protocols (DDoS) (ACX Series, PTX Series, and QFX Series)
Sintaxe (Roteadores da Série ACX)
protocols protocol-group aggregate { bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; }
Sintaxe (roteadores da Série PTX e switches da Série QFX)
protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; }
Sintaxe (Série PTX e ACX7100-48L para Junos OS Evolved)
protocols{ arp; bfd; bfdv6; bgp; custom; sample; dhcpv4; dhcpv6; dhcpv4v6; l2tp; ppp; pppoe; }
Nível de hierarquia
[edit system ddos-protection]
Descrição
Altere os parâmetros do plano de controle configurável DDoS para todos os tipos de pacotes em um grupo de protocolo ou para um determinado tipo de pacote dentro de um grupo de protocolo.
PTX10003 roteador não oferece suporte à opção de alterar os priority
valores de prioridade padrão para policiais do tipo pacote agregado ou individual. os switches QFX10002-60C e os roteadores da Série PTX não oferecem suporte à opção bypass-aggregate
.
Embora o termo largura de banda geralmente se refira a bits por segundo (bps), a opção deste recurso bandwidth
representa um valor de pacotes por segundo (pps), e a opção representa um burst
número de pacotes em uma explosão. Essas opções são explicadas separadamente.
Nem todos os grupos de protocolo e tipos de pacotes listados na Tabela 1 ou na Tabela 2 são suportados em todos os dispositivos. As exceções incluem:
-
Os roteadores da Série ACX oferecem suporte apenas às seguintes opções de grupo de protocolo:
arp
, ,bfd
,bfdv6
,bgp
,dhcpv4v6
,eoam
ipmcast-miss
igmp
esmc
(pacotes multicast desconhecidos),isis
,lacp
, ,ldp
lldp
,ospf
ndpv6
oam-lfm
,pim
, ,rip
rsvp
stp
vrrp
pvstp
-
PTX10003 e roteadores PTX10008 não oferecem suporte às seguintes opções de grupo de protocolo de policiamento:
all-fiber-channel-enode
, ,bridge-control
,diameter
,garp-reply
,l2pt
,ptp
eradius
tacacs
. -
Outros roteadores da Série PTX não suportam as seguintes opções de grupo de protocolo de policiamento:
all-fiber-channel-enode
, (no entanto,arp
o grupo de protocolo é suportado),bridge-control
,diameter
,garp-reply
,martian-address
, ,proto-802-1x
,ptp
,radius
pvstp
stp
etacacs
-
os switches QFX10002-60C não oferecem suporte às seguintes opções de grupo de protocolo de policiador:
all-fiber-channel-enode
, (no entanto,arp
o grupo de protocolo é suportado),bridge-control
,diameter
,garp-reply
, ,martian-address
,proto-802-1x
,ptp
radius
etacacs
-
QFX10002, QFX10008 e switches de QFX10016 não suportam a opção de
ttl
grupo de protocolo.
Opções
aggregate |
Configure parâmetros para o policiador que policia todos os pacotes de controle pertencentes ao protocolo especificado como um grupo combinado. Existe um policiador agregado para todos os grupos de protocolo.
