Definindo um filtro de firewall com espelhamento de porta
A partir da versão 14.2, em roteadores que contenham um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou ip versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.
O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes cflowd com base na chave podem ser enviados a um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por uma interface de próximo salto.
Você pode configurar o uso simultâneo de amostragem e espelhamento de portas e definir uma taxa de amostragem independente e comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem e espelhamento de portas, apenas uma ação pode ser realizada e o espelhamento de porta prevalece. Por exemplo, se você configurar uma interface para provar cada entrada de pacote na interface e um filtro também selecionar o pacote a ser espelhado em outra interface, apenas o espelhamento de porta faria efeito. Todos os outros pacotes que não correspondam aos critérios explícitos de espelhamento de porta de filtro continuam a ser amostrados quando encaminhados ao seu destino final.
Os filtros de firewall fornecem um meio de proteger seu roteador contra o tráfego excessivo que transita pelo roteador para um destino de rede ou destinado ao Mecanismo de Roteamento. Os filtros de firewall que controlam pacotes locais também podem proteger seu roteador contra incidentes externos.
Você pode configurar um filtro de firewall para fazer o seguinte:
Restrinja o tráfego destinado ao Mecanismo de Roteamento com base em sua origem, protocolo e aplicativo.
Limite a taxa de tráfego de pacotes destinados ao Mecanismo de Roteamento para proteger contra ataques de inundação ou negação de serviço (DoS).
Atenda a circunstâncias especiais associadas a pacotes fragmentados destinados ao Mecanismo de Roteamento. Como o dispositivo avalia cada pacote em relação a um filtro de firewall (incluindo fragmentos), você deve configurar o filtro para acomodar fragmentos que não contêm informações de cabeçalho de pacote. Caso contrário, o filtro descarta todos, exceto o primeiro fragmento de um pacote fragmentado.
Para obter informações sobre a configuração de filtros de firewall em geral (incluindo em um ambiente de Camada 3), veja a visão geral do filtro de firewall sem estado e como os filtros de firewall padrão avaliam pacotes nas políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego.
Para definir um filtro de firewall com uma ação de espelhamento de portas:
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.