Exemple : Configuration d’ARP Policer
Cet exemple montre comment configurer un mécanisme de contrôle ARP (Address Resolution Protocol) sur les pare-feu SRX Series.
La prise en charge des mécanismes de contrôle ARP sur les interfaces pseudowire sur les routeurs MX Series est disponible dans Junos OS version 20.2R1. Les principes de configuration sont les mêmes que ceux présentés ici.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series.
Junos OS version 18.4R1 ou ultérieure.
Avant de commencer, reportez-vous à la section Présentation d’ARP Policer.
Présentation
ARP est utilisé pour mapper une adresse MAC à une adresse IP. ARP lie dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant que les paquets unicast IP puissent être envoyés, ARP découvre l’adresse MAC utilisée par l’interface Ethernet où l’adresse IP est configurée. Cette fonctionnalité est prise en charge sur tous les pare-feu SRX Series. Le trafic acheminé vers le moteur de routage sur le pare-feu SRX Series est contrôlé en appliquant le mécanisme de contrôle sur ARP. Cela permet d’éviter la congestion du réseau causée par les tempêtes de diffusion.
Un mécanisme de contrôle ARP par défaut nommé __default_arp_policer__ est utilisé et partagé par toutes les interfaces Ethernet avec family inet
configuré, par défaut.
Sur les routeurs MX Series, vous pouvez créer des mécanismes de contrôle pour le trafic ARP sur les interfaces pseudowire. (Vous configurez la limitation de débit pour le mécanisme de contrôle en spécifiant la limite de bande passante et la limite de taille de rafale d’un mécanisme de contrôle de pare-feu et en attachant la stratégie à une interface pseudowire, comme vous le feriez pour n’importe quelle autre interface, et appliquez le mécanisme de contrôle ARP à une interface pseudowire au [edit interfaces interface-name unit unit-number family inet policer arp policy-name]
niveau de la hiérarchie. Le trafic qui dépasse les limites de débit spécifiées peut être abandonné ou marqué comme étant de faible priorité et acheminé lorsque les encombrements le permettent.
Configuration
Cet exemple montre comment configurer la limitation de débit pour le mécanisme de contrôle en spécifiant la bande passante et la limite de taille de rafale.
Configuration d’ARP Policer sur l’interface
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utiliser l’éditeur CLI en mode configuration le Guide de l’utilisateur de la CLI.
Pour configurer le mécanisme de contrôle ARP :
Spécifiez le nom du mécanisme de contrôle.
[edit firewall] user@host# set policer arp-limit
Configurez la limitation de débit pour le mécanisme de contrôle.
Spécifiez la limite de bande passante en bits par seconde (bps) pour contrôler le débit de trafic sur une interface :
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
La plage de limite de bande passante est comprise entre 1 et 150 000 bits/s.
Spécifiez la limite de taille de rafale (la taille de rafale maximale autorisée en octets) pour contrôler la quantité de rafale de trafic :
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
Pour déterminer la valeur de la limite de taille de rafale, multipliez la bande passante de l’interface sur laquelle le filtre est appliqué par la durée pendant laquelle une rafale de trafic à cette bande passante peut se produire :
Taille de la rafale = (bande passante) * (temps autorisé pour le trafic en rafale)
La plage de la limite de taille de rafale est comprise entre 1 et 150 000 octets.
Spécifiez l’action de contrôle discard pour rejeter les paquets qui dépassent les limites de débit.
[edit firewall] user@host# set policer arp_limit then discard
Ignorer est la seule action de contrôle prise en charge.
Configurez les interfaces.
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show firewall
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger.
[edit] user@host# show firewall policer arp_limit { if-exceeding { bandwidth-limit 1m; burst-size-limit 1m; } then discard; } [edit] user@host# show interfaces ge-0/0/7 { unit 0 { family inet { policer { arp arp_limit; } } } }
Une fois que vous avez terminé de configurer l’appareil, passez en commit
mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification des résultats du mécanisme de contrôle arp
But
Vérifiez les résultats du mécanisme de contrôle Arp.
Action
En haut de la configuration en mode opérationnel, entrez la show policer policer-name
commande.
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
Sens
La show policer policer-name
commande affiche les noms de tous les filtres et mécanismes de contrôle du pare-feu configurés sur l’appareil.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.