ddos-protection (DDoS)
Sintaxe (roteadores da Série ACX)
ddos-protection
global {
disable-routing-engine;
disable-logging;
}
protocols protocol-group aggregate {
bandwidth packets-per-second;
burst size;
disable-logging;
disable-routing-engine;
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Sintaxe (roteadores da Série PTX e switches da Série QFX)
ddos-protection
global {
disable-fpc;
disable-logging;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Sintaxe (outros roteadores e switches EX9200)
ddos-protection
global {
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection;
flow-level-control;
flow-detection-mode;
flow-report-rate;
violation-report-rate;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection-mode (automatic | off | on);
flow-detect-time seconds;
flow-level-bandwidth {
logical-interface flow-bandwidth;
physical-interface flow-bandwidth;
subscriber flow-bandwidth;
}
flow-level-control {
logical-interface flow-control-mode;
physical-interface flow-control-mode;
subscriber flow-control-mode;
}
flow-level-detection {
logical-interface flow-detection-mode;
physical-interface flow-detection-mode;
subscriber flow-detection-mode;
}
flow-recover-time seconds;
flow-timeout-time seconds;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
no-flow-logging
priority level;
recover-time seconds;
timeout-active-flows;
}
traceoptions{
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Nível de hierarquia
[edit system]
Descrição
Configure os policiais de proteção contra DDoS para a proteção contra DDoS do plano de controle.
Ataques DDoS normalmente usam pacotes de controle de rede para desencadear um grande número de exceções ao plano de controle de um dispositivo que interrompe as operações normais de rede. A proteção contra DDoS policia o tráfego para permitir que o dispositivo continue funcionando sob um ataque DDoS.
A proteção contra DDoS é habilitada por padrão em dispositivos de suporte para grupos de protocolo e tipos de pacotes disponíveis no dispositivo. Você pode desabilitar policiais específicos ou alterar parâmetros padrão do policiador, incluindo:
Defina a taxa de tráfego máxima permitida, o tamanho máximo de explosão e a prioridade de tráfego.
(Em alguns dispositivos) Defina quanto tempo deve passar desde a última violação antes que o fluxo de tráfego seja considerado como tendo se recuperado do ataque.
(Em alguns dispositivos) Dimensione a largura de banda e rompa valores para placas de linha individuais para que os policiais neste nível acionem em limiares mais baixos do que os limites gerais de protocolo ou pacotes.
Alguns switches da Série EX podem ter proteção contra DDoS do plano de controle, mas não oferecem suporte a opções de CLI para mostrar ou alterar os parâmetros padrão do policiador.
A proteção contra DDoS oferece suporte a policiais para muitos grupos de protocolo. Em alguns dispositivos, você pode alterar parâmetros do policiador para tipos de pacotes específicos em alguns grupos de protocolo. O suporte do tipo de grupo de protocolo e pacote varia entre plataformas e versões do Junos OS. Veja a protocols declaração para obter detalhes sobre as principais diferenças, da seguinte forma:
Para roteadores da Série ACX, roteadores da Série PTX e switches da Série QFX, consulte protocolos (DDoS) (Série ACX, Série PTX e Série QFX).
Para todos os outros dispositivos de roteamento e switches EX9200, consulte protocolos (DDoS).
As declarações restantes nesta hierarquia de declaração de configuração são explicadas separadamente. Pesquise uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.
Os roteadores da Série PTX e os switches QFX10002-60C não oferecem suporte à opção bypass-aggregate .
Nível de privilégio necessário
administrador — Para visualizar essa declaração na configuração.
controle de administração — para adicionar essa declaração à configuração.
Informações de lançamento
Declaração introduzida no Junos OS Release 11.2.
Suporte para gerenciamento aprimorado de assinantes adicionado no Junos OS Release 17.3R1.