Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

protocols (DDoS) (ACX Series, PTX Series, and QFX Series)

Sintaxe (Roteadores da Série ACX)

Sintaxe (roteadores da Série PTX e switches da Série QFX)

Sintaxe (Série PTX e ACX7100-48L para Junos OS Evolved)

Nível de hierarquia

Descrição

Altere os parâmetros do plano de controle configurável DDoS para todos os tipos de pacotes em um grupo de protocolo ou para um determinado tipo de pacote dentro de um grupo de protocolo.

Nota:

PTX10003 roteador não oferece suporte à opção de alterar os priority valores de prioridade padrão para policiais do tipo pacote agregado ou individual. os switches QFX10002-60C e os roteadores da Série PTX não oferecem suporte à opção bypass-aggregate .

Nota:

Embora o termo largura de banda geralmente se refira a bits por segundo (bps), a opção deste recurso bandwidth representa um valor de pacotes por segundo (pps), e a opção representa um burst número de pacotes em uma explosão. Essas opções são explicadas separadamente.

Nem todos os grupos de protocolo e tipos de pacotes listados na Tabela 1 ou na Tabela 2 são suportados em todos os dispositivos. As exceções incluem:

  • Os roteadores da Série ACX oferecem suporte apenas às seguintes opções de grupo de protocolo:arp, , bfd, bfdv6, bgp, dhcpv4v6, eoamipmcast-miss igmpesmc(pacotes multicast desconhecidos), isis, lacp, , ldplldp, ospfndpv6oam-lfm, pim, , riprsvpstpvrrppvstp

  • PTX10003 e roteadores PTX10008 não oferecem suporte às seguintes opções de grupo de protocolo de policiamento: all-fiber-channel-enode, , bridge-control, diameter, garp-reply, l2pt, ptpe radiustacacs.

  • Outros roteadores da Série PTX não suportam as seguintes opções de grupo de protocolo de policiamento: all-fiber-channel-enode, (no entanto, arp o grupo de protocolo é suportado), bridge-control, diameter, garp-reply, martian-address, , proto-802-1x, ptp, radiuspvstpstpetacacs

  • os switches QFX10002-60C não oferecem suporte às seguintes opções de grupo de protocolo de policiador: all-fiber-channel-enode, (no entanto, arp o grupo de protocolo é suportado), bridge-control, diameter, garp-reply, , martian-address, proto-802-1x, ptpradiusetacacs

  • QFX10002, QFX10008 e switches de QFX10016 não suportam a opção de ttl grupo de protocolo.

Opções

aggregate

Configure parâmetros para o policiador que policia todos os pacotes de controle pertencentes ao protocolo especificado como um grupo combinado. Existe um policiador agregado para todos os grupos de protocolo.

Nota:

Os roteadores da Série ACX oferecem suporte apenas ao policiador agregado para os grupos de protocolo suportados.

packet-type

Configure os valores do policiador para o tipo de pacote de controle individual especificado em um grupo de protocolo. Em alguns dispositivos, você pode configurar os policiais do tipo pacote nos grupos de protocolo listados na Tabela 1. Para todos os outros grupos de protocolo não listados na Tabela 1, apenas policiais agregados estão disponíveis.

A Tabela 1 lista os grupos de protocolo com policiais do tipo pacote disponíveis em alguns dispositivos e valores comuns para parâmetros configurados por padrão. Os valores padrão podem ser diferentes entre dispositivos de suporte e em diferentes versões do Junos OS; você pode executar o show ddos-protection protocols comando ou show ddos-protection protocols parameters CLI antes de modificar quaisquer valores configuráveis para ver os valores padrão do policiador para todos os grupos de protocolo e tipos de pacotes suportados. Você também pode incluir um grupo de protocolo específico e tipo de pacote (ou agregado) com esses comandos.

Cada um dos grupos de protocolo da Tabela 1 também apoia o policiador agregado. Consulte a Tabela 2 para obter os valores agregados padrão do policiador para todos os grupos de protocolo.

