EN ESTA PÁGINA
Ejemplo: Configuración de la protección de caché ARP
Puede configurar un límite de caché ARP para entradas de próximo salto resueltas y no resueltas en la caché. En este ejemplo, se muestra cómo configurar la protección de caché de ARP especificando un límite máximo de recuento y espera para entradas de salto siguiente resueltas y no resueltas en la caché de ARP. Este límite se puede especificar globalmente para todas las interfaces o localmente en una interfaz determinada del dispositivo. La ventaja de configurar un límite de este tipo en la caché de ARP es proteger el dispositivo de ataques de denegación de servicio (DoS).
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos enrutadores que pueden ser una combinación de enrutadores serie M, MX y T.
Dos dispositivos host conectados a los enrutadores.
Junos OS versión 16.1 o posterior se ejecuta en los enrutadores.
Visión general
El envío de paquetes IP en una red de multiacceso requiere una asignación desde una dirección IP a una dirección de control de acceso a medios (MAC) (la dirección física o de hardware). En un entorno Ethernet, ARP se utiliza para asignar una dirección MAC a una dirección IP. Los hosts que utilizan ARP mantienen una caché de las asignaciones de direcciones de Internet a Ethernet descubiertas para minimizar la cantidad de mensajes de difusión de ARP.
Para evitar que la caché crezca demasiado, de forma predeterminada, se elimina una entrada de la caché si no se utiliza en un período de tiempo determinado. Además de esto, a partir de Junos OS versión 16.1, puede administrar el número de entradas de caché ARP configurando un límite en las entradas del próximo salto resueltas y no resueltas.
La función de caché ARP admite dos tipos de límites:
Recuento: el límite de recuento es la cantidad máxima de próximos saltos que se pueden crear en la caché de ARP.
Retención: el límite de espera es el número máximo de rutas de espera que apuntan a una interfaz determinada que se puede conservar antes de agregarse a la caché de ARP.
Los límites de caché de ARP se ejecutan en dos niveles:
Local: los límites locales se configuran por interfaz y se definen para entradas resueltas y no resueltas en la caché de ARP.
Global: los límites globales se aplican a todo el sistema. Un límite global se define por separado para las interfaces públicas y las interfaces de administración, por ejemplo, fxp0. La interfaz de administración tiene un único límite global y no tiene límite local. El límite global impone un tope para todo el sistema para las entradas de la caché de ARP, incluidas las interfaces de enrutamiento interno (IRI) privadas para instancias de enrutamiento interno, por ejemplo, em0 y em1.
Plataformas de tamaño pequeño: ACX, EX22XX, EX3200, EX33XX y SRX; el valor predeterminado es 20 000. Plataformas medianas: EX4200, EX45XX, EX4300, EX62XX y MX; el valor predeterminado es 75 000. En el resto de las plataformas, el valor predeterminado es 100 000. Puede modificar este límite configurando la función de protección de caché del salto siguiente del ARP.
Para configurar el límite de recuento de caché de ARP para entradas de próximo salto resueltas y no resueltas globalmente, incluya la
arp-system-cache-limit
instrucción en el[edit system]
nivel de jerarquía.Para configurar el límite de recuento de caché de ARP para entradas de próximo salto resueltas y no resueltas localmente, incluya la
arp-system-cache-limit
instrucción en el[edit interfaces interface-name unit interface-unit-number family inet]
nivel de jerarquía.Para configurar el límite de espera de caché ARP para entradas del próximo salto no resueltas localmente, incluya la
arp-new-hold-limit
instrucción en el[edit interfaces interface-name unit interface-unit-number family inet]
nivel de jerarquía.Nota:El límite de espera de caché ARP se configura solo por interfaz y no se puede configurar en el nivel del sistema.
Las entradas del próximo salto en la caché ARP se asignan a diferentes tipos de interfaces de manera diferente, independientemente de la configuración de la característica de protección de caché ARP.
De forma predeterminada, se asignan 200 entradas a las IRI.
El 80 % del resto de las entradas se asignan a interfaces públicas.
