SUR CETTE PAGE
Exemple : Configuration de la protection du cache ARP
Vous pouvez configurer une limite de cache ARP pour les entrées du prochain saut résolues et non résolues dans le cache. Cet exemple montre comment configurer la protection du cache ARP en spécifiant une limite maximale de nombre et de retenue pour les entrées du prochain saut résolues et non résolues dans le cache ARP. Cette limite peut être définie globalement pour toutes les interfaces, ou localement sur une interface spécifique de l’équipement. La configuration d’une telle limite sur le cache ARP a pour avantage de protéger l’équipement contre les attaques par déni de service (DoS).
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Deux routeurs pouvant être combinés à des routeurs M, MX et T Series.
Deux équipements hôtes connectés aux routeurs.
Junos OS version 16.1 ou ultérieure s’exécutant sur les routeurs.
Aperçu
L’envoi de paquets IP sur un réseau multi-accès nécessite de mapper une adresse IP à une adresse MAC (media access control) (l’adresse physique ou matérielle). Dans un environnement Ethernet, l’ARP permet de mapper une adresse MAC à une adresse IP. Les hôtes qui utilisent le protocole ARP conservent un cache de mappages d’adresses Internet vers Ethernet découverts afin de réduire le nombre de messages de diffusion ARP.
Pour éviter que le cache ne soit trop volumineux, une entrée est supprimée par défaut si elle n’est pas utilisée dans un certain laps de temps. En outre, à partir de Junos OS Version 16.1, vous pouvez gérer le nombre d’entrées de cache ARP en configurant une limite aux entrées du prochain saut résolues et non résolues.
La fonctionnalité de cache ARP prend en charge deux types de limites :
Nombre : la limite de nombre est le nombre maximum de sauts suivant pouvant être créés dans le cache ARP.
Retenir : la limite de rétention correspond au nombre maximal de routes de rétention pointant vers une interface particulière pouvant être conservée avant d’être ajoutée au cache ARP.
Les limites de cache ARP sont exécutées à deux niveaux :
Local : les limites locales sont configurées par interface et définies pour les entrées résolues et non résolues dans le cache ARP.
Globale : les limites globales s’appliquent à l’ensemble du système. Une limite globale est définie séparément pour les interfaces publiques et les interfaces de gestion, par exemple, fxp0. L’interface de gestion a une seule limite globale et aucune limite locale. La limite globale applique un cap à l’échelle du système sur les entrées du cache ARP, y compris les interfaces de routage internes (IIR) privées pour les instances de routage internes, par exemple em0 et em1.
Plates-formes de petite taille : ACX, EX22XX, EX3200, EX33XX et SRX ; est de 20 000 par défaut. Plates-formes de taille moyenne : EX4200, EX45XX, EX4300, EX62XX et MX ; est de 75 000 par défaut. Toutes les autres plates-formes, par défaut, sont 100 000. Vous pouvez modifier cette limite en configurant la fonctionnalité de protection du cache du saut suivant ARP.
Pour configurer la limite de nombre de cache ARP pour les entrées du prochain saut résolues et non résolues globalement, incluez l’instruction
arp-system-cache-limitau niveau de la[edit system]hiérarchie.Pour configurer la limite de nombre de cache ARP pour les entrées du saut suivant résolues et non résolues localement, incluez l’instruction
arp-system-cache-limitau niveau de la[edit interfaces interface-name unit interface-unit-number family inet]hiérarchie.Pour configurer localement la limite de retenue du cache ARP pour les entrées de saut suivant non résolus, incluez l’instruction
arp-new-hold-limitau niveau de la[edit interfaces interface-name unit interface-unit-number family inet]hiérarchie.Note:La limite de retenir le cache ARP est configurée uniquement par interface et ne peut pas être configurée au niveau du système.
Les entrées du prochain saut du cache ARP sont attribuées différemment à différents types d’interfaces, indépendamment de la configuration des fonctionnalités de protection du cache ARP.
Par défaut, 200 entrées sont attribuées aux IIR.
80 % des autres entrées sont attribuées aux interfaces publiques.
20 % des entrées restantes sont attribuées aux interfaces de gestion.
Lorsque les entrées du saut suivant ARP dépassent la limite de nombre configurée, les nouvelles entrées sont soit jetées, soit conservées sous le compteur de réal, si une limite de maintenage est configurée pour cette interface. La limite de maintien du saut suivant ARP spécifie le nombre maximum d’entrées de maintenez ou de routes de maintien pointant vers une interface particulière. Lorsque le nombre d’entrées de réaligne dépasse la limite de réessive configurée, le compteur d’attente de cette interface est affecté de manière drastique, car les nouvelles entrées d’attente créent une boucle et continuent d’augmenter jusqu’à ce qu’elles contiennent de la bande passante.
Après avoir modifié la limite de cache du saut suivant ARP par défaut sur une interface, celle-ci doit être désactivée et réactivée pour que les nouvelles valeurs configurées prennent effet.
Topologie
La figure 1 illustre une topologie simple à deux routeurs avec la protection du cache ARP activée. Les routeurs R1 et R2 sont respectivement connectés aux hôtes Host1 et Host2.
du cache ARP
Par exemple, si le routeur R1 est configuré avec arp-system-cache-limit 220 entrées au niveau mondial et qu’il reçoit 230 entrées ARP sur la première interface qui reçoit les entrées (par exemple, ge-0/0/0), les actions suivantes sont exécutées :
Lorsque 230 entrées sont reçues, la limite globale de 220 entrées est appliquée au système, où la limite configurée est divisée entre les différents types d’interfaces et les autres entrées reçues sur une interface particulière sont écartées.
Sur les 220 entrées mises en cache, 200 sont allouées par défaut aux interfaces IRI.
