Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置 ARP 缓存保护

您可以为缓存中的已解析和未解析下一跃点条目配置 ARP 缓存限制。此示例为 ARP 缓存中的已解析和未解析下一跃点条目指定最大计数并保留限制,以展示如何配置 ARP 缓存保护。此限制可全局指定用于所有接口,也可在设备的特定接口上本地指定。在 ARP 缓存上配置此类限制的好处是保护设备免受 拒绝服务 (DoS) 攻击。

要求

此示例具有以下硬件和软件组件:

  • 两个路由器,可组合使用 M、MX 和 T Series路由器。

  • 两台主机设备连接到路由器。

  • Junos OS路由器上运行的 16.1 或更高版本。

概述

在多访问网络上发送 IP 数据包需要将 IP 地址映射到 媒体访问控制(地址) (MAC) 地址(物理或硬件地址)。在以太网环境中,ARP 用于将 MAC 地址映射到 IP 地址。使用 ARP 的主机可维护已发现 Internet 到以太网地址映射的缓存,以最大程度地减少 ARP 广播消息的数量。

为保持缓存增长过大,默认情况下,如果一个条目在特定时间内未使用,将从缓存中移除。此外,从 16.1 Junos OS开始,您还可以对已解析和未解析的下一跃点条目配置限制,以管理 ARP 缓存条目的数量。

ARP 缓存功能支持两种类型的限制:

  • 计数 — 计数限制是在 ARP 缓存中可创建的下一跃点的最大数量。

  • 保留 — 保留限制是指向特定接口的最大保留路由数,可在添加到 ARP 缓存之前保留。

ARP 缓存限制在两个级别执行:

  • 本地 - 本地限制按接口配置,并针对 ARP 缓存中的已解析和未解析条目定义。

  • 全局 - 全球限制适用于系统范围。全局限制可单独定义用于公共接口和管理接口,例如 fxp0。管理接口具有单个全局限制,且没有本地限制。全局限制对 ARP 缓存的条目实施系统范围限制,包括内部路由实例(例如 em0 和 em1)的专用内部路由接口 (IR)。

小型平台:ACX、EX22XX、EX3200、EX33XX 和 SRX;默认值为 20,000。中型平台:EX4200、EX45XX、EX4300、EX62XX 和 MX;默认值为 75,000。所有其他平台,默认为 100,000。您可以通过配置 ARP 下一跃点缓存保护功能来修改此限制。

  • 要全局配置已解析和未解析的下一跃点条目的 ARP arp-system-cache-limit 缓存计数限制,请包含 层级的 [edit system] 语句。

  • 要在本地配置已解析和未解析的下一跃点条目的 ARP arp-system-cache-limit 缓存计数限制,请包含 层级的 [edit interfaces interface-name unit interface-unit-number family inet] 语句。

  • 要在本地配置未解析的下一跳跃条目的 ARP arp-new-hold-limit 缓存保留限制,请包含 层级的 [edit interfaces interface-name unit interface-unit-number family inet] 语句。

    注意:

    ARP 缓存保留限制仅针对每个接口配置,不能在系统级别配置。

无论 ARP 缓存保护功能配置如何,ARP 缓存下一跃点条目均可不同的分配至不同类型的接口。

  1. 默认情况下,200 个条目被分配至 IRIS。

  2. 其余 80% 的条目已分配至公共接口。

  3. 其余 20% 的条目已分配至管理接口。

当 ARP 下一跃点条目超过配置的计数限制时,如果为该接口配置了保留限制,新条目将被丢弃或保留在 hold 计数器下。ARP 下一跳跃保留限制指定指向特定接口的最大保留条目数或保留路由数。当保留条目数超过配置的保留限制时,该接口的丢弃计数器将显著受到影响,因为新的保留条目会创建环路并持续递增,直到有带宽可以容纳它们。

注意:

