protocols (DDoS) (ACX Series, PTX Series, and QFX Series)
语法(ACX 系列路由器)
protocols protocol-group aggregate { bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; }
语法(PTX 系列路由器和 QFX 系列交换机)
protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; }
语法(PTX 系列和 ACX7100-48L,适用于 Junos OS 演化版)
protocols{ arp; bfd; bfdv6; bgp; custom; sample; dhcpv4; dhcpv6; dhcpv4v6; l2tp; ppp; pppoe; }
层次结构级别
[edit system ddos-protection]
描述
更改协议组内所有数据包类型或协议组中特定数据包类型的默认可配置控制平面 DDoS 防护监管器参数。
PTX10003路由器 priority
不支持更改聚合或单个数据包类型监管器的默认优先级值的选项。 QFX10002-60C 交换机和 PTX 系列路由器不支持该 bypass-aggregate
选项。
虽然术语“带宽”通常是指每秒比特数 (bps),但此功能的选项 bandwidth
表示每秒数据包数 (pps) 值, burst
选项表示突发中的数据包数。这些选项将单独说明。
并非所有设备都支持表 1 或 表 2 中列出的所有协议组和数据包类型。例外情况包括:
ACX 系列路由器仅支持以下协议组选项:
arp
、 、(未知组播数据包)、 、igmp
rip
lacp
ldp
ipmcast-miss
esmc
ndpv6
pim
pvstp
ospf
oam-lfm
rsvp
stp
lldp
dhcpv4v6
bfd
bfdv6
bgp
eoam
vrrp
isis
PTX10003 和 PTX10008 路由器不支持以下监管器协议组选项:
all-fiber-channel-enode
、l2pt
bridge-control
garp-reply
ptp
diameter
radius
和 。tacacs
其他 PTX 系列路由器不支持以下监管器协议组选项:
all-fiber-channel-enode
、(但arp
支持协议组)、、proto-802-1x
diameter
martian-address
stp
garp-reply
ptp
pvstp
radius
bridge-control
tacacs
QFX10002-60C 交换机不支持以下监管器协议组选项:
all-fiber-channel-enode
、(但arp
支持协议组)、bridge-control
、proto-802-1x
diameter
radius
garp-reply
martian-address
ptp
和tacacs
QFX10002、QFX10008 和 QFX10016 交换机
ttl
不支持协议组选项。
选项
aggregate |
配置监管器的参数,以组合组的形式监管属于指定协议的所有控制数据包。所有协议组都存在聚合监管器。
注意:
ACX 系列路由器仅支持所支持协议组的聚合监管器。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
packet-type |
为协议组中指定的单个控制数据包类型配置监管器值。在某些设备上,您可以在 表 1 中列出的协议组中配置数据包类型监管器。对于 表 1 中未列出的所有其他协议组,只有聚合监管器可用。 表 1 列出了协议组,其中某些设备上提供了数据包类型监管器,以及默认配置参数的常用值。默认值可能因支持设备和不同 Junos OS 版本而异;您可以在修改任何可配置值之前运行 表 1 中的每个协议组还支持聚合监管器。有关所有协议组的默认聚合监管器值,请参阅表 2。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol-group |
为指定的协议组配置监管器值。您可以为 表 2 中列出的以下任何协议组配置聚合监管器。下表显示了每个协议组的聚合监管器默认配置参数。默认值可能因支持设备和不同 Junos OS 版本而异;您可以在修改任何可配置值之前运行 |
协议组 |
描述 |
默认带宽 (pps) |
默认突发(数据包数) |
---|---|---|---|
默认带宽和突发值因平台类型和底层 DDoS 基础结构设置而异。 |
|||
|
光纤通道网络流量 |
10 |
1024 或 2048 |
(不同的平台支持名为或 |
ARP 流量
注意:
在某些平台上, |
1000、2000 或 10000 |
512、1024、2000 或 2048 |
|
单跳 BFD 流量 |
1000、6200、10000、20000 或 250000 |
512、2048 或 20000 |
|
BFDv6 流量 |
512、3000、10000、20000 或 250000 |
512、2048 或 20000 |
|
BGP 流量 |
1200、1500、3000、5000、10000、20000 或 250000 |
512、2048、4096 或 20000 |
|
网桥控制流量 |
10 |
2048 |
(仅限 PTX10003 和 PTX10008 路由器) |
所有 DHCPv4 流量的聚合(优先级为中)
注意:
在 PTX10003 和 PTX10008 路由器上,使用此选项在 PFE 线卡和 RE 级别进行速率限制。使用聚合选项 |
5000 |
5000 |
(仅限 PTX10003 和 PTX10008 路由器) |
所有 DHCPv6 流量的聚合(优先级低)
注意:
在 PTX10003 和 PTX10008 路由器上,使用此选项在 PFE 线卡和 RE 级别进行速率限制。使用聚合选项 |
5000 |
5000 |
|
DHCPv4 和 DHCPv6 流量(限制适用于组合流量)
注意:
在 PTX10003 和 PTX10008 路由器上,仅将此聚合选项用于 PFE 芯片级别的速率限制(优先级为低)。 |
600 或 5000 |
512、2048 或 5000 |
|
直径和 Gx-Plus 流量 |
200 |
2048 |
|
DNS 流量 |
200 |
200 或 2048 |
|
DTCP 流量 |
200 |
200 或 2048 |
|
EGPv6 流量 |
10 |
10 或 2048 |
|
以太网 OAM 流量
注意:
在 PTX10003 和 PTX10008 路由器上,聚合 |
1000、6200 或 100000 |
102、512、2048 或 10000 |
|
ESMC 流量 |
200 |
512 |
|
TCC 封装的以太网流量
注意:
|
100 |
100 或 2048 |
|
|
100 |
2048 |
|
FTP 流量 |
500 或 1500 |
1500 或 2048 |
|
免费 ARP 回复流量 |
100 |
2048 |
|
GRE 流量 |
500 |
500 或 2048 |
|
ICMP 流量 |
500、1000 或 20000 |
500、2048 或 20000 |
|
IGMPv4 和 IGMPv6 流量
注意:
在 PTX 系列和 QFX10002-60C 设备上,此选项仅用于 |
1000、1600、5000 或 90000 |
512、2048 或 5000 |
|
IGMPv6 流量 |
20000 或 90000 |
2048 或 5000 |
|
具有 IP 数据包标头选项的 IP 流量 |
100 |
100 或 2048 |
(仅限 ACX 系列) |
未知的 IPv4 和 IPv6 组播数据包 |
600 |
512 |
|
IS-IS 流量 |
1000、1200、5000 或 20000 |
512、2048、4096 或 20000 |
isis-data |
ISIS 数据流量 |
5000、8000 或 10000 |
4096 或 8000 |
isis-hello |
ISIS-你好流量 |
1000、5000 或 12000 |
4096 或 12000 |
|
TCC 封装的 ISO 流量
注意:
|
100 |
100 或 2048 |
|
第 2 层协议隧道流量 |
500 |
2048 |
|
第 2 层隧道协议流量 |
500 |
500 或 2048 |
|
LACP 流量 |
800、1000 或 2000 |
512、300、2000 或 2048 |
|
LDP 流量 |
1200、5000、10000 或 20000 |
200、512、2048 或 20000 |
|
LDP hello 数据包
注意:
以下设备具有
|
1000 或 5000 |
2048 或 5000 |
|
LLDP 流量 |
100、800 或 2000 |
300、512、2000 或 2048 |
|
LMP 流量 |
100 |
100 或 2048 |
|
火星地址 |
200 |
20 |
|
控制组播侦听的流量 |
5000、20000 或 22000 |
2048、6000 或 20000 |
|
MLD 流量
注意:
|
1000 |
2048 |
|
MSDP 流量 |
20000 |
20000 |
|
多跳 BFD 流量
注意:
|
1500 |
2048 |
|
NDPv6 流量 |
100、1000 或 2000 |
512、1024 或 2000 |
|
NTP 流量 |
20000 |
20000 |
|
OAM CFM 流量
注意:
|
200 |
2048 |
|
