protocols (DDoS)

配置监管器以监控协议组内的所有控制数据包。您可以为任何协议组配置聚合监管器。

（可选）要监管的控制数据包类型的名称。您只能为以下数据包类型和协议组配置特定的监管器：

• arp—以下 ARP 数据包类型可用：

  • aggregate— 适用于此协议组的所有类型的控制数据包流量的组合。

  在 MX 系列设备上，在 Junos OS 23.2R1 版之前，ARP 请求和回复流量只有一个 DDoS 协议。从 Junos OS 23.2R1 版开始，您可以为 ARP 请求和回复流量配置单独的 DDoS 协议数据包类型， bcast 并在 ucast[edit ddos-protection protocols arp] 层次结构级别配置。独立的 DDoS 监管器为 ARP 流量提供了改进的数据包速率限制和优先级处理。

• bgp—以下 BGP 数据包类型可用：

  • aggregate— 适用于此协议组的所有类型的控制数据包流量的组合。

• bgpv6—以下 BGPv6 数据包类型可用：

  • aggregate— 适用于此协议组的所有类型的控制数据包流量的组合。

• dhcpv4—以下数据包类型可用于 DHCPv4 流量：

  • ack—DHCPACK 数据包。

  • bad-packets—格式错误的 DHCPv4 数据包。

  • bootp— DHCPBOOTP 数据包。

  • decline—DHCP 拒绝数据包。

  • discover— DHCP 发现数据包。

  • force-renew— DHCP 强制续订数据包。

  • inform—DHCP 通知数据包。

  • lease-active—DHC请激活数据包。

  • lease-query—DHC请查询数据包。

  • lease-unassigned—DHC 请未分配的数据包。

  • lease-unknown—DHC请未知数据包。

  • nak—DHCPNAK 数据包。

  • no-message-type— 缺少消息类型的 DHCP 数据包。

  • offer— DHCPOFFER 数据包。

  • release—DHCP 发布数据包。

  • renew— DHCPRENEW 数据包。

  • request— DHCP 请求数据包。

  • unclassified— 协议组中的所有未分类数据包。

• dhcpv6—以下数据包类型可用于 DHCPv6 流量：

  • advertise— 播发数据包。

  • confirm—确认数据包。

  • decline—拒绝数据包。

  • information-request—信息请求数据包。

  • leasequery— 租赁查询数据包。

  • leasequery-data—租赁查询数据包。

  • leasequery-done— 租赁查询完成的数据包。

  • leasequery-reply—租赁查询回复数据包。

  • rebind— 重新绑定数据包。

  • reconfigure— 重新配置数据包。

  • relay-forward— 中继转发数据包。

  • relay-reply—中继-回复数据包。

  • release—释放数据包。

  • renew— 续订数据包。

  • reply—回复数据包。

  • request—请求数据包。

  • solicit— 请求数据包。

  • unclassified— 协议组中的所有未分类数据包。

• filter-action— 以下数据包类型可用于由于防火墙过滤器中的拒绝条款而发送到主机的未分类防火墙过滤器操作数据包：

  • filter-v4— 未分类的 IPv4 过滤操作数据包。

  • filter-v6— 未分类的 IPv6 过滤器操作数据包。

  • other— 不是 IPv4 或 IPv6 的所有其他未分类过滤器操作数据包。

• frame-relay—以下数据包类型可用于帧中继流量：

  • frf15— 多链路帧中继 FRF.15 数据包。

  • frf16— 多链路帧中继 FRF.16 数据包。

• ip-fragments— 以下数据包类型可用于 IP 分段：

  • first-fragment—第一个 IP 片段。

  • trail-fragment—最后一个 IP 片段。

• ip-options—以下数据包类型可用于 IP 选项流量：

  • non-v4v6— IPv4/v6 以外的选项数据包。

  • router-alert— 路由器警报选项数据包。

  • unclassified— 协议组中的所有未分类数据包。

• l2tp—以下数据包类型可用于 Junos OS 13.3R5 和 14.1X50 版中的 L2TP LNS 订阅者管理网络环境（在当前的增强型订阅者管理环境中，L2TP ERA 已取消此选项）：

