NESTA PÁGINA
Exemplo: configurar a proteção contra cache ARP
Você pode configurar um limite de cache ARP para entradas de next-hop resolvidas e não resolvidas no cache. Este exemplo mostra como configurar a proteção do cache ARP especificando uma contagem máxima e mantendo o limite para entradas de next-hop resolvidas e não resolvidas no cache ARP. Esse limite pode ser especificado globalmente para todas as interfaces ou localmente em uma interface específica do dispositivo. O benefício de configurar esse limite no cache ARP é proteger o dispositivo contra ataques de negação de serviço (DoS).
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dois roteadores que podem ser uma combinação de roteadores da Série M, MX e T.
Dois dispositivos host conectados aos roteadores.
Junos OS Versão 16.1 ou posterior em execução nos roteadores.
Visão geral
O envio de pacotes IP em uma rede multiacesso requer mapeamento de um endereço IP para um endereço MAC (Media Access Control, controle de acesso de mídia) (o endereço físico ou de hardware). Em um ambiente Ethernet, o ARP é usado para mapear um endereço MAC em um endereço IP. Os hosts que usam ARP mantêm um cache de mapeamentos de endereços Internet-to-Ethernet descobertos para minimizar o número de mensagens de transmissão ARP.
Para evitar que o cache cresça muito grande, por padrão, uma entrada é removida do cache se não for usada em um determinado período de tempo. Além disso, a partir do Junos OS Release 16.1, você pode gerenciar o número de entradas de cache ARP configurando um limite nas entradas de next-hop resolvidas e não resolvidas.
O recurso de cache ARP oferece suporte a dois tipos de limites:
Contagem — o limite de contagem é o número máximo de próximos hops que podem ser criados no cache ARP.
Hold — O limite de espera é o número máximo de rotas de espera que apontam para uma interface específica que pode ser retida antes de ser adicionado ao cache ARP.
Os limites de cache ARP são executados em dois níveis:
Local — os limites locais são configurados por interface e são definidos para entradas resolvidas e não resolvidas no cache ARP.
Global — Os limites globais aplicam-se em todo o sistema. Um limite global é definido separadamente para interfaces públicas e interfaces de gerenciamento, por exemplo, fxp0. A interface de gerenciamento tem um único limite global e sem limite local. O limite global impõe um limite de todo o sistema em entradas para o cache ARP, incluindo interfaces de roteamento internas privadas (IRIs) para instâncias de roteamento internas, por exemplo, em0 e em1.
Plataformas de pequeno porte: ACX, EX22XX, EX3200, EX33XX e SRX; padrão é de 20.000. Plataformas de médio porte: EX4200, EX45XX, EX4300, EX62XX e MX; padrão é de 75.000. Todas as outras plataformas, o padrão é de 100.000. Você pode modificar esse limite configurando o recurso de proteção de cache next-hop ARP.
Para configurar o limite de contagem de cache ARP para entradas de next-hop resolvidas e não resolvidas globalmente, inclua a
arp-system-cache-limitdeclaração no nível de[edit system]hierarquia.Para configurar o limite de contagem de cache ARP para entradas de next-hop resolvidas e não resolvidas localmente, inclua a
arp-system-cache-limitdeclaração no nível de[edit interfaces interface-name unit interface-unit-number family inet]hierarquia.Para configurar o limite de retenção do cache ARP para entradas de next-hop não resolvidas localmente, inclua a
arp-new-hold-limitdeclaração no nível de[edit interfaces interface-name unit interface-unit-number family inet]hierarquia.Nota:O limite de retenção do cache ARP está configurado apenas por interface e não pode ser configurado no nível do sistema.
As entradas de next-hop do cache ARP são alocadas para diferentes tipos de interfaces de maneira diferente, independentemente da configuração do recurso de proteção de cache ARP.
Por padrão, 200 entradas são distribuídas para IRIs.
80% das entradas restantes são alocadas em interfaces públicas.
20% das entradas restantes são alocadas em interfaces de gerenciamento.
Quando as entradas ARP next-hop excedem o limite de contagem configurada, novas entradas são descartadas ou mantidas sob o balcão de espera, se um limite de retenção estiver configurado para essa interface. O limite de espera do ARP next-hop especifica o número máximo de entradas de hold ou rotas de espera que apontam para uma interface específica. Quando o número de entradas de retenção excede o limite de espera configurado, o contador de quedas dessa interface é afetado drasticamente, pois as novas entradas de hold criam um loop e continuam a aumentar até que haja largura de banda para acomodá-las.
Depois de modificar o limite padrão de cache ARP next-hop em uma interface, a interface deve ser desativada e reativada para que os valores recém-configurados entrem em vigor.
Topologia
A Figura 1 ilustra uma topologia simples de dois roteadores com proteção de cache ARP habilitada. Os roteadores R1 e R2 estão conectados a hosts, Host1 e Host2, respectivamente.
contra cache ARP
Por exemplo, se o roteador R1 estiver configurado com um arp-system-cache-limit de 220 globalmente, e receber 230 entradas ARP, na primeira interface recebendo as entradas (digamos, ge-0/0/0), as seguintes ações são realizadas:
Quando 230 entradas são recebidas, o limite global de 220 entradas é aplicado ao sistema, onde o limite configurado é dividido entre os diferentes tipos de interfaces, e as entradas restantes recebidas em uma interface específica são descartadas.
Das 220 entradas em cache, por padrão, 200 entradas são alocadas para interfaces IRI.
