Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Protección del motor de enrutamiento con un filtro limitador de velocidad de paquetes por segundo

En este ejemplo se muestra cómo configurar un filtro de limitación de velocidad basado en paquetes por segundo para mejorar la seguridad. Se aplicará a la interfaz de circuito cerrado para ayudar a proteger el motor de enrutamiento de ataques de denegación de servicio.

Mejores prácticas:

Este tipo de combinación de filtro y aplicador de políticas es solo un elemento de un enfoque de varias capas que se puede usar para ayudar a proteger el motor de enrutamiento. Se necesitan otras capas de protección para proteger completamente el motor de enrutamiento. Ver día uno: Asegurar el motor de enrutamiento en las series M, MX y T para obtener más información.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se usa un filtro de firewall sin estado para establecer límites de velocidad de paquetes por segundo (pps) para cualquier tráfico destinado al motor de enrutamiento a través de la interfaz de circuito cerrado (lo0.0).

Para activar un aplicador de políticas desde una configuración de filtro de firewall sin estado:

  1. Cree una plantilla para el aplicador de policía incluyendo la policer policer-name instrucción en la [edit firewall] jerarquía.

  2. Haga referencia al aplicador de policía en un término de filtro que especifique el aplicador de policía en la policer policer-name acción de no terminación.

También puede aplicar un aplicador de políticas incluyendo la instrucción en una configuración de policer (input | output) policer-name interfaz lógica.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.

Configuración del filtro Policer y del firewall sin estado

Procedimiento paso a paso

Para configurar el filtro my_pps_filterde policía police_pps y firewall sin estado:

  1. Configure la plantilla police_ppsde policía .

  2. Cree el filtro my_pps_filterde firewall sin estado.

  3. Configure un término de filtro que utilice policer police_pps para limitar el tráfico por familia de protocolos.

Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado

Procedimiento paso a paso

Para aplicar el filtro my_pps_filter a la interfaz de circuito cerrado:

  1. Configure la interfaz lógica de circuito cerrado a la que aplicará el filtro de firewall sin estado.

  2. Aplique el filtro de firewall sin estado a la interfaz de circuito cerrado.

  3. Configure la dirección de interfaz para la interfaz de circuito cerrado.

Resultados

Confirme la configuración del filtro de firewall sin estado introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Confirme la configuración de la interfaz introduciendo el comando de show interfaces lo0 modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.

Verificación

Verificación del funcionamiento del filtro

Propósito

Para confirmar que la configuración funciona correctamente, introduzca el comando de show firewall filter my_pps_filter modo operativo.

Nota:

El siguiente resultado es la ejecución de un ping rápido desde otro host al enrutador bajo prueba. Para mostrar los resultados en la salida, se utilizó una pps-limit configuración de 50 y una packet-burst configuración de durante la prueba de 10 ping.

Acción