Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置无状态防火墙过滤器以保护逻辑系统免受 ICMP 泛滥

此示例说明如何配置可防止逻辑系统上 ICMP 拒绝服务攻击的无状态防火墙过滤器。

要求

在此示例中,除了设备初始化之外,不需要特殊配置。

概述

此示例显示称为 Protect-RE 的无状态防火墙过滤器,用于监管 ICMP 数据包。将 icmp-policer ICMP 数据包的流量速率限制为 1,000,000 bps,突发大小限制为 15,000 字节。超过信息流速的数据包将被丢弃。

监管器被纳入一个过滤器术语的操作中,称为 icmp-term

在此示例中,ping 将从直接连接的物理路由器发送至逻辑系统上配置的接口。如果以高达 1 Mbps(带宽限制)的速率接收 ICMP 数据包,逻辑系统将接受这些数据包。超过此速率时,逻辑系统将丢弃所有 ICMP 数据包。该 burst-size-limit 语句接受高达 15 Kbps 的信息流突发。如果突发超过此限制,则所有数据包均会被丢弃。当流速下降时,再次接受 ICMP 数据包。

拓扑

图 1 显示了此示例中使用的拓扑。

图 1: 带无状态防火墙的逻辑系统带无状态防火墙的逻辑系统

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 CLI 用户指南中的配置模式下使用 CLI 编辑器

要在逻辑系统上配置 ICMP 防火墙过滤器:

  1. 在逻辑系统上配置接口。

  2. 明确允许在接口上接收 ICMP 数据包。

  3. 创建监管器。

  4. 将监管器应用到过滤器术语。

  5. 将监管器应用到逻辑系统接口。

  6. 如果完成设备配置,请提交配置。

结果

发出 命令以 show logical-systems LS1 确认您的配置。

验证

确认配置工作正常。

验证 Ping 是否工作,除非超出限制

目的

确保逻辑系统接口受到基于 ICMP 的 DoS 攻击的保护。

行动

登录具有与逻辑系统连接并运行命令的 ping 系统。

意义

发送正常 ping 时,数据包将被接受。发送超过过滤器限制的 ping 数据包时,数据包将被丢弃。