Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Protegendo o mecanismo de roteamento com um filtro de limitação de taxa de pacotes por segundo

Este exemplo mostra como configurar um filtro de limitação de taxa baseado em pacotes por segundo para melhorar a segurança. Ele será aplicado à interface de loopback, a fim de ajudar a proteger o Mecanismo de Roteamento contra ataques de negação de serviço.

prática recomendada:

Esse tipo de combinação de filtro e policiador é apenas um elemento em uma abordagem multicamadas que pode ser usado para ajudar a proteger o mecanismo de roteamento. Outras camadas de proteção são necessárias para proteger totalmente o Mecanismo de Roteamento. Veja o primeiro dia: Proteção do mecanismo de roteamento nas séries M, MX e T para obter mais informações.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você usa um filtro de firewall sem estado para definir limites de taxa de pacotes por segundo (pps) para qualquer tráfego destinado ao Mecanismo de Roteamento por meio da interface de loopback (lo0.0).

Para ativar um policiador de dentro de uma configuração de filtro de firewall sem estado:

  1. Crie um modelo para o policiador, incluindo a policer policer-name declaração na [edit firewall] hierarquia.

  2. Consulte o policial em um termo de filtro que especifica o policial na ação policer policer-name não sufocante.

Você também pode aplicar um policial incluindo a policer (input | output) policer-name declaração em uma configuração de interface lógica.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Configuração do policiador e do filtro de firewall stateless

Procedimento passo a passo

Para configurar o policiador police_pps e o filtro my_pps_filterde firewall stateless:

  1. Configure o modelo police_ppsdo policiador.

  2. Crie o filtro de firewall sem estado my_pps_filter.

  3. Configure um termo de filtro que usa o policiador police_pps para limitar o tráfego por família de protocolo.

Aplicando o filtro de firewall sem estado na interface lógica de loopback

Procedimento passo a passo

Para aplicar o filtro my_pps_filter na interface de loopback:

  1. Configure a interface lógica de loopback à qual você aplicará o filtro de firewall stateless.

  2. Aplique o filtro de firewall sem estado na interface de loopback.

  3. Configure o endereço da interface para a interface de loopback.

Resultados

Confirme a configuração do filtro de firewall sem estado entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Confirme a configuração da interface entrando no comando do show interfaces lo0 modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.

Verificação

Verificando a operação do filtro

Propósito

Para confirmar que a configuração está funcionando corretamente, insira o comando do show firewall filter my_pps_filter modo operacional.

Nota:

A saída a seguir resulta da execução rápida de um ping de outro host para o roteador em teste. Para mostrar resultados na saída, uma pps-limit configuração 50 e uma packet-burst configuração foram usadas durante o teste de 10 ping.

Ação