EN ESTA PÁGINA
Ejemplo: Configuración del ARP Policer
En este ejemplo, se muestra cómo configurar un agente de protocolo de resolución de direcciones (ARP) en firewalls serie SRX.
La compatibilidad con los policiadores ARP en interfaces pseudocables en enrutadores serie MX está disponible en la versión 20.2R1 de Junos OS. Los principios de configuración son los mismos que se muestran aquí.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall serie SRX.
Junos OS versión 18.4R1 o posterior.
Antes de empezar, vea Descripción general del policía de ARP.
Descripción general
ARP se utiliza para asignar una dirección MAC a una dirección IP. ARP vincula dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz de Ethernet en la que está configurada la dirección IP. Esta función es compatible con todos los firewalls de la serie SRX. El tráfico al motor de enrutamiento en el firewall serie SRX se controla aplicando el agente de políticas en ARP. Esto evita la congestión de la red causada por tormentas de difusión.
Todas las interfaces De Ethernet con family inet configuración configurada, de forma predeterminada, utilizan y comparten un polir __default_arp_policer__ de ARP predeterminado.
En los enrutadores de la serie MX, puede crear políticas para el tráfico ARP en interfaces pseudocables. (Puede configurar la limitación de velocidad para el agente de policía especificando el ancho de banda y el límite de tamaño de ráfaga de un policiaco de firewall y adjuntando la política a una interfaz pseudocable, tal como lo haría con cualquier otra interfaz, y aplicando el agente de políticas ARP a una interfaz pseudocable en el [edit interfaces interface-name unit unit-number family inet policer arp policy-name] nivel de la jerarquía. El tráfico que supera los límites de velocidad especificados se puede eliminar o marcar como de baja prioridad y entregarse cuando la congestión lo permita.
Configuración
En este ejemplo, se muestra cómo configurar la limitación de velocidad para el agente de policía especificando el ancho de banda y el límite de tamaño de ráfaga.
Configuración del ARP Policer en la interfaz
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el Editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el agente de política ARP:
Especifique el nombre del agente de policía.
[edit firewall] user@host# set policer arp-limit
Configure la limitación de velocidad para el agente de policía.
Especifique el límite de ancho de banda en bits por segundo (bps) para controlar la velocidad de tráfico en una interfaz:
[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
El rango para el límite de ancho de banda es de 1 a 150 000 bps.
Especifique el límite de tamaño de ráfaga (el tamaño máximo permitido en bytes) para controlar la cantidad de ráfagas de tráfico:
[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
Para determinar el valor del límite de tamaño de ráfaga, multiplique el ancho de banda de la interfaz en la que se aplica el filtro por la cantidad de tiempo que permite que se produzca una ráfaga de tráfico en ese ancho de banda:
tamaño de la ráfaga = (ancho de banda) * (tiempo permitido para el tráfico de ráfagas)
El intervalo para el límite de tamaño de ráfaga es de 1 a 150,00 bytes.
Especifique el descarte de acción del agente de policía para descartar paquetes que superen los límites de velocidad.
[edit firewall] user@host# set policer arp_limit then discard
Descartar es la única acción de agente de policía compatible.
Configure las interfaces.
user@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show firewall configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir.
[edit]
user@host# show firewall
policer arp_limit {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1m;
}
then discard;
}
[edit]
user@host# show interfaces
ge-0/0/7 {
unit 0 {
family inet {
policer {
arp arp_limit;
}
}
}
}
Cuando haya terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar los resultados de arp policer
Propósito
Verifique los resultados del agente de policía Arp.
Acción
Desde la parte superior de la configuración en modo operativo, ingrese el show policer policer-name comando.
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
Significado
El show policer policer-name comando muestra los nombres de todos los filtros y policías de firewall que están configurados en el dispositivo.