ARP ポリサーの概要
マルチアクセス ネットワークで IP パケットを送信するには、IP アドレスからメディア アクセス制御(MAC)アドレス(物理アドレスまたはハードウェア アドレス)へのマッピングが必要です。
イーサネット環境では、アドレス解決プロトコル(ARP)を使用して、MAC アドレスを IP アドレスにマッピングします。ARPは、IPアドレス(論理アドレス)をMAC アドレスに動的にバインドします。ユニキャストIPパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスに使用されるMACアドレスを検出します。
ARP を使用するホストは、検出されたインターネットからイーサネットへのアドレス マッピングのキャッシュを保持して、ARP ブロードキャスト メッセージの数を最小限に抑えます。キャッシュが大きくなりすぎないように、一定期間内に使用されない場合はエントリが削除されます。パケットを送信する前に、ホストはキャッシュでインターネットからイーサネットへのアドレスマッピングを検索します。マッピングが見つからない場合、ホストは ARP 要求を送信します。
Junos OSリリース18.4R1以降、 SRXシリーズファイアウォール上のARPトラフィックにポリサーを適用できます。MX シリーズ ルーターの疑似回線インターフェイスでの ARP ポリサーのサポートは、Junos OS リリース 20.2R1 で利用可能です。構成の原則は同じです。
帯域幅とバーストサイズ制限を指定することで、ポリサーのレート制限を構成できます。ポリサーの制限を超えるパケットは破棄されます。ルーティング エンジンへのトラフィックは、ARP トラフィックにポリサーを適用することで制御されます。ポリサーを使用すると、ブロードキャスト ストームによるネットワークの輻輳を防ぐことができます。ポリサーを使用して、トラフィックのレート制限を指定できます。ポリサーで設定されたファイアウォールフィルターは、指定されたレート制限セット内のトラフィックのみを許可するため、サービス拒否(DoS)攻撃からの保護を提供します。ポリサーによって指定されたレート制限を超えるトラフィックは、直ちに破棄されるか、レート制限内のトラフィックよりも低い優先度としてマークされます。スイッチは、トラフィックの輻輳が発生した場合、優先度の低いトラフィックを廃棄します。
ポリサーは、トラフィックに 2 種類のレート制限を適用します。
帯域幅 - 許容されるビット/秒の平均数
最大バースト サイズ - 特定の帯域幅制限を超えるデータのバーストに許可される最大サイズ
ポリシングは、アルゴリズムを使用して、指定された最大値までのバーストを許可しながら、平均帯域幅に制限を適用します。インターフェイス上で特定のトラフィック クラスを定義し、各クラスに一連のレート制限を適用できます。ポリサーに名前を付けて構成すると、そのポリサーはテンプレートとして保存されます。その後、ファイアウォールフィルター構成でポリサーを使用できます。
SRX5400、SRX5600、および SRX5800 デバイスでは、ARP ポリサー アクションが SPU およびルーティング エンジンに適用されます。例えば、SPU A は 15000 パケットの ARP トラフィックを処理し、SPU B は 5000 パケットを処理します。ポリサーはレート制限 10K として設定され、破棄して ARP プロトコルに適用されます。その結果、SPU A は 5000 パケットの ARP トラフィックを廃棄して 10000 パケットをルーティング エンジンに転送し、SPU B は 5000 パケットの ARP をルーティング エンジンに転送します。したがって、ルーティング エンジンは合計 15000 パケットの ARP トラフィックを受信します。
ARP ポリサーの利点
ブロードキャストストームによるネットワークの輻輳を防止
ブロードキャストストームの影響を受ける SRXシリーズファイアウォール 上のルーティングエンジンを保護します
サービス拒否 (DoS) 攻撃からの保護を提供します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。