Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Schnittstellen verwerfen

Die Discard-Schnittstelle dsc ist keine physische Schnittstelle, sondern eine virtuelle Schnittstelle, die Pakete verwirft.

Übersicht über die Discard-Schnittstelle

Die Discard-Schnittstelle ist eine virtuelle Schnittstelle, die Pakete im Hintergrund verwirft, sobald sie eintreffen. Die Discard-Schnittstelle ist besonders nützlich, wenn das Netzwerk einem Denial-of-Service-Angriff (DoS) ausgesetzt ist. Sie (der Netzwerkadministrator) können eine Richtlinie so konfigurieren, dass Millionen von Anforderungen nicht an eine bestimmte Zieladresse oder eine bestimmte Gruppe von Adressen gesendet werden.

Sie können konfigurieren, welcher Datenverkehr Junos OS an die Verwerfungsschnittstelle weitergeleitet wird und was er mit diesem Datenverkehr macht. Eine lokale Richtlinie bestimmt, welcher Datenverkehr Junos OS an die verworfene Schnittstelle weitergeleitet wird. führt die von einem Ausgabefilter angegebene Aktion aus, Junos OS bevor der Datenverkehr verworfen wird.

Vorteile

  • Mit einer Verwerfungsschnittstelle können Sie Filter für das Zählen, Protokollieren und Sampling des Datenverkehrs konfigurieren, bevor eine Art von Angriff auftritt. Das Verwerfen statischer Routen bietet Ihnen nicht die gleiche Flexibilität.

  • Die Discard-Schnittstelle ermöglicht es Ihnen, den Eingangspunkt eines DoS-Angriffs zu identifizieren. Wenn Ihr Netzwerk angegriffen wird, identifiziert die IP-Adresse des Zielhosts, Junos OS während die lokale Richtlinie angreifende Pakete an die Discard-Schnittstelle weiterleitet.

Schnittstellenkonfiguration verwerfen

Beachten Sie bei der Konfiguration der Verwerfungsschnittstelle die folgenden Richtlinien:

  • Es wird nur die logische Schnittstelleneinheit 0 unterstützt.

  • Eine Verwerfungsschnittstelle kann nur eine logische Einheit (Einheit 0) haben, aber Sie können mehrere IP-Adressen auf dieser Einheit konfigurieren.

  • Die filter and-Anweisungen address sind optional.

  • Sie können zwar einen Eingabefilter und eine Filtergruppe konfigurieren, diese Konfigurationsanweisungen haben jedoch keine Auswirkungen, da kein Datenverkehr von der Verwerfungsschnittstelle übertragen wird.

  • Die Discard-Schnittstelle unterstützt keine Class of Service (CoS).

Konfigurieren der Verwerfungsschnittstelle

So konfigurieren Sie eine Verwerfungsschnittstelle:

  1. Navigieren Sie im Konfigurationsmodus zur Hierarchieebene [edit interfaces] .
  2. Konfigurieren Sie die Verwerfungsschnittstelle. Beachten Sie, dass Sie mit die dsc Verwerfungsschnittstelle konfigurieren und sicherstellen müssen, dass keine andere Verwerfungsschnittstelle bereits konfiguriert ist.
  3. Konfigurieren Sie die logische Schnittstelle (Einheit 0) und die Protokollfamilie.
  4. (Optional) Wenden Sie einen Ausgabefilter auf die Verwerfungsschnittstelle an.
  5. Bestätigen Sie die Konfiguration und springen Sie an den Anfang der Hierarchieebene.

Konfigurieren einer Ausgaberichtlinie

Sie müssen eine Ausgaberichtlinie konfigurieren, um die Community auf den in das Netzwerk eingespeisten Routen einzurichten.

So konfigurieren Sie eine Ausgaberichtlinie:

  1. Wechseln Sie im Konfigurationsmodus in die [edit policy-options] Hierarchieebene.
  2. Konfigurieren Sie eine Routing-Richtlinie.
  3. Konfigurieren Sie einen Richtlinienbegriff mit einem Namen.
  4. Konfigurieren Sie die Liste der Präfixlisten von Routen so, dass sie mit einem Namen übereinstimmen.
  5. Konfigurieren Sie die Aktion, die ausgeführt werden soll, wenn die if Bedingungen und mit to der then Anweisung übereinstimmen. Konfigurieren Sie in diesem Fall die BGP-Community-Eigenschaften (set, add und delete), die einer Route zugeordnet sind.
  6. Bestätigen Sie die Konfiguration und springen Sie an den Anfang der Hierarchieebene.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
20.1
Ab Junos OS Version 20.1 wird für Router der MX-Serie auch die Discard-Schnittstelle für die inet6 Produktfamilie unterstützt.