  • cdn— 呼叫-断开连接-通知消息数据包。

  • hello—hello 消息数据包。

  • iccn— 传入呼叫连接的消息数据包。

  • icrq— 传入-呼叫-请求消息数据包。

  • scccn—启动-控制-连接-连接的消息数据包。

  • sccrq—启动-控制-连接-请求消息数据包。

  • stopccn— 停止-控制-连接-通知消息数据包。

  • unclassified— 协议组中的所有未分类数据包。

• mcast-snoop— 控制组播侦听的流量。

  • igmp— 侦听的 IGMP 流量。

  • mld— 窥探 MLD 流量。

  • pim— 窥探 PIM 控制流量。

• mlp—以下 MLP 数据包类型可用：

  • aggregate— 适用于此协议组的所有类型的控制数据包流量的组合。

  • add—添加请求;发送到主机的内部 MAC 地址学习请求数据包。

  • delete—删除请求;发送到主机的内部 MAC 地址学习请求数据包。

  • lookup—查找请求;发送到主机的内部 MAC 地址学习请求数据包。

  • unclassified— 协议组中的所有未分类数据包。

  • macpin-exception— MAC 地址固定的例外情况（其中固定动态学习的 MAC 地址以防止由重复 MAC 检测的 MAC 移动引起的循环）。

• ndpv6—除非另有说明，否则以下 NDPv6 数据包类型可用，从 14.1R8、14.2R8、15.1R5、15.1F7 和 16.1R1 开始：

  • aggregate— 适用于此协议组的所有类型的控制数据包流量的组合。

  • invalid-hop-limit—（从 16.1R2 开始）无效的跃点限制数据包。这些消息可能表示基于网络的恶意数据包泛洪中构建的数据包。

  • neighbor-advertisement— 邻居通告数据包。这些消息用于重复地址检测和测试邻居的可访问性。发送邻居通告是为了响应邻居请求消息。

  • neighbor-solicitation—邻居请求数据包。这些消息用于重复地址检测和测试邻居的可访问性。

  • redirect— 重定向数据包。

  • router-advertisement— 路由器通告数据包。发送这些消息是为了宣布路由器的存在、播发前缀、协助地址配置以及共享其他链路信息（如 MTU 大小和跳数限制）。链路上的 IPv6 节点可以使用此信息为自己配置 IPv6 地址和路由信息（如默认网关）。

