[GTER] Looping L2 / Arp Flood em roteadores Juniper.
Gustavo Santos
gustkiller at gmail.com
Fri Feb 8 19:18:22 -02 2013
A algum tempo, venho notando de muita gente está começando a adotar
roteadores Juniper , principalmente da linha MX.
Porém, estes roteadores tem um conjunto de filtros default e implícitos,
chamado de DDOS-PROTECTION. O problema é que um destes filtros é uma
armadilha, e é o ARP filter.
O Arp filter, é um filtro default do pacote de proteções contra DDoS e é
system wide, ou seja, é um filtro único para todo o sistema. O resultado
disto, é que em caso de flood ou looping L2, como os últimos que
aconteceram no PTT-SP, o roteador simplesmente para de responder arp em
TODAS as suas interfaces causando o travamento/parada de todos os outros
protocolos como OSPF /BGP que estão nas interfaces não conectadas ao PTT.
Após uma pesquisa, encontrei uma forma de resolver este comportamento,
utilizando o filtro de ARP por interface.
Como o filtro por interface é mais específico que o filtro global default,
em caso de problemas ou loopings, apenas a interface afetada vai parar de
responder, e com isto, o roteador continua funcionando normalmente.
Segue um exemplo de configuração.:
set firewall policer limite_arp_por_interface if-exceeding bandwidth-limit
150k
set firewall policer limite_arp_por_interface if-exceeding burst-size-limit
15k
set firewall policer limite_arp_por_interface then discard
Aplicar os filtros nas interfaces:
family inet policer arp limite_arp_por_interface
Os valores limites podem ser alterados à gosto do freguês.
Espero ter ajudado a comunidade.
Gustavo Santos
Analista de Redes
CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER
More information about the gter
mailing list