AUF DIESER SEITE
Beispiel: Konfigurieren des ARP-Cache-Schutzes
Sie können ein ARP-Cache-Limit für aufgelöste und nicht aufgelöste Next-Hop-Einträge im Cache konfigurieren. In diesem Beispiel wird gezeigt, wie Sie den ARP-Cacheschutz konfigurieren, indem Sie eine maximale Anzahl und einen Aufbewahrungsgrenzwert für aufgelöste und nicht aufgelöste Next-Hop-Einträge im ARP-Cache angeben. Dieser Grenzwert kann global für alle Schnittstellen oder lokal für eine bestimmte Schnittstelle des Geräts festgelegt werden. Der Vorteil der Konfiguration eines solchen Grenzwerts für den ARP-Cache besteht darin, das Gerät vor Denial-of-Service-Angriffen (DoS) zu schützen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei Router, bei denen es sich um eine Kombination aus Routern der M-, MX- und T-Serie handeln kann.
Zwei Hostgeräte, die mit den Routern verbunden sind.
Junos OS Version 16.1 oder höher, das auf den Routern ausgeführt wird.
Übersicht
Das Senden von IP-Paketen in einem Multiaccess-Netzwerk erfordert die Zuordnung von einer IP-Adresse zu einer MAC-Adresse (Media Access Control) (der physischen oder Hardwareadresse). In einer Ethernet-Umgebung wird ARP verwendet, um eine MAC-Adresse einer IP-Adresse zuzuordnen. Hosts, die ARP verwenden, verwalten einen Cache mit erkannten Internet-zu-Ethernet-Adresszuordnungen, um die Anzahl der ARP-Broadcast-Nachrichten zu minimieren.
Um zu verhindern, dass der Cache zu groß wird, wird standardmäßig ein Eintrag aus dem Cache entfernt, wenn er nicht innerhalb eines bestimmten Zeitraums verwendet wird. Darüber hinaus können Sie ab Junos OS Version 16.1 die Anzahl der ARP-Cache-Einträge verwalten, indem Sie ein Limit für die aufgelösten und nicht aufgelösten Next-Hop-Einträge konfigurieren.
Die ARP-Cache-Funktion unterstützt zwei Arten von Grenzwerten:
Anzahl: Das Zähllimit ist die maximale Anzahl der nächsten Hops, die im ARP-Cache erstellt werden können.
Hold: Das Haltelimit ist die maximale Anzahl von Halterouten, die auf eine bestimmte Schnittstelle verweisen und beibehalten werden können, bevor sie dem ARP-Cache hinzugefügt werden.
Die ARP-Cache-Limits werden auf zwei Ebenen ausgeführt:
Lokal: Lokale Grenzwerte werden pro Schnittstelle konfiguriert und für aufgelöste und nicht aufgelöste Einträge im ARP-Cache definiert.
Global: Globale Grenzwerte gelten systemweit. Ein globales Limit wird für die öffentlichen Schnittstellen und die Verwaltungsschnittstellen separat definiert, z. B. fxp0. Die Verwaltungsschnittstelle hat ein einziges globales Limit und kein lokales Limit. Das globale Limit erzwingt eine systemweite Obergrenze für Einträge für den ARP-Cache, einschließlich privater interner Routing-Schnittstellen (IRIs) für interne Routing-Instanzen, z. B. em0 und em1.
Kleine Plattformen: ACX, EX22XX, EX3200, EX33XX und SRX; Der Standardwert ist 20.000. Mittelgroße Plattformen: EX4200, EX45XX, EX4300, EX62XX und MX; Der Standardwert ist 75.000. Für alle anderen Plattformen ist der Standardwert 100.000. Sie können diesen Grenzwert ändern, indem Sie die ARP-Funktion zum Schutz des Next-Hop-Caches konfigurieren.
Um den ARP-Cache-Count-Grenzwert für aufgelöste und nicht aufgelöste Next-Hop-Einträge global zu konfigurieren, schließen Sie die
arp-system-cache-limitAnweisung auf Hierarchieebene[edit system]ein.Um den ARP-Cache-Count-Grenzwert für aufgelöste und nicht aufgelöste Next-Hop-Einträge lokal zu konfigurieren, schließen Sie die
arp-system-cache-limitAnweisung auf Hierarchieebene[edit interfaces interface-name unit interface-unit-number family inet]ein.Um das ARP-Cache-Haltelimit für nicht aufgelöste Next-Hop-Einträge lokal zu konfigurieren, schließen Sie die
arp-new-hold-limitAnweisung auf Hierarchieebene[edit interfaces interface-name unit interface-unit-number family inet]ein.Hinweis:Das ARP-Cache-Haltelimit wird nur für jede Schnittstelle konfiguriert und kann nicht auf Systemebene konfiguriert werden.