El 20 % del resto de las entradas se asignan a interfaces de administración.
Cuando las entradas del salto siguiente ARP superan el límite de recuento configurado, las nuevas entradas se descartan o se mantienen bajo el contador de espera, si se configura un límite de espera para esa interfaz. El límite de espera del salto siguiente ARP especifica la cantidad máxima de entradas de espera o rutas de espera que apuntan a una interfaz determinada. Cuando el número de entradas de espera supera el límite de espera configurado, el contador de caída de esa interfaz se ve afectado drásticamente, ya que las nuevas entradas de espera crean un bucle y continúan incrementándose hasta que haya ancho de banda para acomodarlas.
Después de modificar el límite predeterminado de caché del salto siguiente ARP en una interfaz, la interfaz debe desactivarse y reactivarse para que los valores recién configurados suban a efecto.
Topología
La Figura 1 muestra una topología simple de dos enrutadores con protección de caché ARP habilitada. Los enrutadores R1 y R2 están conectados a hosts, Host1 y Host2, respectivamente.
Por ejemplo, si el enrutador R1 está configurado con un arp-system-cache-limit
220 globalmente y recibe 230 entradas ARP, en la primera interfaz que recibe las entradas (por ejemplo, ge-0/0/0), se realizan las siguientes acciones:
Cuando se reciben 230 entradas, el límite global de 220 entradas se aplica al sistema, donde el límite configurado se divide entre los distintos tipos de interfaces y las entradas restantes recibidas en una interfaz determinada se descartan.
De las 220 entradas en caché, de forma predeterminada, se asignan 200 entradas para interfaces IRI.
De las 20 entradas restantes, el 80 % de las entradas (16 entradas) se envían a interfaces públicas y el 20 % de las entradas (4 entradas) se envían a la interfaz de administración. Si las 230 entradas ARP se reciben en la interfaz pública, solo se conserva el límite de la caché de 16 entradas y se descartan las 214 entradas restantes.
Además, si ge-0/0/0 en el enrutador R1 está configurado con un arp-new-hold-limit
valor de 8, se realizan las siguientes acciones:
De las 230 entradas recibidas, solo 220 entradas se almacenan en caché en la tabla ARP. Sin embargo, en lugar de descartar las entradas restantes, las entradas de espera se envían al contador de espera de ge-0/0/0 y, luego, las entradas restantes se envían al contador de caídas de ge-0/0/0.
Según la disponibilidad del ancho de banda, las ocho entradas de espera se almacenan en caché en la tabla ARP de ge-0/0/0 antes de tener en cuenta las entradas recién recibidas.
Sin embargo, el contador de caídas de ge-0/0/0 no aumenta en entradas únicas. Las entradas de espera descartadas del contador de caída forman un bucle y se agregan al recuento de entradas hasta que haya ancho de banda en la interfaz para alojar todas las entradas. Por lo tanto, las adiciones al contador de caídas tienen un efecto drástico en el rendimiento de la interfaz.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese la confirmación desde el modo de configuración.
R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/0 unit 0 family inet arp-new-hold-limit 8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.10.10.1/32 set system arp-system-cache-limit 220
R2
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces lo0 unit 0 family inet address 10.20.20.1/32
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.
Para configurar el enrutador R1 con protección de caché ARP:
Configure las interfaces del enrutador R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@R1# set lo0 unit 0 family inet address 10.10.10.1/32
Configure la protección de caché ARP de forma global para todas las interfaces del enrutador R1.
[edit system] user@R1# set arp-system-cache-limit 220
Configure un límite de espera en las entradas de caché ARP de la interfaz ge-0/0/0 del enrutador R1.
[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet arp-new-hold-limit 8
Resultados
Desde el modo de configuración, ingrese los comandos y show system
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.0.2.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 192.0.2.1/24; } } } lo0 { unit 0 { family inet { address 10.10.10.1/32; } } }
user@R1# show system arp-system-cache-limit 220 ;
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el límite de caché del próximo salto del ARP global
- Verificar el límite de caché del próximo salto de ARP local
Verificar el límite de caché del próximo salto del ARP global
Propósito
Verifique los límites de la caché del próximo salto ARP de todo el sistema y la asignación de entradas de salto siguiente para diferentes interfaces.
