Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ステートレスファイアウォールフィルターを構成して、ICMP フラッドから論理システムを保護する

この例は、論理システムにおける ICMP サービス拒否攻撃から保護するステートレスファイアウォールフィルターを構成する方法を示しています。

要件

この例では、デバイス初期化以外の特別な設定は必要ありません。

概要

この例は、ICMP パケットをポリシー登録する protect と呼ばれるステートレスファイアウォールフィルターを示しています。このicmp-policerため、ICMP パケットのトラフィックレートは 100万 bps に制限され、バーストサイズは15000バイトになります。トラフィックレートを超えるパケットは破棄されます。

このポリサーは、というicmp-termフィルター条件のアクションに組み込まれています。

この例では、直接接続された物理ルーターから、論理システムに設定されているインターフェイスに ping が送信されます。論理システムは、最大 1 Mbps (帯域幅制限) で受信した場合に ICMP パケットを受け付けます。このレートを超えた場合、論理システムはすべての ICMP パケットを破棄します。このburst-size-limitステートメントは、トラフィックバーストを最大 15 Kbps に受け入れます。バーストがこの制限を超えると、すべてのパケットが破棄されます。フローレートのサブ側では、ICMP パケットが再び受け付けられます。

Topology

図 1は、この例で使用されているトポロジを示しています。

図 1: ステートレスファイアウォールを備えた論理システムステートレスファイアウォールを備えた論理システム

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 設定モードでの CLI エディターの使用 CLI 」を 参照してください

論理システム上で ICMP ファイアウォールフィルターを構成するには、次のようにします。

  1. 論理システムのインターフェイスを構成します。

  2. インターフェイスで受信する ICMP パケットを明示的に有効にします。

  3. ポリサーを作成します。

  4. フィルター条件に、ポリサーを適用します。

  5. ポリサーを論理システムインターフェイスに適用します。

  6. デバイスの設定が完了したら、構成をコミットします。

結果

show logical-systems LS1コマンドを発行して設定を確認してください。

検証

構成が正常に機能していることを確認します。

制限を超えない限り Ping が機能することを確認する

目的

論理システムインターフェイスが ICMP ベースの DoS 攻撃から保護されていることを確認してください。

アクション

論理システムに接続されているシステムにログインし、 pingコマンドを実行します。

正常な ping を送信すると、パケットは受け入れられます。フィルターの制限を超える ping パケットを送信すると、パケットは破棄されます。