Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de ARP Policer

El envío de paquetes IP en una red de acceso múltiple requiere la asignación desde una dirección IP a una dirección de control de acceso a medios (MAC) (la dirección física o de hardware).

En un entorno Ethernet, el Protocolo de resolución de direcciones (ARP) se utiliza para asignar una dirección MAC a una dirección IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de enviar paquetes IP de unidifusión, ARP descubre la dirección MAC utilizada para la interfaz Ethernet donde está configurada la dirección IP.

Los hosts que utilizan ARP mantienen una memoria caché de asignaciones de direcciones de Internet a Ethernet detectadas para minimizar el número de mensajes de difusión ARP. Para evitar que la memoria caché crezca demasiado, se elimina una entrada si no se utiliza dentro de un cierto período de tiempo. Antes de enviar un paquete, el host busca en su caché la asignación de direcciones de Internet a Ethernet. Si no puede encontrar la asignación, el host envía una solicitud ARP.

A partir de Junos OS versión 18.4R1, puede aplicar políticas en el tráfico ARP en firewalls serie SRX. La compatibilidad con los aplicadores de políticas ARP en interfaces pseudocable de enrutadores de la serie MX está disponible en Junos OS versión 20.2R1. Los principios de configuración son los mismos.

Puede configurar la limitación de velocidad para el aplicador especificando el ancho de banda y el límite de tamaño de ráfaga. Los paquetes que excedan los límites de la policía se descartan. El tráfico al motor de enrutamiento se controla aplicando el aplicador de policía en el tráfico ARP. El uso de políticas ayuda a prevenir la congestión de la red causada por tormentas de difusión. Puede utilizar políticas para especificar límites de velocidad en el tráfico. Un filtro de firewall configurado con un aplicador de políticas solo permite el tráfico dentro de un conjunto especificado de límites de velocidad, lo que proporciona protección contra ataques de denegación de servicio (DoS). El tráfico que supera los límites de velocidad especificados por el agente de policía se descarta inmediatamente o se marca como de menor prioridad que el tráfico que se encuentra dentro de los límites de velocidad. El conmutador descarta el tráfico de menor prioridad cuando hay congestión de tráfico.

Un aplicador de policía aplica dos tipos de límites de velocidad al tráfico:

  • Ancho de banda: el número de bits por segundo permitido, en promedio.

  • Tamaño máximo de ráfaga: el tamaño máximo permitido para ráfagas de datos que superan el límite de ancho de banda especificado.

La vigilancia utiliza un algoritmo para imponer un límite en el ancho de banda promedio al tiempo que permite ráfagas de hasta un valor máximo especificado. Puede definir clases específicas de tráfico en una interfaz y aplicar un conjunto de límites de velocidad a cada clase. Después de asignar un nombre y configurar un aplicador de policía, se almacena como una plantilla. A continuación, puede utilizar el aplicador de políticas en una configuración de filtro de firewall.

Nota:

En dispositivos SRX5400, SRX5600 y SRX5800, las acciones de policía ARP se aplican tanto en las SPU como en el motor de enrutamiento. Por ejemplo, la SPU A controla 15000 paquetes de tráfico ARP y la SPU B controla 5000 paquetes. Un aplicador de políticas se configura como límite de velocidad 10K, se descarta y se aplica al protocolo ARP. Como resultado, la SPU A descarta 5000 paquetes de tráfico ARP y reenvía 10000 paquetes al motor de enrutamiento, y la SPU B reenvía 5000 paquetes de ARP al motor de enrutamiento. Por lo tanto, el motor de enrutamiento recibe un total de 15000 paquetes de tráfico ARP.

Beneficios del ARP Policer

  • Evita la congestión de la red causada por tormentas de difusión

  • Protege los motores de enrutamiento de los firewalls de la serie SRX que se ven afectados por tormentas de transmisión

  • Proporciona protección contra ataques de denegación de servicio (DoS)

Temas relacionados

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
20.2R1
La compatibilidad con los aplicadores de políticas ARP en interfaces pseudocable de enrutadores de la serie MX está disponible en Junos OS versión 20.2R1.
18.4R1
A partir de Junos OS versión 18.4R1, puede aplicar políticas en el tráfico ARP en firewalls serie SRX.