Acción
Desde el modo operativo, ejecute el show system statistics arp comando.
user@R1> show system statistics arp arp: 717253 datagrams received 47 ARP requests received 31 ARP replies received 285 resolution request received 0 unrestricted proxy requests 0 restricted proxy requests 0 received proxy requests 0 unrestricted proxy requests not proxied ***** 220 Max System ARP nh cache limit 16 Max Public ARP nh cache limit 200 Max IRI ARP nh cache limit 4 Max Management intf ARP nh cache limit 16 Current Public ARP next-hops present 1 Current IRI ARP next-hops present 2 Current Management ARP next-hops present 2457 Total ARP next-hops creation failed as limit reached 2454 Public ARP next-hops creation failed as public limit reached 3 IRI ARP next-hops creation failed as iri limit reached 0 Management ARP next-hops creation failed as mgt limit reached
Significado
Los límites globales de la caché del salto siguiente ARP se muestran en la salida, junto con la asignación de entradas del salto siguiente para interfaces IRI, públicas y de administración.
Verificar el límite de caché del próximo salto de ARP local
Propósito
Compruebe el límite de caché del salto siguiente del ARP de interfaz.
Acción
Desde el modo operativo, ejecute el show interfaces interface-name comando.
user@R1> show interface fxp0 fxp0 Physical interface: fxp0, Enabled, Physical link is Up Interface index: 1, SNMP ifIndex: 1 Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Speed: 100mbps Device flags : Present Running Interface flags: SNMP-Traps Link type : Full-Duplex Current address: 00:a0:a5:62:8e:39, Hardware address: 00:a0:a5:62:8e:39 Last flapped : 2014-10-16 10:23:29 PDT (16:27:21 ago) Input packets : 0 Output packets: 0 Logical interface fxp0.0 (Index 3) (SNMP ifIndex 13) Flags: Up SNMP-Traps Encapsulation: ENET2 Bandwidth: 0 Input packets : 23 Output packets: 4 Protocol inet, MTU: 1500 Max nh cache: 220 New hold nh limit: 8, Curr nh cnt: 2, Curr new hold cnt: 0, NH drop cnt: 0 Flags: Sendbcast-pkt-to-re, Is-Primary Addresses, Flags: Is-Default Is-Preferred Is-Primary Destination: 10.209.0/18, Local: 10.209.3.69, Broadcast: 10.209.63.255
Significado
El recuento de caché del salto siguiente ARP local y los límites de espera de la interfaz de administración se muestran en la salida.
Solución de problemas
Para solucionar problemas de la configuración de protección de caché ARP, consulte:
Mensajes de registro del sistema de solución de problemas
Problema
Los mensajes de registro del sistema se generan para registrar eventos cuando se superan los límites de caché de ARP.
Solución
Para interpretar los mensajes de registro del sistema, consulte lo siguiente:
Feb 08 17:12:39 [TRACE] [R1]: Public intf soft (80%) arp nh cache limit reached—El enrutador R1 ha alcanzado el 80 % del límite permitido de caché del próximo salto ARP para interfaces públicas.
Feb 08 17:07:43 [TRACE] [R1]: Public intf hard arp nh cache limit reached—El enrutador R1 ha alcanzado el límite máximo permitido para las entradas de caché del próximo salto ARP en la interfaz pública.
Feb 08 17:15:14 [TRACE] [R1]: Max cache soft (80%) arp nh cache limit for intf idx 325 reached—El enrutador R1 ha alcanzado el 80 % del límite global de caché de salto siguiente ARP configurado para todas sus interfaces.
Feb 08 17:19:41 [TRACE] [R1]: Max cache hard arp nh cache limit for intf idx 325 reached—El enrutador R1 ha alcanzado el límite máximo de caché de salto siguiente del ARP global configurado para todas sus interfaces.