修改接口上默认 ARP 下一跃点缓存限制后,接口必须停用并重新激活,新配置的值必须生效。

拓扑

图 1 说明了启用了 ARP 缓存保护的简单双路由器拓扑。路由器 R1 和 R2 分别连接到主机、Host1 和 Host2。

图 1:ARP 缓存保护 ARP Cache Protection

例如,如果路由器 R1 arp-system-cache-limit 全局配置为 220,并且它收到 230 个 ARP 条目,则当第一个接口收到条目(如 ge-0/0/0)时,将执行以下操作:

  1. 当收到 230 个条目时,将对系统应用 220 个条目的全球限制,其中配置的限制在不同类型的接口之间分配,并且特定接口上收到的其余条目将被丢弃。

  2. 在 220 个缓存的条目中,默认情况下,200 个条目被分配用于 一些 一维接口。

  3. 在剩余的 20 个条目中,80% 的条目(16 个条目)发送至公共接口,20% 的条目(4 个条目)发送至管理接口。如果在公共接口上接收 230 个 ARP 条目,则仅保留 16 个条目的缓存限制,其余 214 个条目将被丢弃。

此外,如果路由器 R1 arp-new-hold-limit 上的 ge-0/0/0 配置为值 8,将执行以下操作:

  1. 在收到的 230 个条目中,ARP 表中仅缓存 220 个条目。但是,不要丢弃剩余的条目,将保留条目发送至 ge-0/0/0 的保留计数器,然后将其余条目发送至 ge-0/0/0 的丢弃计数器。

  2. 根据带宽可用性,八个保留条目将在 ge-0/0/0 的 ARP 表中缓存,然后再考虑任何新收到的条目。

  3. 但是,ge-0/0/0 的丢弃计数器不会递增单个条目。丢弃计数器中丢弃的保留条目形成环路并添加到条目计数,直到接口上具有带宽来容纳所有条目。因此,对丢弃计数器的添加对接口性能有一些影响。

配置

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式输入 commit。

R1

R 2

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航应用程序CLI,请参阅 在CLI 模式下使用编辑器

要配置具有 ARP 缓存保护的路由器 R1:

  1. 配置路由器 R1 的接口。

  2. 全局配置路由器 R1 的所有接口的 ARP 缓存保护。

  3. 对路由器 R1 的接口 ge-0/0/0 的 ARP 缓存条目配置保留限制。

结果

在配置模式下,输入 和 命令以确认 show interfaces 您的 show system 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

验证

确认配置工作正常。

验证全局 ARP 下一跳缓存限制

目的

验证系统范围 ARP 下一跳跃缓存限制以及不同接口的下一跃点条目分配。

行动

在操作模式下,运行 show system statistics arp 命令。

意义

在输出中将显示全局 ARP 下一跳跃缓存限制,以及 一些 一跃点下一跃点条目的分配,这些条目用于 区卡、公共接口和管理接口。

验证本地 ARP 下一跳缓存限制

目的

验证接口 ARP 下一跃点缓存限制。

行动

在操作模式下,运行 show interfaces interface-name 命令。

意义

在输出中显示本地 ARP 下一跳跃缓存计数并限制管理接口。

故障 排除

要排除 ARP 缓存保护配置故障,请参阅:

系统日志消息故障排除

问题

系统日志消息在超过 ARP 缓存限制时可记录事件。

解决 方案

要解释系统日志消息,请参阅以下项:

  • Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached—路由器 R1 已达到公共接口允许的 ARP 下一跃点缓存限制的 80%。

  • Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached—路由器 R1 已达到公共接口上 ARP 下一跃点缓存条目允许的最大限制。

  • Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached—路由器 R1 已到达其所有接口配置的全局 ARP 下一跃点缓存限制的 80%。

  • Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached—路由器 R1 已达到其所有接口的最大配置全局 ARP 下一跳跃缓存限制。

版本历史记录表
释放
描述
16.1
从 16.1 Junos OS开始,您可以为缓存中已解析和未解析的下一跳跃条目配置 ARP 缓存限制。