Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração da proteção contra DDoS do plano de controle

A proteção contra DDoS do plano de controle é habilitada por padrão para todos os grupos de protocolo e tipos de pacotes suportados. Os dispositivos têm valores padrão para largura de banda (taxa de pacote em pps), escala de largura de banda, estouro (número de pacotes em uma explosão), escala de explosão, prioridade e tempo de recuperação. Para ver os valores padrão do policiador para todos os grupos de protocolo e tipos de pacotes suportados, execute o show ddos-protection protocols comando CLI antes de modificar quaisquer valores configuráveis de proteção contra DDoS.

Nota:

Os switches EX2300, EX2300-C e EX3400 podem ter proteção contra DDoS do plano de controle, mas não oferecem suporte a opções de CLI para mostrar ou alterar os parâmetros padrão do policiamento.

Você pode alterar os parâmetros de configuração de DDoS do plano de controle da seguinte forma:

  • Para tipos de pacotes individuais suportados em um grupo de protocolo, você pode alterar a largura de banda (pps), a explosão (pacotes) e os valores prioritários do policiamento.

    Nota:

    Em PTX10003 e PTX10008 roteadores, você pode alterar os valores padrão de largura de banda (pps) e estouro (pacotes) para policiais agregados ou do tipo pacote, mas não valores prioritários.

  • Para o policiador agregado para um grupo de protocolo, você pode alterar os valores do policial de largura de banda (pps) e estouro (pacotes).

  • Quando você define largura de banda (pps), estouro (pacotes) e valores de prioridade para um grupo de protocolo ou policiador do tipo pacote, os mesmos valores se aplicam em todos os níveis de policiamento. Altere as opções de configuração de escala para ajustar esses valores no nível do Mecanismo de encaminhamento de pacotes.

    Nota:

    Os roteadores da Série ACX com proteção contra DDoS do plano de controle oferecem suporte a mudanças nos valores do policiamento no nível do Mecanismo de Roteamento, que se propaga até o nível do chipset PFE. Eles não suportam as opções de configuração de escalamento de placa de linha na hierarquia de [edit system ddos-protection protocols protocol-group aggregate fpc declaração.

Você pode desabilitar a proteção contra DDoS do plano de controle da seguinte forma:

  • Na maioria dos dispositivos de roteamento que têm policiais no nível do Mecanismo de Roteamento, você pode desabilitar a proteção contra DDoS do plano de controle no Mecanismo de Roteamento e para todas as placas de linha em todo o mundo ou para tipos de pacotes individuais dentro de um grupo de protocolo.

  • PTX10003, PTX10008 e roteadores PTX10016 incluem policiais no nível do Mecanismo de Roteamento, mas como outros roteadores da Série PTX, você só pode desabilitar policiais de cartão de linha.

  • Em outros roteadores da Série PTX e switches da Série QFX, os policiais são compatíveis apenas nas placas de linha, de modo que nesses dispositivos você pode desabilitar a proteção DDoS do plano de controle para todas as placas de linha, seja globalmente ou para tipos de pacotes individuais dentro de um grupo de protocolo.

O registro de DDoS do plano de controle é habilitado por padrão, mas você pode desabilitar globalmente para todos os eventos DDoS de plano de controle ou para tipos de pacotes individuais dentro de um grupo de protocolo. Você também pode configurar operações de rastreamento para monitorar eventos DDoS de plano de controle.

Nota:

Roteadores da Série MX com MPCs e roteadores T4000 com FPC5s oferecem suporte à proteção contra DDoS do plano de controle. A CLI aceita a configuração se outras placas de linha também forem instaladas em qualquer um desses tipos de roteadores, mas as outras placas de linha não estão protegidas para que o roteador não esteja essencialmente protegido.

Alterar parâmetros de proteção contra DDoS do plano de controle configurado por padrão:

  1. (Opcional) Configure as configurações de proteção contra DDoS do plano de controle global ou desabile a proteção contra DDoS do plano de controle.

