Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

控制平面分布式拒绝服务 (DDoS) 保护概述

拒绝服务 (DoS) 攻击是指通过用完网元或服务器的所有资源来拒绝有效用户访问网络或服务器资源的任何尝试。分布式拒绝服务 (DDoS) 攻击涉及来自多个来源的攻击,从而使更多的流量攻击网络。这些攻击通常使用网络协议控制数据包来触发设备控制平面的大量异常。这会导致处理负载过大,从而中断正常的网络操作。

通过单点 DDoS 防护管理,网络管理员可以为其网络控制流量自定义配置文件。对于路由器,在 平稳路由引擎切换 (GRES) 和统一不中断服务软件升级 (ISSU) 切换期间,保护和监控仍然存在。保护不会随着订阅者数量的增加而减少。

针对 DDoS 违规的主机绑定流量监管器

为了保护控制平面免受 DDoS 攻击,设备默认为主机绑定流量启用监管器。如果需要,您可以修改许多监管器默认值。主机绑定流量是发往路由引擎的流量,包括路由协议(如 OSPF 和 BGP)的协议控制数据包。发往路由器 IP 地址的流量也被视为主机绑定流量。

监管器为给定协议的所有控制流量指定速率限制,或者在某些情况下,为协议的特定控制数据包类型指定速率限制。您可以在设备、路由引擎和线卡级别监控数据包类型和协议组的监管器操作。您还可以控制监管器事件的日志记录。

当控制流量超过默认值或配置的监管器值时,设备会丢弃控制流量。发生 DDoS 违规时,设备不会停止处理数据包;它只会限制他们的费率。每次违规都会立即生成通知,提醒操作员可能发生的攻击。设备对违规进行计数,并记录违规开始的时间和上次观察到的违规的时间。当流量速率降至带宽违规阈值以下时,恢复计时器将确定何时认为流量已恢复正常。如果在计时器过期之前没有发生进一步的违规,设备将清除违规状态并生成通知。

注意:

在 PTX 路由器和 QFX 系列交换机上,计时器设置为 300 秒,无法修改。

第一道保护线是数据包转发引擎 (PFE) 上的监管器。在具有多个线卡的设备上,监管器状态和来自每个线卡的统计信息将中继到路由引擎并进行聚合。监管器状态在切换期间保持不变。尽管在切换期间会保留线卡统计信息和违规计数,但不会保留路由引擎监管器统计信息。控制从线卡所有端口到达的流量汇聚在数据包转发引擎上,在那里对其进行监管,在多余的数据包到达路由引擎之前丢弃它们,并确保路由引擎仅接收它可以处理的流量。

支持此功能的 ACX 系列路由器仅支持聚合监管器,不支持线卡级别的监管。您可以在路由引擎级别全局更改默认监管器值,也可以为特定协议组更改默认监管器值,这些值会向下传播到 PFE 芯片组级别。但是,您不能像在其他设备上那样在线卡级别应用其他扩展参数。您可以在路由引擎级别全局禁用管制,也可以针对特定协议组禁用管制。全局禁用监管会有效地禁用设备上的控制平面 DDoS 保护。

QFX10000 系列交换机和 PTX 系列路由器在 PFE 芯片组、线卡和路由引擎中的三个级别实施 DDoS 保护限制。

除了通过事件日志记录提供违规通知外,控制平面 DDoS 保护还允许您监控监管器,获取监管器配置、遇到的违规次数、违规日期和时间、数据包到达率以及接收或丢弃的数据包数等信息。

注意:

控制平面 DDoS 保护监管器作用于系统的流量队列。交换机的 QFX5100 和 QFX5200 行管理比队列数量更多的协议的流量,因此系统通常必须将多个协议映射到同一队列。当一个协议的流量与其他协议共享队列并违反 DDoS 保护监管器限制时,这些设备会报告所有映射协议在该队列上的违规,因为系统无法区分具体导致违规的协议流量。您可以使用自己对流经网络的流量类型的了解来确定哪些报告的协议实际触发了违规。

平台支持

在 Junos OS 14.2 版及更高版本中,特定平台支持控制平面 DDoS 保护。通常,以下平台的某些型号默认启用控制平面 DDoS 保护,并支持用于更改默认监管器参数的配置选项:

  • ACX 系列路由器。

  • EX9200 交换机。

  • 仅安装 MPC 的 MX 系列路由器。

  • 内置 MPC 的 MX 系列路由器。

    注意:

    为简单起见,文本指的是线卡或线卡监管器,对于这些路由器,这意味着内置 MPC。

    由于这些路由器没有 FPC 插槽,因此命令在show字段中显示FPC的信息实际上是指 TFEB。

  • 仅安装了基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)的 PTX 系列路由器从 Junos OS 17.4R1 版开始支持控制平面 DDoS 保护。

