Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置无状态防火墙过滤器以保护逻辑系统免遭 ICMP 泛滥

此示例说明如何配置无状态防火墙过滤器,以防止对逻辑系统的 ICMP 拒绝服务攻击。

要求

在此示例中,除了设备初始化之外,不需要特殊配置。

概述

此示例显示了一个称为保护 ICMP 数据包的无状态防火墙过滤器。将icmp-policer ICMP 数据包的流量率限制为 1000000 bps,将突发大小限定为15000字节。超过流量速率的数据包将被丢弃。

监管器已融入过滤器术语 "调用icmp-term" 的操作中。

在此示例中,从直接连接的物理路由器向逻辑系统上配置的接口发送 ping。如果以高达 1 Mbps (带宽限制)的速率接收到 ICMP 数据包,逻辑系统就会接受它们。超过此速率时,逻辑系统将丢弃所有 ICMP 数据包。该burst-size-limit语句接受突发流量,最高为 15 Kbps。如果猝发超过此限制,将丢弃所有数据包。当流量速率 subsides 时,ICMP 数据包将再次被接受。

拓扑

图 1显示了此示例中使用的拓扑。

图 1: 具有无状态防火墙的逻辑系统具有无状态防火墙的逻辑系统

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

操作

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航应用程序CLI,请参阅 在配置模式中使用 CLI 编辑器 CLI 指南

要在逻辑系统上配置 ICMP 防火墙过滤器:

  1. 在逻辑系统上配置接口。

  2. 显式启用要在接口上接收的 ICMP 数据包。

  3. 创建监管器。

  4. 将监管器应用于过滤器术语。

  5. 将监管器应用于逻辑系统接口。

  6. 如果您完成了设备配置,请提交配置。

成果

发出show logical-systems LS1命令以确认您的配置。

针对

确认配置是否正常工作。

验证 Ping 是否正常工作,除非超过限制

用途

请确保逻辑系统接口受到基于 ICMP 的 DoS 攻击的保护。

行动

登录到已连接到逻辑系统的系统,然后运行ping命令。

含义

发送正常 ping 命令时,数据包即被接受。当您发送超过过滤器限制的 ping 数据包时,数据包将被丢弃。