  2. (Opcional) Configure as configurações de proteção contra DDoS do plano de controle para o policiador agregado ou tipos de pacotes individuais para os grupos de protocolo desejados.

  3. (Opcional) Configure o rastreamento para operações de proteção contra DDoS do plano de controle.

Desativação do plano de controle DDoS Protection Policers e registro em todo o mundo

Os policiais de proteção contra DDoS do plano de controle são habilitados por padrão para todos os grupos de protocolo e tipos de pacotes suportados.

Nos roteadores da Série ACX, você pode desabilitar policiais globalmente ou para grupos de protocolo individuais no nível do Mecanismo de Roteamento. Desativar policiais em todo o mundo essencialmente desativa a proteção contra DDoS do plano de controle no dispositivo.

Nos roteadores da Série MX, roteadores T4000 e switches EX9200, os policiais são estabelecidos no nível da placa de linha individual e do Mecanismo de Roteamento. Você pode desabilitar os policiais de cartão de linha globalmente para todos os MPCs ou FPC5s. Você também pode desabilitar o policial do mecanismo de roteamento. Quando você desabilita qualquer um desses policiais, os policiais nesse nível para todos os grupos de protocolo e tipos de pacotes são desativados.

Em roteadores da Série PTX e switches da Série QFX, os policiais são estabelecidos apenas no nível de placas de linha individuais. Se você desativar policiais de cartão de linha globalmente, a proteção contra DDoS do plano de controle será desativada no switch.

PTX10003, PTX10008 e roteadores PTX10016 incluem policiais no nível do Mecanismo de Roteamento, mas como outros roteadores da Série PTX, você só pode desabilitar policiais de cartão de linha.

O registro de proteção contra DDoS do plano de controle também é habilitado por padrão. Você pode desabilitar todos os registros de eventos DDoS de plano de controle (incluindo registro de eventos de detecção de fluxo) para todos os grupos de protocolo e tipos de pacotes em todo o roteador ou switch.

Nota:

A configuração global para desativar policiais e registrar substitui qualquer configuração local para tipos de pacotes.

Para configurar as configurações de proteção contra DDoS do plano de controle global:

  1. (Opcional) (não disponível nos roteadores da Série ACX) Para desativar os policiais de placa de linha:
  2. (Opcional) (Não disponível em roteadores da Série PTX ou switches da Série QFX) Para desativar os policiais de mecanismos de roteamento:
  3. (Opcional) Para desativar o registro de eventos:

Configuração da proteção contra DDoS no plano de controle agregado ou de tipos de pacotes individuais

Os policiais DDoS do plano de controle são aplicados para controlar o tráfego de pacotes e são habilitados por padrão para todos os grupos de protocolo e tipos de pacotes suportados. Você pode alterar parâmetros padrão do policiador para configurar valores diferentes para a taxa de tráfego máxima permitida, tamanho máximo de explosão, prioridade de tráfego e quanto tempo deve passar desde a última violação antes que o fluxo de tráfego seja considerado como tendo se recuperado do ataque. Você também pode dimensionar os valores de largura de banda e explosão para placas de linha individuais para que os policiais neste nível acionem em limiares mais baixos do que o protocolo geral ou os limiares de pacotes.

O suporte a grupos de protocolo e tipos de pacotes varia entre plataformas e versões do Junos OS, da seguinte forma:

Você pode configurar valores agregados de policiais para qualquer grupo de protocolo. O policiador agregado se aplica à combinação de todos os tipos de tráfego de pacotes de controle para esse grupo.

Nota:

Os roteadores da Série ACX oferecem suporte apenas ao policiador agregado para quaisquer grupos de protocolo suportados.

Para alguns grupos de protocolo, você também pode configurar os valores do policiador para tipos de pacotes individuais. Quando você configura valores agregados de policiais para determinados grupos de protocolo, você pode ignorar opcionalmente esse policial para um ou mais tipos de pacotes específicos nesse grupo.

