Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

丢弃接口

丢弃接口 dsc 不是物理接口,而是丢弃数据包的虚拟接口。

丢弃接口概述

丢弃接口是一个虚拟接口,在数据包到达时会以静默方式丢弃这些数据包。当网络遭受拒绝服务 (DoS) 攻击时,丢弃接口特别有用。您(网络管理员)可以配置策略,以丢弃发送到给定目标地址或地址集的数百万请求。

您可以配置 哪些流量 Junos OS Evolved 转发到丢弃接口,以及该流量对流量的处理方式。本地策略用于确定 哪些流量 Junos OS Evolved 转发到丢弃接口。 Junos OS Evolved 在丢弃流量之前,会先执行输出过滤器指定的操作。

好处

  • 使用丢弃接口,您可以配置过滤器,在发生任何类型的攻击之前对流量进行计数、日志记录和采样。丢弃静态路由并不能为您提供相同的灵活性。

  • 丢弃接口允许您识别 DoS 攻击的入口点。当网络受到攻击时, Junos OS Evolved 会识别目标主机 IP 地址,而本地策略会将攻击数据包转发到丢弃接口。

丢弃接口配置

配置丢弃接口时,请记住以下准则:

  • 仅支持 逻辑接口 单元 0。

  • 丢弃接口只能有一个逻辑单元(单元 0),但您可以在该单元上配置多个 IP 地址。

  • filteraddress 语句是可选的。

  • 尽管您可以配置输入过滤器和过滤器组,但这些配置语句无效,因为流量不会从丢弃接口传输。

  • 丢弃接口不支持 服务等级 (CoS)。

配置丢弃接口

要配置丢弃接口:

  1. 在配置模式下,导航至[edit interfaces]层级。
  2. 配置丢弃接口。请注意,您必须使用dsc配置丢弃接口并确保尚未配置其他丢弃接口。
  3. 配置逻辑接口(单元 0)和协议家族。
  4. (可选)将输出过滤器应用于丢弃接口。
  5. 提交配置并转到层级的顶层。

配置输出策略

您必须配置输出策略,才能在注入到网络的路由上设置社区。

要配置输出策略:

  1. 在配置模式下,转到[edit policy-options]层次结构级别。
  2. 配置路由策略。
  3. 使用名称配置策略术语。
  4. 将路由前缀列表配置为与名称匹配。
  5. 配置当语句和to条件与then语句匹配时if要采取的操作。在这种情况下,请配置与路由关联的 BGP 社区属性(set、添加和删除)。
  6. 提交配置并转到层级的顶层。