Exemple : Protection du moteur de routage à l’aide d’un filtre limitant le débit de paquets par seconde
Cet exemple montre comment configurer un filtre de limitation de débit basé sur le nombre de paquets par seconde pour améliorer la sécurité. Il sera appliqué à l’interface de bouclage afin d’aider à protéger le moteur de routage contre les attaques par déni de service.
Cette combinaison de filtre et de mécanisme de contrôle n’est qu’un élément d’une approche multicouche pouvant être utilisée pour protéger le moteur de routage. D’autres couches de protection sont nécessaires pour protéger pleinement le moteur de routage. Voir le premier jour : Sécurisation du moteur de routage sur les réseaux M, MX et T Series pour plus d’informations.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour définir des limites de débit de paquets par seconde (pps) pour tout trafic destiné au moteur de routage via l’interface de bouclage (lo0.0).
Pour activer un mécanisme de contrôle à partir d’une configuration de filtre de pare-feu sans état :
Créez un modèle pour le mécanisme de contrôle en incluant l’instruction
policer policer-namedans la[edit firewall]hiérarchie.Référencez le mécanisme de contrôle dans un terme de filtre qui spécifie le mécanisme de contrôle dans l’action
policer policer-namenon terminée.
Vous pouvez également appliquer un mécanisme de contrôle en incluant l’instruction dans une configuration d’interface policer (input | output) policer-name logique.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
- Configuration rapide de l’interface de ligne de commande
- Configuration du mécanisme de contrôle et du filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à l’interface logique de bouclage
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configuration du mécanisme de contrôle et du filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le mécanisme de contrôle police_pps et le filtre my_pps_filterdu pare-feu sans état :
Configurez le modèle
police_ppsde mécanisme de contrôle .[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
Créez le filtre
my_pps_filterde pare-feu sans état .[edit] user@host# edit firewall family inet filter my_pps_filter
Configurez un terme de filtre qui utilise le mécanisme de contrôle
police_ppspour limiter le débit du trafic par famille de protocoles.[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
Application du filtre de pare-feu sans état à l’interface logique de bouclage
Procédure étape par étape
Pour appliquer le filtre my_pps_filter à l’interface de bouclage :
Configurez l’interface de bouclage logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces lo0 unit 0
Appliquez le filtre de pare-feu sans état à l’interface de bouclage.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
Configurez l’adresse de l’interface de bouclage.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
Résultats
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration show firewall mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show firewall
family inet{
filter my_pps_filter {
term term1 {
then policer police_pps;
}
}
}
policer police_pps {
if-exceeding-pps {
pps-limit 1k;
packet-burst 150;
}
then discard;
}
Confirmez la configuration de l’interface en entrant la commande configuration show interfaces lo0 mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input my_pps_filter;
}
address 127.0.0.1/32;
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
user@host# commit
Vérification
Vérification du fonctionnement du filtre
But
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter my_pps_filter mode opérationnel.
La sortie suivante résulte de l’exécution d’un ping rapide d’un autre hôte vers le routeur testé. Afin d’afficher les résultats dans la sortie, un réglage de 50 et un pps-limitpacket-burst réglage de 10 ont été utilisés pendant le test ping.
Action
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17