    PTX10002 路由器支持从 Junos OS 18.2R1 版开始的控制平面 DDoS 保护。

    从 Junos OS 演化版 19.3R1 开始,PTX10003路由器支持控制平面 DDoS 保护。

    PTX10004 路由器支持从 Junos OS 演化版 20.3R1 开始的控制平面 DDoS 保护。

    PTX10008路由器支持从 Junos OS 演化版 20.1R1 开始的控制平面 DDoS 保护。

  • QFX 系列交换机,包括 QFX5100 系列、QFX5200 系列和 QFX10000 系列交换机。

    从 Junos OS 18.1R1 版开始,QFX10002-60C 交换机支持控制平面 DDoS 保护。

  • 仅安装了 5 类 FPC 的 T4000 路由器。

注意:
  • 在 Junos Evolved 平台上,您必须在设备的 lo0 接口上配置 inet 和/或 inet6 协议家族,才能让 DDoS 保护分别适用于这些协议家族。

  • 某些 EX 系列交换机可能具有控制平面 DDoS 保护,但不支持用于显示或更改默认监管器参数的 CLI 选项。

  • 对于除了 MPC(MX 系列)、5 类 FPC (T4000) 或基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)之外还有其他线卡的路由器平台,CLI 接受配置,但其他线卡不受保护,因此路由器不受保护。

  • 路由平台上的 Junos OS 17.3R1 版中添加了对增强型订阅者管理的控制平面 DDoS 保护支持。

  • 要更改支持的协议组和数据包类型的默认配置控制平面 DDoS 保护参数,支持 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机的 CLI 配置选项与 MX 系列和 T4000 路由器的可用选项明显不同。有关不同设备上的可用配置选项,请参阅以下配置语句:

监管器类型和数据包优先级

控制平面 DDoS 保护包括两种类型的监管器:

  • 聚合监管器应用于属于协议组的完整数据包类型集。例如,您可以配置适用于所有 PPPoE 控制数据包类型或所有 DHCPv4 控制数据包类型的聚合监管器。您可以指定带宽(每秒数据包数 [pps])和突发(突发数据包)限制,扩展带宽和突发限制,以及为聚合监管器设置流量优先级。所有协议组都支持聚合监管器。

  • 为协议组内的每种控制数据包类型分配一个 单独的监管器(也称为 数据包类型监管器)。例如,您可以为一种或多种类型的 PPPoE 控制数据包、RADIUS 控制数据包或组播侦听数据包配置监管器。您可以指定带宽 (pps) 和突发(数据包)限制值,扩展带宽和突发限制,以及为数据包类型监管器设置流量优先级。单个监管器可用于某些协议组。

协议组和数据包类型支持因平台和 Junos OS 版本而异,如下所示:

控制数据包首先由其单个监管器(如果支持)进行监管,然后由其聚合监管器进行监管。单个监管器丢弃的数据包永远不会到达聚合监管器。通过单个监管器的数据包随后可被聚合监管器丢弃。

注意:

ACX 系列路由器仅支持任何受支持的协议组的聚合监管器。

协议组中的数据包类型具有默认的可配置优先级:低、中或高。每个控制数据包在其聚合监管器根据为协议组中每种数据包类型配置的优先级施加的数据包速率限制内与其他数据包竞争带宽。

优先机制是绝对的。高优先级流量优先于中优先级和低优先级流量获取带宽。中等优先级流量优先于低优先级流量获取带宽。低优先级流量只能使用高优先级和中优先级流量剩余的带宽。如果优先级较高的流量占用了所有带宽,则会丢弃所有优先级较低的流量。

在 Junos OS 23.2R1 之前的版本中,在 MX 系列设备上,设备中的线卡类型决定了传入协议的分布式拒绝服务 (DDoS) 优先级。从 Junos OS 23.2R1 版开始,设备根据 DDoS 参数表确定协议的 DDoS 优先级。此增强功能使设备在默认情况下以相同方式处理特定协议的所有数据包,而不考虑设备的线卡。您可以使用 CLI 修改 DDoS 参数表。此功能提高了网络中设备为防止 DDoS 攻击而确定协议优先级的方式的一致性。

监管器优先级行为示例

例如,在支持 PPPoE 协议组控制平面 DDoS 保护的设备上,请考虑如何在此协议组中配置数据包类型。在本例中忽略其他 PPPoE 数据包类型,假设您为 PADI 和 PADT 数据包配置了单独的监管器,并为所有这些数据包配置了一个 PPPoE 聚合监管器。您优先考虑 PADT 数据包而不是 PADI 数据包,因为 PADT 数据包使 PPPoE 应用程序能够释放资源以接受新连接。因此,您可以为 PADT 数据包分配高优先级,为 PADI 数据包分配低优先级。

