Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

丢弃接口

丢弃接口 dsc 不是 物理接口,而是丢弃数据包的虚拟接口。

以下部分将详细介绍丢弃接口。

丢弃接口概述

丢弃接口

您可在丢弃inet接口上配置系列协议,允许您将输出过滤器应用于接口。如果将输出过滤器应用于接口,则会在丢弃信息流之前执行过滤器指定的操作。

配置丢弃接口之后,您必须配置本地策略,将攻击流量转发至丢弃接口。

Benefits of Discard Interfaces

  • 丢弃接口允许您识别拒绝服务(DoS)攻击的入口点。当您的网络受到攻击时,将识别目标主机 IP 地址,而本地策略会将攻击数据包转发到丢弃接口。当信息流从丢弃接口路由出时,信息流将悄悄丢弃。

配置丢弃接口时应遵循的准则

配置丢弃接口时,请记住以下准则:

  • 仅支持逻辑接口单元0。

  • And filteraddress语句是可选的。

  • 虽然您可以配置输入过滤器和过滤器组,但这些配置语句不起作用,因为信息流不会从丢弃接口传输。

  • 丢弃接口不支持服务等级(CoS)。

配置丢弃接口

丢弃 (dsc) 接口是一个虚拟接口,当数据包到达时,该接口会静默丢弃数据包。如果网络遭受 拒绝服务 (DoS) 攻击,则特别有用,因为您可以配置一个策略,将数百万请求从发送至给定目标地址或一组地址。

此外,借助丢弃接口,您可以配置过滤器以对信息流进行计数、日志记录和采样( discard static routes 不可使用)。

请注意,丢弃接口只能有一个逻辑单元(单元 0),但是您可以在该单元上配置多个 IP 地址。

在 M 和 MX 系列路由器中,丢弃接口受 、 和 信息 inetmplsvpls 流系列支持。从 20 Junos 20.1 版开始,对于 MX 系列路由器,系统还支持丢弃 inet6 接口。

以下部分介绍如何配置丢弃接口:

配置和使用丢弃接口

要配置丢弃接口:

  1. 在配置模式下,转至[edit interfaces]层次结构级别。
  2. 配置丢弃接口。请注意,您必须使用 dsc 来配置丢弃接口,并确保尚未配置丢弃接口。
  3. 配置逻辑接口和协议系列。
  4. 如果适用,请将输出过滤器应用于丢弃接口。

    输入过滤器对此上下文没有影响。

  5. 提交配置,然后转到层次结构的顶部。

使用输出策略配置输出过滤器

您必须配置输出策略,以便在插入到网络中的路由上设置社区。

配置输出策略。

  1. 在配置模式下,转至[edit policy-options]层次结构级别。
  2. 配置路由策略。
  3. 使用名称配置策略术语。
  4. 配置与名称匹配的路由的前缀列表。
  5. 配置当 if 和 and 条件与then语句匹配时要采取的措施。在这种情况下,配置与路由关联的 BGP 社区属性(设置、添加和删除)。
  6. 提交配置,然后转到层次结构的顶部。

另请参阅

发布历史记录表
版本
说明
20.1
从 20 Junos 20.1 版开始,对于 MX 系列路由器,系统还支持丢弃 inet6 接口。