OAM LFM 流量 |
200、800、1000 或 20000 |
512、1000、2048 或 20000 |
|
OSPF 流量 |
1200、5000、10000 或 20000 |
票价:200、512、2048、4096 或 20000 |
|
OSPF hello 数据包 |
1000、1500 或 10000 |
2048、4096 或 20000 |
(仅限 ACX 系列) |
PIM IPv4 和 IPv6 数据包 |
1600 |
512 |
|
PIM 控制数据包 |
1000 或 1500 |
200 或 2048 |
|
PIM 数据 |
2000 或 3000 |
1024 或 2048 |
|
802.1X 流量 |
200 |
200 或 2048 |
|
PTP 流量 |
100 |
2048 |
|
PVSTP 流量 |
800、2000 或 20000 |
512、2048 或 20000 |
|
RADIUS 流量 |
200 |
2048 |
|
被下一跃点转发决策拒绝的数据包 |
100、200 或 2000 |
200、2000 或 2048 |
|
由于流量请求解析操作,未分类的 IPv4 和 IPv6 解析发送到主机的数据包 |
100、500 或 5000 |
100、2048 或 5000 |
|
RIP 流量 |
200、1200 或 20000 |
200、512、2048 或 20000 |
|
回复流量 |
1200、5000、10000 或 20000 |
512、2048、10000 或 20000 |
|
SNMP 流量 |
1000 或 20000 |
1024、2048 或 20000 |
|
SSH 流量 |
5000 或 20000 |
500、2048 或 20000 |
|
STP 流量 |
800 或 20000 |
512、2048 或 20000 |
|
TACACS+ 流量 |
200 |
2048 |
|
过渡交叉连接封装流量 |
100 或 200 |
200、1024 或 2048 |
|
远程登录流量 |
5000 或 20000 |
500、2048 或 20000 |
|
生存时间数据包 |
100 或 2000 |
2048 |
|
不能分类到其他可用协议组之一的流量 |
100 或 10000 |
2048 或 10000 |
|
VRRP 流量 |
512、1000、2000 或 20000 |
512、1000、2048 或 20000 |
|
VXLAN 第 2 层和第 3 层数据包 |
300 |
10 |
协议组 |
描述 |
---|---|
|
配置 ARP 流量 |
|
配置 BFD 流量 |
|
BFDv6 流量 |
|
配置 BGP 流量 |
|
配置自定义流量 |
sample |
配置采样流量 |
|
配置 DHCPv4 流量 |
|
配置 DHCPv6 流量 |
dhcpv4v6 |
配置 DHCPv4/v6 流量 |
|
配置 L2TP 流量。 |
|
配置 PPP 流量。 |
|
配置 PPPoE 流量。 |
从 Junos OS 演化版 23.1R1 开始,在 QFX5220、QFX5130 和 QFX5700 系列设备上,默认 DDoS localnh aggregate bandwidth
值为 1500 pps。在 Junos OS 演化版 23.1R1 之前,您可以使用 [set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200
] CLI 命令配置带宽值。此配置使您能够防止 LAG 接口在本地 IP 流量繁重期间停机。
从 Junos OS 版本 23.3R1 开始,在 QFX 系列设备上,我们在 [edit ddos-protection protocols
] 层次结构级别添加了ip-option
协议支持。
- DHCP(IP-DEMUX lite)和PPPoE用户(IPv4,IPV6和Dual Stack),支持CoS合法拦截和过滤器。
- DVLAN(单标记和双标记),具有用于 BBE 协议的 L2TP (LAC) DDOS 监管器配置。启用了单独的 BBE 协议和 DDOS 协议组配置。
支持协议组 DHCPv6、L2TP、PPP 和 PPPoE
- 只有聚合 DDOS 协议组
dhcpv4v6
处于活动状态。 - 具有第 2 层隧道协议 (L2TP) 支持等级 (CoS) 的用户规模资格,以及用于 IPV4、IPV6 和双堆栈的 L2TP 接入集中器 (LAC) 用户接口。
其余语句将单独解释。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。
所需权限级别
admin - 在配置中查看此语句。
管理员控制 - 将此语句添加到配置中。
发布信息
Junos OS 11.2 版中引入的语句。