예: 초당 패킷 속도 제한 필터로 라우팅 엔진 보호
이 예에서는 보안을 강화하기 위해 초당 패킷 수 기반 속도 제한 필터를 구성하는 방법을 보여줍니다. 이는 서비스 거부 공격으로부터 라우팅 엔진을 보호하기 위해 루프백 인터페이스에 적용됩니다.
이러한 유형의 필터와 폴리서 조합은 라우팅 엔진을 보호하는 데 사용할 수 있는 다층 접근 방식의 한 요소일 뿐입니다. 라우팅 엔진을 완전히 보호하기 위해서는 다른 보호 계층이 필요합니다. Day One 참조 : 자세한 내용은 M, MX, T 시리즈 에서 라우팅 엔진 보안을 참조하십시오.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 스테이트리스 방화벽 필터를 사용하여 루프백 인터페이스(lo0.0)를 통해 라우팅 엔진으로 향하는 모든 트래픽에 대한 초당 패킷 수(pps) 속도 제한을 설정합니다.
무상태 방화벽 필터 구성 내에서 폴리서를 활성화하려면:
계층에 문을 포함하여
policer policer-name
폴리서에[edit firewall]
대한 템플릿을 생성합니다.종료되지 않는 동작에서 폴리서를 지정하는 필터 용어에서
policer policer-name
폴리서를 참조합니다.
논리적 인터페이스 구성에 문을 포함 policer (input | output) policer-name
시켜 폴리서를 적용할 수도 있습니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
폴리서 및 무상태 방화벽 필터 구성
단계별 절차
폴리서 police_pps
및 스테이트리스 방화벽 필터 my_pps_filter
구성:
폴리서 템플릿을
police_pps
구성합니다.[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
무상태 방화벽 필터를
my_pps_filter
생성합니다.[edit] user@host# edit firewall family inet filter my_pps_filter
폴리서를
police_pps
사용하여 프로토콜 제품군별로 트래픽 속도를 제한하는 필터 용어를 구성합니다.[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
루프백 논리적 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
루프백 인터페이스에 필터를 my_pps_filter
적용하려면 다음을 수행합니다.
무상태 방화벽 필터를 적용할 논리적 루프백 인터페이스를 구성합니다.
[edit] user@host# edit interfaces lo0 unit 0
루프백 인터페이스에 스테이트리스 방화벽 필터를 적용합니다.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
루프백 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
결과
구성 모드 명령을 입력하여 무상태 방화벽 필터의 show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.
user@host# show firewall family inet{ filter my_pps_filter { term term1 { then policer police_pps; } } } policer police_pps { if-exceeding-pps { pps-limit 1k; packet-burst 150; } then discard; }
구성 모드 명령을 입력하여 show interfaces lo0
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.
user@host# show interfaces lo0 unit 0 { family inet { filter { input my_pps_filter; } address 127.0.0.1/32; } }
디바이스 구성을 완료하면 구성 모드에서 commit을 입력합니다.
user@host# commit
검증
필터 작동 확인
목적
구성이 제대로 작동하는지 확인하려면 작동 모드 명령을 show firewall filter my_pps_filter
입력합니다.
다음 출력은 다른 호스트에서 테스트 중인 라우터로 빠른 ping을 실행한 결과입니다. 출력 pps-limit
에 결과를 표시하기 위해 ping 테스트 중에 의 50 설정과 packet-burst
의 10 설정이 사용되었습니다.
작업
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17