Comment limiter le trafic sur les interfaces du routeur Junos
Afin de contrecarrer un type de déni de service (DoS) sur votre routeur Junos, vous pouvez utiliser policers Junos pour dire au routeur quoi faire pour limiter l'impact d'une telle attaque.
Certaines attaques DoS sur des routeurs fonctionnent en inondant le routeur avec le trafic, l'envoi de trafic tant au routeur interfaces si rapidement que les interfaces sont débordés et ne peuvent pas gérer le trafic régulier qui devrait être de passage à l'interface.
Une méthode pour lutter contre cette attaque est d'utiliser policers Junos, que vous pouvez spécifier lorsque vous définissez l'action d'un filtre de pare-feu devrait prendre. Policers vous permettent de placer des limites sur la quantité de trafic (ou même juste un type de trafic) qu'une interface peut recevoir, ce qui peut limiter l'impact des attaques DoS.
Policers contrôler la largeur de bande maximale autorisée (le nombre moyen de bits par seconde) et la taille maximale autorisée d'une seule salve de trafic lorsque la limite de la bande passante est dépassée. Tout trafic reçu au-delà des limites fixées est tombé.
Policers sont utilisés dans l'action (puis) D'un filtre de pare-feu. Pour les utiliser dans un filtre pare-feu, vous définissez d'abord le policer. L'exemple suivant crée un policer appelé la police-ssh-telnet qui fixe un taux maximum de trafic (bande passante) de 1 Mbps et la taille maximale d'un paquet de trafic dépassant cette limite (taille éclater) de 25K. Trafic dépassement de ces limites est jeté.
[modifier pare-feu] fred @ routeur # set policer la police-ssh-telnet si-dépassant la bande passante limite 1m [modifier pare-feu] fred @ routeur # set policer la police-ssh-telnet si-dépassant éclater taille limite 25k [modifier pare-feu] fred @ routeur # set policer la police-ssh-telnet puis défaussez
Puis inclure le policer dans une action de filtrage de pare-feu. Par exemple, vous pouvez l'ajouter à un filtre de pare-feu SSH Telnet qui est déjà en existence sur l'interface de bouclage du routeur:
[modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet accès terme alors policerpolice-ssh-telnet [modifier pare-feu] fred @ routeur # set filtre limite-ssh-telnet terme accès terme puis accepte
Le trafic qui est conforme aux limites de la policer prendra les mesures que vous spécifiez dans le terme pare-feu - dans ce cas, il est admis - alors que le trafic qui dépasse les limites de la policer prendra les mesures qui y sont prescrites - dans ce cas, il est jeté.
Limitation de vitesse flux du trafic vers le moteur de routage en définissant policers est une bonne pratique de sécurité pour empêcher le moteur de routage d'être submergé par le trafic indésirable ou par d'éventuelles attaques sur le routeur. Tous les processus de protocole de routage exécuter sur le moteur de routage, ce qui est critique pour le fonctionnement de base du routeur lui-même. Lorsque ces processus ne peuvent pas fonctionner normalement, le résultat peut être une déstabilisation du réseau.
-
Configurer les interfaces de gestion et de bouclage - Ssh de contrôle et l'accès Telnet aux routeurs Junos
- Comment accéder aux périphériques Junos avec ssh
- Comment appliquer une politique de routage à toute circulation en utilisant Junos
- Comment configurer et surveiller OSPF sur un routeur junos
-
Comment configurer LSP RSVP de signalisation sur les routeurs Junos
Comment concevoir un filtre pare-feu junos Pour concevoir un filtre de pare-feu Junos correctement, vous devez savoir comment Junos traite les filtres. Il ya deux considérations de base à garder à l'esprit pour vous assurer que vos filtres de pare-feu Junos se comportent de la façon dont…
Comment configurer explicitement un chemin à commutation d'étiquettes dans toute junos Dans certains cas, vous voudrez peut-être avoir un peu plus de contrôle sur le chemin d'un chemin à commutation d'étiquettes (LSP) prend. Par exemple, vous pouvez faire ce qui suit:Assurez-vous que la première hop dans un LSP est un routeur…
Comment faire correspondre le trafic en fonction en utilisant des classificateurs multichamps dans junos Multifield (MF) classificateurs examiner l'en-tête du paquet et sur la base des contenus qui y sont, attribuer le paquet à une classe de transfert. Contrairement comportement global (BA) classificateurs, classificateurs MF examinent plus que les…
Comment prévenir la famine file d'attente sur les routeurs Junos Pour empêcher la famine de vos autres files d'attente, vous pouvez configurer un policer sortant qui définit une limite pour la quantité de trafic de la file d'attente peut desservir.Avec priorité stricte Queuing configuré, vos paquets de voix…
Comment protéger les Junos moteur de routage Bien que toutes les interfaces sont importantes, le bouclage (lo0) Interface est peut-être le plus important car il est le lien vers le moteur de routage, qui gère et surveille tous les protocoles de routage. Cet article fournit le squelette d'un…
Comment sécuriser les protocoles de routage Junos Une façon de protéger les protocoles de routage est de permettre l'authentification de sorte que les protocoles acceptent uniquement le trafic des routeurs connus de vous. Cette approche garantit que les routeurs de confiance uniquement…
Comment mettre en place dans la bande de gestion à distance sur les appareils Junos Pour la gestion à distance dans la bande, vous devez d'abord décider quelle interface vous voulez que votre interface de gestion. Généralement, le trafic de gestion ne soit pas excessive, ou même substantielle, donc choisir l'une des interfaces…
Pièces nécessaires d'une configuration cos Classe de service (CoS) est de savoir comment vous contrôlez la gigue et le retard dans votre réseau. L'idée de base derrière CoS est que vous examinez le trafic entrant dans votre réseau pour déterminer quel type de trafic, il est. Une fois…
Cisco Networking: mode de fonctionnement de exec utilisateur Lorsque vous vous connectez premier à un routeur de réseau Cisco, un commutateur ou un pare-feu, l'invite initiale indiquera que vous êtes en mode d'exploitation User EXEC. La première invite ressemblera le texte suivant (mais gardez à l'esprit…
Pare-feu de réseau: l'entrée et la sortie de filtrage La plupart des pare-feu agissent comme gardiens de réseaux ou segments de réseau et existent dans une position où un routeur existerait et gère entrée et la sortie des données. En fait, si l'ensemble de la fonction a été activée, votre…
Réseau routeur activation Il peut sembler étrange, mais lorsque vous activez premier routeur de votre réseau et de configurer les adresses IP pour ses interfaces, le routeur ne sera pas réellement données de route. D'abord, vous devez «dire» le routeur, il…
Comment fonctionne un pare-feu de l'ordinateur Qu'est-ce que le pare-feu ne fait que surveiller à la fois le trafic Internet entrant et sortant. Quand un pare-feu est correctement configuré, l'information que vous demandez de l'Internet est autorisé. Informations sortant peut également être…
Comment mettre en place un routeur avec un pare-feu Si vous êtes un utilisateur Internet haut débit, la meilleure façon de garder les logiciels malveillants sur votre ordinateur est de mettre en place un pare-feu matériel. UN matériel pare-feu est un gadget électronique installé entre le modem…
Comment utiliser le pare-feu Windows Deux types de pare-feu sont disponibles pour votre ordinateur: matériel et logiciel. UN matériel pare-feu est un gadget électronique installé entre le routeur à large bande et votre ordinateur. Il est souvent inclus dans le cadre du routeur. Un…