Grundlegendes zum Weiterleiten von Paketen an die Discard-Schnittstelle

Die discard(dsc)-Schnittstelle ist eine virtuelle Schnittstelle, die weitergeleitete Pakete stillschweigend verwerfen kann, sobald sie empfangen werden (es wird keine ICMP-Nachricht gesendet). Dies ist nützlich im Falle eines Denial-of-Service-Angriffs (DoS). Sobald Sie die IP-Adresse kennen, auf die abgezielt wird, können Sie eine Richtlinie konfigurieren, die alle auf dieser Schnittstelle empfangenen Pakete an die Verwerfungsschnittstelle weiterleitet, wo sie verworfen werden. Ebenso kann das stille Verwerfen von Paketen, die keine gültige Route in der zugehörigen Weiterleitungstabelle haben, verhindern, dass das Gerät zu einem DDoS-Reflektor (Distributed Denial-of-Service) wird, bei dem eine gefälschte Quell-IP-Adresse verwendet wird, um eine Flut von ICMP-Fehlermeldungen vom Gerät auszulösen.

Die dsc Schnittstelle kann nur auf Einheit 0 der angegebenen physischen Schnittstelle konfiguriert werden, und es wird nur eine dsc Instanz pro Gerät unterstützt.

Konfigurieren Sie einen Eingabefilter, wenn Sie z. B. eine Aktion ausführen möchten, z. B. das Protokollieren des Verwerfens, um die Art des Angriffs besser zu verstehen.

Sie können eine Eingaberichtlinie so konfigurieren, dass eine BGP-Community mit der Ablageschnittstelle verknüpft wird. So konfigurieren Sie eine Eingaberichtlinie, um eine Community mit der Discard-Schnittstelle zu verknüpfen:

Konfigurieren Sie eine Ausgaberichtlinie, um die Community auf den in das Netzwerk eingespeisten Routen einzurichten: