Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

路由引擎保护

路由引擎保护功能可确保路由引擎仅接受来自可信系统的流量。启用此功能将创建无状态防火墙过滤器,该过滤器丢弃发往路由引擎的所有流量,但来自指定可信源的流量除外。保护路由引擎涉及过滤路由器 lo0 接口上的传入流量。建议在瞻博网络交换机上启用此功能作为最佳做法。

配置路由引擎保护

启用路由引擎保护后,Mist默认情况下会确保允许以下服务(如果已配置)与交换机通信:BGP、BFD、NTP、DNS、SNMP、TACACS、RADIUS 和Mist云连接。

如果您想要额外配置 ICMP 或 SSH 来访问交换机,可以在“受信任的服务”下启用它们。请注意,启用 ICMP 和 SSH 会向所有网络开放这些协议。

如果要配置常用的 IP 网络来访问交换机,可以在可信网络下进行配置。如果要从整个网络访问交换机,请使用此选项。

如果您希望通过其他自定义服务(即 IP、端口和协议的特定组合)连接到交换机,则可以在可信 IP/端口/协议下进行配置。此选项允许您使用特定端口和协议访问交换机。

您可以在组织级别(组织>交换机模板)、站点级别(站点>交换机配置)和交换机级别(交换机>交换机名称)配置路由引擎保护。

以下过程列出了在交换机级别配置路由引擎保护的步骤。

要在交换机级别配置路由引擎保护:

  1. 单击“交换机>switch name导航至交换机详细信息页面。
  2. 向下滚动到“管理”部分中的“路由引擎保护”磁贴。
  3. 选中“覆盖网站/模板设置”复选框。
  4. 选中“已启用”复选框。

    启用路由引擎保护后,Mist 会自动解析配置并允许终端主机(BGP 邻居、DNS/NTP/TACACS/RADIUS 服务器、SNMP 客户端等)与交换机通信。如果要添加希望交换机与之通信的其他 IP 或 IP 子网,请在“受信任的网络”部分中添加这些网络,如下一步中所述。

  5. 要添加希望交换机与之通信的其他 IP 或 IP 子网,请在“受信任的网络”字段中以逗号分隔的格式输入 IP 地址。
  6. 如果希望交换机响应 SSH 和 ICMP 服务,请选中 sshicmp 复选框。
  7. 如果您希望交换机响应自定义服务(即 IP、端口和协议的特定组合),请按照以下步骤作:
    1. 单击添加 IP/协议/端口
      此时将显示“Add Trusted IP/Protocol/Port”(添加可信 IP/协议/端口)窗口。
    2. 在“添加受信任的 IP/协议/端口”窗口中,指定 IP 地址、协议和适用的端口范围。
    3. 单击“添加”
  8. 保存配置。

配置命令 (CLI)

验证路由引擎配置的保护

路由引擎保护(受信任的网络配置)

配置命令 (CLI)

蜜蜂属

show bgp summary使用命令获取 BGP 连接状态的摘要:

要测试可信网络功能,请从交换机 ping 100.100.100.2,如下所示。您可以看到已接收所有传输的数据包,而不会丢失任何数据包。

此外,对受信任网络以外的网络执行 ping 命令或 ssh。如下图所示,ping 显示 100% 的数据包丢失。

路由引擎保护(受信任的服务配置)

配置命令 (CLI)

蜜蜂属

要测试受信任的服务配置,请登录到不在受信任网络上的设备。

要检查丢弃的数据包,请在设备上运行以下附加 CLI 命令:

另请阅读: 示例:配置无状态防火墙过滤器以接受来自可信源的流量示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛洪