Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration de la protection du cache ARP

Vous pouvez configurer une limite de cache ARP pour les entrées du prochain saut résolues et non résolues dans le cache. Cet exemple montre comment configurer la protection du cache ARP en spécifiant une limite maximale de nombre et de retenue pour les entrées du prochain saut résolues et non résolues dans le cache ARP. Cette limite peut être définie globalement pour toutes les interfaces, ou localement sur une interface spécifique de l’équipement. La configuration d’une telle limite sur le cache ARP a pour avantage de protéger l’équipement contre les attaques par déni de service (DoS).

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Deux routeurs pouvant être combinés à des routeurs M, MX et T Series.

  • Deux équipements hôtes connectés aux routeurs.

  • Junos OS version 16.1 ou ultérieure s’exécutant sur les routeurs.

Aperçu

L’envoi de paquets IP sur un réseau multi-accès nécessite de mapper une adresse IP à une adresse MAC (media access control) (l’adresse physique ou matérielle). Dans un environnement Ethernet, l’ARP permet de mapper une adresse MAC à une adresse IP. Les hôtes qui utilisent le protocole ARP conservent un cache de mappages d’adresses Internet vers Ethernet découverts afin de réduire le nombre de messages de diffusion ARP.

Pour éviter que le cache ne soit trop volumineux, une entrée est supprimée par défaut si elle n’est pas utilisée dans un certain laps de temps. En outre, à partir de Junos OS Version 16.1, vous pouvez gérer le nombre d’entrées de cache ARP en configurant une limite aux entrées du prochain saut résolues et non résolues.

La fonctionnalité de cache ARP prend en charge deux types de limites :

  • Nombre : la limite de nombre est le nombre maximum de sauts suivant pouvant être créés dans le cache ARP.

  • Retenir : la limite de rétention correspond au nombre maximal de routes de rétention pointant vers une interface particulière pouvant être conservée avant d’être ajoutée au cache ARP.

Les limites de cache ARP sont exécutées à deux niveaux :

  • Local : les limites locales sont configurées par interface et définies pour les entrées résolues et non résolues dans le cache ARP.

  • Globale : les limites globales s’appliquent à l’ensemble du système. Une limite globale est définie séparément pour les interfaces publiques et les interfaces de gestion, par exemple, fxp0. L’interface de gestion a une seule limite globale et aucune limite locale. La limite globale applique un cap à l’échelle du système sur les entrées du cache ARP, y compris les interfaces de routage internes (IIR) privées pour les instances de routage internes, par exemple em0 et em1.

Plates-formes de petite taille : ACX, EX22XX, EX3200, EX33XX et SRX ; est de 20 000 par défaut. Plates-formes de taille moyenne : EX4200, EX45XX, EX4300, EX62XX et MX ; est de 75 000 par défaut. Toutes les autres plates-formes, par défaut, sont 100 000. Vous pouvez modifier cette limite en configurant la fonctionnalité de protection du cache du saut suivant ARP.

  • Pour configurer la limite de nombre de cache ARP pour les entrées du prochain saut résolues et non résolues globalement, incluez l’instruction arp-system-cache-limit au niveau de la [edit system] hiérarchie.

  • Pour configurer la limite de nombre de cache ARP pour les entrées du saut suivant résolues et non résolues localement, incluez l’instruction arp-system-cache-limit au niveau de la [edit interfaces interface-name unit interface-unit-number family inet] hiérarchie.

  • Pour configurer localement la limite de retenue du cache ARP pour les entrées de saut suivant non résolus, incluez l’instruction arp-new-hold-limit au niveau de la [edit interfaces interface-name unit interface-unit-number family inet] hiérarchie.

    Note:

    La limite de retenir le cache ARP est configurée uniquement par interface et ne peut pas être configurée au niveau du système.

Les entrées du prochain saut du cache ARP sont attribuées différemment à différents types d’interfaces, indépendamment de la configuration des fonctionnalités de protection du cache ARP.

  1. Par défaut, 200 entrées sont attribuées aux IIR.

  2. 80 % des autres entrées sont attribuées aux interfaces publiques.

  3. 20 % des entrées restantes sont attribuées aux interfaces de gestion.

Lorsque les entrées du saut suivant ARP dépassent la limite de nombre configurée, les nouvelles entrées sont soit jetées, soit conservées sous le compteur de réal, si une limite de maintenage est configurée pour cette interface. La limite de maintien du saut suivant ARP spécifie le nombre maximum d’entrées de maintenez ou de routes de maintien pointant vers une interface particulière. Lorsque le nombre d’entrées de réaligne dépasse la limite de réessive configurée, le compteur d’attente de cette interface est affecté de manière drastique, car les nouvelles entrées d’attente créent une boucle et continuent d’augmenter jusqu’à ce qu’elles contiennent de la bande passante.