Tabela 1: Tipos de pacotes suportados pela proteção DDoS do plano de controle em roteadores da Série PTX e switches da Série QFX

Grupo de protocolo

Tipo de pacote

Descrição

Largura de banda padrão (pps)

Explosão padrão (número de pacotes)

Prioridade padrão

arp

arp-snoop ou arp

Nota:

A partir do Junos OS Release 20.3R1 e várias outras versões de manutenção nos switches PTX e Série QFX, o nome arp-snoop da opção é simplesmente arp.

Tráfego ARP

10000

1024 ou 2048

Alto

unclassified

Pacotes ARP não classificados

500

1024

Alto

bfd

bundle-bfd

(somente PTX 10003) Tráfego BFD do pacote de enlaces

10000

10000

Alto

multihop-bfd

Tráfego multihop BFD

5000 ou 10000

2048 ou 10000

Alto

unclassified

Pacotes BFD não classificados

10000

2048

Alto

dhcpv4

(apenas roteadores de PTX10003 e PTX10008; para limitar a taxa em níveis de placa de linha e RE)

ack

Pacotes DHCPACK

500

500

Média

bad-packets

Pacotes DHCPv4 com formatos ruins

0

0

Baixo

bootp

Pacotes DHCPBOOTP

300

300

Baixo

decline

Pacotes DHCPDECLINE

500

500

Baixo

discover

Pacotes DHCPDISCOVER

500

500

Baixo

force-renew

Pacotes DHCPFORCERE-NEW

2000

2000

Alto

inform

Pacotes DHCPINFORM

500

500

Baixo

lease-active

Pacotes DHCPLEASEACT-IVE

2000

2000

Alto

lease-query

Pacotes DHCPLEASE-QUERY

2000

2000

Alto

lease-unassigned

Pacotes ATRIBUÍDOS por DHCPLEASEUN

2000

2000

Alto

lease-unknown

Pacotes DHCPLEASEUN conhecidos

2000

2000

Alto

nak

Pacotes DHCPNAK

500

500

Baixo

no-message-type

Pacotes DHCP que estão faltando no tipo de mensagem

1000

1000

Baixo

offer

Pacotes DHCPOFFER

1000

1000

Baixo

rebind

Pacotes REBIND DHCPv4

2000

2000

Alto

release

Pacotes DHCPRELEASE

2000

2000

Alto

renew

Pacotes DHCPRENEW

2000

2000

Alto

request

Pacotes DHCPREQUEST

1000

1000

Média

unclassified

Todos os pacotes DHCPv4 não classificados

300

150

Baixo

dhcpv6

(apenas roteadores de PTX10003 e PTX10008; para limitar a taxa em níveis de placa de linha e RE)

advertise

Pacotes DE ANÚNCIO DHCPv6

500

500

Baixo

confirm

Pacotes DE DHCPv6 CONFIRMAM

1000

1000

Média

decline

Pacotes DE DECLÍNIO DHCPv6

1000

1000

Baixo

information-request

Pacotes DE SOLICITAÇÃO DE INFORMAÇÕES DHCPv6

1000

1000

Baixo

leasequery

Pacotes LEASEQUERY DHCPv6

1000

1000

Baixo

leasequery-data

PACOTES DE LEASINGQUERY-DATA DHCPv6

1000

1000

Baixo

leasequery-done

PACOTES LEASEQUERY-DONE

1000

1000

Baixo

leasequery-reply

PACOTES DE LEASINGQUERY-REPLY DHCPv6

1000

1000

Baixo

rebind

Pacotes REBIND DHCPv6

2000

2000

Média

reconfigure

Pacotes RECONFIGURE DHCPv6

1000

1000

Baixo

relay-forward

Pacotes DE TRANSMISSÃO DHCPv6

1000

1000

Baixo

relay-reply

Pacotes DE RETRANSMISSÃO-RESPOSTA DHCPv6

1000

1000

Baixo

release

Pacotes de versão DHCPv6

2000

2000

Alto

renew

PACOTES DHCPv6 RENOVAÇÃO

2000

2000

Média

reply

Pacotes DE RESPOSTA DHCPv6

1000

1000

Média

request

Pacotes de solicitação DHCPv6

1000

1000

Média

solicit

Pacotes DE SOLICITAÇÃO DHCPv6

500

500

Baixo

unclassified

Todos os pacotes DHCPv6 não classificados

3000

3000

Baixo

eoam

oam-cfm

Tráfego Ethernet OAM CFM

1000

1024 ou 2048

Alto

unclassified

Tráfego OAM de Ethernet não classificado

100000

1024 ou 2048

Alto

igmpv6

mld

Tráfego MLD

1000 ou 5000

1024 ou 2048

Alto

unclassified

Pacotes IGMPv6 não classificados

1000 ou 90000

1024 ou 2048

Alto

ldp

ldp-hello

Alguns dispositivos têm um ldp-hello policial agregado. Apenas os seguintes dispositivos oferecem suporte a este policiador do tipo de pacote:

  • roteadores de PTX10003 e PTX10008

  • switches QFX10002, QFX10008 e QFX10016

Tráfego LDP HELLO

1000

1024

Alto

unclassified

Pacotes não classificados de LDP

1000

1024

Alto

mcast-snoop

igmp

Controle de pacotes para espionagem de IGMP

500, 5000 ou 20000

2048 ou 5000

Alto

mld

Controle de pacotes para bisbilhotar MLD

500, 2000 ou 5000

2048

Alto

pim

Controle de pacotes para bisbilhotar PIM

500, 2000 ou 5000

2048

Alto

unclassified

Pacotes de controle de espionagem multicast não classificados

500

2048

Alto

radius

accounting

Pacotes de contabilidade RADIUS

200

2048

Alto

authorization

Pacotes de autorização RADIUS

200

2048

Alto

server

Tráfego de servidor RADIUS

200

2048

Alto

unclassified

Tráfego RADIUS não classificado

200

2048

Alto

tcc

ethernet-tcc

Tráfego Ethernet encapsulado por TCC

100

100, 1024 ou 2048

Alto

iso-tcc

Tráfego ISO encapsulado por TCC

100

100, 1024 ou 2048

Alto

unclassified

Tráfego encapsulado por TCC não classificado

100

1024 ou 2048

Alto

protocol-group

Configure os valores do policiador para o grupo de protocolo especificado. Você pode configurar o policiador agregado para qualquer um dos seguintes grupos de protocolo listados na Tabela 2. A tabela mostra os parâmetros configurados por padrão do policiador agregado para cada grupo de protocolo. Os valores padrão podem ser diferentes entre dispositivos de suporte e em diferentes versões do Junos OS; você pode executar o show ddos-protection protocols comando ou show ddos-protection protocols parameters CLI antes de modificar quaisquer valores configuráveis para ver os valores padrão do policiador para todos os grupos de protocolo suportados. Você também pode incluir um grupo de protocolo específico com ou sem a opção aggregate com esses comandos para ver os parâmetros agregados do policiador.

Os grupos de protocolo da Tabela 2 também oferecem suporte a quaisquer policiais individuais correspondentes do tipo de pacote listados na Tabela 1.

Tabela 2: Grupos de protocolo apoiados pela proteção DDoS do plano de controle em roteadores da Série ACX, roteadores da Série PTX e switches da Série QFX

Grupo de protocolo

Descrição

Largura de banda padrão (pps)

Explosão padrão (número de pacotes)

Os valores padrão de largura de banda e explosão variam de acordo com o tipo de plataforma e as configurações de infra DDoS subjacentes.

all-fiber-channel-enode

Tráfego de ENode de canal de fibra

10

1024 ou 2048

arp ou arp-snoop

(Diferentes plataformas oferecem suporte a uma opção agregada de grupo de protocolo de policiamento para tráfego ARP com nome arp ou arp-snoop.)

Tráfego ARP

Nota:

Em algumas plataformas, o arp grupo de protocolo engloba arp-snoop como um tipo de pacote. Veja a tabela 1. A partir do Junos OS Release 20.3R1 e outras versões de manutenção nos switches PTX e Série QFX, a opção arp-snoop de tipo de pacote no grupo de arp protocolo é renomeada arp.

1000, 2000 ou 10000

512, 1024, 2000 ou 2048

bfd

Tráfego BFD de salto único

1000, 6200, 10000, 20000 ou 250000

512, 2048 ou 20000

bfdv6

Tráfego BFDv6

512, 3000, 10000, 20000 ou 250000

512, 2048 ou 20000

bgp

Tráfego BGP

1200, 1500, 3000, 5000, 10000, 20000 ou 250000

512, 2048, 4096 ou 20000

bridge-control

Tráfego de controle de ponte

10

2048

dhcpv4

(apenas roteadores de PTX10003 e PTX10008)

Agregar para todo o tráfego DHCPv4 (prioridade média)

Nota:

Em PTX10003 e PTX10008 roteadores, use essa opção para limitar a taxa nos níveis de placa de linha E RE do PFE. Use a opção dhcpv4v6 agregada para limitar a taxa no nível do chip PFE.

5000

5000

dhcpv6

(apenas roteadores de PTX10003 e PTX10008)

Agregar para todo o tráfego DHCPv6 (prioridade baixa)

Nota:

Em PTX10003 e PTX10008 roteadores, use essa opção para limitar a taxa nos níveis de placa de linha E RE do PFE. Use a opção dhcpv4v6 agregada para limitar a taxa no nível do chip PFE.

5000

5000

dhcpv4v6

Tráfego DHCPv4 e DHCPv6 (limites se aplicam ao tráfego combinado)

Nota:

Em PTX10003 e PTX10008 roteadores, use essa opção agregada para limitar a taxa apenas no nível de chip PFE (a prioridade é baixa). Grupo de uso dhcpv4 e protocolo e dhcpv6 opções de tipo de pacote individual para limitar a taxa em níveis de placa de linha e RE.

600 ou 5000

512, 2048 ou 5000

diameter

Tráfego Gx-Plus e de espessura

200

2048

dns

Tráfego de DNS

200

200 ou 2048

dtcp

Tráfego DTCP

200

200 ou 2048

egpv6

Tráfego EGPv6

10

10 ou 2048

eoam

Tráfego OAM da Ethernet

Nota:

Nos roteadores PTX10003 e PTX10008, a opção de grupo de protocolo agregado eoam inclui pacotes OAM-CFM (sem oam-cfm opção individual de tipo de pacote).

1000, 6200 ou 100000

102, 512, 2048 ou 10000

esmc

Tráfego ESMC

200

512

ethernet-tcc

Tráfego Ethernet encapsulado por TCC

Nota:

A opção tcc do grupo de protocolo engloba isso como uma opção de tipo de pacote em alguns dispositivos.

100

100 ou 2048

exception

  • Tráfego de MTU

  • Tráfego multicast

  • Tráfego TTL (apenas switches de QFX10002, QFX10008 e QFX10016)

100

2048

ftp

Tráfego FTP

500 ou 1500

1500 ou 2048

garp-reply

Tráfego gratuito de resposta a ARP

100

2048

gre

Tráfego GRE

500

500 ou 2048

icmp

Tráfego de ICMP

500, 1000 ou 20000

500, 2048 ou 20000

igmp

Tráfego IGMPv4 e IGMPv6

Nota:

Use essa opção na Série PTX e dispositivos QFX10002-60C apenas para tráfego IGMPv4 e igmpv6 opção para tráfego IGMPv6. Em PTX10003 e PTX10008 roteadores, essa opção abrange tráfego IGMP e MLD agregados.

1000, 1600, 5000 ou 90000

512, 2048 ou 5000

igmpv6

Tráfego IGMPv6

20000 ou 90000

2048 ou 5000

ip-options

Tráfego IP com opções de cabeçalho de pacote IP

100

100 ou 2048

ipmcast-miss

(Somente na Série ACX)

Pacotes multicast IPv4 e IPv6 desconhecidos

600

512

isis

Tráfego IS-IS

1000, 1200, 5000 ou 20000

512, 2048, 4096 ou 20000

isis-data

Tráfego DE DADOS DO ISIS

5000, 8000 ou 10000

4096 ou 8000

isis-hello

Tráfego ISIS-Olá

1000, 5000 ou 12000

4096 ou 12000

iso-tcc

Tráfego ISO encapsulado por TCC

Nota:

A opção tcc do grupo de protocolo engloba isso como uma opção de tipo de pacote em alguns dispositivos.

100

100 ou 2048

l2pt

Tráfego de tunelamento de protocolo de camada 2

500

2048

l2tp

Tráfego de protocolo de tunelamento de camada 2

500

500 ou 2048

lacp

Tráfego LACP

800, 1000 ou 2000

512, 300, 2000 ou 2048

ldp

Tráfego LDP

1200, 5000, 10000 ou 20000

200, 512, 2048 ou 20000

ldp-hello

Pacotes de olá LDP

Nota:

Os dispositivos a seguir têm um ldp-hello policiador do tipo pacote e não usam este policial agregado:

  • roteadores de PTX10003 e PTX10008

  • switches QFX10002, QFX10008 e QFX10016

1000 ou 5000

2048 ou 5000

lldp

Tráfego LLDP

100, 800 ou 2000

300, 512, 2000 ou 2048

lmp

Tráfego LMP

100

100 ou 2048

martian-address

Endereço marciano

200

20

mcast-snoop

Controle o tráfego para espionagem multicast

5000, 20000 ou 22000

2048, 6000 ou 20000

mld

Tráfego MLD

Nota:

A opção igmpv6 do grupo de protocolo engloba isso como uma opção de tipo de pacote em alguns dispositivos.

1000

2048

msdp

Tráfego MSDP

20000

20000

multihop-bfd

Tráfego multihop BFD

Nota:

A opção bfd do grupo de protocolo engloba isso como uma opção de tipo de pacote em alguns dispositivos.

1500

2048

ndpv6

Tráfego NDPv6

100, 1000 ou 2000

512, 1024 ou 2000

ntp

Tráfego NTP

20000

20000

oam-cfm

Tráfego OAM CFM

Nota:

A opção eoam do grupo de protocolo engloba isso como uma opção de tipo de pacote em alguns dispositivos. Nos roteadores PTX10003 e PTX10008, a opção de grupo de protocolo agregado eoam inclui pacotes OAM-CFM (sem oam-cfm opção individual de tipo de pacote).

200

2048

oam-lfm

Tráfego OAM LFM

200, 800, 1000 ou 20000

512, 1000, 2048 ou 20000

ospf

Tráfego OSPF

1200, 5000, 10000 ou 20000

200, 512, 2048, 4096 ou 20000

ospf-hello

Pacotes de olá OSPF

1000, 1500 ou 10000

2048, 4096 ou 20000

recobrir

Pacotes como ARP e NDP chegando ao túnel VxLAN com cabeçalho VxLAN.

500

200

pim

(Somente na Série ACX)

Pacotes PIM IPv4 e IPv6

1600

512

pim-ctrl

Pacotes de controle de PIM

1000 ou 1500

200 ou 2048

pim-data

Dados do PIM

2000 ou 3000

1024 ou 2048

proto-802-1x

Tráfego 802.1X

200

200 ou 2048

ptp

Tráfego PTP

100

2048

pvstp

Tráfego PVSTP

800, 2000 ou 20000

512, 2048 ou 20000

radius

Tráfego RADIUS

200

2048

reject

Pacotes rejeitados por uma decisão de encaminhamento de próximo salto

100, 200 ou 2000

200, 2000 ou 2048

resolve

IPv4 e IPv6 não classificados resolvem pacotes enviados ao host por causa de uma ação de resolução de solicitação de tráfego

100, 500 ou 5000

100, 2048 ou 5000

rip

Tráfego RIP

200, 1200 ou 20000

200, 512, 2048 ou 20000

rsvp

Tráfego RSVP

1200, 5000, 10000 ou 20000

512, 2048, 10000 ou 20000

snmp

Tráfego SNMP

1000 ou 20000

1024, 2048 ou 20000

ssh

Tráfego SSH

5000 ou 20000

500, 2048 ou 20000

stp

Tráfego STP

800 ou 20000

512, 2048 ou 20000

tacacs

Tráfego TACACS+

200

2048

tcc

Tráfego encapsulado transversal transitório

100 ou 200

200, 1024 ou 2048

telnet

Tráfego telnet

5000 ou 20000

500, 2048 ou 20000

ttl

Tempo de viver de pacotes

100 ou 2000

2048

unclassified

Tráfego que não pode ser classificado em um dos outros grupos de protocolo disponíveis

100 ou 10000

2048 ou 10000

vrrp

Tráfego VRRP

512, 1000, 2000 ou 20000

512, 1000, 2048 ou 20000

vxlan

Pacotes VXLAN de Camada 2 e Camada 3

300

10

Tabela 3: Grupos de protocolo apoiados pela proteção DDoS do plano de controle em roteadores da Série PTX para Junos OS Evolved

Grupo de protocolo

Descrição

arp ou

Configure o tráfego ARP

bfd

Configure o tráfego BFD

bfdv6

Tráfego BFDv6

bgp

Configure o tráfego BGP

custom

Configure o tráfego PERSONALIZADO

sample

Configure o tráfego de amostragem

dhcpv4

Configure o tráfego DHCPv4

dhcpv6

Configure o tráfego DHCPv6

dhcpv4v6

Configure o tráfego DHCPv4/v6

l2tp

Configure o tráfego L2TP.

ppp

Configure o tráfego PPP.

pppoe

Configure o tráfego de PPPoE.

A partir do Junos OS Evolved Release 23.1R1, em QFX5220, QFX5130 e dispositivos da Série QFX5700, o valor DDoS localnh aggregate bandwidth padrão é de 1500 pps. Antes do Junos OS Evolved Release 23.1R1, você pode configurar o valor de largura de banda usando o comando [set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200] CLI. Essa configuração permite que você impeça a interface LAG de reduzir o tempo durante o tráfego IP local pesado.

A partir do Junos OS Release 23.3R1, em dispositivos da Série QFX, adicionamos o suporte ao ip-option protocolo no nível [edit ddos-protection protocols] hierárquico.

A partir do Junos OS Release 23.4R1, em dispositivos da Série QFX5000 e da Série EX4000, os pacotes de protocolo de resolução de endereços (ARP) sobre o túnel de endpoints de túnel virtual (VTEP) vão para o ARP overlay. Você pode verificar os detalhes do ARP usando o show ddos-protection protocols overlay arp comando CLI. Também apresentamos a overlay declaração no nível [edit system ddos-protection protocols] de hierarquia para controlar os pacotes VxLANDDOS.

Iniciando o Junos OS Evolved versão 23.4R1 suportes, DVLAN (tag única e dupla) para escalamento de serviços de assinantes, desempenho em dispositivos ACX7100-48L que inclui:
  • DHCP (IP-DEMUX lite) e assinantes de PPPoE (IPv4, IPV6 e Dual stack) com CoS Legal Intercept e suporte a filtros.
  • DVLAN (tag única e dupla) com configurações de policiais DDOS L2TP (LAC) para protocolos BBE. O protocolo BBE individual e a configuração do grupo de protocolo DDOS estão habilitados.
  • Suporte para grupos de protocolo DHCPv6, L2TP, PPP e PPPoE

  • Apenas o grupo dhcpv4v6 de protocolo de DDOS agregado está ativo.
  • Qualificação de escala de assinantes com interfaces de assinantes de classe de suporte (CoS) para protocolo de tunelamento de camada 2 (L2TP), interfaces de assinantes de concentrador de acesso L2TP (LAC) para IPV4, IPV6 e dual stack.

    As declarações restantes são explicadas separadamente. Procure por uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.

Nível de privilégio exigido

administrador — Para visualizar essa declaração na configuração.

controle de administrador — para adicionar essa declaração à configuração.

Informações de versão

Declaração introduzida no Junos OS Release 11.2.