Nesta página
Exemplo: Protegendo o mecanismo de roteamento com um filtro de limitação de taxa de pacotes por segundo
Este exemplo mostra como configurar um filtro de limitação de taxa baseado em pacotes por segundo para melhorar a segurança. Ele será aplicado à interface de loopback, a fim de ajudar a proteger o Mecanismo de Roteamento contra ataques de negação de serviço.
Esse tipo de combinação de filtro e policiador é apenas um elemento em uma abordagem multicamadas que pode ser usado para ajudar a proteger o mecanismo de roteamento. Outras camadas de proteção são necessárias para proteger totalmente o Mecanismo de Roteamento. Veja o primeiro dia: Proteção do mecanismo de roteamento nas séries M, MX e T para obter mais informações.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado para definir limites de taxa de pacotes por segundo (pps) para qualquer tráfego destinado ao Mecanismo de Roteamento por meio da interface de loopback (lo0.0).
Para ativar um policiador de dentro de uma configuração de filtro de firewall sem estado:
Crie um modelo para o policiador, incluindo a
policer policer-name
declaração na[edit firewall]
hierarquia.Consulte o policial em um termo de filtro que especifica o policial na ação
policer policer-name
não sufocante.
Você também pode aplicar um policial incluindo a policer (input | output) policer-name
declaração em uma configuração de interface lógica.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
- Configuração rápida da CLI
- Configuração do policiador e do filtro de firewall stateless
- Aplicando o filtro de firewall sem estado na interface lógica de loopback
- Resultados
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit]
hierarquia.
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configuração do policiador e do filtro de firewall stateless
Procedimento passo a passo
Para configurar o policiador police_pps
e o filtro my_pps_filter
de firewall stateless:
Configure o modelo
police_pps
do policiador.[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
Crie o filtro de firewall sem estado
my_pps_filter
.[edit] user@host# edit firewall family inet filter my_pps_filter
Configure um termo de filtro que usa o policiador
police_pps
para limitar o tráfego por família de protocolo.[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
Aplicando o filtro de firewall sem estado na interface lógica de loopback
Procedimento passo a passo
Para aplicar o filtro my_pps_filter
na interface de loopback:
Configure a interface lógica de loopback à qual você aplicará o filtro de firewall stateless.
[edit] user@host# edit interfaces lo0 unit 0
Aplique o filtro de firewall sem estado na interface de loopback.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
Configure o endereço da interface para a interface de loopback.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
Resultados
Confirme a configuração do filtro de firewall sem estado entrando no comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show firewall family inet{ filter my_pps_filter { term term1 { then policer police_pps; } } } policer police_pps { if-exceeding-pps { pps-limit 1k; packet-burst 150; } then discard; }
Confirme a configuração da interface entrando no comando do show interfaces lo0
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show interfaces lo0 unit 0 { family inet { filter { input my_pps_filter; } address 127.0.0.1/32; } }
Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.
user@host# commit
Verificação
Verificando a operação do filtro
Propósito
Para confirmar que a configuração está funcionando corretamente, insira o comando do show firewall filter my_pps_filter
modo operacional.
A saída a seguir resulta da execução rápida de um ping de outro host para o roteador em teste. Para mostrar resultados na saída, uma pps-limit
configuração 50 e uma packet-burst
configuração foram usadas durante o teste de 10 ping.
Ação
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17