예: ARP 폴리서 구성
이 예는 SRX 시리즈 방화벽에서 ARP(Address Resolution Protocol) 폴리서를 구성하는 방법을 보여줍니다.
MX 시리즈 라우터의 유사 회선 인터페이스에 대한 ARP 폴리서에 대한 지원은 Junos OS 릴리스 20.2R1에서 사용할 수 있습니다. 구성 원칙은 여기에 표시된 것과 동일합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
Junos OS 릴리스 18.4R1 이상.
시작하기 전에 을 참조하십시오 .ARP 폴리서 개요
개요
ARP는 MAC 주소를 IP 주소에 매핑하는 데 사용됩니다. ARP는 IP 주소(논리적 주소)를 올바른 MAC 주소에 동적으로 바인딩합니다. IP 유니캐스트 패킷을 전송하기 전에, ARP는 IP 주소가 구성된 이더넷 인터페이스에서 사용한 MAC 주소를 검색합니다. 이 기능은 모든 SRX 시리즈 방화벽에서 지원됩니다. SRX 시리즈 방화벽에서 라우팅 엔진에 대한 트래픽은 ARP에 폴리서를 적용하여 제어됩니다. 이를 통해 브로드캐스트 스톰으로 인한 네트워크 혼잡을 방지할 수 있습니다.
라는 기본 ARP 폴리서는 기본적으로 구성된 모든 이더넷 인터페이스에서 사용 및 공유됩니다.__default_arp_policer__family inet
MX 시리즈 라우터에서는 유사 회선 인터페이스에서 ARP 트래픽에 대한 폴리서를 생성할 수 있습니다. (방화벽 폴리서의 대역폭 및 버스트 크기 제한을 지정하고 다른 인터페이스와 마찬가지로 정책을 의사 회선 인터페이스에 연결하여 폴리서에 대한 속도 제한을 구성하고, 계층 수준에서 의사 회선 인터페이스에 ARP 폴리서를 적용합니다.[edit interfaces interface-name unit unit-number family inet policer arp policy-name]
지정된 속도 제한을 초과하는 트래픽은 삭제되거나 낮은 우선 순위로 표시되고 혼잡이 허용될 때 전달될 수 있습니다.
구성
이 예에서는 대역폭 및 버스트 크기 제한을 지정하여 폴리서에 대한 속도 제한을 구성하는 방법을 보여줍니다.
인터페이스에서 ARP 폴리서 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을 입력합니다.
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이 작업을 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 을 참조하십시오.구성 모드에서 CLI 편집기 사용https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
ARP 폴리서를 구성하려면 다음을 수행합니다.
폴리서의 이름을 지정합니다.
[edit firewall] user@host# set policer arp-limit
폴리서에 대한 속도 제한을 구성합니다.
인터페이스의 트래픽 속도를 제어하기 위해 초당 비트 수(bps)로 대역폭 제한을 지정합니다.
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
대역폭 제한 범위는 1에서 150,000bps까지입니다.
버스트 크기 제한(바이트 단위의 최대 허용 버스트 크기)을 지정하여 트래픽 버스트 양을 제어합니다.
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
버스트 크기 제한 값을 결정하려면 필터가 적용되는 인터페이스의 대역폭에 해당 대역폭에서 트래픽 버스트가 발생할 수 있는 시간을 곱합니다.
버스트 크기 = (대역폭) * (버스트 트래픽에 허용되는 시간)
버스트 크기 제한의 범위는 1바이트에서 150,00바이트입니다.
속도 제한을 초과하는 패킷을 삭제하려면 폴리서 작업 discard를 지정합니다.
[edit firewall] user@host# set policer arp_limit then discard
폐기는 유일하게 지원되는 폴리서 작업입니다.
인터페이스를 구성합니다.
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
결과
구성 모드에서 show firewall
명령을 입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 수정하십시오.
[edit] user@host# show firewall policer arp_limit { if-exceeding { bandwidth-limit 1m; burst-size-limit 1m; } then discard; } [edit] user@host# show interfaces ge-0/0/7 { unit 0 { family inet { policer { arp arp_limit; } } } }
디바이스 구성을 완료한 후 구성 모드에서 을 입력합니다 .commit
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.