Das 20 entradas restantes, 80% das entradas (16 entradas) são enviadas para interfaces públicas e 20% das entradas (4 entradas) são enviadas para a interface de gerenciamento. Se as 230 entradas ARP forem recebidas na interface pública, apenas o limite de cache de 16 entradas será retido e as 214 entradas restantes forem descartadas.
Além disso, se o ge-0/0/0 no roteador R1 estiver configurado com um arp-new-hold-limit valor de 8, as seguintes ações serão realizadas:
Das 230 entradas recebidas, apenas 220 entradas estão em cache na tabela ARP. No entanto, em vez de descartar as entradas restantes, as entradas de espera são enviadas para o balcão de espera da ge-0/0/0 e, em seguida, as entradas restantes são enviadas para o balcão de queda do ge-0/0/0.
Dependendo da disponibilidade de largura de banda, as oito entradas de hold são armazenadas em cache na tabela ARP do ge-0/0/0 antes de levar em conta quaisquer entradas recém-recebidas.
O contador de quedas do ge-0/0/0, no entanto, não incrementa por entradas individuais. As entradas de espera descartadas no contador de gota formam um loop e adicionam à contagem de entradas até que haja largura de banda na interface para acomodar todas as entradas. Portanto, as adições ao contador de quedas têm um efeito drástico no desempenho da interface.
Configuração
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de hierarquia [editar] e, em seguida, entrar no modo de configuração.
R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/0 unit 0 family inet arp-new-hold-limit 8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.10.10.1/32 set system arp-system-cache-limit 220
R2
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.20.20.1/32
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre a navegação na CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o roteador R1 com proteção de cache ARP:
Configure as interfaces do roteador R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@R1# set lo0 unit 0 family inet address 10.10.10.1/32
Configure a proteção de cache ARP globalmente para todas as interfaces do Roteador R1.
[edit system] user@R1# set arp-system-cache-limit 220
Configure um limite de espera nas entradas de cache ARP da interface ge-0/0/0 do roteador R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet arp-new-hold-limit 8
Resultados
A partir do modo de configuração, confirme sua configuração entrando no e show system comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.10.10.1/32;
}
}
}
user@R1# show system arp-system-cache-limit 220 ;
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando o limite global de cache de próximo salto do ARP
- Verificando o limite de cache de próximo salto do ARP local
Verificando o limite global de cache de próximo salto do ARP
Propósito
Verifique os limites de cache de next-hop ARP em todo o sistema e a alocação de entradas de next-hop para diferentes interfaces.
Ação
Do modo operacional, execute o show system statistics arp comando.
user@R1> show system statistics arp
arp:
717253 datagrams received
47 ARP requests received
31 ARP replies received
285 resolution request received
0 unrestricted proxy requests
0 restricted proxy requests
0 received proxy requests
0 unrestricted proxy requests not proxied
*****
220 Max System ARP nh cache limit
16 Max Public ARP nh cache limit
200 Max IRI ARP nh cache limit
4 Max Management intf ARP nh cache limit
16 Current Public ARP next-hops present
1 Current IRI ARP next-hops present
2 Current Management ARP next-hops present
2457 Total ARP next-hops creation failed as limit reached
2454 Public ARP next-hops creation failed as public limit reached
3 IRI ARP next-hops creation failed as iri limit reached
0 Management ARP next-hops creation failed as mgt limit reached
Significado
Os limites globais de cache ARP next-hop são exibidos na saída, juntamente com a alocação de entradas de next-hop para interfaces IRI, públicas e de gerenciamento.
Verificando o limite de cache de próximo salto do ARP local
Propósito
Verifique o limite de cache de next-hop do ARP da interface.
Ação
Do modo operacional, execute o show interfaces interface-name comando.
user@R1> show interface fxp0
fxp0
Physical interface: fxp0, Enabled, Physical link is Up
Interface index: 1, SNMP ifIndex: 1
Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Speed: 100mbps
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Current address: 00:a0:a5:62:8e:39, Hardware address: 00:a0:a5:62:8e:39
Last flapped : 2014-10-16 10:23:29 PDT (16:27:21 ago)
Input packets : 0
Output packets: 0
Logical interface fxp0.0 (Index 3) (SNMP ifIndex 13)
Flags: Up SNMP-Traps Encapsulation: ENET2
Bandwidth: 0
Input packets : 23
Output packets: 4
Protocol inet, MTU: 1500
Max nh cache: 220 New hold nh limit: 8, Curr nh cnt: 2, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, Is-Primary
Addresses, Flags: Is-Default Is-Preferred Is-Primary
Destination: 10.209.0/18, Local: 10.209.3.69, Broadcast: 10.209.63.255
Significado
A contagem local de cache de next-hop do ARP e os limites de espera para a interface de gerenciamento são exibidos na saída.
Solucionando problemas
Para solucionar problemas na configuração de proteção contra cache ARP, veja:
Mensagens de log do sistema de solução de problemas
Problema
As mensagens de registro do sistema são geradas para registrar eventos quando os limites de cache ARP são excedidos.
Solução
Para interpretar as mensagens de log do sistema, consulte o seguinte:
Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached— O roteador R1 atingiu 80% do limite de cache ARP de next-hop permitido para interfaces públicas.
Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached— O roteador R1 atingiu o limite máximo permitido para entradas de cache de next-hop ARP na interface pública.
Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached— O roteador R1 atingiu 80% do limite de cache de next-hop ARP global configurado para todas as suas interfaces.
Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached— O roteador R1 atingiu o limite máximo de cache ARP global configurado para todas as suas interfaces.