Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ICMP フラッドから論理システムを保護するためのステートレス ファイアウォール フィルタの設定

この例では、論理システムに対する ICMP サービス拒否攻撃から保護するステートレス ファイアウォール フィルタを設定する方法を示しています。

要件

この例では、デバイスの初期化以外の特別な設定は必要ありません。

概要

この例では、ICMP パケットをポリシングする protect-RE と呼ばれるステートレス ファイアウォール フィルタを示しています。この値は icmp-policer 、ICMP パケットのトラフィック レートを 1,000,000 bps に、バースト サイズを 15,000 バイトに制限します。トラフィック レートを超えるパケットは破棄されます。

ポリサーは、 と呼ばれる icmp-termフィルター条件のアクションに組み込まれます。

この例では、直接接続された物理ルーターから論理システム上に設定されたインターフェイスに ping が送信されます。論理システムは、ICMP パケットが最大 1 Mbps(帯域幅制限)の速度で受信された場合に、ICMP パケットを受け入れます。論理システムは、このレートを超えると、すべての ICMP パケットを破棄します。ステートメントは burst-size-limit 、最大 15 Kbps のトラフィック バーストを受け入れます。バーストがこの制限を超えると、すべてのパケットが破棄されます。フロー レートが沈静化すると、ICMP パケットが再び受け入れられます。

トポロジ

図 1 は、この例で使用されているトポロジを示しています。

図 1: ステートレス ファイアウォールを備えた論理システムステートレス ファイアウォールを備えた論理システム

設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更してから、コマンドを階層レベルで [edit] CLI にコピーアンドペーストします。

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『CLI ユーザー ガイド』の「設定モードで CLI エディターを使用する」を参照してください。

論理システムで ICMP ファイアウォール フィルタを設定するには、次の手順に基づきます。

  1. 論理システム上でインターフェイスを設定します。

  2. インターフェイスで ICMP パケットを明示的に受信できるようにします。

  3. ポリサーを作成します。

  4. ポリサーをフィルタ条件に適用します。

  5. ポリサーを論理システム インターフェイスに適用します。

  6. デバイスの設定が完了したら、設定をコミットします。

結果

コマンドを発行して設定を show logical-systems LS1 確認します。

検証

設定が正しく機能していることを確認します。

制限を超えない限り ping が機能することを検証する

目的

論理システム インターフェイスが ICMP ベースの DoS 攻撃から保護されていることを確認します。

対処

論理システムに接続しているシステムにログインし、コマンドを ping 実行します。

意味

通常の ping を送信すると、パケットが受け入れられます。フィルター制限を超える ping パケットを送信すると、パケットは破棄されます。