Die ARP-Cache-Next-Hop-Einträge werden verschiedenen Schnittstellentypen unterschiedlich zugewiesen, unabhängig von der Konfiguration der ARP-Cache-Schutzfunktion.
Standardmäßig werden 200 Einträge IRIs zugewiesen.
80 Prozent der verbleibenden Einträge werden öffentlichen Schnittstellen zugeordnet.
20 Prozent der verbleibenden Einträge entfallen auf Verwaltungsoberflächen.
Wenn die ARP-Next-Hop-Einträge den konfigurierten Zählgrenzwert überschreiten, werden neue Einträge entweder verworfen oder unter dem Haltezähler belassen, wenn für diese Schnittstelle ein Haltebereich konfiguriert ist. Der ARP-Grenzwert für den nächsten Hop gibt die maximale Anzahl von Halteeinträgen oder Halterouten an, die auf eine bestimmte Schnittstelle verweisen. Wenn die Anzahl der Hold-Einträge das konfigurierte Hold-Limit überschreitet, wird der Drop-Zähler für diese Schnittstelle drastisch beeinflusst, da die neuen Hold-Einträge eine Schleife erstellen und weiter inkrementiert werden, bis Bandbreite vorhanden ist, um sie aufzunehmen.
Nach dem Ändern des standardmäßigen ARP-Grenzwerts für den Next-Hop-Cache auf einer Schnittstelle muss die Schnittstelle deaktiviert und erneut aktiviert werden, damit die neu konfigurierten Werte wirksam werden.
Topologie
Abbildung 1 zeigt eine einfache Topologie mit zwei Routern und aktiviertem ARP-Cache-Schutz. Die Router R1 und R2 sind jeweils mit den Hosts Host1 bzw. Host2 verbunden.
Wenn Router R1 beispielsweise global mit einem arp-system-cache-limit von 220 konfiguriert ist und 230 ARP-Einträge empfängt, werden auf der ersten Schnittstelle, die die Einträge empfängt (z. B. ge-0/0/0), die folgenden Aktionen ausgeführt:
Wenn 230 Einträge empfangen werden, wird das globale Limit von 220 Einträgen auf das System angewendet, wobei das konfigurierte Limit auf die verschiedenen Schnittstellentypen aufgeteilt wird und die verbleibenden Einträge, die auf einer bestimmten Schnittstelle eingehen, verworfen werden.
Von den 220 zwischengespeicherten Einträgen sind standardmäßig 200 Einträge für IRI-Schnittstellen zugeordnet.
Von den verbleibenden 20 Einträgen werden 80 Prozent der Einträge (16 Einträge) an öffentliche Schnittstellen und 20 Prozent der Einträge (4 Einträge) an die Verwaltungsoberfläche gesendet. Wenn die 230 ARP-Einträge auf der öffentlichen Schnittstelle empfangen werden, wird nur das Cache-Limit von 16 Einträgen beibehalten, und die restlichen 214 Einträge werden verworfen.
Wenn ge-0/0/0 auf Router R1 mit dem arp-new-hold-limit Wert 8 konfiguriert ist, werden außerdem die folgenden Aktionen ausgeführt:
Von den 230 empfangenen Einträgen werden nur 220 Einträge in der ARP-Tabelle zwischengespeichert. Anstatt jedoch die verbleibenden Einträge zu verwerfen, werden die Hold-Einträge an den Hold-Zähler von ge-0/0/0 gesendet, und dann werden die verbleibenden Einträge an den Drop-Zähler von ge-0/0/0 gesendet.
Abhängig von der Verfügbarkeit der Bandbreite werden die acht Hold-Einträge in der ARP-Tabelle von ge-0/0/0 zwischengespeichert, bevor neu empfangene Einträge berücksichtigt werden.
Der Drop-Zähler von ge-0/0/0 wird jedoch nicht um einzelne Einträge inkrementiert. Die verworfenen Hold-Einträge im Drop-Zähler bilden eine Schleife und erhöhen die Anzahl der Einträge, bis auf der Schnittstelle Bandbreite vorhanden ist, um alle Einträge aufzunehmen. Daher wirken sich Ergänzungen des Drop-Zählers drastisch auf die Schnittstellenleistung aus.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und geben Sie dann Commit aus dem Konfigurationsmodus ein.
R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/0 unit 0 family inet arp-new-hold-limit 8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.10.10.1/32 set system arp-system-cache-limit 220
R2
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.20.20.1/32
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Router R1 mit ARP-Cache-Schutz:
Konfigurieren Sie die Schnittstellen des Routers R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@R1# set lo0 unit 0 family inet address 10.10.10.1/32
Konfigurieren Sie den ARP-Cache-Schutz global für alle Schnittstellen des Routers R1.
