Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:将数据包转发至丢弃接口

此示例显示如何使用丢弃路由缓解拒绝服务(DoS)攻击,保护来自外部攻击的重要网络资源,为客户提供保护服务,以便每个客户都可以发起自己的保护并记录和跟踪 DoS都会.

要求

配置此示例之前,不需要在设备初始化之外进行特殊配置。

概述

在丢弃路由时,路由器配置了规则,禁止将数百万次请求发送到相同的地址。如果在短时间内收到的请求过多,路由器将只丢弃请求,而不转发。请求将发送至不转发数据包的路由器。有问题的路由有时称为丢弃路由或孔路由。应丢弃的路由类型被视为对对等方或其他客户的客户的攻击、客户向对等方或其他客户发起的攻击、攻击控制器、提供攻击说明的主机以及未分配的地址共享空间,称为 bogons 或无效 IP 地址。

攻击尝试被识别后,运营商便可将配置部署到位以缓解攻击。在 Junos OS 中配置丢弃路由的一种方法是为用于丢弃路由的每个下一个跃点创建丢弃静态路由。丢弃静态路由使用discard选项。

例如:

另一个策略(此示例的主要重点是使用路由策略和丢弃接口)。在此方法中,丢弃接口包含您分配给空路由的下一跳跃。丢弃接口只能有一个逻辑单元(设备0),但您可以在设备0上配置多个 IP 地址。

例如:

使用丢弃接口而非使用丢弃静态路由的优势在于,丢弃接口允许您配置过滤器并将其分配给接口,以便对信息流进行计数、日志记录和采样。本示例中演示了这一情况。

要真正丢弃数据包,需要将路由策略连接到 BGP 会话。要找到放弃条件的路由,您可以使用路由过滤器、访问列表或 BGP 社区值。

例如,下面介绍如何使用路由过滤器:

路由过滤器

图 1显示了示例网络。

图 1: 丢弃接口示例网络丢弃接口示例网络

该示例包括建立了外部 BGP (EBGP)会话的三个路由器。

设备 R1 表示攻击设备。设备 R3 表示最靠近正在受到攻击的设备的路由器。Device R2 可通过将数据包转发至丢弃接口来缓解攻击。

该示例显示了应用于丢弃接口的出站过滤器。

注:

使用单个空路由过滤器的一个问题就是可见性。所有丢弃数据包递增相同的计数器。要查看哪些类别的数据包被丢弃,请使用目标类使用 (DCU),并将用户定义的类与每个空路由社区关联。然后在防火墙过滤器中引用 DCU 类。有关相关示例,请参阅 示例:将源和目标前缀分组到转发类中示例:基于目标类配置速率限制过滤器 和 。

与使用路由过滤器和访问列表相比,使用社区价值最少的管理难度和最具可扩展性的方法。因此,这是此示例中显示的方法。

默认情况下,后续跳跃必须等于外部 BGP (EBGP)对等方地址。更改空路由服务的下一跳跃要求在 EBGP 会话中配置多跳功能。

CLI 快速配置显示了中图 1所有设备的配置。

一节#configuration756__policy-discard-st介绍设备 R2 上的步骤。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

设备 R1

设备 R2

设备 R3

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 Junos OS CLI 在配置模式中使用 CLI 编辑器指南

配置设备 R2:

  1. 创建路由器接口。

  2. 配置与所有数据包匹配并记录数据包的防火墙过滤器。

  3. 创建丢弃接口并应用输出防火墙过滤器。

    输入防火墙过滤器对此上下文没有影响。

  4. 配置将下一跳跃发送至丢弃接口中指定的目标地址的静态路由。

  5. 配置 BGP 对等互连。

  6. 配置路由策略。

  7. 应用路由策略。

  8. 配置自治系统(AS)编号。

成果

show interfaces配置模式,通过发出、 show protocols show policy-optionsshow routing-options、、和show firewall命令来确认配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

清除防火墙计数器

用途

清除这些计数器以确保从已知的零(0)状态开始。

行动

  1. 从设备 R2 运行clear firewall命令。

  2. 从设备 R2 运行show firewall命令。

Ping 192.0.2.101 地址

用途

将数据包发送至目标地址。

行动

从设备 R1 运行ping命令。

含义

如预期,ping 请求失败,不发送任何响应。数据包将被丢弃。

检查输出过滤器

用途

验证设备 R2 的防火墙过滤器是否正常运行。

行动

在设备 R2 中输入show firewall filter log-discard命令。

含义

正如预期一样,计数器将递增。

注:

Ping 数据包具有额外的20字节的 IP 开销以及8个字节的 ICMP 标头。

检查社区属性

用途

验证路由是否使用社区属性进行标记。

行动

从设备 R1 输入show route extensive命令,使用设备 R2 的邻居地址,192.0.2.101。

含义

如预期所示,当设备 R2 向设备 R1 通告192.0.2.101 路由时,设备 R2 将添加100:5555 社区标记。