Configuração da proteção contra DDoS do plano de controle
A proteção contra DDoS do plano de controle é habilitada por padrão para todos os grupos de protocolo e tipos de pacotes suportados. Os dispositivos têm valores padrão para largura de banda (taxa de pacote em pps), escala de largura de banda, estouro (número de pacotes em uma explosão), escala de explosão, prioridade e tempo de recuperação. Para ver os valores padrão do policiador para todos os grupos de protocolo e tipos de pacotes suportados, execute o show ddos-protection protocols
comando CLI antes de modificar quaisquer valores configuráveis de proteção contra DDoS.
Os switches EX2300, EX2300-C e EX3400 podem ter proteção contra DDoS do plano de controle, mas não oferecem suporte a opções de CLI para mostrar ou alterar os parâmetros padrão do policiamento.
Você pode alterar os parâmetros de configuração de DDoS do plano de controle da seguinte forma:
Para tipos de pacotes individuais suportados em um grupo de protocolo, você pode alterar a largura de banda (pps), a explosão (pacotes) e os valores prioritários do policiamento.
Nota:Em PTX10003 e PTX10008 roteadores, você pode alterar os valores padrão de largura de banda (pps) e estouro (pacotes) para policiais agregados ou do tipo pacote, mas não valores prioritários.
Para o policiador agregado para um grupo de protocolo, você pode alterar os valores do policial de largura de banda (pps) e estouro (pacotes).
Quando você define largura de banda (pps), estouro (pacotes) e valores de prioridade para um grupo de protocolo ou policiador do tipo pacote, os mesmos valores se aplicam em todos os níveis de policiamento. Altere as opções de configuração de escala para ajustar esses valores no nível do Mecanismo de encaminhamento de pacotes.
Nota:Os roteadores da Série ACX com proteção contra DDoS do plano de controle oferecem suporte a mudanças nos valores do policiamento no nível do Mecanismo de Roteamento, que se propaga até o nível do chipset PFE. Eles não suportam as opções de configuração de escalamento de placa de linha na hierarquia de
[edit system ddos-protection protocols protocol-group aggregate fpc
declaração.
Você pode desabilitar a proteção contra DDoS do plano de controle da seguinte forma:
Na maioria dos dispositivos de roteamento que têm policiais no nível do Mecanismo de Roteamento, você pode desabilitar a proteção contra DDoS do plano de controle no Mecanismo de Roteamento e para todas as placas de linha em todo o mundo ou para tipos de pacotes individuais dentro de um grupo de protocolo.
-
PTX10003, PTX10008 e roteadores PTX10016 incluem policiais no nível do Mecanismo de Roteamento, mas como outros roteadores da Série PTX, você só pode desabilitar policiais de cartão de linha.
Em outros roteadores da Série PTX e switches da Série QFX, os policiais são compatíveis apenas nas placas de linha, de modo que nesses dispositivos você pode desabilitar a proteção DDoS do plano de controle para todas as placas de linha, seja globalmente ou para tipos de pacotes individuais dentro de um grupo de protocolo.
O registro de DDoS do plano de controle é habilitado por padrão, mas você pode desabilitar globalmente para todos os eventos DDoS de plano de controle ou para tipos de pacotes individuais dentro de um grupo de protocolo. Você também pode configurar operações de rastreamento para monitorar eventos DDoS de plano de controle.
Roteadores da Série MX com MPCs e roteadores T4000 com FPC5s oferecem suporte à proteção contra DDoS do plano de controle. A CLI aceita a configuração se outras placas de linha também forem instaladas em qualquer um desses tipos de roteadores, mas as outras placas de linha não estão protegidas para que o roteador não esteja essencialmente protegido.
Alterar parâmetros de proteção contra DDoS do plano de controle configurado por padrão:
(Opcional) Configure as configurações de proteção contra DDoS do plano de controle global ou desabile a proteção contra DDoS do plano de controle.
(Opcional) Configure as configurações de proteção contra DDoS do plano de controle para o policiador agregado ou tipos de pacotes individuais para os grupos de protocolo desejados.
(Opcional) Configure o rastreamento para operações de proteção contra DDoS do plano de controle.
Desativação do plano de controle DDoS Protection Policers e registro em todo o mundo
Os policiais de proteção contra DDoS do plano de controle são habilitados por padrão para todos os grupos de protocolo e tipos de pacotes suportados.
Nos roteadores da Série ACX, você pode desabilitar policiais globalmente ou para grupos de protocolo individuais no nível do Mecanismo de Roteamento. Desativar policiais em todo o mundo essencialmente desativa a proteção contra DDoS do plano de controle no dispositivo.
Nos roteadores da Série MX, roteadores T4000 e switches EX9200, os policiais são estabelecidos no nível da placa de linha individual e do Mecanismo de Roteamento. Você pode desabilitar os policiais de cartão de linha globalmente para todos os MPCs ou FPC5s. Você também pode desabilitar o policial do mecanismo de roteamento. Quando você desabilita qualquer um desses policiais, os policiais nesse nível para todos os grupos de protocolo e tipos de pacotes são desativados.
Em roteadores da Série PTX e switches da Série QFX, os policiais são estabelecidos apenas no nível de placas de linha individuais. Se você desativar policiais de cartão de linha globalmente, a proteção contra DDoS do plano de controle será desativada no switch.
PTX10003, PTX10008 e roteadores PTX10016 incluem policiais no nível do Mecanismo de Roteamento, mas como outros roteadores da Série PTX, você só pode desabilitar policiais de cartão de linha.
O registro de proteção contra DDoS do plano de controle também é habilitado por padrão. Você pode desabilitar todos os registros de eventos DDoS de plano de controle (incluindo registro de eventos de detecção de fluxo) para todos os grupos de protocolo e tipos de pacotes em todo o roteador ou switch.
A configuração global para desativar policiais e registrar substitui qualquer configuração local para tipos de pacotes.
Para configurar as configurações de proteção contra DDoS do plano de controle global:
Configuração da proteção contra DDoS no plano de controle agregado ou de tipos de pacotes individuais
Os policiais DDoS do plano de controle são aplicados para controlar o tráfego de pacotes e são habilitados por padrão para todos os grupos de protocolo e tipos de pacotes suportados. Você pode alterar parâmetros padrão do policiador para configurar valores diferentes para a taxa de tráfego máxima permitida, tamanho máximo de explosão, prioridade de tráfego e quanto tempo deve passar desde a última violação antes que o fluxo de tráfego seja considerado como tendo se recuperado do ataque. Você também pode dimensionar os valores de largura de banda e explosão para placas de linha individuais para que os policiais neste nível acionem em limiares mais baixos do que o protocolo geral ou os limiares de pacotes.
O suporte a grupos de protocolo e tipos de pacotes varia entre plataformas e versões do Junos OS, da seguinte forma:
Para a maioria dos dispositivos de roteamento, veja protocolos (DDoS).
Para roteadores da Série ACX, roteadores da Série PTX e switches da Série QFX, veja protocolos (DDoS) (Série ACX, Série PTX e Série QFX).
Você pode configurar valores agregados de policiais para qualquer grupo de protocolo. O policiador agregado se aplica à combinação de todos os tipos de tráfego de pacotes de controle para esse grupo.
Os roteadores da Série ACX oferecem suporte apenas ao policiador agregado para quaisquer grupos de protocolo suportados.
Para alguns grupos de protocolo, você também pode configurar os valores do policiador para tipos de pacotes individuais. Quando você configura valores agregados de policiais para determinados grupos de protocolo, você pode ignorar opcionalmente esse policial para um ou mais tipos de pacotes específicos nesse grupo.
Embora todos os policiais tenham valores de parâmetro padrão, esses valores podem não refletir com precisão o padrão de tráfego de controle de sua rede. Recomendamos que você modele sua rede para determinar os melhores valores para a sua situação. Antes de configurar os policiais para sua rede, você pode visualizar rapidamente os valores padrão para todos os tipos de pacotes a partir do modo operacional usando o show ddos-protection protocols parameters brief
comando. Você também pode usar o comando para especificar um único grupo de protocolo de interesse. Por exemplo, para ver os valores padrão do dhcpv4
grupo de protocolo, use o show ddos-protection protocols dhcpv4 parameters brief
comando.
Você pode desabilitar um policiador do tipo pacote no nível do Mecanismo de Roteamento (se suportado) ou no nível do Mecanismo de encaminhamento de pacotes (se suportado) para uma placa de linha especificada ou para todas as placas de linha. Você também pode desabilitar o registro de todos os eventos de proteção contra DDoS de plano de controle para tipos de pacotes individuais em um grupo de protocolo.
Para configurar as configurações do policiamento de proteção DDoS agregado ou tipo de pacote desejado:
Veja também
Verificação e gerenciamento da proteção contra DDoS do plano de controle
Propósito
Visualize ou informações claras sobre configurações, estados e estatísticas de proteção contra DDoS do plano de controle.
Ação
Para exibir a configuração do policiamento de proteção contra DDoS no plano de controle, estado de violação e estatísticas para todos os tipos de pacotes em todos os grupos de protocolo:
user@host> show ddos-protection protocols
Execute este comando antes de fazer alterações de configuração para ver os valores padrão do policiamento.
Para exibir a configuração do policiamento de proteção contra DDoS no plano de controle, estado de violação e estatísticas de um determinado tipo de pacote em um determinado grupo de protocolo:
user@host> show ddos-protection protocols protocol-group packet-type
Para exibir apenas o número de violações do policiamento de proteção contra DDoS no plano de controle para todos os grupos de protocolo:
user@host> show ddos-protection protocols violations
Para exibir uma tabela da configuração de proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:
user@host> show ddos-protection protocols parameters brief
Para exibir uma lista completa de estatísticas de pacotes e estatísticas de violação de proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:
user@host> show ddos-protection protocols statistics detail
Para exibir estatísticas de violação da proteção contra DDoS no plano de controle global:
user@host> show ddos-protection statistics
Para exibir o número da versão de proteção contra DDoS do plano de controle:
user@host> show ddos-protection version
Para limpar as estatísticas de proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:
user@host> clear ddos-protection protocols statistics
Para limpar as estatísticas de proteção contra DDoS do plano de controle para todos os tipos de pacotes em um determinado grupo de protocolo:
user@host> clear ddos-protection protocols protocol-group statistics
Para limpar as estatísticas de proteção contra DDoS do plano de controle para um determinado tipo de pacote em um determinado grupo de protocolo:
user@host> clear ddos-protection protocols protocol-group packet-type statistics
Limpar os estados de violação da proteção contra DDoS do plano de controle para todos os tipos de pacotes em todos os grupos de protocolo:
user@host> clear ddos-protection protocols states
Limpar os estados de violação da proteção contra DDoS do plano de controle para todos os tipos de pacotes em um determinado grupo de protocolo:
user@host> clear ddos-protection protocols protocol-group states
Para limpar os estados de violação da proteção contra DDoS do plano de controle para um determinado tipo de pacote em um determinado grupo de protocolo:
user@host> clear ddos-protection protocols protocol-group packet-type states