Sur les 20 entrées restantes, 80 % des entrées (16 entrées) sont envoyées aux interfaces publiques et 20 % des entrées (4 entrées) sont envoyées à l’interface de gestion. Si les 230 entrées ARP sont reçues sur l’interface publique, seule la limite de cache de 16 entrées est conservée et les 214 autres sont jetées.
En outre, si ge-0/0/0 sur le routeur R1 est configuré avec une arp-new-hold-limit valeur de 8, les actions suivantes sont effectuées :
Sur les 230 entrées reçues, seules 220 sont mises en cache dans la table ARP. Cependant, au lieu de rejeter les entrées restantes, les entrées d’attente sont envoyées au compteur de maintien ge-0/0/0, puis les entrées restantes sont envoyées au compteur d’élimination ge-0/0/0.
En fonction de la disponibilité de la bande passante, les huit entrées d’attente sont mises en cache dans la table ARP ge-0/0/0 avant de prendre en compte les nouvelles entrées.
Le compteur de perte de ge-0/0/0, cependant, ne s’incrémente pas par des entrées uniques. Les entrées d’attente jetées dans le compteur de rejet forment une boucle et ajoutent aux entrées le nombre d’entrées jusqu’à ce qu’il y a de la bande passante sur l’interface pour accueillir toutes les entrées. Par conséquent, les ajouts au compteur d’abandon ont un effet considérable sur les performances de l’interface.
Configuration
Configuration rapide CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis entrez validation à partir du mode de configuration.
R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/0 unit 0 family inet arp-new-hold-limit 8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.10.10.1/32 set system arp-system-cache-limit 220
R2
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.20.20.1/32
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à Using the CLI Editor in Configuration Mode.
Pour configurer le routeur R1 avec protection du cache ARP :
Configurez les interfaces du routeur R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@R1# set lo0 unit 0 family inet address 10.10.10.1/32
Configurez la protection du cache ARP globalement pour toutes les interfaces du routeur R1.
[edit system] user@R1# set arp-system-cache-limit 220
Configurez une limite de maintenez les entrées de cache ARP de l’interface ge-0/0/0 du routeur R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet arp-new-hold-limit 8
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant les show interfaces show system commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.10.10.1/32;
}
}
}
user@R1# show system arp-system-cache-limit 220 ;
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la limite globale du cache du saut suivant ARP
- Vérification de la limite de cache ARP local du saut suivant
Vérification de la limite globale du cache du saut suivant ARP
But
Vérifiez les limites du cache du saut suivant ARP à l’échelle du système et l’allocation des entrées du saut suivant pour différentes interfaces.
Action
À partir du mode opérationnel, exécutez la show system statistics arp commande.
user@R1> show system statistics arp
arp:
717253 datagrams received
47 ARP requests received
31 ARP replies received
285 resolution request received
0 unrestricted proxy requests
0 restricted proxy requests
0 received proxy requests
0 unrestricted proxy requests not proxied
*****
220 Max System ARP nh cache limit
16 Max Public ARP nh cache limit
200 Max IRI ARP nh cache limit
4 Max Management intf ARP nh cache limit
16 Current Public ARP next-hops present
1 Current IRI ARP next-hops present
2 Current Management ARP next-hops present
2457 Total ARP next-hops creation failed as limit reached
2454 Public ARP next-hops creation failed as public limit reached
3 IRI ARP next-hops creation failed as iri limit reached
0 Management ARP next-hops creation failed as mgt limit reached
Sens
Les limites globales du cache du saut suivant ARP sont affichées dans la sortie, ainsi que l’allocation des entrées du saut suivant pour les interfaces IRI, publiques et de gestion.
Vérification de la limite de cache ARP local du saut suivant
But
Vérifiez la limite de cache du saut suivant ARP de l’interface.
Action
À partir du mode opérationnel, exécutez la show interfaces interface-name commande.
user@R1> show interface fxp0
fxp0
Physical interface: fxp0, Enabled, Physical link is Up
Interface index: 1, SNMP ifIndex: 1
Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Speed: 100mbps
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Current address: 00:a0:a5:62:8e:39, Hardware address: 00:a0:a5:62:8e:39
Last flapped : 2014-10-16 10:23:29 PDT (16:27:21 ago)
Input packets : 0
Output packets: 0
Logical interface fxp0.0 (Index 3) (SNMP ifIndex 13)
Flags: Up SNMP-Traps Encapsulation: ENET2
Bandwidth: 0
Input packets : 23
Output packets: 4
Protocol inet, MTU: 1500
Max nh cache: 220 New hold nh limit: 8, Curr nh cnt: 2, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, Is-Primary
Addresses, Flags: Is-Default Is-Preferred Is-Primary
Destination: 10.209.0/18, Local: 10.209.3.69, Broadcast: 10.209.63.255
Sens
Le nombre de cache du saut suivant ARP local et les limites de l’interface de gestion sont affichés dans la sortie.
Dépannage
Pour dépanner la configuration de la protection du cache ARP, reportez-vous à :
Dépannage des messages de journalisation système
Problème
Les messages du journal système sont générés pour enregistrer les événements lorsque les limites du cache ARP sont dépassées.
Solution
Pour interpréter les messages du journal système, reportez-vous aux éléments suivants :
Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached— Le routeur R1 a atteint 80 % de la limite de cache ARP du saut suivant autorisée pour les interfaces publiques.
Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached— Le routeur R1 a atteint la limite maximale autorisée pour les entrées de cache du saut suivant ARP sur l’interface publique.
Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached— Le routeur R1 a atteint 80 % de la limite de cache du prochain saut ARP global configurée pour toutes ses interfaces.
Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached— Le routeur R1 a atteint la limite maximale configurée du cache ARP global du saut suivant pour toutes ses interfaces.