Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation d’ARP Policer

L’envoi de paquets IP sur un réseau multi-accès nécessite une correspondance entre une adresse IP et une adresse MAC (l’adresse physique ou matérielle).

Dans un environnement Ethernet, le protocole ARP (Address Resolution Protocol) est utilisé pour mapper une adresse MAC à une adresse IP. ARP lie dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant d’envoyer des paquets IP unicast, ARP découvre l’adresse MAC utilisée pour l’interface Ethernet où l’adresse IP est configurée.

Les hôtes qui utilisent ARP conservent un cache des mappages d’adresses Internet-Ethernet découverts afin de minimiser le nombre de messages de diffusion ARP. Pour éviter que le cache ne devienne trop volumineux, une entrée est supprimée si elle n’est pas utilisée dans un certain laps de temps. Avant d’envoyer un paquet, l’hôte recherche dans son cache le mappage d’adresses Internet-Ethernet. Si vous ne trouvez pas le mappage, l’hôte envoie une requête ARP.

À partir de Junos OS version 18.4R1, vous pouvez appliquer des mécanismes de contrôle sur le trafic ARP sur les pare-feu SRX Series. La prise en charge des mécanismes de contrôle ARP sur les interfaces pseudowire sur les routeurs MX Series est disponible dans Junos OS version 20.2R1. Les principes de configuration sont les mêmes.

Vous pouvez configurer la limitation de débit pour le mécanisme de contrôle en spécifiant la limite de bande passante et la limite de taille de rafale. Les paquets dépassant les limites du mécanisme de contrôle sont ignorés. Le trafic vers le moteur de routage est contrôlé en appliquant le mécanisme de contrôle sur le trafic ARP. L’utilisation de mécanismes de contrôle permet d’éviter les encombrements du réseau causés par les tempêtes de diffusion. Vous pouvez utiliser des mécanismes de contrôle pour spécifier des limites de débit sur le trafic. Un filtre de pare-feu configuré à l’aide d’un mécanisme de contrôle autorise uniquement le trafic dans les limites de débit spécifiées, assurant ainsi une protection contre les attaques par déni de service (DoS). Le trafic qui dépasse les limites de débit spécifiées par le mécanisme de contrôle est immédiatement ignoré ou est marqué comme ayant une priorité inférieure à celle du trafic qui se trouve dans les limites de débit. En cas d’encombrement, le commutateur rejette le trafic de priorité inférieure.

Un mécanisme de contrôle applique deux types de limites de débit sur le trafic :

  • Bande passante : nombre de bits par seconde autorisés, en moyenne

  • Taille maximale des rafales : taille maximale autorisée pour les rafales de données qui dépassent la limite de bande passante donnée

Le contrôle utilise un algorithme pour imposer une limite à la bande passante moyenne tout en autorisant les rafales jusqu’à une valeur maximale spécifiée. Vous pouvez définir des classes de trafic spécifiques sur une interface et appliquer un ensemble de limites de débit à chaque classe. Une fois que vous avez nommé et configuré un mécanisme de contrôle, il est stocké en tant que modèle. Vous pouvez ensuite utiliser le mécanisme de contrôle dans une configuration de filtre de pare-feu.

REMARQUE :

Sur les appareils SRX5400, SRX5600 et SRX5800, des actions de contrôle ARP sont appliquées sur les SPU ainsi que sur les moteur de routage. Par exemple, l’USP A gère 1 5 000 paquets de trafic ARP et l’USP B 5 000 paquets. Un mécanisme de contrôle est configuré en tant que limite de débit 10K, ignore et appliqué au protocole ARP. En conséquence, SPU A rejette 5 000 paquets de trafic ARP et transfère 1 0 000 paquets au moteur de routage, et SPU B transfère 5 000 paquets ARP au moteur de routage. Le moteur de routage reçoit donc un total de 15000 paquets de trafic ARP.

Avantages de l’ARP Policer

  • Empêche la congestion du réseau causée par les tempêtes de diffusion

  • Protège les moteurs de routage sur les pare-feu SRX Series affectés par les tempêtes de diffusion

  • Protection contre les attaques par déni de service (DoS)

Rubriques connexes

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
20.2R1
La prise en charge des mécanismes de contrôle ARP sur les interfaces pseudowire sur les routeurs MX Series est disponible dans Junos OS version 20.2R1.
18.4R1
À partir de Junos OS version 18.4R1, vous pouvez appliquer des mécanismes de contrôle sur le trafic ARP sur les pare-feu SRX Series.