ddos-protection (DDoS)
Sintaxe (roteadores da Série ACX, dispositivos de ACX7900)
ddos-protection global { disable-routing-engine; disable-logging; } protocols protocol-group aggregate { fpc fpc-number; bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
Sintaxe (roteadores da Série PTX e switches da Série QFX)
ddos-protection global { disable-fpc; disable-logging; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
Sintaxe (outros roteadores e switches EX9200)
ddos-protection global { disable-fpc; disable-logging; disable-routing-engine; flow-detection; flow-level-control; flow-detection-mode; flow-report-rate; violation-report-rate; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; disable-routing-engine; flow-detection-mode (automatic | off | on); flow-detect-time seconds; flow-level-bandwidth { logical-interface flow-bandwidth; physical-interface flow-bandwidth; subscriber flow-bandwidth; } flow-level-control { logical-interface flow-control-mode; physical-interface flow-control-mode; subscriber flow-control-mode; } flow-level-detection { logical-interface flow-detection-mode; physical-interface flow-detection-mode; subscriber flow-detection-mode; } flow-recover-time seconds; flow-timeout-time seconds; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } no-flow-logging priority level; recover-time seconds; timeout-active-flows; } traceoptions{ file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
Nível de hierarquia
[edit system]
Descrição
Configure os policiais de proteção contra DDoS para a proteção contra DDoS do plano de controle.
Os ataques DDoS normalmente usam pacotes de controle de rede para desencadear um grande número de exceções ao plano de controle de um dispositivo que interrompe as operações normais de rede. A proteção contra DDoS policia o tráfego para permitir que o dispositivo continue funcionando sob um ataque DDoS.
A proteção contra DDoS é habilitada por padrão em dispositivos de suporte para os grupos de protocolo e tipos de pacotes disponíveis no dispositivo. Você pode desabilitar policiais específicos ou alterar parâmetros padrão do policiador, incluindo:
Definir a taxa de tráfego máxima permitida, o tamanho máximo de explosão e a prioridade de tráfego.
(Em alguns dispositivos) Definir quanto tempo deve passar desde a última violação antes que o fluxo de tráfego seja considerado como tendo se recuperado do ataque.
(Em alguns dispositivos) Escale os valores de largura de banda e explosão para placas de linha individuais para que os policiais neste nível acionem em limiares mais baixos do que os limites gerais de protocolo ou pacotes.
Alguns switches da Série EX podem ter proteção contra DDoS do plano de controle, mas não oferecem suporte a opções de CLI para mostrar ou alterar os parâmetros padrão do policiador.
A proteção contra DDoS oferece suporte a policiais para muitos grupos de protocolo. Em alguns dispositivos, você pode alterar os parâmetros do policiador para tipos de pacotes específicos em alguns grupos de protocolo. O suporte a grupos de protocolo e tipos de pacotes varia entre plataformas e versões do Junos OS. Veja a protocols
declaração para obter detalhes sobre as principais diferenças, da seguinte forma:
Para roteadores da Série ACX, roteadores da Série PTX e switches da Série QFX, veja protocolos (DDoS) (Série ACX, Série PTX e Série QFX).
Para todos os outros dispositivos de roteamento e switches EX9200, veja protocolos (DDoS).
As declarações restantes nesta hierarquia de declaração de configuração são explicadas separadamente. Procure por uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.
ACX7900 dispositivos não oferecem suporte à configuração de detecção suspeita de fluxo de controle (SCFD).
As configurações de nível de FPC só são suportadas em ACX7900 dispositivos.
Os roteadores da Série PTX e os switches QFX10002-60C não oferecem suporte à opção bypass-aggregate
.
Nível de privilégio exigido
administrador — Para visualizar essa declaração na configuração.
controle de administrador — para adicionar essa declaração à configuração.
Informações de versão
Declaração introduzida no Junos OS Release 11.2.
Suporte para o gerenciamento aprimorado de assinantes adicionado no Junos OS Release 17.3R1.