Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Protección de la motor de enrutamiento con un filtro de limitación de paquetes por segundo

En este ejemplo se muestra cómo configurar el filtro de limitación de velocidad de paquetes por segundo para mejorar la seguridad. Se aplicará a la interfaz de bucle invertido para ayudar a proteger el motor de enrutamiento de ataques de denegación de servicio.

mejores prácticas:

Este tipo de filtro y combinación de policía es sólo un elemento en un enfoque de varias capas que se puede utilizar para ayudar a proteger el motor de enrutamiento. Se necesitan otras capas de protección para proteger completamente el motor de enrutamiento. Consulte el día uno: Para obtener más información, proteja las motor de enrutamientodas en M , MX e serie T.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se utiliza un filtro de Firewall sin estado para establecer los límites de velocidad de paquetes por segundo (PPS) para todo el tráfico destinado al motor de enrutamiento a través de la interfaz de bucle invertido (lo 0,0).

Para activar un policial en una configuración de filtro de cortafuegos sin estado:

  1. Cree una plantilla para el responsable de la policía incluyendo policer policer-name la instrucción en [edit firewall] la jerarquía.

  2. Hacer referencia a la policía en un término de filtro que especifique la policía en policer policer-name la acción de no terminación.

También puede aplicar una policía al incluir la policer (input | output) policer-name instrucción en una configuración de interfaz lógica.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Configurar el subcontrolador y el filtro de Firewall sin estado

Procedimiento paso a paso

Para configurar el filtro police_ppsmy_pps_filterde firewalls y políticas sin estado:

  1. Configure la plantilla police_ppsdel policíaer.

  2. Crear el filtro my_pps_filterde Firewall sin estado.

  3. Configure un término de filtro que utilice police_pps el policíaer para clasificar el tráfico de límite por familia de protocolos.

Aplicación del filtro Firewall sin estado a la interfaz lógica de bucle de retroceso

Procedimiento paso a paso

Para aplicar el filtro my_pps_filter a la interfaz de bucle de retroceso:

  1. Configure la interfaz lógica de bucle de retroceso a la que vaya a aplicar el filtro de Firewall sin estado.

  2. Aplique el filtro de Firewall sin estado a la interfaz de bucle invertido.

  3. Configure la dirección de interfaz para la interfaz de bucle invertido.

Resultados

Para confirmar la configuración del filtro de Firewall sin estado, escriba show firewall el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Para confirmar la configuración de la interfaz, escriba show interfaces lo0 el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, escriba commit desde el modo de configuración.

Comproba

Verificación del funcionamiento del filtro

Purpose

Para confirmar que la configuración funciona correctamente, escriba el comando show firewall filter my_pps_filter modo de funcionamiento.

Nota:

La salida siguiente se obtiene al ejecutar una ejecución de ping rápido desde otro host al enrutador sometido a prueba. Para mostrar los resultados en el resultado, se utilizó una configuración de y una configuración durante pps-limit50 la prueba de packet-burst10 ping.

Intervención