Nota:
Os roteadores da Série ACX oferecem suporte apenas ao policiador agregado para os grupos de protocolo suportados. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
packet-type |
Configure os valores do policiador para o tipo de pacote de controle individual especificado em um grupo de protocolo. Em alguns dispositivos, você pode configurar os policiais do tipo pacote nos grupos de protocolo listados na Tabela 1. Para todos os outros grupos de protocolo não listados na Tabela 1, apenas policiais agregados estão disponíveis. A Tabela 1 lista os grupos de protocolo com policiais do tipo pacote disponíveis em alguns dispositivos e valores comuns para parâmetros configurados por padrão. Os valores padrão podem ser diferentes entre dispositivos de suporte e em diferentes versões do Junos OS; você pode executar o Cada um dos grupos de protocolo da Tabela 1 também apoia o policiador agregado. Consulte a Tabela 2 para obter os valores agregados padrão do policiador para todos os grupos de protocolo.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol-group |
Configure os valores do policiador para o grupo de protocolo especificado. Você pode configurar o policiador agregado para qualquer um dos seguintes grupos de protocolo listados na Tabela 2. A tabela mostra os parâmetros configurados por padrão do policiador agregado para cada grupo de protocolo. Os valores padrão podem ser diferentes entre dispositivos de suporte e em diferentes versões do Junos OS; você pode executar o Os grupos de protocolo da Tabela 2 também oferecem suporte a quaisquer policiais individuais correspondentes do tipo de pacote listados na Tabela 1. |
Grupo de protocolo |
Descrição |
Largura de banda padrão (pps) |
Explosão padrão (número de pacotes) |
---|---|---|---|
Os valores padrão de largura de banda e explosão variam de acordo com o tipo de plataforma e as configurações de infra DDoS subjacentes. |
|||
|
Tráfego de ENode de canal de fibra |
10 |
1024 ou 2048 |
(Diferentes plataformas oferecem suporte a uma opção agregada de grupo de protocolo de policiamento para tráfego ARP com nome |
Tráfego ARP
Nota:
Em algumas plataformas, o |
1000, 2000 ou 10000 |
512, 1024, 2000 ou 2048 |
|
Tráfego BFD de salto único |
1000, 6200, 10000, 20000 ou 250000 |
512, 2048 ou 20000 |
|
Tráfego BFDv6 |
512, 3000, 10000, 20000 ou 250000 |
512, 2048 ou 20000 |
|
Tráfego BGP |
1200, 1500, 3000, 5000, 10000, 20000 ou 250000 |
512, 2048, 4096 ou 20000 |
|
Tráfego de controle de ponte |
10 |
2048 |
(apenas roteadores de PTX10003 e PTX10008) |
Agregar para todo o tráfego DHCPv4 (prioridade média)
Nota:
Em PTX10003 e PTX10008 roteadores, use essa opção para limitar a taxa nos níveis de placa de linha E RE do PFE. Use a opção |
5000 |
5000 |
(apenas roteadores de PTX10003 e PTX10008) |
Agregar para todo o tráfego DHCPv6 (prioridade baixa)
Nota:
Em PTX10003 e PTX10008 roteadores, use essa opção para limitar a taxa nos níveis de placa de linha E RE do PFE. Use a opção |
5000 |
5000 |
|
Tráfego DHCPv4 e DHCPv6 (limites se aplicam ao tráfego combinado)
Nota:
Em PTX10003 e PTX10008 roteadores, use essa opção agregada para limitar a taxa apenas no nível de chip PFE (a prioridade é baixa). Grupo de uso |
