ARP 监管器概述

在多接入网络上发送 IP 数据包需要从 IP 地址映射到媒体访问控制 （MAC） 地址（物理地址或硬件地址）。

在以太网环境中，地址解析协议 （ARP） 用于将 MAC 地址映射到 IP 地址。ARP 将 IP 地址（逻辑地址）动态绑定到正确的 MAC 地址。在发送单播 IP 数据包之前，ARP 会发现配置了 IP 地址的以太网接口使用的 MAC 地址。

使用 ARP 的主机会维护发现的互联网到以太网地址映射的缓存，以最大限度地减少 ARP 广播消息的数量。为了防止缓存增长过大，如果在某个时间段内不使用条目，将被删除。在发送数据包之前，主机会搜索其缓存中的互联网到以太网地址映射。如果找不到映射，主机会发送 ARP 请求。

从 Junos OS 18.4R1 版开始，您可以对 SRX 系列防火墙上的 ARP 流量应用监管器。Junos OS 20.2R1 版中支持 MX 系列路由器上伪线接口上的 ARP 监管器。配置原则相同。

您可以通过指定带宽和突发大小限制来为监管器配置速率限制。超过监管器限制的数据包将被丢弃。通过对 ARP 流量应用监管器来控制路由引擎的流量。使用监管器有助于防止广播风暴引起的网络拥塞。您可以使用监管器指定流量的速率限制。使用监管器配置的防火墙过滤器仅允许一组指定速率限制内的流量，从而提供针对拒绝服务 （DoS） 攻击的保护。超过监管器指定的速率限制的流量要么被立即丢弃，要么被标记为优先级低于速率限制内的流量。出现流量拥塞时，交换机将丢弃优先级较低的流量。

监管器对流量应用两种类型的速率限制：

• 带宽 — 每秒平均允许的比特数

• 最大突发大小 — 超过给定带宽限制的突发数据允许的最大大小

监管使用算法对平均带宽实施限制，同时允许突发达到指定的最大值。您可以在接口上定义特定流量等级，并为每个类应用一组速率限制。命名并配置监管器后，它将存储为模板。然后，您可以在防火墙过滤器配置中使用监管器。