Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Schnittstellen verwerfen

Die Verwerfungsschnittstelle dsc ist keine physische Schnittstelle, sondern eine virtuelle Schnittstelle, die Pakete verwirft.

Übersicht über Schnittstelle verwerfen

Die Verwerfungsschnittstelle ist eine virtuelle Schnittstelle, die Pakete automatisch verwirft, sobald sie ankommen. Die Verwerfen-Schnittstelle ist besonders nützlich, wenn sich das Netzwerk unter einem Denial-of-Service-Angriff (DoS) befindet. Sie (der Netzwerkadministrator) können eine Richtlinie so konfigurieren, dass Millionen von Anforderungen an eine bestimmte Zieladresse oder einen bestimmten Adresssatz gesendet werden.

Sie können konfigurieren, welcher Datenverkehr von Junos OS Evolved an die Verwerfschnittstelle weitergeleitet wird und was es mit diesem Datenverkehr tut. Eine lokale Richtlinie bestimmt, welcher Datenverkehr von Junos OS Evolved an die Verwerfschnittstelle weitergeleitet wird. Junos OS Evolved führt die von einem Ausgabefilter angegebene Aktion aus, bevor der Datenverkehr verworfen wird.

Vorteile

  • Mit einer Verwerfensschnittstelle können Sie Filter für das Zählen, Protokollieren und Sampling des Datenverkehrs konfigurieren, bevor eine Art von Angriff auftritt. Das Verwerfen statischer Routen bietet Ihnen nicht die gleiche Flexibilität.

  • Über die Verwerfen-Schnittstelle können Sie den Eingangspunkt eines DoS-Angriffs identifizieren. Wenn Ihr Netzwerk angegriffen wird, identifiziert Junos OS Evolved die Ziel-Host-IP-Adresse, während die lokale Richtlinie die angreifenden Pakete an die Verwerfschnittstelle weiterleitt.

Schnittstellenkonfiguration verwerfen

Beachten Sie bei der Konfiguration der Verwerfschnittstelle die folgenden Richtlinien:

  • Nur die logische Schnittstelleneinheit 0 wird unterstützt.

  • Eine Verwerfen-Schnittstelle kann nur eine logische Einheit (Einheit 0) haben, aber Sie können mehrere IP-Adressen auf dieser Einheit konfigurieren.

  • Die filter Angaben und address Aussagen sind optional.

  • Obwohl Sie einen Eingabefilter und eine Filtergruppe konfigurieren können, haben diese Konfigurationsanweisungen keine Auswirkungen, da der Datenverkehr nicht über die Verwerfen-Schnittstelle übertragen wird.

  • Die Verwerfen-Schnittstelle unterstützt keine Class-of-Service (CoS).

Konfigurieren der Verwerfungsschnittstelle

So konfigurieren Sie eine Verwerfungsschnittstelle:

  1. Navigieren Sie im Konfigurationsmodus zur [edit interfaces] Hierarchieebene.
  2. Konfigurieren Sie die Verwerfensschnittstelle. Beachten Sie, dass Sie die Verwerfen-Schnittstelle konfigurieren dsc und sicherstellen müssen, dass keine andere Verwerfen-Schnittstelle bereits konfiguriert ist.
  3. Konfigurieren Sie die logische Schnittstelle (Einheit 0) und die Protokollfamilie.
  4. (Optional) Wenden Sie einen Ausgabefilter auf die Verwerfen-Schnittstelle an.
  5. Bestätigen Sie die Konfiguration und gehen Sie zum obersten Teil der Hierarchieebene.

Konfigurieren einer Ausgaberichtlinie

Sie müssen eine Ausgaberichtlinie konfigurieren, um die Community für die in das Netzwerk injizierten Routen einzurichten.

So konfigurieren Sie eine Ausgaberichtlinie:

  1. Wechseln Sie im Konfigurationsmodus zur [edit policy-options] Hierarchieebene.
  2. Konfigurieren Sie eine Routing-Richtlinie.
  3. Konfigurieren Sie einen Richtlinienbegriff mit einem Namen.
  4. Konfigurieren Sie die Liste der Prefix-Listen von Routen, die mit einem Namen übereinstimmen.
  5. Konfigurieren Sie die Aktion, die durchgeführt werden soll, wenn die if Bedingungen to mit der then Anweisung übereinstimmen. Konfigurieren Sie in diesem Fall die BGP-Community-Eigenschaften (Festlegen, Hinzufügen und Löschen), die einer Route zugeordnet sind.
  6. Bestätigen Sie die Konfiguration und gehen Sie zum obersten Teil der Hierarchieebene.