Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ARP 监管器概述

在多接入网络上发送 IP 数据包需要将 IP 地址映射到媒体访问控制 (MAC) 地址(物理或硬件地址)。

在以太网环境中,地址解析协议 (ARP) 用于将 MAC 地址映射到 IP 地址。ARP 将 IP 地址(逻辑地址)动态绑定到正确的 MAC 地址。在发送单播 IP 数据包之前,ARP 会发现用于配置 IP 地址的以太网接口的 MAC 地址。

使用 ARP 的主机会保留发现的互联网到以太网地址映射的缓存,以最大程度减少 ARP 广播消息的数量。为防止缓存过大,如果某个条目未在一定时间内使用,则会移除该条目。在发送数据包之前,主机会搜索其缓存以获取互联网到以太网地址映射。如果找不到映射,主机将发送 ARP 请求。

从 Junos OS 18.4R1 版开始,您可以在 SRX 系列设备上的 ARP 流量上应用监管器。Junos OS 版本 20.2R1 支持 MX 系列路由器伪线接口上的 ARP 监管器。配置原则相同。

您可以为监管器配置速率限制,方法是指定带宽和突发大小限制。超过监管器限制的数据包将被丢弃。通过在 ARP 流量上应用监管器来控制到路由引擎的流量。使用监管器有助于防止广播风暴造成的网络拥塞。您可以使用监管器指定流量的速率限制。配置了监管器的防火墙过滤器仅允许在指定速率限制集内进行流量,从而提供对拒绝服务 (DoS) 攻击的保护。超过监管器指定的速率限制的信息流可立即丢弃,或标记为优先级低于速率限制内的信息流。出现流量拥塞时,交换机将丢弃优先级较低的信息流。

监管器对流量实行两种类型的速率限制:

  • 带宽 — 平均允许的每秒位数

  • 最大突发大小 — 超过给定带宽限制的数据突发允许的最大大小

管制使用算法对平均带宽实施限制,同时允许爆发到指定的最大值。您可以在接口上定义特定的流量等级,并将一组速率限制应用于每个类。在您命名并配置监管器之后,将其作为模板存储。然后,您可以在防火墙过滤器配置中使用监管器。

注:

在 SRX5400、SRX5600 和 SRX5800 设备上,SPU 以及路由引擎上都应用了 ARP 监管器操作。例如,SPU A 处理 15000 个 ARP 流量数据包,而 SPU B 则处理 5000 个数据包。监管器配置为速率限制 10K,丢弃并应用于 ARP 协议。因此,SPU A 会丢弃 5000 个 ARP 流量数据包,并将 10000 个数据包转发至路由引擎,而 SPU B 将 5000 个 ARP 数据包转发至路由引擎。因此,路由引擎总共收到 15000 个 ARP 信息流数据包。

ARP 监管器的优势

  • 防止广播风暴导致的网络拥塞

  • 保护受广播风暴影响的 SRX 系列设备上的路由引擎

  • 提供拒绝服务 (DoS) 攻击的保护

发布历史记录表
版本
说明
20.2R1
Junos OS 版本 20.2R1 支持 MX 系列路由器伪线接口上的 ARP 监管器。
18.4R1
从 Junos OS 18.4R1 版开始,您可以在 SRX 系列设备上的 ARP 流量上应用监管器。