Cuando el dispositivo de limpieza se implementa en modo en línea, configure una interfaz de limpieza; cuando el dispositivo de limpieza se implementa en modo fuera de línea, configure las interfaces de desvío e inyección.
Contexto
Procedimiento
1. En la vista de usuario, ejecute el comando de vista del sistema para acceder a la vista del sistema.
2. Configure las interfaces de limpieza, desvío e inyección.
a. Opcional: para aumentar el ancho de banda de la interfaz de limpieza, desvío o inyección, puede enlazar las interfaces Ethernet en una interfaz Eth-Trunk.
interface eth-trunk trunk-id [ .subnumber ]
quit
interface { ethernet | gigabitethernet } interface-number
eth-trunk trunk-id
shutdown
undo shutdown
quit
b. Configurar los modos de trabajo y las direcciones IP.
La interfaz puede ser una interfaz 10GE, GigabitEthernet, POS, Eth-Trunk o IP-Trunk, o una sub-interfaz 10GE, GigabitEthernet o Eth-Trunk. La interfaz no puede ser GigabitEthernet 0/0/0 en la MPU.
Ejecute el siguiente comando para configurar las interfaces de limpieza.
Cuando el dispositivo de limpieza se implementa en modo en línea, se recomienda configurar las interfaces de limpieza ascendente y descendente para que funcionen en modo transparente. En modo transparente, las interfaces funcionan en la Capa 2 y no requieren direcciones IP.
interface interface-type { interface-number | interface-number.subinterface-number }
portswitch
Configurar las interfaces de desvío e inyección.
Cuando el dispositivo de limpieza se implementa en modo fuera de línea, el desvío y la inyección de interfaces pueden ser interfaces diferentes o dos subinterfaces de la misma interfaz. En este modo, debe configurar las direcciones IP para estas interfaces.
interface interface-type { interface-number | interface-number.subinterface-number }
ip address ip-address { mask | mask-length } [ sub ]
c. Cree zonas de seguridad y agregue las interfaces de limpieza, desvío e inyección a las zonas de seguridad.
Se recomienda agregar interfaces a diferentes zonas de seguridad. Debe configurar una prioridad solo para una nueva zona de seguridad.
firewall zone [ name ] zone-name
set priority security-priority
add interface interface-type { interface-number | interface-number.subinterface-number }
d. Ejecute el comando quit para volver a la vista del sistema.
3. Especifique la interfaz de limpieza o desvío.
a. Ejecute interface interface-type { interface-number | interface-number.subinterface-number } para acceder a la vista de interfaz.
b. Ejecute el comando anti-ddos clean enable para configurar la interfaz como una interfaz de limpieza o desvío.
El tráfico entrante de la interfaz se envía directamente a la SPU de limpieza para su procesamiento.
c. Ejecute el comando anti-ddos flow-statistic enable para habilitar la función de estadísticas de tráfico.
http: // localhost:7890 // 30005690/01/30005690/01 / resources / public_sys-
NOTA:
Debe habilitar esta función en la interfaz de limpieza; De lo contrario, la función de limpieza no tendrá efecto.
d. Ejecute el comando quit para volver a la vista del sistema.
4.Configurar políticas de seguridad entre zonas. (omitido)
NOTA:
Habilite las políticas de seguridad entre todas las zonas para garantizar que todos los paquetes intercambiados
estén permitidos.