聚合监管器对协议组施加总数据包速率限制。由其个人监管器传递的 PADT 数据包可以在其个人监管器通过 PADI 数据包之前访问该带宽,因为 PADT 数据包具有更高的优先级。如果通过的 PADT 数据包太多以至于它们使用了所有可用带宽,则所有 PADI 数据包都将被丢弃,因为聚合监管器上没有剩余带宽。

监管器层次结构示例

控制平面 DDoS 监管器经过组织以匹配协议控制流量的分层流。控制从线卡所有端口到达的流量会汇聚在数据包转发引擎上。来自路由器上所有线卡的控制流量汇聚在路由引擎上。同样,DDoS 监管器沿控制路径分层放置,以便在路径上尽早丢弃多余的数据包。此设计通过删除多余的恶意流量来保留系统资源,以便路由引擎仅接收它可以处理的流量。

例如,要在 MX 系列路由器上实现此设计,需要有五个 DDoS 监管器:一个在数据包转发引擎(芯片组)上,两个在线卡上,两个在路由引擎上。对于某些协议组,数据包转发引擎上也存在聚合监管器,总共六个监管器;为简单起见,文本遵循一般情况。例如, 图 1 显示了 PPPoE 流量的监管器进程。 图 2 显示了 DHCPv4 流量的监管器进程。(相同的过程也适用于 DHCPv6 流量。

注意:

回想一下,PTX 系列路由器和 QFX 系列交换机的设计更简单,监管器仅在数据包转发引擎中。PTX10003 和 PTX10008 路由器在三个级别实施控制平面 DDoS 保护限制,两个在数据包转发引擎芯片组和线卡级别,一个在路由引擎级别。但是,数据包类型和聚合监管器在所有这些平台上的运行方式类似。

图 1:PPPoE 数据包 Policer Hierarchy for PPPoE Packets的监管器层次结构

图 2:DHCPv4 数据包 Policer Hierarchy for DHCPv4 Packets的监管器层次结构

控制数据包到达数据包转发引擎进行处理和转发。第一个监管器 (1) 是单个监管器(图 1)或聚合监管器(图 2)。

  • 第一个监管器是支持各个监管器的协议组的单个监管器,但有两个例外。对于 DHCPv4 和 DHCPv6 流量,第一个监管器是聚合监管器。

  • 第一个监管器是仅支持聚合监管器的协议组的聚合监管器。

通过第一个监管器的流量由一个或两个线卡监管器监控。如果卡具有多个数据包转发引擎,则来自所有数据包转发引擎的流量将汇聚到线卡监管器上。

  • 当流量属于支持单个监管器的协议组时,它将通过线卡单个监管器 (2),然后通过线卡聚合监管器 (3)。聚合监管器可能会丢弃通过单个监管器的流量。尽管 DHCPv4 和 DHCPv6 流量由数据包转发引擎上的聚合监管器监控,但在线卡的处理方式与支持各个监管器的其他协议类似。

  • 当流量属于仅支持聚合监管器的协议组时,只有线卡聚合监管器监控流量。

通过线卡监管器的信息流由一个或两个路由引擎监管器监控。来自所有线卡的信息流汇聚在路由引擎监管器上。

  • 当信息流属于支持单个监管器的协议组时,它将通过路由引擎单个监管器 (4),然后通过路由引擎聚合监管器 (5)。聚合监管器可能会丢弃通过单个监管器的流量。与在线卡级别一样,路由引擎上的 DHCPv4 和 DHCPv6 流量的处理方式与支持各个监管器的其他协议类似。

  • 当流量属于仅支持聚合监管器的协议组时,只有聚合监管器监控流量。

通过此设计,三个监管器将评估仅支持聚合监管器的协议组的流量。在其他组中,这包括 ANCP、动态 VLAN、FTP 和 IGMP 流量。同时支持聚合监管器和单个监管器的协议组的流量由所有五个监管器进行评估。在其他组中,这包括 DHCPv4、MLP、PPP、PPPoE 和 虚拟机箱 流量。

图 1 显示了控制平面 DDoS 保护如何策略 PPPoE 控制数据包:

  1. 例如,PADR 数据包在数据包转发引擎上的第一个监管器上进行评估,以确定它们是否在数据包速率限制范围内。超过限制的 PADR 数据包将被丢弃。

  2. 接下来,线卡上所有数据包转发引擎上通过监管器的所有 PADR 数据包将由线卡单个监管器进行评估。超过限制的 PADR 数据包将被丢弃。

  3. 通过线卡单个监管器的所有 PADR 数据包都将进入线卡聚合监管器。超过限制的 PADR 数据包将被丢弃。

  4. 由路由器上所有线卡上的线卡聚合监管器传递的所有 PADR 数据包都将进入路由引擎单个监管器。超过限制的 PADR 数据包将被丢弃。

  5. 最后,路由引擎单个监管器传递的所有 PADR 数据包都将进入路由引擎聚合监管器。超过限制的 PADR 数据包将被丢弃。此处未丢弃的 PADR 数据包将作为安全、正常的流量进行传递。

