Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de la protección de caché ARP

Puede configurar un límite de caché ARP para entradas de próximo salto resueltas y no resueltas en la caché. En este ejemplo, se muestra cómo configurar la protección de caché de ARP especificando un límite máximo de recuento y espera para entradas de salto siguiente resueltas y no resueltas en la caché de ARP. Este límite se puede especificar globalmente para todas las interfaces o localmente en una interfaz determinada del dispositivo. La ventaja de configurar un límite de este tipo en la caché de ARP es proteger el dispositivo de ataques de denegación de servicio (DoS).

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos enrutadores que pueden ser una combinación de enrutadores serie M, MX y T.

  • Dos dispositivos host conectados a los enrutadores.

  • Junos OS versión 16.1 o posterior se ejecuta en los enrutadores.

Visión general

El envío de paquetes IP en una red de multiacceso requiere una asignación desde una dirección IP a una dirección de control de acceso a medios (MAC) (la dirección física o de hardware). En un entorno Ethernet, ARP se utiliza para asignar una dirección MAC a una dirección IP. Los hosts que utilizan ARP mantienen una caché de las asignaciones de direcciones de Internet a Ethernet descubiertas para minimizar la cantidad de mensajes de difusión de ARP.

Para evitar que la caché crezca demasiado, de forma predeterminada, se elimina una entrada de la caché si no se utiliza en un período de tiempo determinado. Además de esto, a partir de Junos OS versión 16.1, puede administrar el número de entradas de caché ARP configurando un límite en las entradas del próximo salto resueltas y no resueltas.

La función de caché ARP admite dos tipos de límites:

  • Recuento: el límite de recuento es la cantidad máxima de próximos saltos que se pueden crear en la caché de ARP.

  • Retención: el límite de espera es el número máximo de rutas de espera que apuntan a una interfaz determinada que se puede conservar antes de agregarse a la caché de ARP.

Los límites de caché de ARP se ejecutan en dos niveles:

  • Local: los límites locales se configuran por interfaz y se definen para entradas resueltas y no resueltas en la caché de ARP.

  • Global: los límites globales se aplican a todo el sistema. Un límite global se define por separado para las interfaces públicas y las interfaces de administración, por ejemplo, fxp0. La interfaz de administración tiene un único límite global y no tiene límite local. El límite global impone un tope para todo el sistema para las entradas de la caché de ARP, incluidas las interfaces de enrutamiento interno (IRI) privadas para instancias de enrutamiento interno, por ejemplo, em0 y em1.

Plataformas de tamaño pequeño: ACX, EX22XX, EX3200, EX33XX y SRX; el valor predeterminado es 20 000. Plataformas medianas: EX4200, EX45XX, EX4300, EX62XX y MX; el valor predeterminado es 75 000. En el resto de las plataformas, el valor predeterminado es 100 000. Puede modificar este límite configurando la función de protección de caché del salto siguiente del ARP.

  • Para configurar el límite de recuento de caché de ARP para entradas de próximo salto resueltas y no resueltas globalmente, incluya la arp-system-cache-limit instrucción en el [edit system] nivel de jerarquía.

  • Para configurar el límite de recuento de caché de ARP para entradas de próximo salto resueltas y no resueltas localmente, incluya la arp-system-cache-limit instrucción en el [edit interfaces interface-name unit interface-unit-number family inet] nivel de jerarquía.

  • Para configurar el límite de espera de caché ARP para entradas del próximo salto no resueltas localmente, incluya la arp-new-hold-limit instrucción en el [edit interfaces interface-name unit interface-unit-number family inet] nivel de jerarquía.

    Nota:

    El límite de espera de caché ARP se configura solo por interfaz y no se puede configurar en el nivel del sistema.

Las entradas del próximo salto en la caché ARP se asignan a diferentes tipos de interfaces de manera diferente, independientemente de la configuración de la característica de protección de caché ARP.

  1. De forma predeterminada, se asignan 200 entradas a las IRI.

  2. El 80 % del resto de las entradas se asignan a interfaces públicas.

  3. El 20 % del resto de las entradas se asignan a interfaces de administración.

Cuando las entradas del salto siguiente ARP superan el límite de recuento configurado, las nuevas entradas se descartan o se mantienen bajo el contador de espera, si se configura un límite de espera para esa interfaz. El límite de espera del salto siguiente ARP especifica la cantidad máxima de entradas de espera o rutas de espera que apuntan a una interfaz determinada. Cuando el número de entradas de espera supera el límite de espera configurado, el contador de caída de esa interfaz se ve afectado drásticamente, ya que las nuevas entradas de espera crean un bucle y continúan incrementándose hasta que haya ancho de banda para acomodarlas.

