Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

破棄インターフェイス

破棄インターフェイス dsc は、物理インターフェイスではなく、パケットを破棄する仮想インターフェイスです。

破棄インターフェイスの概要

破棄インターフェイスは、パケットが到着すると通知なくパケットを破棄する仮想インターフェイスです。破棄インターフェイスは、ネットワークがサービス拒否(DoS)攻撃を受けている場合に特に便利です。(ネットワーク管理者)は、指定されたターゲット アドレスまたはアドレス セットに送信される数百万の要求を破棄するポリシーを設定できます。

Junos OS Evolved がどのトラフィックを破棄インターフェイスに転送し、そのトラフィックで何をするのかを設定できます。ローカル ポリシーにより、Junos OS Evolved が破棄インターフェイスに転送するトラフィックが決定されます。Junos OS Evolved は、トラフィックを破棄する前に、出力フィルターによって指定されたアクションを実行します。

利点

  • 破棄インターフェイスを使用すると、あらゆるタイプの攻撃が発生する前に、トラフィックのカウント、ロギング、サンプリングに関するフィルターを設定できます。静的ルートを破棄しても、同じ柔軟性は得られません。

  • 破棄インターフェイスを使用すると、DoS 攻撃のイングレス ポイントを特定できます。ネットワークが攻撃を受けている場合、 Junos OS Evolved はターゲットのホストIPアドレスを特定し、ローカルポリシーは攻撃パケットを破棄インターフェースに転送します。

破棄インターフェイスの設定

破棄インターフェイスを設定する場合は、次のガイドラインに注意してください。

  • 論理インターフェイス ユニット 0 のみがサポートされています。

  • 破棄インターフェイスは、1 つの論理ユニット(ユニット 0)のみを持つことができますが、そのユニットで複数の IP アドレスを設定できます。

  • filter and address ステートメントはオプションです。

  • 入力フィルタとフィルタ グループを設定することはできますが、トラフィックは破棄インターフェイスから送信されないので、これらの設定ステートメントは効果がありません。

  • 破棄インターフェイスは、CoS( サービス クラス )をサポートしていません。

破棄インターフェイスの設定

破棄インターフェイスを設定するには、次の手順に応えます。

  1. 設定モードで、階層レベルに[edit interfaces]移動します。
  2. 破棄インターフェイスを設定します。破棄インターフェイスを設定し、他の破棄インターフェイスがまだ設定されていないことを確認するために使用dscする必要があることに注意してください。
  3. 論理インターフェイス(ユニット 0)とプロトコル ファミリーを設定します。
  4. (オプション)出力フィルターを破棄インターフェイスに適用します。
  5. 設定をコミットし、階層レベルの最上位に移動します。

出力ポリシーの設定

出力ポリシーを設定して、ネットワークにインジェクトされたルートでコミュニティを設定する必要があります。

出力ポリシーを設定するには、次の手順に基います。

  1. 設定モードで、階層レベルに[edit policy-options]移動します。
  2. ルーティング ポリシーを設定します。
  3. 名前を使用してポリシー条件を設定します。
  4. ルートのプレフィックス リストのリストを名前と一致するように設定します。
  5. 条件がステートメントとto一致した場合にif実行されるアクションをthen構成します。この場合、ルートに関連付けられた BGP コミュニティ プロパティ(設定、追加、削除)を設定します。
  6. 設定をコミットし、階層レベルの最上位に移動します。