EN ESTA PÁGINA
Ejemplo: Protección del motor de enrutamiento con un filtro de limitación de velocidad de paquetes por segundo
En este ejemplo, se muestra cómo configurar un filtro de limitación de velocidad basado en paquetes por segundo para mejorar la seguridad. Se aplicará a la interfaz de circuito cerrado para ayudar a proteger el motor de enrutamiento de ataques de denegación de servicio.
Este tipo de combinación de filtro y agente de políticas es solo un elemento en un enfoque multicapa que se puede utilizar para ayudar a proteger el motor de enrutamiento. Se necesitan otras capas de protección para proteger completamente el motor de enrutamiento. Vea el día uno: Proteger el motor de enrutamiento en las series M, MX y T para obtener más información.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, utilice un filtro de firewall sin estado para establecer límites de velocidad de paquetes por segundo (pps) para cualquier tráfico destinado al motor de enrutamiento a través de la interfaz de circuito cerrado (lo0.0).
Para activar un agente de policía desde una configuración de filtro de firewall sin estado:
Cree una plantilla para el agente de policía incluyendo la
policer policer-nameinstrucción en la[edit firewall]jerarquía.Hacer referencia al agente de policía en un término de filtro que especifica el agente de policía en la
policer policer-nameacción nominante.
También puede aplicar un agente de policía incluyendo la policer (input | output) policer-name instrucción en una configuración de interfaz lógica.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.
- Configuración rápida de CLI
- Configuración del Policer y el filtro de firewall sin estado
- Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall policer police_pps if-exceeding-pps pps-limit 1k set firewall policer police_pps if-exceeding-pps packet-burst 150 set firewall policer police_pps then discard set firewall family inet filter my_pps_filter term term1 then policer police_pps set interfaces lo0 unit 0 family inet filter input my_pps_filter set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configuración del Policer y el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el agente de policía police_pps y el filtro de firewall sin estado my_pps_filter:
Configure la plantilla de agente de policía
police_pps.[edit firewall] user@host# set policer police_pps if-exceeding-pps pps-limit 1k user@host# set policer police_pps if-exceeding-pps packet-burst 150 user@host# set policer police_pps then discard
Cree el filtro de firewall sin estado
my_pps_filter.[edit] user@host# edit firewall family inet filter my_pps_filter
Configure un término de filtro que use el agente de policía
police_ppspara limitar la velocidad del tráfico según la familia de protocolos.[edit firewall family inet filter my_pps_filter] user@host# set term term1 then policer police_pps
Aplicación del filtro de firewall sin estado a la interfaz lógica de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro my_pps_filter a la interfaz de circuito cerrado:
Configure la interfaz lógica de circuito cerrado a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces lo0 unit 0
Aplique el filtro de firewall sin estado a la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0] user@host# set family inet filter input my_pps_filter
Configure la dirección de interfaz para la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0] user@host# set family inet address 127.0.0.1/32
Resultados
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show firewall
family inet{
filter my_pps_filter {
term term1 {
then policer police_pps;
}
}
}
policer police_pps {
if-exceeding-pps {
pps-limit 1k;
packet-burst 150;
}
then discard;
}
Confirme la configuración de la interfaz ingresando el comando de modo de show interfaces lo0 configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input my_pps_filter;
}
address 127.0.0.1/32;
}
}
Si ha terminado de configurar el dispositivo, ingrese confirmación desde el modo de configuración.
user@host# commit
Verificación
Verificar el funcionamiento del filtro
Propósito
Para confirmar que la configuración funciona correctamente, ingrese el comando de show firewall filter my_pps_filter modo operativo.
El siguiente resultado de salida es ejecutar un ping rápido desde otro host al enrutador en prueba. Para mostrar los resultados en la salida, se utilizó una pps-limit configuración de 50 y una packet-burst configuración de 10 durante la prueba de ping.
Acción
user@host> show firewall filter my_pps_filter Filter: my_pps_filter Policers: Name Bytes Packets police_pps-term1 8704 17