descartar pacotes que excedam os limites de taxa.
[edit firewall] user@host# set policer arp_limit then discard
Descarte é a única ação policial apoiada.
Configure as interfaces.
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show firewall comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.
[edit]
user@host# show firewall
policer arp_limit {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1m;
}
then discard;
}
[edit]
user@host# show interfaces
ge-0/0/7 {
unit 0 {
family inet {
policer {
arp arp_limit;
}
}
}
}
Após terminar a configuração do dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando os resultados do arp policer
Propósito
Verifique os resultados do policiador Arp.
Ação
Do topo da configuração no modo operacional, entre no show policer policer-name comando.
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
Significado
O show policer policer-name comando exibe os nomes de todos os filtros de firewall e policiais que estão configurados no dispositivo.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.