예: ARP 캐시 보호 구성
캐시에서 해결되고 해결되지 않은 다음 홉 엔트리에 대해 ARP 캐시 제한을 구성할 수 있습니다. 이 예에서는 ARP 캐시에서 해결되고 해결되지 않은 넥드 홉 엔트리에 대한 최대 개수와 보유 제한을 지정하여 ARP 캐시 보호를 구성하는 방법을 보여줍니다. 이 제한은 모든 인터페이스에 대해 전역적으로, 또는 장치의 특정 인터페이스에서 로컬로 지정될 수 있습니다. ARP 캐시에 대한 이러한 제한을 구성하여 얻을 수 있는 이점은 DoS(Denial-of-Service) 공격으로부터 장치를 보호하는 것입니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
M, MX 및 T Series 라우터를 함께 구성할 수 있는 2개의 라우터
라우터에 연결된 2개의 호스트 디바이스.
라우터에서 실행되는 Junos OS 릴리스 16.1 이상
개요
멀티 액세스 네트워크에서 IP 패킷을 전송하려면 IP 주소에서 MAC(Media Access Control) 주소(물리적 또는 하드웨어 주소)로 매핑해야 합니다. 이더넷 환경에서 ARP는 MAC 주소를 IP 주소에 매핑하는 데 사용됩니다. ARP를 사용하는 호스트는 검색된 인터넷-이더넷 주소 매핑의 캐시를 유지하여 ARP 브로드캐스트 메시지의 수를 최소화합니다.
기본적으로 캐시가 너무 커지지 않도록 하기 위해 특정 기간 내에 사용되지 않으면 엔트리가 캐시에서 제거됩니다. 이 외에도 Junos OS 릴리스 16.1부터 해결됨 및 해결되지 않은 넥스홉 엔트리에 대한 제한을 구성하여 ARP 캐시 엔트리 수를 관리할 수 있습니다.
ARP 캐시 기능은 두 가지 유형의 제한을 지원합니다.
카운트—카운트 제한은 ARP 캐시에서 생성할 수 있는 다음 홉의 최대 개수입니다.
홀드(Hold) 제한은 ARP 캐시에 추가되기 전에 유지할 수 있는 특정 인터페이스를 가리키는 최대 홀드 경로 개수입니다.
ARP 캐시 제한은
로컬—로컬 제한은 인터페이스별로 구성되며 ARP 캐시에서 해결되고 해결되지 않은 항목에 대해 정의됩니다.
글로벌—전역 제한은 시스템 전체에 적용됩니다. 글로벌 한도는 공용 인터페이스 및 관리 인터페이스(예: fxp0)에 대해 별도로 추가로 정의됩니다. 관리 인터페이스는 단일 글로벌 제한과 로컬 제한이 없습니다. Global Limit은 내부 라우팅 인스턴스(예: em0 및 em1)에 대한 전용 내부 라우팅 인터페이스(IIS)를 포함하여 ARP 캐시에 대한 엔트리에 대해 시스템 전반의 한도를 적용합니다.
소형 플랫폼: ACX, EX22XX, EX3200, EX33XX, SRX, 기본값은 20,000입니다. 중간 규모 플랫폼: EX4200, EX45XX, EX4300, EX62XX, MX; 기본값은 75,000입니다. 다른 모든 플랫폼은 기본 100,000입니다. ARP Next-hop 캐시 보호 기능을 구성하여 이 제한을 수정할 수 있습니다.
전 세계적으로 해결되고 해결되지 않은 넥스트 홉 엔트리에 대한 ARP 캐시 카운트 제한을 구성하려면 계층 수준의 명령문을
[edit system]포함합니다arp-system-cache-limit.로컬에서 해결되고 해결되지 않은 넥스트 홉 엔트리에 대한 ARP 캐시 카운트 제한을 구성하려면 계층 레벨의
[edit interfaces interface-name unit interface-unit-number family inet]명령문을 포함합니다arp-system-cache-limit.로컬에서 해결되지 않은 넥스트 홉 엔트리에 대한 ARP 캐시 보유 제한을 구성하려면 계층 레벨의
arp-new-hold-limit[edit interfaces interface-name unit interface-unit-number family inet]명령문을 포함합니다.참고:ARP 캐시 보유 제한은 인터페이스별로만 구성되며 시스템 수준에서 구성할 수 없습니다.
