ddos-protection (DDoS)
语法(ACX 系列路由器)
ddos-protection global { disable-routing-engine; disable-logging; } protocols protocol-group aggregate { fpc fpc-number; bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
语法(PTX 系列路由器和 QFX 系列、EX4100 和 EX4400 交换机)
ddos-protection global { disable-fpc; disable-logging; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
语法(其他路由器、ACX7100-48L 和 EX9200 交换机)
ddos-protection global { disable-fpc; disable-logging; disable-routing-engine; flow-detection; flow-level-control; flow-detection-mode; flow-report-rate; violation-report-rate; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; disable-routing-engine; flow-detection-mode (automatic | off | on); flow-detect-time seconds; flow-level-bandwidth { logical-interface flow-bandwidth; physical-interface flow-bandwidth; subscriber flow-bandwidth; } flow-level-control { logical-interface flow-control-mode; physical-interface flow-control-mode; subscriber flow-control-mode; } flow-level-detection { logical-interface flow-detection-mode; physical-interface flow-detection-mode; subscriber flow-detection-mode; } flow-recover-time seconds; flow-timeout-time seconds; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } ipsec { ike; on-trigger; mtu-error; sn-alarm; spi-inval; tx-alarm; unclassified; } no-flow-logging priority level; recover-time seconds; timeout-active-flows; } traceoptions{ file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
层次结构级别
[edit system]
描述
为控制平面 DDoS 防御配置 DDoS 防御监管器。
DDoS 攻击通常使用网络控制数据包对设备的控制平面触发大量异常,从而扰乱正常的网络操作。DDoS 防御可监管流量,使设备能够在 DDoS 攻击下继续运行。
默认情况下,在支持设备上为设备上可用的协议组和数据包类型启用 DDoS 保护。您可以禁用特定监管器或更改默认监管器参数,包括:
-
设置允许的最大流量速率、最大突发大小和流量优先级。
-
(在某些设备上)定义自上次违规以来必须经过多长时间,才能将流量视为已从攻击中恢复。
-
(在某些设备上)扩展单个线卡的带宽和突发值,以便此级别的监管器以低于整体协议或数据包阈值的阈值触发。
某些 EX 系列交换机可能具有控制平面 DDoS 保护,但不支持用于显示或更改默认监管器参数的 CLI 选项。
DDoS 防御支持多个协议组的监管器。在某些设备上,您可以更改某些协议组中特定数据包类型的监管器参数。协议组和数据包类型支持因平台和 Junos OS 版本而异。有关主要差异的详细信息, protocols
请参阅声明,如下所示:
-
有关 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机,请参阅协议 (DDoS)(ACX 系列、PTX 系列和 QFX 系列)。
-
对于所有其他路由设备和 EX9200 交换机,请参阅协议 (DDoS)。
此配置语句层次结构中的其余语句将单独说明。有关详细信息, 请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。
PTX 系列 路由器和 QFX10002-60C 交换机不支持该 bypass-aggregate
选项。
从 Junos OS 24.2R1 版开始,您可以在 EX4100 和 EX4400 设备上使用 CLI 配置 DDOS 协议。
所需权限级别
admin - 在配置中查看此语句。
admin-control - 将此语句添加到配置中。
发布信息
在 Junos OS 11.2 版中引入的语句。
在适用于 MX304 设备的 Junos OS 24.2R1 版中引入的语句。
在 Junos OS 17.3R1 版中添加了对增强型订阅者管理的支持。