600 ou 5000 |
512, 2048 ou 5000 |
|
Tráfego Gx-Plus e de espessura |
200 |
2048 |
|
Tráfego de DNS |
200 |
200 ou 2048 |
|
Tráfego DTCP |
200 |
200 ou 2048 |
|
Tráfego EGPv6 |
10 |
10 ou 2048 |
|
Tráfego OAM da Ethernet
Nota:
Nos roteadores PTX10003 e PTX10008, a opção de grupo de protocolo agregado |
1000, 6200 ou 100000 |
102, 512, 2048 ou 10000 |
|
Tráfego ESMC |
200 |
512 |
|
Tráfego Ethernet encapsulado por TCC
Nota:
A opção |
100 |
100 ou 2048 |
|
|
100 |
2048 |
|
Tráfego FTP |
500 ou 1500 |
1500 ou 2048 |
|
Tráfego gratuito de resposta a ARP |
100 |
2048 |
|
Tráfego GRE |
500 |
500 ou 2048 |
|
Tráfego de ICMP |
500, 1000 ou 20000 |
500, 2048 ou 20000 |
|
Tráfego IGMPv4 e IGMPv6
Nota:
Use essa opção na Série PTX e dispositivos QFX10002-60C apenas para tráfego IGMPv4 e |
1000, 1600, 5000 ou 90000 |
512, 2048 ou 5000 |
|
Tráfego IGMPv6 |
20000 ou 90000 |
2048 ou 5000 |
|
Tráfego IP com opções de cabeçalho de pacote IP |
100 |
100 ou 2048 |
(Somente na Série ACX) |
Pacotes multicast IPv4 e IPv6 desconhecidos |
600 |
512 |
|
Tráfego IS-IS |
1000, 1200, 5000 ou 20000 |
512, 2048, 4096 ou 20000 |
isis-data |
Tráfego DE DADOS DO ISIS |
5000, 8000 ou 10000 |
4096 ou 8000 |
isis-hello |
Tráfego ISIS-Olá |
1000, 5000 ou 12000 |
4096 ou 12000 |
|
Tráfego ISO encapsulado por TCC
Nota:
A opção |
100 |
100 ou 2048 |
|
Tráfego de tunelamento de protocolo de camada 2 |
500 |
2048 |
|
Tráfego de protocolo de tunelamento de camada 2 |
500 |
500 ou 2048 |
|
Tráfego LACP |
800, 1000 ou 2000 |
512, 300, 2000 ou 2048 |
|
Tráfego LDP |
1200, 5000, 10000 ou 20000 |
200, 512, 2048 ou 20000 |
|
Pacotes de olá LDP
Nota:
Os dispositivos a seguir têm um
|
1000 ou 5000 |
2048 ou 5000 |
|
Tráfego LLDP |
100, 800 ou 2000 |
300, 512, 2000 ou 2048 |
|
Tráfego LMP |
100 |
100 ou 2048 |
|
Endereço marciano |
200 |
20 |
|
Controle o tráfego para espionagem multicast |
5000, 20000 ou 22000 |
2048, 6000 ou 20000 |
|
Tráfego MLD
Nota:
A opção |
1000 |
2048 |
|
Tráfego MSDP |
20000 |
20000 |
|
Tráfego multihop BFD
Nota:
A opção |
1500 |
2048 |
|
Tráfego NDPv6 |
100, 1000 ou 2000 |
512, 1024 ou 2000 |
|
Tráfego NTP |
20000 |
20000 |
|
Tráfego OAM CFM
Nota:
A opção |
200 |
2048 |
|
Tráfego OAM LFM |
200, 800, 1000 ou 20000 |
512, 1000, 2048 ou 20000 |
|
Tráfego OSPF |
1200, 5000, 10000 ou 20000 |
200, 512, 2048, 4096 ou 20000 |
|
Pacotes de olá OSPF |
1000, 1500 ou 10000 |
2048, 4096 ou 20000 |
recobrir |
Pacotes como ARP e NDP chegando ao túnel VxLAN com cabeçalho VxLAN. |
500 |
200 |
(Somente na Série ACX) |
Pacotes PIM IPv4 e IPv6 |
1600 |
512 |
|
Pacotes de controle de PIM |
1000 ou 1500 |
200 ou 2048 |
|
Dados do PIM |
2000 ou 3000 |
1024 ou 2048 |
|
Tráfego 802.1X |
200 |
200 ou 2048 |
|
Tráfego PTP |
100 |
2048 |
|
Tráfego PVSTP |
800, 2000 ou 20000 |
512, 2048 ou 20000 |
|
Tráfego RADIUS |
200 |
2048 |
|
Pacotes rejeitados por uma decisão de encaminhamento de próximo salto |
100, 200 ou 2000 |
200, 2000 ou 2048 |
|
IPv4 e IPv6 não classificados resolvem pacotes enviados ao host por causa de uma ação de resolução de solicitação de tráfego |
100, 500 ou 5000 |
100, 2048 ou 5000 |
|
Tráfego RIP |
200, 1200 ou 20000 |
200, 512, 2048 ou 20000 |
|
Tráfego RSVP |
1200, 5000, 10000 ou 20000 |
