例:ARP ポリサーの設定
この例では、 SRXシリーズファイアウォールでアドレス解決プロトコル(ARP)ポリサーを設定する方法を示しています。
MX シリーズ ルーターの疑似回線インターフェイスでの ARP ポリサーのサポートは、Junos OS リリース 20.2R1 で利用可能です。構成の原則は、ここに示すものと同じです。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 18.4R1 以降。
開始する前に、 ARP ポリサーの概要を参照してください。
概要
ARP は、MAC アドレスを IP アドレスにマッピングするために使用されます。ARPは、IPアドレス(論理アドレス)をMAC アドレスに動的にバインドします。IPユニキャストパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスで使用するMAC アドレスを検出します。この機能は、すべての SRXシリーズファイアウォールでサポートされています。SRXシリーズファイアウォール上のルーティングエンジンへのトラフィックは、ARPのポリサーを適用することによって制御されます。これにより、ブロードキャストストームによるネットワークの輻輳を防ぐことができます。
デフォルトでは、 __default_arp_policer__ という名前のデフォルト ARP ポリサーが、 family inet
設定されたすべてのイーサネット インターフェイスで使用され、共有されます。
MX シリーズ ルーターでは、疑似回線インターフェイス上の ARP トラフィックのポリサーを作成できます。(ポリサーのレート制限を設定するには、ファイアウォール ポリサーの帯域幅とバーストサイズ制限を指定し、他のインターフェイスと同様にポリシーを疑似回線インターフェイスにアタッチし、階層の [edit interfaces interface-name unit unit-number family inet policer arp policy-name]
レベルで疑似回線インターフェイスに ARP ポリサーを適用します。指定されたレート制限を超えるトラフィックは、ドロップするか、低優先度としてマークして、輻輳が許せば配信できます。
設定
この例では、帯域幅とバーストサイズ制限を指定することによって、ポリサーのレート制限を構成する方法を示します。
インターフェイスでの ARP ポリサーの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ARP ポリサーを設定するには、次の手順に従います。
ポリサーの名前を指定してください。
[edit firewall] user@host# set policer arp-limit
ポリサーのレート制限を構成します。
帯域幅制限をビット/秒(bps)で指定し、インターフェイス上のトラフィックレートを制御します。
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
帯域幅制限の範囲は 1〜150,000 bps です。
バーストサイズ制限(最大許容バースト サイズ(バイト単位))を指定して、トラフィック バーストの量を制御します。
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
バーストサイズ制限の値を決定するには、フィルターが適用されているインターフェイスの帯域幅に、その帯域幅でのトラフィックのバーストが発生するまでの時間を掛けます。
バースト サイズ = (帯域幅) * (バースト トラフィックの許容時間)
バーストサイズ制限の範囲は、1 から 150,00 バイトです。
レート制限を超えるパケットを破棄するには、ポリサー アクションの破棄を指定します。
[edit firewall] user@host# set policer arp_limit then discard
破棄は、サポートされている唯一のポリサー アクションです。
インターフェイスを設定します。
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
結果
設定モードから、show firewall
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して修正します。
[edit] user@host# show firewall policer arp_limit { if-exceeding { bandwidth-limit 1m; burst-size-limit 1m; } then discard; } [edit] user@host# show interfaces ge-0/0/7 { unit 0 { family inet { policer { arp arp_limit; } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ARP ポリサーの結果の検証
目的
Arp ポリサーの結果を確認します。
アクション
運用モードのコンフィギュレーションの上部から、 show policer policer-name
コマンドを入力します。
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
意味
show policer policer-name
コマンドは、デバイスで設定されているすべてのファイアウォールフィルターとポリサーの名前を表示します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。