Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Ignorer les interfaces

L’interface de rejet dsc n’est pas une interface physique mais une interface virtuelle qui rejette les paquets.

Vue d’ensemble de l’interface de suppression

L’interface de rejet est une interface virtuelle qui rejette silencieusement les paquets à mesure qu’ils arrivent. L’interface d’abandon est particulièrement utile lorsque le réseau est victime d’une attaque par déni de service (DoS). Vous (l’administrateur réseau) pouvez configurer une stratégie pour empêcher l’envoi de millions de requêtes à une adresse cible ou à un ensemble d’adresses donné.

Vous pouvez configurer le trafic Junos OS qui est transféré vers l’interface de rejet et ce qu’il en fait. Une stratégie locale détermine le trafic Junos OS qui est transféré vers l’interface d’abandon. Junos OS effectue l’action spécifiée par un filtre de sortie avant d’ignorer le trafic.

Avantages

  • Avec une interface de rejet, vous pouvez configurer des filtres pour le comptage, la journalisation et l’échantillonnage du trafic avant qu’un type d’attaque ne se produise. Ignorer les routes statiques ne vous donne pas la même flexibilité.

  • L’interface de rejet vous permet d’identifier le point d’entrée d’une attaque par déni de service. Lorsque votre réseau est attaqué, Junos OS identifie l’adresse IP de l’hôte cible tandis que la stratégie locale transfère les paquets attaquants vers l’interface de rejet.

Ignorer la configuration de l’interface

Gardez à l’esprit les instructions suivantes lors de la configuration de l’interface de suppression :

  • Seule l’unité d’interface logique 0 est prise en charge.

  • Une interface de rejet ne peut avoir qu’une seule unité logique (unité 0), mais vous pouvez configurer plusieurs adresses IP sur cette unité.

  • Les filter instructions et address sont facultatives.

  • Bien que vous puissiez configurer un filtre d’entrée et un groupe de filtres, ces instructions de configuration n’ont aucun effet, car le trafic n’est pas transmis à partir de l’interface d’abandon.

  • L’interface de rejet ne prend pas en charge la classe de service (CoS).

Configuration de l’interface de rejet

Pour configurer une interface de rejet :

  1. En mode configuration, accédez au niveau hiérarchique [edit interfaces] .
  2. Configurez l’interface de rejet. Notez que vous devez utiliser dsc pour configurer l’interface de rejet et vous assurer qu’aucune autre interface de rejet n’est déjà configurée.
  3. Configurez l’interface logique (unité 0) et la famille de protocoles.
  4. (Facultatif) Appliquez un filtre de sortie à l’interface de suppression.
  5. Validez la configuration et allez en haut du niveau hiérarchique.

Configurer une stratégie de sortie

Vous devez configurer une stratégie de sortie pour configurer la communauté sur les routes injectées dans le réseau.

Pour configurer une stratégie de sortie :

  1. En mode configuration, allez au niveau de la [edit policy-options] hiérarchie.
  2. Configurez une stratégie de routage.
  3. Configurez un terme de stratégie avec un nom.
  4. Configurez la liste des listes de préfixes des routes pour qu’elles correspondent à un nom.
  5. Configurez l’action à effectuer lorsque les if conditions et to correspondent à l’instruction then . Dans ce cas, configurez les propriétés de la communauté BGP (définir, ajouter et supprimer) associées à un routage.
  6. Validez la configuration et allez en haut du niveau hiérarchique.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
20.1
À partir de la version 20.1 de Junos OS, l’interface de suppression est également prise en charge pour les inet6 routeurs MX Series.