EN ESTA PÁGINA
Ejemplo: Protección del motor de enrutamiento con un filtro limitador de velocidad de paquetes por segundo
En este ejemplo se muestra cómo configurar un filtro de limitación de velocidad basado en paquetes por segundo para mejorar la seguridad. Se aplicará a la interfaz de circuito cerrado para ayudar a proteger el motor de enrutamiento de ataques de denegación de servicio.
Este tipo de combinación de filtro y aplicador de políticas es solo un elemento de un enfoque de varias capas que se puede usar para ayudar a proteger el motor de enrutamiento. Se necesitan otras capas de protección para proteger completamente el motor de enrutamiento. Ver día uno: Asegurar el motor de enrutamiento en las series M, MX y T para obtener más información.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se usa un filtro de firewall sin estado para establecer límites de velocidad de paquetes por segundo (pps) para cualquier tráfico destinado al motor de enrutamiento a través de la interfaz de circuito cerrado (lo0.0).
Para activar un aplicador de políticas desde una configuración de filtro de firewall sin estado:
Cree una plantilla para el aplicador de policía incluyendo la
policer policer-name
instrucción en la[edit firewall]
jerarquía.Haga referencia al aplicador de policía en un término de filtro que especifique el aplicador de policía en la
policer policer-name
acción de no terminación.
También puede aplicar un aplicador de políticas incluyendo la instrucción en una configuración de policer (input | output) policer-name
interfaz lógica.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
- Configuración rápida de CLI
- Configuración del filtro Policer y del firewall sin estado
- Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit]
jerarquía.
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configuración del filtro Policer y del firewall sin estado
Procedimiento paso a paso
Para configurar el filtro my_pps_filter
de policía police_pps
y firewall sin estado:
Configure la plantilla
police_pps
de policía .[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
Cree el filtro
my_pps_filter
de firewall sin estado.[edit] user@host# edit firewall family inet filter my_pps_filter
Configure un término de filtro que utilice policer
police_pps
para limitar el tráfico por familia de protocolos.[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro my_pps_filter
a la interfaz de circuito cerrado:
Configure la interfaz lógica de circuito cerrado a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces lo0 unit 0
Aplique el filtro de firewall sin estado a la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
Configure la dirección de interfaz para la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
Resultados
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show firewall family inet{ filter my_pps_filter { term term1 { then policer police_pps; } } } policer police_pps { if-exceeding-pps { pps-limit 1k; packet-burst 150; } then discard; }
Confirme la configuración de la interfaz introduciendo el comando de show interfaces lo0
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show interfaces lo0 unit 0 { family inet { filter { input my_pps_filter; } address 127.0.0.1/32; } }
Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.
user@host# commit
Verificación
Verificación del funcionamiento del filtro
Propósito
Para confirmar que la configuración funciona correctamente, introduzca el comando de show firewall filter my_pps_filter
modo operativo.
El siguiente resultado es la ejecución de un ping rápido desde otro host al enrutador bajo prueba. Para mostrar los resultados en la salida, se utilizó una pps-limit
configuración de 50 y una packet-burst
configuración de durante la prueba de 10 ping.
Acción
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17