Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:ステートレスファイアウォールフィルターを構成して、ICMP フラッドから論理システムを保護する

 

この例は、論理システムにおける ICMP サービス拒否攻撃から保護するステートレスファイアウォールフィルターを構成する方法を示しています。

要件

この例では、デバイス初期化以外の特別な設定は必要ありません。

概要

この例は、ICMP パケットをポリシー登録する protect と呼ばれるステートレスファイアウォールフィルターを示しています。こちらの icmp-ポリサーICMP パケットのトラフィックレートを 100万 bps に、バーストサイズを15000バイトに制限します。トラフィックレートを超えるパケットは破棄されます。

フィルター条件のアクションには、ポリサーが組み込まれています。 icmp 条件

この例では、直接接続された物理ルーターから、論理システムに設定されているインターフェイスに ping が送信されます。論理システムは、最大 1 Mbps (帯域幅制限) で受信した場合に ICMP パケットを受け付けます。このレートを超えた場合、論理システムはすべての ICMP パケットを破棄します。このburst-size-limitステートメントは、トラフィックバーストを最大 15 Kbps に受け入れます。バーストがこの制限を超えると、すべてのパケットが破棄されます。フローレートのサブ側では、ICMP パケットが再び受け付けられます。

図 1は、この例で使用されているトポロジを示しています。

図 1: ステートレスファイアウォールを備えた論理システム
ステートレスファイアウォールを備えた論理システム

構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。CLI のナビゲートの詳細については、『』の「 Using the CLI Editor in Configuration Mode」を参照してくださいCLI ユーザーガイド

論理システム上で ICMP ファイアウォールフィルターを構成するには、次のようにします。

  1. 論理システムのインターフェイスを構成します。

  2. インターフェイスで受信する ICMP パケットを明示的に有効にします。

  3. ポリサーを作成します。

  4. フィルター条件に、ポリサーを適用します。

  5. ポリサーを論理システムインターフェイスに適用します。

  6. デバイスの設定が完了したら、構成をコミットします。

結果

show logical-systems LS1コマンドを発行して設定を確認してください。

検証

構成が正常に機能していることを確認します。

制限を超えない限り Ping が機能することを確認する

目的

論理システムインターフェイスが ICMP ベースの DoS 攻撃から保護されていることを確認してください。

アクション

論理システムに接続されているシステムにログインし、 pingコマンドを実行します。

user@R2> ping 10.0.45.2
user@R2> ping 10.0.45.2 size 20000

意味

正常な ping を送信すると、パケットは受け入れられます。フィルターの制限を超える ping パケットを送信すると、パケットは破棄されます。