Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du dispositif de contrôle ARP

L’envoi de paquets IP sur un réseau multi-accès nécessite de mapper une adresse IP à une adresse MAC (media access control) (l’adresse physique ou matérielle).

Dans un environnement Ethernet, le protocole ARP (Address Resolution Protocol) permet de mapper une adresse MAC à une adresse IP. ARP lie dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant d’envoyer des paquets IP unicast, ARP découvre l’adresse MAC utilisée pour l’interface Ethernet où l’adresse IP est configurée.

Les hôtes qui utilisent le protocole ARP conservent un cache de mappages d’adresses Internet vers Ethernet découverts afin de réduire le nombre de messages de diffusion ARP. Pour éviter que la taille du cache ne soit trop importante, une entrée est supprimée si elle n’est pas utilisée dans un certain laps de temps. Avant d’envoyer un paquet, l’hôte recherche un mappage d’adresse Internet vers Ethernet dans son cache. Si vous ne trouvez pas le mappage, l’hôte envoie une requête ARP.

À partir de Junos OS version 18.4R1, vous pouvez appliquer des mécanismes de contrôle sur le trafic ARP sur les équipements SRX Series. La prise en charge des mécanismes de contrôle ARP sur les interfaces Pseudowire sur les routeurs MX Series est disponible dans Junos OS Version 20.2R1. Les principes de configuration sont les mêmes.

Vous pouvez configurer la limitation de débit pour le mécanismes de contrôle en spécifiant la bande passante et la limite de taille d’rafale. Les paquets dépassant les limites du mécanismes de contrôle sont jetés. Le trafic vers le moteur de routage est contrôlé en appliquant le mécanismes de contrôle sur le trafic ARP. L’utilisation de mécanismes de contrôle permet d’empêcher la congestion du réseau causée par des tempêtes de diffusion. Vous pouvez utiliser des mécanismes de contrôle pour spécifier les limites de débit du trafic. Un filtre de pare-feu configuré avec un mécanismes de contrôle autorise uniquement le trafic dans un certain nombre de limites de débit, assurant ainsi une protection contre les attaques par déni de service (DoS). Le trafic qui dépasse les limites de débit spécifiées par le mécanismes de contrôle est soit immédiatement écarté, soit marqué comme étant moins prioritaire que le trafic qui se trouve dans les limites de débit. Le commutateur rejette le trafic de priorité inférieure en cas de congestion du trafic.

Un mécanismes de contrôle applique deux types de limites de débit au trafic :

  • Bande passante : le nombre de bits par seconde autorisé, en moyenne

  • Taille maximale des rafales : taille maximale autorisée pour les rafales de données qui dépassent la limite de bande passante donnée

Le contrôle utilise un algorithme pour appliquer une limite de bande passante moyenne tout en permettant des rafales jusqu’à une valeur maximale spécifiée. Vous pouvez définir des classes de trafic spécifiques sur une interface et appliquer un ensemble de limites de débit à chaque classe. Une fois que vous avez nommé et configuré un mécanismes de contrôle, il est stocké en tant que modèle. Vous pouvez ensuite utiliser le mécanismes de contrôle dans une configuration de filtre de pare-feu.

Remarque :

Sur les équipements SRX5400, SRX5600 et SRX5800, des mesures de contrôle ARP sont appliquées aux SPU et au moteur de routage. Par exemple, le SPU A gère 1 5 000 paquets de trafic ARP et le SPU B gère 5 000 paquets. Un mécanismes de contrôle est configuré en tant que limite de débit 10 000, rejet et appliqué au protocole ARP. Par conséquent, le SPU A rejette 5 000 paquets de trafic ARP et transfère 1 0000 paquets au moteur de routage, et SPU B transfère 5 000 paquets d’ARP le moteur de routage. Le moteur de routage reçoit donc un total de 1 5 000 paquets de trafic ARP.

Avantages du dispositif de contrôle ARP

  • Empêche la congestion du réseau causée par des tempêtes de diffusion

  • Protège les moteurs de routage sur les équipements SRX Series touchés par des tempêtes de diffusion

  • Fournit une protection contre les attaques par déni de service (DoS)

Tableau de l'historique des versions
Version
Description
20.2R1
La prise en charge des mécanismes de contrôle ARP sur les interfaces Pseudowire sur les routeurs MX Series est disponible dans Junos OS Version 20.2R1.
18.4R1
À partir de Junos OS version 18.4R1, vous pouvez appliquer des mécanismes de contrôle sur le trafic ARP sur les équipements SRX Series.