ARPポリサーの概要

マルチアクセスネットワークでIPパケットを送信するには、IPアドレスからメディアアクセス制御(MAC)アドレス(物理アドレスまたはハードウェアアドレス)へのマッピングが必要です。

イーサネット環境では、アドレス解決プロトコル(ARP)を使用して、MACアドレスをIPアドレスにマッピングします。ARPは、IPアドレス(論理アドレス)を正しいMACアドレスに動的にバインドします。ユニキャストIPパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスに使用されているMACアドレスを検出します。

ARP を使用するホストは、検出されたインターネットからイーサネットへのアドレス マッピングのキャッシュを保持して、ARP ブロードキャスト メッセージの数を最小限に抑えます。キャッシュが大きくなりすぎないように、一定期間内に使用されない場合、エントリが削除されます。パケットを送信する前に、ホストはキャッシュを検索してインターネットとイーサネットのアドレスマッピングを検索します。マッピングが見つからない場合、ホストはARPリクエストを送信します。

Junos OSリリース18.4R1以降、SRXシリーズファイアウォール上のARPトラフィックにポリサーを適用できます。MXシリーズルーター上の疑似回線インターフェイスでのARPポリサーのサポートは、Junos OSリリース20.2R1で使用可能です。設定原理は同じです。

帯域幅とバーストサイズ制限を指定することで、ポリサーのレート制限を設定できます。ポリサーの制限を超えるパケットは破棄されます。ルーティングエンジンへのトラフィックは、ARPトラフィックにポリサーを適用することで制御されます。ポリサーを使用することで、ブロードキャストストームによって引き起こされるネットワーク輻輳を防ぐことができます。ポリサーを使用して、トラフィックのレート制限を指定できます。ポリサーで設定されたファイアウォールフィルターは、指定されたレート制限内のトラフィックのみを許可することで、サービス拒否(DoS)攻撃からの保護を提供します。ポリサーが指定したレート制限を超えるトラフィックは、直ちに破棄されるか、レート制限内のトラフィックよりも優先度が低いとマークされます。トラフィックが混雑すると、スイッチは優先度の低いトラフィックを破棄します。

ポリサーは、トラフィックに 2 種類のレート制限を適用します。

• 帯域幅—平均して許可される1秒あたりのビット数

• 最大バーストサイズ—特定の帯域幅制限を超えるデータのバーストに許可される最大サイズ

ポリシングでは、アルゴリズムを使用して平均帯域幅に制限を適用しながら、指定された最大値までのバーストを許可します。インターフェイス上でトラフィックの特定のクラスを定義し、各クラスに一連のレート制限を適用できます。ポリサーに名前を付けて設定すると、テンプレートとして保存されます。その後、ファイアウォールフィルター設定でポリサーを使用できます。

注:

SRX5400、SRX5600、SRX5800デバイスでは、ARPポリサーアクションは、ルーティングエンジンだけでなくSPUにも適用されます。例えば、SPU A は ARP トラフィックの 15000 パケットを処理し、SPU B は 5000 パケットを処理します。ポリサーはレート制限10Kとして設定され、破棄され、ARPプロトコルに適用されます。その結果、SPU Aは5000パケットのARPトラフィックを破棄し、10000パケットをルーティングエンジンに転送し、SPU Bは5000パケットのARPをルーティングエンジンに転送します。したがって、ルーティングエンジンは合計15000パケットのARPトラフィックを受信します。