Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定

この例では、論理システムに対する ICMP サービス拒否攻撃から保護するステートレス ファイアウォール フィルターを構成する方法を示します。

要件

この例では、デバイスの初期化以上の特別な設定は必要ありません。

概要

この例では、ICMP パケットをポリシングする protect-RE と呼ばれるステートレス ファイアウォール フィルターを示します。icmp-policer は、ICMP パケットのトラフィック レートを 1,000,000 bps に制限し、バースト サイズを 15,000 バイトに制限しています。トラフィックレートを超えるパケットは破棄されます。

ポリサーは、 icmp-termと呼ばれるフィルター項目のアクションに組み込まれます。

この例では、直接接続された物理ルーターから、論理システムに設定されたインターフェイスに ping が送信されます。論理システムは、ICMP パケットが最大 1 Mbps(帯域幅制限)のレートで受信された場合、そのパケットを受け入れます。このレートを超えると、論理システムはすべての ICMP パケットをドロップします。burst-size-limit ステートメントは、最大 15 Kbps のトラフィック バーストを受け入れます。バーストがこの制限を超えると、すべてのパケットが破棄されます。流量が収まると、ICMPパケットが再び受け入れられます。

トポロジー

図 1 この例で使用されているトポロジーを示しています。

図 1: ステートレスファイアウォールを備えた論理システムステートレスファイアウォールを備えた論理システム

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイドコンフィギュレーション・モードでのCLIエディタの使用を参照してください。

論理システムで ICMP ファイアウォール フィルターを構成するには:

  1. 論理システム上のインターフェイスを設定します。

  2. インターフェイスで受信するICMPパケットを明示的に有効にします。

  3. ポリサーを作成します。

  4. フィルター項目にポリサーを適用します。

  5. ポリサーを論理システム インターフェイスに適用します。

  6. デバイスの設定が完了したら、設定をコミットします。

結果

show logical-systems LS1 コマンドを発行して、構成を確認します。

検証

設定が正常に機能していることを確認します。

制限を超えない限り ping が機能することの確認

目的

論理システム インターフェイスが ICMP ベースの DoS 攻撃から保護されていることを確認します。

アクション

論理システムに接続できるシステムにログインし、 ping コマンドを実行します。

意味

通常のpingを送信すると、パケットは受け入れられます。フィルター制限を超える ping パケットを送信すると、そのパケットは廃棄されます。