EN ESTA PÁGINA
Ejemplo: Protección del motor de enrutamiento con un filtro limitador de velocidad de paquetes por segundo
En este ejemplo se muestra cómo configurar un filtro de limitación de velocidad basado en paquetes por segundo para mejorar la seguridad. Se aplicará a la interfaz de circuito cerrado para ayudar a proteger el motor de enrutamiento de ataques de denegación de servicio.
Este tipo de combinación de filtro y aplicador de políticas es solo un elemento de un enfoque de varias capas que se puede usar para ayudar a proteger el motor de enrutamiento. Se necesitan otras capas de protección para proteger completamente el motor de enrutamiento. Ver día uno: Asegurar el motor de enrutamiento en las series M, MX y T para obtener más información.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se usa un filtro de firewall sin estado para establecer límites de velocidad de paquetes por segundo (pps) para cualquier tráfico destinado al motor de enrutamiento a través de la interfaz de circuito cerrado (lo0.0).
Para activar un aplicador de políticas desde una configuración de filtro de firewall sin estado:
Cree una plantilla para el aplicador de policía incluyendo la instrucción en la jerarquía.
policer policer-name[edit firewall]Haga referencia al aplicador de policía en un término de filtro que especifique el aplicador de policía en la acción de no terminación.
policer policer-name
También puede aplicar un aplicador de políticas incluyendo la instrucción en una configuración de interfaz lógica.policer (input | output) policer-name
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
- Configuración rápida de CLI
- Configuración del filtro Policer y del firewall sin estado
- Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configuración del filtro Policer y del firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de policía y firewall sin estado:police_ppsmy_pps_filter
Configure la plantilla de policía .
police_pps[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
Cree el filtro de firewall sin estado.
my_pps_filter[edit] user@host# edit firewall family inet filter my_pps_filter
Configure un término de filtro que utilice policer para limitar el tráfico por familia de protocolos.
police_pps[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro a la interfaz de circuito cerrado:my_pps_filter
Configure la interfaz lógica de circuito cerrado a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces lo0 unit 0
Aplique el filtro de firewall sin estado a la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
Configure la dirección de interfaz para la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
Resultados
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.show firewall Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show firewall
family inet{
filter my_pps_filter {
term term1 {
then policer police_pps;
}
}
}
policer police_pps {
if-exceeding-pps {
pps-limit 1k;
packet-burst 150;
}
then discard;
}
Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.show interfaces lo0 Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input my_pps_filter;
}
address 127.0.0.1/32;
}
}
Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.
user@host# commit
Verificación
Verificación del funcionamiento del filtro
Propósito
Para confirmar que la configuración funciona correctamente, introduzca el comando de modo operativo.show firewall filter my_pps_filter
El siguiente resultado es la ejecución de un ping rápido desde otro host al enrutador bajo prueba. Para mostrar los resultados en la salida, se utilizó una configuración de y una configuración de durante la prueba de ping.pps-limit50packet-burst10
Acción
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17