Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ARP ポリサーの概要

マルチアクセス ネットワークで IP パケットを送信するには、IP アドレスからメディア アクセス制御(MAC)アドレス(物理アドレスまたはハードウェア アドレス)へのマッピングが必要です。

イーサネット環境では、アドレス解決プロトコル(ARP)を使用して、MAC アドレスを IP アドレスにマッピングします。ARPは、IPアドレス(論理アドレス)をMAC アドレスに動的にバインドします。ユニキャストIPパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスに使用されるMACアドレスを検出します。

ARP を使用するホストは、検出されたインターネットからイーサネットへのアドレス マッピングのキャッシュを保持して、ARP ブロードキャスト メッセージの数を最小限に抑えます。キャッシュが大きくなりすぎないように、一定期間内に使用されない場合はエントリが削除されます。パケットを送信する前に、ホストはキャッシュでインターネットからイーサネットへのアドレスマッピングを検索します。マッピングが見つからない場合、ホストは ARP 要求を送信します。

Junos OSリリース18.4R1以降、SRXシリーズファイアウォール上のARPトラフィックに ポリサーを適用できます。MX シリーズ ルーターの疑似回線インターフェイスでの ARP ポリサーのサポートは、Junos OS リリース 20.2R1 で利用可能です。構成の原則は同じです。

帯域幅とバーストサイズ制限を指定することで、ポリサーのレート制限を構成できます。ポリサーの制限を超えるパケットは破棄されます。ルーティング エンジンへのトラフィックは、ARP トラフィックにポリサーを適用することで制御されます。ポリサーを使用すると、ブロードキャスト ストームによるネットワークの輻輳を防ぐことができます。ポリサーを使用して、トラフィックのレート制限を指定できます。ポリサーで設定されたファイアウォールフィルターは、指定されたレート制限セット内のトラフィックのみを許可するため、サービス拒否(DoS)攻撃からの保護を提供します。ポリサーによって指定されたレート制限を超えるトラフィックは、直ちに破棄されるか、レート制限内のトラフィックよりも低い優先度としてマークされます。スイッチは、トラフィックの輻輳が発生した場合、優先度の低いトラフィックを廃棄します。

ポリサーは、トラフィックに 2 種類のレート制限を適用します。

  • 帯域幅 - 許容されるビット/秒の平均数

  • 最大バースト サイズ - 特定の帯域幅制限を超えるデータのバーストに許可される最大サイズ

ポリシングは、アルゴリズムを使用して、指定された最大値までのバーストを許可しながら、平均帯域幅に制限を適用します。インターフェイス上で特定のトラフィック クラスを定義し、各クラスに一連のレート制限を適用できます。ポリサーに名前を付けて構成すると、そのポリサーはテンプレートとして保存されます。その後、ファイアウォールフィルター構成でポリサーを使用できます。

注:

SRX5400、SRX5600、および SRX5800 デバイスでは、ARP ポリサー アクションが SPU およびルーティング エンジンに適用されます。例えば、SPU A は 15000 パケットの ARP トラフィックを処理し、SPU B は 5000 パケットを処理します。ポリサーはレート制限 10K として設定され、破棄して ARP プロトコルに適用されます。その結果、SPU A は 5000 パケットの ARP トラフィックを廃棄して 10000 パケットをルーティング エンジンに転送し、SPU B は 5000 パケットの ARP をルーティング エンジンに転送します。したがって、ルーティング エンジンは合計 15000 パケットの ARP トラフィックを受信します。

ARP ポリサーの利点

  • ブロードキャストストームによるネットワークの輻輳を防止

  • ブロードキャストストームの影響を受けるSRXシリーズファイアウォール上のルーティングエンジンを保護します

  • サービス拒否 (DoS) 攻撃からの保護を提供します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
20.2R1
MX シリーズ ルーターの疑似回線インターフェイスでの ARP ポリサーのサポートは、Junos OS リリース 20.2R1 で利用可能です。
18.4R1
Junos OSリリース18.4R1以降、SRXシリーズファイアウォール上のARPトラフィックに ポリサーを適用できます。