Nota:

Después de modificar el límite predeterminado de caché del salto siguiente ARP en una interfaz, la interfaz debe desactivarse y reactivarse para que los valores recién configurados suban a efecto.

Topología

La Figura 1 muestra una topología simple de dos enrutadores con protección de caché ARP habilitada. Los enrutadores R1 y R2 están conectados a hosts, Host1 y Host2, respectivamente.

Figura 1: Protección ARP Cache Protection de caché ARP

Por ejemplo, si el enrutador R1 está configurado con un arp-system-cache-limit 220 globalmente y recibe 230 entradas ARP, en la primera interfaz que recibe las entradas (por ejemplo, ge-0/0/0), se realizan las siguientes acciones:

  1. Cuando se reciben 230 entradas, el límite global de 220 entradas se aplica al sistema, donde el límite configurado se divide entre los distintos tipos de interfaces y las entradas restantes recibidas en una interfaz determinada se descartan.

  2. De las 220 entradas en caché, de forma predeterminada, se asignan 200 entradas para interfaces IRI.

  3. De las 20 entradas restantes, el 80 % de las entradas (16 entradas) se envían a interfaces públicas y el 20 % de las entradas (4 entradas) se envían a la interfaz de administración. Si las 230 entradas ARP se reciben en la interfaz pública, solo se conserva el límite de la caché de 16 entradas y se descartan las 214 entradas restantes.

Además, si ge-0/0/0 en el enrutador R1 está configurado con un arp-new-hold-limit valor de 8, se realizan las siguientes acciones:

  1. De las 230 entradas recibidas, solo 220 entradas se almacenan en caché en la tabla ARP. Sin embargo, en lugar de descartar las entradas restantes, las entradas de espera se envían al contador de espera de ge-0/0/0 y, luego, las entradas restantes se envían al contador de caídas de ge-0/0/0.

  2. Según la disponibilidad del ancho de banda, las ocho entradas de espera se almacenan en caché en la tabla ARP de ge-0/0/0 antes de tener en cuenta las entradas recién recibidas.

  3. Sin embargo, el contador de caídas de ge-0/0/0 no aumenta en entradas únicas. Las entradas de espera descartadas del contador de caída forman un bucle y se agregan al recuento de entradas hasta que haya ancho de banda en la interfaz para alojar todas las entradas. Por lo tanto, las adiciones al contador de caídas tienen un efecto drástico en el rendimiento de la interfaz.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese la confirmación desde el modo de configuración.

R1

R2

Procedimiento

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar el enrutador R1 con protección de caché ARP:

  1. Configure las interfaces del enrutador R1.

  2. Configure la protección de caché ARP de forma global para todas las interfaces del enrutador R1.

  3. Configure un límite de espera en las entradas de caché ARP de la interfaz ge-0/0/0 del enrutador R1.

Resultados

Desde el modo de configuración, ingrese los comandos y show system para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el límite de caché del próximo salto del ARP global

Propósito

Verifique los límites de la caché del próximo salto ARP de todo el sistema y la asignación de entradas de salto siguiente para diferentes interfaces.

Acción

Desde el modo operativo, ejecute el show system statistics arp comando.

Significado

Los límites globales de la caché del salto siguiente ARP se muestran en la salida, junto con la asignación de entradas del salto siguiente para interfaces IRI, públicas y de administración.

Verificar el límite de caché del próximo salto de ARP local

Propósito

Compruebe el límite de caché del salto siguiente del ARP de interfaz.

Acción

Desde el modo operativo, ejecute el show interfaces interface-name comando.

Significado

El recuento de caché del salto siguiente ARP local y los límites de espera de la interfaz de administración se muestran en la salida.

Solución de problemas

Para solucionar problemas de la configuración de protección de caché ARP, consulte:

Mensajes de registro del sistema de solución de problemas

Problema

Los mensajes de registro del sistema se generan para registrar eventos cuando se superan los límites de caché de ARP.

Solución

Para interpretar los mensajes de registro del sistema, consulte lo siguiente:

  • Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached—El enrutador R1 ha alcanzado el 80 % del límite permitido de caché del próximo salto ARP para interfaces públicas.

  • Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached—El enrutador R1 ha alcanzado el límite máximo permitido para las entradas de caché del próximo salto ARP en la interfaz pública.

  • Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached—El enrutador R1 ha alcanzado el 80 % del límite global de caché de salto siguiente ARP configurado para todas sus interfaces.

  • Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached—El enrutador R1 ha alcanzado el límite máximo de caché de salto siguiente del ARP global configurado para todas sus interfaces.

Tabla de historial de versiones
Lanzamiento
Descripción
16.1
A partir de Junos OS versión 16.1, puede configurar un límite de caché ARP para entradas de próximo salto resueltas y no resueltas en la caché.