例:ARP ポリサーの設定
この例では、SRXシリーズファイアウォールでアドレス解決プロトコル(ARP)ポリサーを設定する方法を示します。
MXシリーズルーター上の疑似回線インターフェイスでのARPポリサーのサポートは、Junos OSリリース20.2R1で使用可能です。設定の原則は、ここに示すものと同じです。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OSリリース18.4R1以降。
開始する前に、「 ARPポリサーの概要」を参照してください。
概要
ARPは、MACアドレスをIPアドレスにマッピングするために使用されます。ARPは、IPアドレス(論理アドレス)を正しいMACアドレスに動的にバインドします。IPユニキャストパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスで使用されるMACアドレスを検出します。この機能は、すべてのSRXシリーズファイアウォールでサポートされています。SRXシリーズファイアウォール上のルーティングエンジンへのトラフィックは、ARPにポリサーを適用することで制御されます。これにより、ブロードキャストストームによるネットワーク輻輳を防止できます。
__default_arp_policer__という名前のデフォルトARPポリサーは、デフォルトでfamily inet 設定されたすべてのイーサネットインターフェイスで使用および共有されます。
MXシリーズルーターでは、疑似回線インターフェイス上のARPトラフィックのポリサーを作成できます。(他のインターフェイスと同様に、ファイアウォールポリサーの帯域幅とバーストサイズ制限を指定し、疑似回線インターフェイスにポリシーをアタッチすることで、ポリサーのレート制限を設定し、階層の [edit interfaces interface-name unit unit-number family inet policer arp policy-name] レベルで疑似回線インターフェイスにARPポリサーを適用します。指定されたレート制限を超えるトラフィックは、ドロップするか、優先度が低いとしてマークし、輻輳が許せば配信できます。
設定
この例では、帯域幅とバーストサイズ制限を指定することで、ポリサーのレート制限を設定する方法を示しています。
インターフェイスでのARPポリサーの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「設定モードでのCLIエディタの使用」を参照してください。
ARPポリサーを設定するには:
ポリサーの名前を指定します。
[edit firewall] user@host# set policer arp-limit
ポリサーのレート制限を設定します。
インターフェイス上のトラフィックレートを制御するための帯域幅制限をビット/秒(bps)で指定します。
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
バーストサイズ制限(最大許容バーストサイズ(バイト単位)を指定して、トラフィックバーストの量を制御します。
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
バーストサイズ制限の値を決定するには、フィルターが適用されるインターフェイスの帯域幅に、その帯域幅でのトラフィックのバーストが発生することを許可する時間を乗算します。
バーストサイズ=(帯域幅)*(バーストトラフィックに許容時間)
ポリサーアクションdiscardを指定して、レート制限を超えるパケットを破棄します。
[edit firewall] user@host# set policer arp_limit then discard
破棄は、サポートされている唯一のポリサーアクションです。
インターフェイスを設定します。
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
結果
設定モードから、 show firewall コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の指示を繰り返して修正します。
[edit]
user@host# show firewall
policer arp_limit {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1m;
}
then discard;
}
[edit]
user@host# show interfaces
ge-0/0/7 {
unit 0 {
family inet {
policer {
arp arp_limit;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
ARPポリサーの結果の検証
目的
Arp ポリサーの結果を確認します。
アクション
動作モードの設定の先頭から、 show policer policer-name コマンドを入力します。
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
意味
show policer policer-nameコマンドは、デバイスに設定されているすべてのファイアウォールフィルターとポリサーの名前を表示します。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。