[edit system] user@R1# set arp-system-cache-limit 220
Konfigurieren Sie ein Haltelimit für die ARP-Cache-Einträge der Schnittstelle ge-0/0/0 des Routers R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet arp-new-hold-limit 8
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces Befehle und show system eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.10.10.1/32;
}
}
}
user@R1# show system arp-system-cache-limit 220 ;
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des globalen ARP-Next-Hop-Cache-Limits
- Überprüfen des lokalen ARP-Cache-Limits für den nächsten Hop
Überprüfen des globalen ARP-Next-Hop-Cache-Limits
Zweck
Überprüfen Sie die systemweiten ARP-Grenzwerte für den Next-Hop-Cache und die Zuweisung von Next-Hop-Einträgen für verschiedene Schnittstellen.
Aktion
Führen Sie den show system statistics arp Befehl im Betriebsmodus aus.
user@R1> show system statistics arp
arp:
717253 datagrams received
47 ARP requests received
31 ARP replies received
285 resolution request received
0 unrestricted proxy requests
0 restricted proxy requests
0 received proxy requests
0 unrestricted proxy requests not proxied
*****
220 Max System ARP nh cache limit
16 Max Public ARP nh cache limit
200 Max IRI ARP nh cache limit
4 Max Management intf ARP nh cache limit
16 Current Public ARP next-hops present
1 Current IRI ARP next-hops present
2 Current Management ARP next-hops present
2457 Total ARP next-hops creation failed as limit reached
2454 Public ARP next-hops creation failed as public limit reached
3 IRI ARP next-hops creation failed as iri limit reached
0 Management ARP next-hops creation failed as mgt limit reached
Bedeutung
Die globalen ARP-Cache-Grenzwerte für den nächsten Hop werden in der Ausgabe angezeigt, zusammen mit der Zuweisung von Next-Hop-Einträgen für IRI-, öffentliche und Verwaltungsschnittstellen.
Überprüfen des lokalen ARP-Cache-Limits für den nächsten Hop
Zweck
Überprüfen Sie den Grenzwert für den ARP-Next-Hop-Cache der Schnittstelle.
Aktion
Führen Sie den show interfaces interface-name Befehl im Betriebsmodus aus.
user@R1> show interface fxp0
fxp0
Physical interface: fxp0, Enabled, Physical link is Up
Interface index: 1, SNMP ifIndex: 1
Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Speed: 100mbps
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Current address: 00:a0:a5:62:8e:39, Hardware address: 00:a0:a5:62:8e:39
Last flapped : 2014-10-16 10:23:29 PDT (16:27:21 ago)
Input packets : 0
Output packets: 0
Logical interface fxp0.0 (Index 3) (SNMP ifIndex 13)
Flags: Up SNMP-Traps Encapsulation: ENET2
Bandwidth: 0
Input packets : 23
Output packets: 4
Protocol inet, MTU: 1500
Max nh cache: 220 New hold nh limit: 8, Curr nh cnt: 2, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, Is-Primary
Addresses, Flags: Is-Default Is-Preferred Is-Primary
Destination: 10.209.0/18, Local: 10.209.3.69, Broadcast: 10.209.63.255
Bedeutung
Die Anzahl der lokalen ARP-Next-Hop-Caches und die Haltegrenzen für die Verwaltungsschnittstelle werden in der Ausgabe angezeigt.
Problembehandlung
Informationen zur Fehlerbehebung bei der ARP-Cache-Schutzkonfiguration finden Sie unter:
Fehlerbehebung bei Systemprotokollmeldungen
Problem
Systemprotokollmeldungen werden generiert, um Ereignisse aufzuzeichnen, wenn die ARP-Cache-Grenzwerte überschritten werden.
Lösung
Informationen zur Interpretation der Systemprotokollmeldungen finden Sie unter:
Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached– Router R1 hat 80 Prozent des zulässigen ARP-Next-Hop-Cache-Limits für öffentliche Schnittstellen erreicht.
Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached– Router R1 hat den maximal zulässigen Grenzwert für ARP-Next-Hop-Cache-Einträge auf der öffentlichen Schnittstelle erreicht.
Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached– Router R1 hat 80 Prozent des konfigurierten globalen ARP-Next-Hop-Cache-Limits für alle seine Schnittstellen erreicht.
Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached– Router R1 hat das maximal konfigurierte globale ARP-Next-Hop-Cache-Limit für alle Schnittstellen erreicht.