默认情况下,对于给定的数据包类型,所有三个单独的监管器(数据包转发引擎、线卡和路由引擎)具有相同的数据包速率限制。通过此设计,只要不存在来自其他数据包转发引擎或线卡的同类型竞争流量,来自数据包转发引擎和线卡的所有控制流量都可以到达路由引擎。当存在竞争流量时,多余的数据包会在汇聚点丢弃。也就是说,它们会在所有竞争数据包转发引擎的线卡和所有竞争线卡的路由引擎上丢弃。

限制数据包速率的监管器行为示例

例如,假设您将 PADI 数据包的监管器 bandwidth 选项设置为每秒 1000 个数据包。此值适用于数据包转发引擎、线卡和路由引擎上的各个 PADI 监管器。如果只有插槽 5 中的卡正在接收 PADI 数据包,则多达 1000 个 PADI pps 可以到达路由引擎(如果未超过 PPPoE 聚合监管器)。但是,假设插槽 9 中的卡也以 1000 pps 的速度接收 PADI 数据包,并且未超出其 PPPoE 聚合监管器。流量通过两个线卡上的单个和聚合监管器,然后继续进入路由引擎。在路由引擎上,组合数据包速率为 2000 pps。由于路由引擎上的 PADI 监管器只允许 1000 个 PADI pps 通过,因此它会丢弃多余的 1000 个数据包。只要超过带宽 (pps) 限制,它就会继续丢弃多余的数据包。

您可以为线卡的带宽 (pps) 限制和突发(突发数据包)限制应用比例因子,以微调每个插槽的流量限制。例如,假设单个监管器将 PADI 数据包速率设置为 1000 pps,突发大小设置为 50,000 个数据包。您可以通过指定插槽编号和比例因子来减少任何线卡上 PADI 数据包的流量限制。插槽 5 的带宽比例因子为 20,此示例中的流量将减少到 1000 pps 的 20%,或该插槽中线卡的流量为 200 pps。同样,该插槽的突发扩展因子为 50 会将突发大小减少 50%,达到 25,000 个数据包。默认情况下,缩放因子设置为 100,以便流量可以以速率限制的 100% 通过。

控制平面 DDoS 保护与订阅者登录数据包过载保护的比较

除了控制平面 DDoS 保护功能外,MX 系列路由器还具有内置的用户登录过载保护机制。登录过载保护机制(也称为负载限制机制)监视传入的订阅者登录数据包,并根据系统上的普遍负载仅允许系统能够处理的内容。超出系统可以处理能力的数据包将被丢弃。通过消除这种多余的负载,系统能够保持最佳性能,并防止在过载条件下登录完成率下降。此机制使用最少的资源,默认情况下处于启用状态;无需用户配置。

此机制提供的保护是次要的,而不是控制平面 DDoS 保护作为针对高传入数据包速率的第一级防御所提供的保护。控制平面 DDoS 防护在数据包转发引擎上运行,可防御所有协议的所有数据包类型。相比之下,登录过载保护机制位于路由引擎上,专门针对传入的连接初始数据包(如 DHCPv4 DHCPDISCOVER、DHCPv6 SOLICIT 和 PPPoE PADI 数据包)运行。

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
20.3R1
PTX10004 路由器支持从 Junos OS 演化版 20.3R1 开始的控制平面 DDoS 保护。
19.4R1-S1
PTX10008路由器支持从 Junos OS 演化版 20.1R1 开始的控制平面 DDoS 保护。
19.3R1
从 Junos OS 演化版 19.3R1 开始,PTX10003路由器支持控制平面 DDoS 保护。
18.2R1
PTX10002 路由器支持从 Junos OS 18.2R1 版开始的控制平面 DDoS 保护。
18.2R1
从 Junos OS 18.1R1 版开始,QFX10002-60C 交换机支持控制平面 DDoS 保护。
17.4R1
仅安装了基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)的 PTX 系列路由器从 Junos OS 17.4R1 版开始支持控制平面 DDoS 保护。
17.3R1
路由平台上的 Junos OS 17.3R1 版中添加了对增强型订阅者管理的控制平面 DDoS 保护支持。
14.2
在 Junos OS 14.2 版及更高版本中,特定平台支持控制平面 DDoS 保护。