Melhores práticas:

Embora todos os policiais tenham valores de parâmetro padrão, esses valores podem não refletir com precisão o padrão de tráfego de controle de sua rede. Recomendamos que você modele sua rede para determinar os melhores valores para a sua situação. Antes de configurar os policiais para sua rede, você pode visualizar rapidamente os valores padrão para todos os tipos de pacotes a partir do modo operacional usando o show ddos-protection protocols parameters brief comando. Você também pode usar o comando para especificar um único grupo de protocolo de interesse. Por exemplo, para ver os valores padrão do dhcpv4 grupo de protocolo, use o show ddos-protection protocols dhcpv4 parameters brief comando.

Você pode desabilitar um policiador do tipo pacote no nível do Mecanismo de Roteamento (se suportado) ou no nível do Mecanismo de encaminhamento de pacotes (se suportado) para uma placa de linha especificada ou para todas as placas de linha. Você também pode desabilitar o registro de todos os eventos de proteção contra DDoS de plano de controle para tipos de pacotes individuais em um grupo de protocolo.

Para configurar as configurações do policiamento de proteção DDoS agregado ou tipo de pacote desejado:

  1. Especifique o grupo de protocolo.

    Por exemplo, para especificar o grupo de protocolo DHCPv4 na Série MX, PTX10003 ou roteadores de PTX10008:

    ou, nos dispositivos da Série ACX, série PTX e Série QFX, o suporte de proteção contra DDoS de plano de controle tem uma opção combinada de DHCPv4 e DHCPv6 que permite apenas agregar configuração de policiamento:

  2. Especifique um tipo de pacote individual compatível ou a opção aggregate de abranger todos os tipos de pacotes no grupo de protocolo.

    ou

    Por exemplo, especificar apenas pacotes de versão DHCPv4 em dispositivos que oferecem suporte a tipos individuais de pacotes DHCPv4:

  3. (Opcional) Configure a taxa de tráfego máxima que o policiador permite para o tipo de pacote (ou agregado).

    Por exemplo, para definir uma largura de banda de 600 pacotes por segundo para pacotes de versão DHCPv4:

  4. (Opcional) Configure o número máximo de pacotes desse tipo de pacote (ou agregado) que o policiador permite em uma explosão de tráfego.

    Por exemplo, para definir um máximo de 5000 pacotes de versão DHCPv4:

  5. (Opcional) Definir a prioridade de tráfego.
    Nota:

    Você não pode alterar os valores de prioridade padrão em roteadores de PTX10003 ou PTX10008.

    Por exemplo, especificar uma prioridade média para pacotes de versão DHCPv4:

  6. (Opcional) Configure quanto tempo deve passar desde a última violação antes que o fluxo de tráfego seja considerado como tendo se recuperado do ataque.

    Por exemplo, para especificar que 600 segundos devem ter passado desde a última violação do policiador de pacotes de versão DHCPv4:

  7. (Opcional, suportado em alguns dispositivos) Contorne a configuração agregada do policiador. Isso só é aplicável quando um policiador agregado e um policiador individual são configurados para o grupo de protocolo.

    Por exemplo, para ignorar o policiador agregado para DHCPv4 renovar pacotes:

  8. (Opcional, suportado em alguns dispositivos) Desabile os policiais de placa de linha para o tipo de pacote (ou agregado) em todas as placas de linha.
    Nota:

    Quando você desativa os policiais de placa de linha globalmente no nível de [edit system ddos-protection global] hierarquia, a configuração global substitui a configuração do tipo por pacote mostrada nesta etapa. Se você remover posteriormente a configuração global, então a configuração do tipo por pacote entra em vigor.

    Por exemplo, para desabilitar o policiador de placa de linha para pacotes de bootp DHCPv4:

  9. (Opcional) Desabilitar o registro de eventos de proteção contra DDoS do plano de controle para apenas um tipo de pacote (ou agregado).
    Nota:

    Os eventos desativados para o pacote estão associados a violações do policiador; o registro de eventos de fluxo culpados de detecção de fluxo não é afetado por esta declaração.

