[GTER] Looping L2 / Arp Flood em roteadores Juniper.

[Gustavo Santos]

A algum tempo, venho notando de muita gente está começando a adotar
roteadores Juniper , principalmente da linha MX.

Porém, estes roteadores tem um conjunto de filtros default e implícitos,
chamado de DDOS-PROTECTION. O problema é que um destes filtros é uma
armadilha, e é o ARP filter.

O Arp filter, é um filtro default do pacote de proteções contra DDoS e é
system wide, ou seja, é um filtro único para todo o sistema. O resultado
disto, é que em caso de flood ou looping L2, como os últimos que
aconteceram no PTT-SP, o roteador simplesmente para de responder arp em
TODAS as suas interfaces causando o travamento/parada de todos os outros
protocolos como OSPF /BGP que estão nas interfaces não conectadas ao PTT.

Após uma pesquisa, encontrei uma forma de resolver este comportamento,
utilizando o filtro de ARP por interface.

Como o filtro por interface é mais específico que o filtro global default,
em caso de problemas ou loopings, apenas a interface afetada vai parar de
responder, e com isto, o roteador continua funcionando normalmente.


Segue um exemplo de configuração.:

set firewall policer limite_arp_por_interface if-exceeding bandwidth-limit
150k
set firewall policer limite_arp_por_interface if-exceeding burst-size-limit
15k
set firewall policer limite_arp_por_interface then discard


Aplicar os filtros nas interfaces:

family inet policer arp limite_arp_por_interface


Os valores limites podem ser alterados à gosto do freguês.

Espero ter ajudado a comunidade.



Gustavo Santos
Analista de Redes
CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER