Descripción general del policía de ARP
El envío de paquetes IP en una red de acceso múltiple requiere una asignación desde una dirección IP a una dirección de control de acceso a medios (MAC) (la dirección física o de hardware).
En un entorno Ethernet, el Protocolo de resolución de direcciones (ARP) se utiliza para asignar una dirección MAC a una dirección IP. ARP vincula dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de enviar paquetes IP de unidifusión, ARP descubre la dirección MAC utilizada para la interfaz Ethernet en la que está configurada la dirección IP.
Los hosts que utilizan ARP mantienen una caché de las asignaciones de direcciones de Internet a Ethernet descubiertas para minimizar la cantidad de mensajes de difusión de ARP. Para evitar que la caché crezca demasiado, se elimina una entrada si no se utiliza en un período de tiempo determinado. Antes de enviar un paquete, el host busca en su caché la asignación de direcciones de Internet a Ethernet. Si no puede encontrar la asignación, el host envía una solicitud ARP.
A partir de Junos OS versión 18.4R1, puede aplicar políticas en el tráfico ARP en firewalls serie SRX. La compatibilidad con los policiadores ARP en interfaces pseudocables en enrutadores serie MX está disponible en la versión 20.2R1 de Junos OS. Los principios de configuración son los mismos.
Puede configurar la limitación de velocidad para el agente de policía especificando el ancho de banda y el límite de tamaño de ráfaga. Los paquetes que superen los límites de la policía se descartan. El tráfico al motor de enrutamiento se controla aplicando el agente de políticas en el tráfico ARP. El uso de policías ayuda a evitar la congestión de la red causada por tormentas de difusión. Puede usar policías para especificar límites de velocidad en el tráfico. Un filtro de firewall configurado con un agente de policía solo permite el tráfico dentro de un conjunto especificado de límites de velocidad, lo que proporciona protección contra ataques de denegación de servicio (DoS). El tráfico que supera los límites de velocidad especificados por el agente de policía se descarta inmediatamente o se marca como de menor prioridad que el tráfico que está dentro de los límites de velocidad. El conmutador descarta el tráfico de menor prioridad cuando hay congestión de tráfico.
Un agente de policía aplica dos tipos de límites de velocidad al tráfico:
Ancho de banda: la cantidad de bits por segundo permitidos, en promedio
Tamaño máximo de ráfaga: el tamaño máximo permitido para ráfagas de datos que superen el límite de ancho de banda dado
La política utiliza un algoritmo para aplicar un límite en el ancho de banda promedio mientras permite ráfagas hasta un valor máximo especificado. Puede definir clases específicas de tráfico en una interfaz y aplicar un conjunto de límites de velocidad a cada clase. Después de nombrar y configurar un agente de policía, se almacena como una plantilla. A continuación, puede usar el agente de policía en una configuración de filtro de firewall.
En los dispositivos SRX5400, SRX5600 y SRX5800, las acciones de policía de ARP se aplican en las SPU y en el motor de enrutamiento. Por ejemplo, la SPU A controla 15000 paquetes de tráfico ARP, y la SPU B maneja 5000 paquetes. Un agente de política se configura como límite de velocidad de 10K, se descarta y se aplica al protocolo ARP. Como resultado, la SPU A descarta 5000 paquetes de tráfico ARP y reenvía 10000 paquetes al motor de enrutamiento, y la SPU B reenvía 5000 paquetes de ARP al motor de enrutamiento. Por lo tanto, el motor de enrutamiento recibe un total de 15000 paquetes de tráfico ARP.
Beneficios del ARP Policer
Previene la congestión de la red causada por tormentas de difusión
Protege los motores de enrutamiento en firewalls serie SRX que se ven afectados por tormentas de difusión
Ofrece protección contra ataques de denegación de servicio (DoS)