  • router-solicitation— 路由器请求数据包。这些是 IPv6 节点联机时发送的消息，旨在从路由器请求即时路由器通告。

• ppp—以下 PPP 数据包类型可用：

  • authentication— PPP 身份验证协议数据包。

  • echo-rep—LCP 回显回复数据包。

  • echo-req— LCP 回显请求数据包。

  • ipcp— IP 控制协议数据包。

  • ipv6cp—IPv6 控制协议数据包。

  • isis—IS-IS 数据包。

  • lcp— 链路控制协议数据包。

  • mlppp-lcp— MLPPP LCP 数据包。

  • mplscp—MPLS 控制协议数据包。

  • unclassified— 协议组中的所有未分类数据包。

• pppoe—以下 PPPoE 数据包类型可用：

  • padi—PADI 数据包。

  • padm—PADM 数据包。

  • padn— PADN 数据包。

  • pado—PADO 数据包。

  • padr—PADR 数据包。

  • pads— PADS 数据包。

  • padt—PADT 数据包。

• radius—以下 RADIUS 数据包类型可用：

  • accounting—RADIUS 记帐数据包。

  • authorization— RADIUS 授权数据包。

  • server- RADIUS 服务器流量。

  • unclassified— 协议组中的所有未分类数据包。

• re-services—以下数据包类型可用于基于路由引擎的 HTTP 重定向 IPv4 流量：

  • captive-portal— 基于路由引擎的强制门户内容交付数据包。

• re-services-v6— 以下数据包类型可用于基于路由引擎的 HTTP 重定向 IPv6 流量：

  • captive-portal— 基于路由引擎的强制门户内容交付数据包。

• resolve— 以下数据包类型可用于由于流量请求解析操作而发送到主机的未分类解析数据包：

  • mcast-v4— 未分类的 IPv4 组播解析数据包。

  • mcast-v6— 未分类的 IPv6 组播解析数据包。

  • ucast-v4— 未分类的 IPv4 单播解析数据包。

  • ucast-v6— 未分类的 IPv6 单播解析数据包。

  • other— 所有其他未分类解析数据包。

• sample—提供以下示例数据包类型：

  • host— 主机数据包。

  • pfe— 数据包转发引擎数据包。

  • syslog—系统日志消息数据包。

  • tap— TAP 数据包。

• tcp-flags—以下带有 TCP 标记的数据包类型可用：

  • established— 设置了 ACK 或 RST 标志的 TCP 数据包。

  • initial— 设置了 SYN 标志但未设置 ACK 标志的 TCP 数据包。

  • unclassified— 带有标志的 TCP 数据包设置除已建立数据包和初始数据包之外的任何其他方式。

• unclassified—以下未分类数据包类型可用：

  • control-layer2— 未分类的第 2 层控制数据包。

  • control-v4— 未分类的 IPv4 控制数据包。

  • control-v6— 未分类的 IPv6 控制数据包。

  • fw-host— 未分类的发送到主机防火墙数据包。

  • host-route-v4— 发送到路由器本地接口地址的流量中的未分类 IPv4 路由协议和主机数据包。

  • host-route-v6— 发送到路由器本地接口地址的流量中的未分类 IPv6 路由协议和主机数据包。

  • other— 不属于其他类型的所有未分类数据包。

• virtual-chassis— 以下数据包类型可用于虚拟机箱数据包：

  • control-low— 低优先级控制数据包。

  • control-high— 高优先级控制数据包。

  • unclassified— 协议组中的所有未分类数据包。

  • vc-packets— 虚拟机箱链路上的所有例外数据包。

  • vc-ttl-errors— 虚拟机箱 TTL 错误数据包。

为其监管流量的协议组的名称。您可以为以下任何协议组配置监管器：

• amtv4—IPv4 AMT 流量。

• amtv6—IPv6 AMT 流量。

• ancp—ANCP 流量。

• ancpv6—ANCPv6 流量。

• arp—ARP 流量。

• atm—ATM 流量。

• bfd—BFD 流量。

• bfdv6—BFDv6 流量。

• bgp—BGP 流量。

• bgpv6—BGPv6 流量。

• control—控制流量。

• demux-autosense— 解复用自动感应流量。

• dhcpv4—DHCPv4 流量。

• dhcpv6—DHCPv6 流量。

• diameter- 直径和 Gx-Plus 流量。

• dns— DNS 流量。

• dtcp—DTCP 流量。

• dynamic-vlan— 动态 VLAN 例外流量。

• egpv6—EGPv6 流量。

