EN ESTA PÁGINA
Ejemplo: Configuración de ARP Policer
En este ejemplo se muestra cómo configurar un aplicador de protocolo de resolución de direcciones (ARP) en firewalls de la serie SRX.
La compatibilidad con los aplicadores de políticas ARP en interfaces pseudocable de enrutadores de la serie MX está disponible en Junos OS versión 20.2R1. Los principios de configuración son los mismos que se muestran aquí.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 18.4R1 o posterior.
Antes de empezar, consulte Descripción general de ARP Policer.
Descripción general
ARP se utiliza para asignar una dirección MAC a una dirección IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz Ethernet donde está configurada la dirección IP. Esta función es compatible con todos los firewalls de la serie SRX. El tráfico al motor de enrutamiento en el firewall de la serie SRX se controla aplicando el aplicador de políticas en ARP. Esto evita la congestión de la red causada por tormentas de difusión.
Todas las interfaces family inet Ethernet con configurado y comparten un aplicador ARP predeterminado denominado __default_arp_policer__ de forma predeterminada.
En los enrutadores de la serie MX, puede crear políticas para el tráfico ARP en interfaces de pseudocable. (La limitación de velocidad para el aplicador se configura especificando el ancho de banda y el límite de tamaño de ráfaga de un controlador de firewall y adjuntando la política a una interfaz de pseudocable, como haría con cualquier otra interfaz, y se aplica el aplicador de control ARP a una interfaz de pseudocable en el [edit interfaces interface-name unit unit-number family inet policer arp policy-name] nivel de la jerarquía. El tráfico que exceda los límites de velocidad especificados se puede eliminar o marcar como de baja prioridad y entregarse cuando la congestión lo permita.
Configuración
En este ejemplo se muestra cómo configurar la limitación de velocidad para el aplicador especificando el ancho de banda y el límite de tamaño de ráfaga.
Configuración de ARP Policer en la interfaz
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el editor de CLI en el modo de configuración la Guía del usuario de CLI.
Para configurar el aplicador de control ARP:
Especifique el nombre del policía.
[edit firewall] user@host# set policer arp-limit
Configure la limitación de velocidad para el aplicador de políticas.
Especifique el límite de ancho de banda en bits por segundo (bps) para controlar la velocidad de tráfico en una interfaz:
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
El intervalo para el límite de ancho de banda es de 1 a 150.000 bps.
Especifique el límite de tamaño de ráfaga (el tamaño máximo permitido de ráfaga en bytes) para controlar la cantidad de ráfagas de tráfico:
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
Para determinar el valor del límite de tamaño de ráfaga, multiplique el ancho de banda de la interfaz en la que se aplica el filtro por la cantidad de tiempo que debe permitir que se produzca una ráfaga de tráfico en ese ancho de banda:
Tamaño de ráfaga = (ancho de banda) * (tiempo permitido para ráfaga de tráfico)
El intervalo para el límite de tamaño de ráfaga es de 1 a 150,00 bytes.
Especifique la acción del aplicador a descartar para descartar paquetes que superen los límites de velocidad.
[edit firewall] user@host# set policer arp_limit then discard
Descartar es la única acción policial admitida.
Configure las interfaces.
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Resultados
Desde el modo de configuración, confírmela con el comando show firewall. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
[edit]
user@host# show firewall
policer arp_limit {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1m;
}
then discard;
}
[edit]
user@host# show interfaces
ge-0/0/7 {
unit 0 {
family inet {
policer {
arp arp_limit;
}
}
}
}
Cuando haya terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificación de los resultados de arp policer
Propósito
Verifique los resultados del policía Arp.
Acción
En la parte superior de la configuración en modo operativo, escriba el show policer policer-name comando.
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
Significado
El show policer policer-name comando muestra los nombres de todos los filtros y políticas de firewall configurados en el dispositivo.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.