Auf dieser Seite
Beispiel: Schützen der Routing-Engine mit einem Filter zur Ratenbegrenzung für Pakete pro Sekunde
In diesem Beispiel wird gezeigt, wie Sie einen auf Paketen pro Sekunde basierenden Filter zur Ratenbegrenzung konfigurieren, um die Sicherheit zu verbessern. Sie wird auf die Loopback-Schnittstelle angewendet, um die Routing-Engine vor Denial-of-Service-Angriffen zu schützen.
Diese Art der Filter- und Policer-Kombination ist nur ein Element in einem mehrschichtigen Ansatz, der zum Schutz der Routing-Engine verwendet werden kann. Andere Schutzebenen sind erforderlich, um die Routing-Engine vollständig zu schützen. Siehe Day One: Sichern der Routing-Engine der Serien M, MX und T Weitere Informationen finden Sie unter Sichern der Routing-Engine der Serien M, MX und T.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um Ratenbegrenzungen für Pakete pro Sekunde (pps) für jeglichen Datenverkehr festzulegen, der über die Loopback-Schnittstelle (lo0.0) für die Routing-Engine bestimmt ist.
So aktivieren Sie einen Policer aus einer zustandslosen Firewall-Filterkonfiguration heraus:
Erstellen Sie eine Vorlage für den Policer, indem Sie die
policer policer-nameAnweisung in die[edit firewall]Hierarchie aufnehmen.Verweisen Sie in einem Filterbegriff auf den Policer, der den Policer in der nicht beendenden
policer policer-nameAktion angibt.
Sie können einen Policer auch anwenden, indem Sie die policer (input | output) policer-name Anweisung in eine logische Schnittstellenkonfiguration aufnehmen.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
- CLI-Schnellkonfiguration
- Konfigurieren des Policer und des Filters für zustandslose Firewalls
- Anwenden des Filters "Zustandslose Firewall" auf die logische Loopback-Schnittstelle
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Konfigurieren des Policer und des Filters für zustandslose Firewalls
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Policer- police_pps und den zustandslosen Firewall-Filter my_pps_filter:
Konfigurieren Sie die Policer-Vorlage
police_pps.[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
Erstellen Sie den zustandslosen Firewallfilter
my_pps_filter.[edit] user@host# edit firewall family inet filter my_pps_filter
Konfigurieren Sie einen Filterbegriff, der policer
police_ppsverwendet, um den Datenverkehr nach Protokollfamilie zu begrenzen.[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
Anwenden des Filters "Zustandslose Firewall" auf die logische Loopback-Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter my_pps_filter auf die Loopback-Schnittstelle an:
Konfigurieren Sie die logische Loopback-Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden.
[edit] user@host# edit interfaces lo0 unit 0
Wenden Sie den zustandslosen Firewallfilter auf die Loopback-Schnittstelle an.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
Konfigurieren Sie die Schnittstellenadresse für die Loopback-Schnittstelle.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
Ergebnisse
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den show firewall Befehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show firewall
family inet{
filter my_pps_filter {
term term1 {
then policer police_pps;
}
}
}
policer police_pps {
if-exceeding-pps {
pps-limit 1k;
packet-burst 150;
}
then discard;
}
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den show interfaces lo0 Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input my_pps_filter;
}
address 127.0.0.1/32;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.
user@host# commit
Verifizierung
Überprüfen der Funktion des Filters
Zweck
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den show firewall filter my_pps_filter Befehl Betriebsmodus ein.
Die folgende Ausgabe ergibt sich aus dem Ausführen eines schnellen Pings von einem anderen Host zum getesteten Router. Um Ergebnisse in der Ausgabe anzuzeigen, wurden beim Ping-Test eine pps-limit Einstellung von 50 und eine packet-burst Einstellung von 10 verwendet.
Action!
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17