ARP 캐시 넥트 홉 엔트리는 ARP 캐시 보호 기능 구성에 관계없이 서로 다른 유형의 인터페이스에 할당됩니다.
기본적으로 200개의 항목이 IR에 할당됩니다.
나머지 항목의 80%가 공용 인터페이스에 할당됩니다.
나머지 항목의 20%가 관리 인터페이스에 할당됩니다.
ARP 넥트 홉 엔트리가 구성된 카운트 제한을 초과하는 경우, 해당 인터페이스에 대해 홀드 제한(hold limit)이 구성된 경우 새 엔트리는 폐기되거나 홀드 카운터 아래에 보관됩니다. ARP 넥트 홉 홀드 제한은 최대 홀드 엔트리 개수를 지정하거나 특정 인터페이스를 가리키는 홀드 경로를 지정합니다. 홀드 엔트리 수가 구성된 홀드 제한을 초과하는 경우, 새 홀드 엔트리가 루프를 생성하고 이를 수용할 수 있는 대역폭이 있을 때까지 계속 증가하기 때문에 해당 인터페이스의 드롭 카운터가 크게 영향을 받습니다.
인터페이스에서 기본 ARP 넥스홉 캐시 제한을 수정한 후에는 인터페이스가 비활성화되고 새로 구성된 값이 적용되도록 다시 활성화해야 합니다.
토폴로지
그림 1 은 ARP 캐시 보호를 지원하는 단순한 2-라우터 토폴로지를 보여주고 있습니다. 라우터 R1과 R2는 각각 호스트, Host1 및 Host2에 연결됩니다.
예를 들어, 라우터 R1이 전 세계적으로 220개로 arp-system-cache-limit 구성되어 있고 230개의 ARP 엔트리를 수신하는 경우, 엔트리(예: ge-0/0/0)를 수신하는 첫 번째 인터페이스에서 다음 작업이 수행됩니다.
230개의 엔트리가 접수되면 220개의 엔트리에 대한 글로벌 한계가 시스템에 적용되며, 여기서 구성된 제한은 서로 다른 유형의 인터페이스 간에 분할되고, 특정 인터페이스에서 수신된 나머지 엔트리는 폐기됩니다.
기본적으로 220개의 캐시된 엔트리 중 200개의 항목이 IRI 인터페이스에 할당됩니다.
나머지 20개 항목 중 80%(16개의 항목)가 공용 인터페이스로 전송되고 20%의 항목(4개 항목)이 관리 인터페이스로 전송됩니다. 230개의 ARP 엔트리가 공용 인터페이스에서 수신되는 경우, 16개의 항목에 대한 캐시 제한만 유지되며 나머지 214개의 항목은 폐기됩니다.
또한 라우터 R1에서 ge-0/0/0이 값 8로 arp-new-hold-limit 구성된 경우 다음 작업이 수행됩니다.
수신된 230개 항목 중 ARP 테이블에 220개의 항목만 캐시됩니다. 그러나 나머지 항목을 폐기하는 대신, 홀드 엔트리는 ge-0/0/0의 홀드 카운터로 전송되고 나머지 엔트리는 ge-0/0/0의 드롭 카운터로 전송됩니다.
대역폭의 가용성에 따라 새로 수신된 항목을 고려하기 전에 8개의 홀드 엔트리가 ge-0/0/0의 ARP 테이블에 캐시됩니다.
그러나 ge-0/0/0의 드롭 카운터는 단일 엔트리별로 증가하지 않습니다. 드롭 카운터의 삭제된 홀드 엔트리는 루프를 형성하고 모든 엔트리를 수용하기 위해 인터페이스에 대역폭이 있을 때까지 엔트리 카운트에 추가합니다. 따라서 드롭 카운터에 추가되는 것은 인터페이스 성능에 큰 영향을 미칩니다.
구성
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 모든 세부 정보를 변경하고, [편집] 계층 수준에서 CLI에 명령을 복사 및 붙여넣은 다음 구성 모드에서 커밋을 입력합니다.
R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/0 unit 0 family inet arp-new-hold-limit 8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.10.10.1/32 set system arp-system-cache-limit 220
R2
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.20.20.1/32
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Configuration 모드에서 CLI 에디터 사용(Using the CLI Editor)을 참조하십시오.
ARP 캐시 보호를 통해 라우터 R1을 구성하려면 다음을 수행합니다.
라우터 R1의 인터페이스를 구성합니다.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@R1# set lo0 unit 0 family inet address 10.10.10.1/32
라우터 R1의 모든 인터페이스에 대해 전 세계적으로 ARP 캐시 보호를 구성합니다.
[edit system] user@R1# set arp-system-cache-limit 220
인터페이스 ge-0/0/0 라우터 R1의 ARP 캐시 항목에 대한 보류 제한을 구성합니다.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet arp-new-hold-limit 8
결과
구성 모드에서 명령과 show system 명령을 입력하여 구성을 show interfaces 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.10.10.1/32;
}
}
}
user@R1# show system arp-system-cache-limit 220 ;
확인
구성이 올바르게 작동하는지 확인합니다.
글로벌 ARP 넥티드 홉 캐시 제한 검증
목적
시스템 전반의 ARP 넥티드 홉 캐시 제한과 서로 다른 인터페이스에 대한 넥트 홉 엔트리 할당을 검증합니다.
작업
운영 모드에서 명령을 실행합니다 show system statistics arp .
user@R1> show system statistics arp
arp:
717253 datagrams received
47 ARP requests received
31 ARP replies received
285 resolution request received
0 unrestricted proxy requests
0 restricted proxy requests
0 received proxy requests
0 unrestricted proxy requests not proxied
*****
220 Max System ARP nh cache limit
16 Max Public ARP nh cache limit
200 Max IRI ARP nh cache limit
4 Max Management intf ARP nh cache limit
16 Current Public ARP next-hops present
1 Current IRI ARP next-hops present
2 Current Management ARP next-hops present
2457 Total ARP next-hops creation failed as limit reached
2454 Public ARP next-hops creation failed as public limit reached
3 IRI ARP next-hops creation failed as iri limit reached
0 Management ARP next-hops creation failed as mgt limit reached
의미
IRI, 퍼블릭 및 관리 인터페이스에 대한 넥트 홉 엔트리 할당과 함께 글로벌 ARP 넥트 홉 캐시 제한값이 출력에 표시됩니다.
로컬 ARP Next-Hop 캐시 제한 검증
목적
인터페이스 ARP 넥스홉 캐시 제한을 확인합니다.
작업
운영 모드에서 명령을 실행합니다 show interfaces interface-name .
user@R1> show interface fxp0
fxp0
Physical interface: fxp0, Enabled, Physical link is Up
Interface index: 1, SNMP ifIndex: 1
Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Speed: 100mbps
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Current address: 00:a0:a5:62:8e:39, Hardware address: 00:a0:a5:62:8e:39
Last flapped : 2014-10-16 10:23:29 PDT (16:27:21 ago)
Input packets : 0
Output packets: 0
Logical interface fxp0.0 (Index 3) (SNMP ifIndex 13)
Flags: Up SNMP-Traps Encapsulation: ENET2
Bandwidth: 0
Input packets : 23
Output packets: 4
Protocol inet, MTU: 1500
Max nh cache: 220 New hold nh limit: 8, Curr nh cnt: 2, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, Is-Primary
Addresses, Flags: Is-Default Is-Preferred Is-Primary
Destination: 10.209.0/18, Local: 10.209.3.69, Broadcast: 10.209.63.255
의미
관리 인터페이스에 대한 로컬 ARP 넥스 홉 캐시 카운트 및 보유 한계가 출력에 표시됩니다.
문제 해결
ARP 캐시 보호 구성의 문제를 해결하려면 다음을 참조하십시오.
시스템 로그 메시지 문제 해결
문제
시스템 로그 메시지는 ARP 캐시 제한을 초과할 때 이벤트를 기록하기 위해 생성됩니다.
솔루션
시스템 로그 메시지를 해석하려면 다음을 참조하십시오.
Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached—라우터 R1은 공용 인터페이스에 대해 허용된 ARP 넥스홉 캐시 제한의 80%에 도달했습니다.
Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached—라우터 R1은 공용 인터페이스에서 ARP 넥트 홉 캐시 엔트리에 대해 허용되는 최대 한도에 도달했습니다.
Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached—라우터 R1은 모든 인터페이스에 대해 구성된 글로벌 ARP 넥스홉 캐시 제한의 80%에 도달했습니다.
Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached—라우터 R1은 모든 인터페이스에 대해 구성된 최대 글로벌 ARP 넥스홉 캐시 제한에 도달했습니다.