• eoam—EOAM 流量。

• esmc- ESMC 流量。

• fab-probe—晶圆厂出探测数据包。

• filter-action- 由于防火墙过滤器中的拒绝项而发送到主机的 IPv4 和 IPv6 防火墙过滤器操作数据包

• frame-relay—帧中继流量。

• ftp—FTP 流量。

• ftpv6—FTPv6 流量。

• gre- GRE 流量。

• gtp-path-mgmt—GTP 路径管理流量。

• icmp—ICMP 流量。

• igmp—IGMP 流量

• igmpv4v6— IGMP v4/v6 流量。

• igmpv6—IGMPv6 流量。

• inline-ka— 内联服务接口保持连接流量。

• inline-svcs— 内联服务流量。

• ip-fragments— IP 分段流量。

• ip-options–具有 IP 数据包标头选项的 IP 流量。

• isis—IS-IS 流量。

• jfm- JFM 流量。

• l2pt—第 2 层协议隧道流量。

• lacp— LACP 流量。

• ldp- LDP 流量。

• ldpv6—LDPv6 流量。

• lldp—LLDP 流量。

• lmp—LMP 流量。

• lmpv6—LMPv6 流量。

• mac-host— 第 2 层 MAC 发送到主机的流量。

• mcast-snoop— 控制组播侦听的流量。

• mlp—MLP 流量。

• msdp— MSDP 流量。

• msdpv6—MSDPv6 流量。

• multicast-copy— 由于组播路由而导致的主机复制流量。

• mvrp— MVRP 流量。

• ndpv6—NDPv6 流量。

• ntp—NTP 流量。

• oam-lfm—OAM-LFM 流量。

• ospf— OSPF 流量。

  从 Junos OS 23.2R1 版开始，该 ospf 协议有两个子协议： ospf-hello 对 DDOS 高优先级 OSPF 流量进行分类，以及对 ospf-unclassified DDOS 低优先级 OSPF 流量进行分类。

• ospfv3v6—OSPFv3/IPv6 流量。

  从 Junos OS 23.2R1 版开始，该 ospfv3v6 协议有两个子协议： ospfv3v6-hello 对 DDOS 高优先级 OSPF 流量进行分类，以及对 ospfv3v6-unclassified DDOS 低优先级 OSPF 流量进行分类。

• pfcp—数据包转发控制协议 （PFCP） 流量。

• pfe-alive— 数据包转发引擎激活流量。

• pim— PIM 流量。

• pimv6— PIMv6 流量。

• pmvrp—PMVRP 流量。

• pos— POS 流量。

• ppp—PPP 流量。

• pppoe—PPPoE 流量。

• ptp— PTP 流量。

• pvstp— PVSTP 流量。

• radius- 半径流量。

• re-services— 路由引擎 HTTP 重定向的强制门户内容交付 IPv4 流量。

• re-services-v6— 路由引擎 HTTP 重定向的强制门户内容交付 IPv6 流量。

• redirect— 触发 ICMP 重定向的流量。

• reject—被下一跃点转发决策拒绝的数据包。

• rejectv6—被下一跃点转发决策拒绝的 V6 数据包。

• resolve— 由于流量请求解析操作而发送到主机的未分类 IPv4 和 IPv6 解析数据包。

• rip— RIP 流量。

• ripv6— RIPv6 流量。

• rsvp—RSVP 流量。

  从 Junos OS 23.2R1 版开始，该 rsvp 协议有两个子协议： rsvp-hello 对 DDOS 高优先级 RSVP 流量进行分类，以及对 ospfv3v6-unclassified DDOS 低优先级 RSVP 流量进行分类。

• rsvpv6—RSVPv6 流量。

• services–服务流量。

• snmp—SNMP 流量。

• snmpv6— SNMPv6 流量。

• ssh—SSH 流量。

• sshv6—SSHv6 流量。

• stp—STP 流量。

• syslog— 路由引擎系统日志服务器的端口 6333 上的系统日志消息 UDP 流量。

• tacacs— TACACS 流量。

• tcp-flags— 带有 TCP 标志的流量。

• telnet— TELNET 流量。

• telnetv6— TELNETv6 流量。

• ttl— TTL 流量。

• tunnel-fragment— 隧道分段流量。

• tunnel-ka—隧道激活流量。

• unclassified- 未分类的流量。

  从 Junos OS 23.2R1 版开始，该 unclassified 协议有两个子协议： host-route-tcp-v4 并对 host-route-udp-v4 DDOS 低优先级 TCP 和 UDP 流量进行分类。

• virtual-chassis— 虚拟机箱流量。

• vrrp— VRRP 流量。

• vrrpv6—VRRPv6 流量。

• vxlan— VXLAN 第 2 层和第 3 层流量。