512, 2048, 10000 ou 20000 |
|
Tráfego SNMP |
1000 ou 20000 |
1024, 2048 ou 20000 |
|
Tráfego SSH |
5000 ou 20000 |
500, 2048 ou 20000 |
|
Tráfego STP |
800 ou 20000 |
512, 2048 ou 20000 |
|
Tráfego TACACS+ |
200 |
2048 |
|
Tráfego encapsulado transversal transitório |
100 ou 200 |
200, 1024 ou 2048 |
|
Tráfego telnet |
5000 ou 20000 |
500, 2048 ou 20000 |
|
Tempo de viver de pacotes |
100 ou 2000 |
2048 |
|
Tráfego que não pode ser classificado em um dos outros grupos de protocolo disponíveis |
100 ou 10000 |
2048 ou 10000 |
|
Tráfego VRRP |
512, 1000, 2000 ou 20000 |
512, 1000, 2048 ou 20000 |
|
Pacotes VXLAN de Camada 2 e Camada 3 |
300 |
10 |
Grupo de protocolo |
Descrição |
---|---|
|
Configure o tráfego ARP |
|
Configure o tráfego BFD |
|
Tráfego BFDv6 |
|
Configure o tráfego BGP |
|
Configure o tráfego PERSONALIZADO |
sample |
Configure o tráfego de amostragem |
|
Configure o tráfego DHCPv4 |
|
Configure o tráfego DHCPv6 |
dhcpv4v6 |
Configure o tráfego DHCPv4/v6 |
|
Configure o tráfego L2TP. |
|
Configure o tráfego PPP. |
|
Configure o tráfego de PPPoE. |
A partir do Junos OS Evolved Release 23.1R1, em QFX5220, QFX5130 e dispositivos da Série QFX5700, o valor DDoS localnh aggregate bandwidth
padrão é de 1500 pps. Antes do Junos OS Evolved Release 23.1R1, você pode configurar o valor de largura de banda usando o comando [set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200
] CLI. Essa configuração permite que você impeça a interface LAG de reduzir o tempo durante o tráfego IP local pesado.
A partir do Junos OS Release 23.3R1, em dispositivos da Série QFX, adicionamos o suporte ao ip-option
protocolo no nível [edit ddos-protection protocols
] hierárquico.
A partir do Junos OS Release 23.4R1, em dispositivos da Série QFX5000 e da Série EX4000, os pacotes de protocolo de resolução de endereços (ARP) sobre o túnel de endpoints de túnel virtual (VTEP) vão para o ARP overlay. Você pode verificar os detalhes do ARP usando o show ddos-protection protocols overlay arp
comando CLI. Também apresentamos a overlay
declaração no nível [edit system ddos-protection protocols
] de hierarquia para controlar os pacotes VxLANDDOS.
- DHCP (IP-DEMUX lite) e assinantes de PPPoE (IPv4, IPV6 e Dual stack) com CoS Legal Intercept e suporte a filtros.
- DVLAN (tag única e dupla) com configurações de policiais DDOS L2TP (LAC) para protocolos BBE. O protocolo BBE individual e a configuração do grupo de protocolo DDOS estão habilitados.
-
Suporte para grupos de protocolo DHCPv6, L2TP, PPP e PPPoE
- Apenas o grupo
dhcpv4v6
de protocolo de DDOS agregado está ativo. - Qualificação de escala de assinantes com interfaces de assinantes de classe de suporte (CoS) para protocolo de tunelamento de camada 2 (L2TP), interfaces de assinantes de concentrador de acesso L2TP (LAC) para IPV4, IPV6 e dual stack.
As declarações restantes são explicadas separadamente. Procure por uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.
Nível de privilégio exigido
administrador — Para visualizar essa declaração na configuração.
controle de administrador — para adicionar essa declaração à configuração.
Informações de versão
Declaração introduzida no Junos OS Release 11.2.