Auf dieser Seite
Beispiel: ARP Policer konfigurieren
Dieses Beispiel zeigt, wie ein ARP-Policer (Address Resolution Protocol) auf Firewallsder SRX-Serie konfiguriert wird.
Unterstützung für ARP-Policer auf Pseudowire-Schnittstellen auf Routern der MX-Serie ist in Junos OS Version 20.2R1 verfügbar. Die Konfigurationsprinzipien sind die gleichen wie hier gezeigt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewallder SRX-Serie.
Junos OS Version 18.4R1 oder höher.
Bevor Sie beginnen, lesen Sie ARP Policer Übersicht.
Überblick
ARP wird verwendet, um eine MAC-Adresse einer IP-Adresse zuzuordnen. ARP bindet die IP-Adresse (die logische Adresse) dynamisch an die richtige MAC-Adresse. Bevor IP-Unicast-Pakete gesendet werden können, ermittelt ARP die MAC-Adresse, die von der Ethernet-Schnittstelle verwendet wird, für die die IP-Adresse konfiguriert ist. Diese Funktion wird von allen Firewallsder SRX-Serie unterstützt. Der Datenverkehr zur Routing-Engine auf der Firewall der SRX-Serie wird durch die Anwendung des Policers auf ARP gesteuert. Dadurch werden Netzwerküberlastungen durch Broadcast-Stürme vermieden.
Standardmäßig wird ein Standard-ARP-Policer mit dem Namen __default_arp_policer__ "conded" verwendet und von allen Ethernet-Schnittstellen family inet gemeinsam genutzt.
Auf Routern der MX-Serie können Sie Policer für ARP-Datenverkehr auf Pseudowire-Schnittstellen erstellen. (Sie konfigurieren die Ratenbegrenzung für den Policer, indem Sie die Bandbreite und die Burst-Größenbeschränkung eines Firewall-Policers angeben und die Richtlinie wie jede andere Schnittstelle an eine Pseudowire-Schnittstelle anhängen und den ARP-Policer auf eine Pseudowire-Schnittstelle auf der [edit interfaces interface-name unit unit-number family inet policer arp policy-name] Ebene der Hierarchie anwenden. Datenverkehr, der die angegebenen Ratenbegrenzungen überschreitet, kann verworfen oder als niedrige Priorität markiert und zugestellt werden, wenn die Überlastung dies zulässt.
Konfiguration
In diesem Beispiel wird gezeigt, wie die Ratenbegrenzung für den Policer konfiguriert wird, indem die Bandbreite und die Burstgrößenbeschränkung angegeben werden.
Konfigurieren von ARP Policer auf der Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den ARP-Policer:
Geben Sie den Namen des Policers an.
[edit firewall] user@host# set policer arp-limit
Konfigurieren Sie die Ratenbegrenzung für den Policer.
Geben Sie die Bandbreitenbegrenzung in Bits pro Sekunde (bps) an, um die Datenverkehrsrate auf einer Schnittstelle zu steuern:
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
Der Bereich für die Bandbreitenbegrenzung liegt zwischen 1 und 150.000 bps.
Geben Sie die Begrenzung der Burst-Größe (die maximal zulässige Burst-Größe in Byte) an, um die Menge des Datenverkehrs-Burstings zu steuern:
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
Um den Wert für die Burst-Größenbeschränkung zu bestimmen, multiplizieren Sie die Bandbreite der Schnittstelle, auf die der Filter angewendet wird, mit der Zeitspanne, die benötigt wird, um einen Burst von Datenverkehr bei dieser Bandbreite zuzulassen:
Burst-Größe = (Bandbreite) * (zulässige Zeit für Burst-Datenverkehr)
Der Bereich für die Burst-Größe liegt zwischen 1 und 150,00 Byte.
Geben Sie die Policer-Aktion discard an, um Pakete zu verwerfen, die die Ratenbegrenzungen überschreiten.
[edit firewall] user@host# set policer arp_limit then discard
Discard ist die einzige unterstützte Polizeiaktion.
Konfigurieren Sie die Schnittstellen.
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show firewall Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show firewall
policer arp_limit {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1m;
}
then discard;
}
[edit]
user@host# show interfaces
ge-0/0/7 {
unit 0 {
family inet {
policer {
arp arp_limit;
}
}
}
}
Nachdem Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie in den Konfigurationsmodus.
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Verifizierung der Ergebnisse von arp policer
Zweck
Überprüfen Sie die Ergebnisse des Arp-Polizisten.
Action!
Geben Sie oben in der Konfiguration im Betriebsmodus den show policer policer-name Befehl ein.
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
Bedeutung
Der show policer policer-name Befehl zeigt die Namen aller Firewallfilter und Policer an, die auf dem Gerät konfiguriert sind.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.