Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ARP Policer Übersicht

Das Senden von IP-Paketen in einem Multi-Access-Netzwerk erfordert die Zuordnung von einer IP-Adresse zu einer MAC-Adresse (Media Access Control) (der physischen oder Hardwareadresse).

In einer Ethernet-Umgebung wird das Address Resolution Protocol (ARP) verwendet, um eine MAC-Adresse einer IP-Adresse zuzuordnen. ARP bindet die IP-Adresse (die logische Adresse) dynamisch an die richtige MAC-Adresse. Vor dem Senden von Unicast-IP-Paketen ermittelt ARP die MAC-Adresse, die für die Ethernet-Schnittstelle verwendet wird, für die die IP-Adresse konfiguriert ist.

Hosts, die ARP verwenden, verwalten einen Cache mit erkannten Internet-zu-Ethernet-Adresszuordnungen, um die Anzahl der ARP-Broadcast-Nachrichten zu minimieren. Damit der Cache nicht zu groß wird, wird ein Eintrag entfernt, wenn er nicht innerhalb eines bestimmten Zeitraums verwendet wird. Vor dem Senden eines Pakets durchsucht der Host seinen Cache nach Internet-zu-Ethernet-Adresszuordnungen. Wenn Sie die Zuordnung nicht finden können, sendet der Host eine ARP-Anforderung.

Ab Junos OS Version 18.4R1 können Sie Policer auf ARP-Datenverkehr in Firewallsder SRX-Serie anwenden. Unterstützung für ARP-Policer auf Pseudowire-Schnittstellen auf Routern der MX-Serie ist in Junos OS Version 20.2R1 verfügbar. Die Konfigurationsprinzipien sind die gleichen.

Sie können die Ratenbegrenzung für den Policer konfigurieren, indem Sie die Bandbreite und die Burst-Größenbeschränkung angeben. Pakete, die die Policer-Limits überschreiten, werden verworfen. Der Datenverkehr zur Routing-Engine wird gesteuert, indem der Policer auf den ARP-Datenverkehr angewendet wird. Der Einsatz von Policern hilft, Netzwerküberlastungen durch Broadcast-Stürme zu vermeiden. Sie können Policer verwenden, um Ratenbegrenzungen für den Datenverkehr festzulegen. Ein mit einem Policer konfigurierter Firewall-Filter lässt nur Datenverkehr innerhalb eines bestimmten Satzes von Ratenbegrenzungen zu und bietet so Schutz vor Denial-of-Service-Angriffen (DoS). Datenverkehr, der die vom Policer festgelegten Ratengrenzen überschreitet, wird entweder sofort verworfen oder als Datenverkehr mit niedrigerer Priorität markiert als Datenverkehr, der innerhalb der Ratengrenzen liegt. Der Switch verwirft den Datenverkehr mit niedrigerer Priorität, wenn es zu Verkehrsstaus kommt.

Ein Policer wendet zwei Arten von Ratenbegrenzungen auf den Datenverkehr an:

  • Bandbreite: Die durchschnittlich zulässige Anzahl von Bits pro Sekunde

  • Maximale Burst-Größe: Die maximal zulässige Größe für Datenbursts, die das angegebene Bandbreitenlimit überschreiten

Bei der Überwachung wird ein Algorithmus verwendet, um eine Begrenzung der durchschnittlichen Bandbreite durchzusetzen und gleichzeitig Spitzenlasten bis zu einem bestimmten Maximalwert zuzulassen. Sie können bestimmte Datenverkehrsklassen auf einer Schnittstelle definieren und eine Reihe von Ratenbegrenzungen auf jede Klasse anwenden. Nachdem Sie einen Policer benannt und konfiguriert haben, wird er als Vorlage gespeichert. Sie können den Policer dann in einer Firewall-Filterkonfiguration verwenden.

HINWEIS:

Auf SRX5400-, SRX5600- und SRX5800-Geräten werden ARP-Policer-Aktionen sowohl auf die SPUs als auch auf die Routing-Engine angewendet. Beispiel: SPU A verarbeitet 15000 Pakete ARP-Datenverkehr und SPU B 5000 Pakete. Ein Policer wird als Ratenbegrenzung 10K konfiguriert, verworfen und auf das ARP-Protokoll angewendet. Infolgedessen verwirft SPU A 5000 ARP-Datenverkehrspakete und leitet 10000 Pakete an die Routing-Engine weiter, und SPU B leitet 5000 ARP-Pakete an die Routing-Engine weiter. Die Routing-Engine empfängt also insgesamt 15000 Pakete ARP-Datenverkehr.

Vorteile des ARP Policer

  • Verhindert Netzwerküberlastungen durch Broadcast-Stürme

  • Schützt Routing-Engines auf Firewalls der SRX-Serie, die von Broadcast-Stürmen betroffen sind

  • Bietet Schutz vor Denial-of-Service-Angriffen (DoS)

Verwandte Themen

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
20.2R1
Unterstützung für ARP-Policer auf Pseudowire-Schnittstellen auf Routern der MX-Serie ist in Junos OS Version 20.2R1 verfügbar.
18.4R1
Ab Junos OS Version 18.4R1 können Sie Policer auf ARP-Datenverkehr in Firewallsder SRX-Serie anwenden.