Note:

Après avoir modifié la limite de cache du saut suivant ARP par défaut sur une interface, celle-ci doit être désactivée et réactivée pour que les nouvelles valeurs configurées prennent effet.

Topologie

La figure 1 illustre une topologie simple à deux routeurs avec la protection du cache ARP activée. Les routeurs R1 et R2 sont respectivement connectés aux hôtes Host1 et Host2.

Figure 1 : protection ARP Cache Protection du cache ARP

Par exemple, si le routeur R1 est configuré avec arp-system-cache-limit 220 entrées au niveau mondial et qu’il reçoit 230 entrées ARP sur la première interface qui reçoit les entrées (par exemple, ge-0/0/0), les actions suivantes sont exécutées :

  1. Lorsque 230 entrées sont reçues, la limite globale de 220 entrées est appliquée au système, où la limite configurée est divisée entre les différents types d’interfaces et les autres entrées reçues sur une interface particulière sont écartées.

  2. Sur les 220 entrées mises en cache, 200 sont allouées par défaut aux interfaces IRI.

  3. Sur les 20 entrées restantes, 80 % des entrées (16 entrées) sont envoyées aux interfaces publiques et 20 % des entrées (4 entrées) sont envoyées à l’interface de gestion. Si les 230 entrées ARP sont reçues sur l’interface publique, seule la limite de cache de 16 entrées est conservée et les 214 autres sont jetées.

En outre, si ge-0/0/0 sur le routeur R1 est configuré avec une arp-new-hold-limit valeur de 8, les actions suivantes sont effectuées :

  1. Sur les 230 entrées reçues, seules 220 sont mises en cache dans la table ARP. Cependant, au lieu de rejeter les entrées restantes, les entrées d’attente sont envoyées au compteur de maintien ge-0/0/0, puis les entrées restantes sont envoyées au compteur d’élimination ge-0/0/0.

  2. En fonction de la disponibilité de la bande passante, les huit entrées d’attente sont mises en cache dans la table ARP ge-0/0/0 avant de prendre en compte les nouvelles entrées.

  3. Le compteur de perte de ge-0/0/0, cependant, ne s’incrémente pas par des entrées uniques. Les entrées d’attente jetées dans le compteur de rejet forment une boucle et ajoutent aux entrées le nombre d’entrées jusqu’à ce qu’il y a de la bande passante sur l’interface pour accueillir toutes les entrées. Par conséquent, les ajouts au compteur d’abandon ont un effet considérable sur les performances de l’interface.

Configuration

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis entrez validation à partir du mode de configuration.

R1

R2

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à Using the CLI Editor in Configuration Mode.

Pour configurer le routeur R1 avec protection du cache ARP :

  1. Configurez les interfaces du routeur R1.

  2. Configurez la protection du cache ARP globalement pour toutes les interfaces du routeur R1.

  3. Configurez une limite de maintenez les entrées de cache ARP de l’interface ge-0/0/0 du routeur R1.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfaces show system commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la limite globale du cache du saut suivant ARP

But

Vérifiez les limites du cache du saut suivant ARP à l’échelle du système et l’allocation des entrées du saut suivant pour différentes interfaces.

Action

À partir du mode opérationnel, exécutez la show system statistics arp commande.

Sens

Les limites globales du cache du saut suivant ARP sont affichées dans la sortie, ainsi que l’allocation des entrées du saut suivant pour les interfaces IRI, publiques et de gestion.

Vérification de la limite de cache ARP local du saut suivant

But

Vérifiez la limite de cache du saut suivant ARP de l’interface.

Action

À partir du mode opérationnel, exécutez la show interfaces interface-name commande.

Sens

Le nombre de cache du saut suivant ARP local et les limites de l’interface de gestion sont affichés dans la sortie.

Dépannage

Pour dépanner la configuration de la protection du cache ARP, reportez-vous à :

Dépannage des messages de journalisation système

Problème

Les messages du journal système sont générés pour enregistrer les événements lorsque les limites du cache ARP sont dépassées.

Solution

Pour interpréter les messages du journal système, reportez-vous aux éléments suivants :

  • Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached— Le routeur R1 a atteint 80 % de la limite de cache ARP du saut suivant autorisée pour les interfaces publiques.

  • Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached— Le routeur R1 a atteint la limite maximale autorisée pour les entrées de cache du saut suivant ARP sur l’interface publique.

  • Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached— Le routeur R1 a atteint 80 % de la limite de cache du prochain saut ARP global configurée pour toutes ses interfaces.

  • Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached— Le routeur R1 a atteint la limite maximale configurée du cache ARP global du saut suivant pour toutes ses interfaces.

Tableau Historique des versions
Libération
Description
16.1
À partir de Junos OS Version 16.1, vous pouvez configurer une limite de cache ARP pour les entrées de saut suivant résolues et non résolues dans le cache.