    Nota:

    Ao desabilitar o plano de controle de registro de eventos de proteção contra DDoS globalmente no nível de [edit system ddos-protection global] hierarquia, a configuração global substitui a configuração do tipo por pacote mostrada nesta etapa. Se você remover posteriormente a configuração global, então a configuração do tipo por pacote entra em vigor.

    Por exemplo, para desabilitar o plano de controle, o evento de proteção contra DDoS registrando o policial de placa de linha para DHCPv4 descubra pacotes:

  10. (Opcional, não disponível em roteadores da Série PTX ou switches da Série QFX) Desabilitar o policiador de mecanismos de roteamento apenas para este tipo de pacote.
    Nota:

    Quando você desativa o policiador de mecanismos de roteamento globalmente no nível de [edit system ddos-protection global] hierarquia, a configuração global substitui a configuração do tipo por pacote mostrada nesta etapa. Se você remover posteriormente a configuração global, então a configuração do tipo por pacote entra em vigor.

    Por exemplo, para desativar o policiador de mecanismo de roteamento para DHCPv4, descubra pacotes:

  11. (Opcional, não suportado em roteadores da Série ACX) Configure configurações de nível de pacote para o tipo de pacote (ou agregado) em uma única placa de linha. Em switches com uma única placa de linha fixa (um único FPC considerado no slot 0 e rotulado fpc0), a escala dos valores do policiador afeta todo o switch.

    Por exemplo, para acessar o DHCPv4, descubra as configurações de pacotes na placa de linha no slot 3:

  12. (Opcional, sem suporte nos roteadores da Série ACX) Dimensione a largura de banda do policial para o tipo de pacote (ou agregado) na placa de linha.

    Por exemplo, para escalar a largura de banda para 80% da configuração de placa de linha configurada para DHCPv4, descubra pacotes na placa de linha no slot 3:

  13. (Opcional, não suportado em roteadores da Série ACX) Dimensione o tamanho da explosão do policial para o tipo de pacote (ou agregado) na placa de linha.

    Por exemplo, para escalar a largura de banda máxima para 75% da configuração de placa de linha configurada para DHCPv4, descubra pacotes na placa de linha no slot 3:

  14. (Opcional, não suportado em roteadores da Série ACX) Desabite o policial de placa de linha para o tipo de pacote (ou agregado) em uma placa de linha específica.

    Por exemplo, para desativar o policial de placa de linha para DHCPv4, descubra pacotes na placa de linha no slot 3:

Verificação e gerenciamento da proteção contra DDoS do plano de controle

Propósito

Visualize ou informações claras sobre configurações, estados e estatísticas de proteção contra DDoS do plano de controle.

Ação

  • Para exibir a configuração do policiamento de proteção contra DDoS no plano de controle, estado de violação e estatísticas para todos os tipos de pacotes em todos os grupos de protocolo:

    Execute este comando antes de fazer alterações de configuração para ver os valores padrão do policiamento.

  • Para exibir a configuração do policiamento de proteção contra DDoS no plano de controle, estado de violação e estatísticas de um determinado tipo de pacote em um determinado grupo de protocolo:

  • Para exibir apenas o número de violações do policiamento de proteção contra DDoS no plano de controle para todos os grupos de protocolo:

  • Para exibir uma tabela da configuração de proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:

  • Para exibir uma lista completa de estatísticas de pacotes e estatísticas de violação de proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:

  • Para exibir estatísticas de violação da proteção contra DDoS no plano de controle global:

  • Para exibir o número da versão de proteção contra DDoS do plano de controle:

  • Para limpar as estatísticas de proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:

  • Para limpar as estatísticas de proteção contra DDoS do plano de controle para todos os tipos de pacotes em um determinado grupo de protocolo:

  • Para limpar as estatísticas de proteção contra DDoS do plano de controle para um determinado tipo de pacote em um determinado grupo de protocolo:

  • Limpar os estados de violação da proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:

  • Limpar os estados de violação da proteção contra DDoS do plano de controle para todos os tipos de pacotes em um determinado grupo de protocolo:

  • Para limpar os estados de violação da proteção contra DDoS do plano de controle para um determinado tipo de pacote em um determinado grupo de protocolo: