ARP 监管器概述
在多接入网络上发送 IP 数据包需要从 IP 地址映射到媒体访问控制 (MAC) 地址(物理或硬件地址)。
在以太网环境中,地址解析协议 (ARP) 用于将 MAC 地址映射到 IP 地址。ARP 将 IP 地址(逻辑地址)动态绑定到正确的 MAC 地址。在发送单播 IP 数据包之前,ARP 会发现用于配置该 IP 地址的以太网接口的 MAC 地址。
使用 ARP 的主机会维护已发现的互联网到以太网地址映射的缓存,以最大程度地减少 ARP 广播消息的数量。为了防止缓存变得太大,如果在一段时间内未使用某个条目,则会将其删除。在发送数据包之前,主机会在其缓存中搜索互联网到以太网地址的映射。如果找不到映射,主机将发送 ARP 请求。
从 Junos OS 18.4R1 版开始,您可以对 SRX 系列防火墙上的 ARP 流量应用监管器。Junos OS 20.2R1 版支持 MX 系列路由器上伪线接口上的 ARP 监管器。配置原则是相同的。
您可以通过指定带宽和突发大小限制来配置监管器的速率限制。超过监管器限制的数据包将被丢弃。通过对 ARP 流量应用监管器来控制发往路由引擎的流量。使用监管器有助于防止广播风暴造成的网络拥塞。您可以使用监管器指定流量的速率限制。配置了监管器的防火墙过滤器仅允许一组指定速率限制内的流量,从而提供拒绝服务 (DoS) 攻击保护。超过监管器指定的速率限制的信息流要么立即丢弃,要么标记为优先级低于速率限制内的流量。当出现流量拥塞时,交换机会丢弃优先级较低的流量。
监管器对流量应用两种类型的速率限制:
带宽 — 平均每秒允许的位数
最大突发大小 - 超过给定带宽限制的数据突发允许的最大大小
管制使用一种算法对平均带宽实施限制,同时允许突发达到指定的最大值。您可以在接口上定义特定的流量类,并为每个类应用一组速率限制。命名并配置监管器后,它将存储为模板。然后,您可以在防火墙过滤器配置中使用监管器。
在 SRX5400、SRX5600 和 SRX5800 设备上,ARP 监管器操作将应用于 SPU 和路由引擎。例如,SPU A 处理 15000 个 ARP 流量数据包,SPU B 处理 5000 个数据包。监管器配置为速率限制 10K,丢弃并应用于 ARP 协议。因此,SPU A 丢弃 5000 个 ARP 流量数据包并将 10000 个数据包转发到路由引擎,SPU B 将 5000 个 ARP 数据包转发到路由引擎。因此,路由引擎总共接收 15000 个 ARP 信息流数据包。
ARP 监管器的优势
防止广播风暴造成的网络拥塞
保护受广播风暴影响的 SRX 系列防火墙上的路由引擎
提供针对拒绝服务 (DoS) 攻击的保护
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。