Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

控制平面分布式拒绝服务 (DDoS) 防护概述

拒绝服务 (DoS) 攻击是指通过用完网络元素或服务器的所有资源来拒绝有效用户访问网络或服务器资源的任何尝试。分布式拒绝服务 (DDoS) 攻击涉及来自多个来源的攻击,使更多的流量能够攻击网络。这些攻击通常使用网络协议控制数据包来触发设备控制平面的大量异常。这会导致过多的处理负载,从而中断正常的网络操作。

通过单点 DDoS 保护管理,网络管理员可以为其网络控制流量自定义配置文件。对于路由器,保护和监控在 平滑路由引擎切换 (GRES) 和统一不中断服务的软件升级 (ISSU) 切换中持续存在。保护不会随着订阅者数量的增加而减少。

用于 DDoS 违规的主机绑定流量监管器

为了保护控制平面免受 DDoS 攻击,设备默认为主机绑定流量启用监管器。如果需要,您可以修改许多监管器默认值。主机绑定流量是发往路由引擎的流量,包括路由协议(如 OSPF 和 BGP)的协议控制数据包。发往路由器 IP 地址的流量也被视为主机绑定流量。

监管器为给定协议的所有控制流量指定速率限制,或者在某些情况下,为协议的特定控制数据包类型指定速率限制。您可以在设备、路由引擎和线卡级别监控数据包类型和协议组的监管器操作。您还可以控制监管器事件的日志记录。

当控制流量超过默认或配置的监管器值时,设备会丢弃控制流量。发生 DDoS 违规时,设备不会停止处理数据包;它只会限制他们的速率。每个违规都会立即生成一个通知,以提醒操作员可能的攻击。设备对违规进行计数,并记录违规开始的时间和上次观察到的违规的时间。当流量速率降至带宽违规阈值以下时,恢复计时器将确定何时认为流量已恢复正常。如果在 timer 到期之前没有进一步的违规,设备将清除违规状态并生成通知。

注意:

在 PTX 路由器和 QFX 系列交换机上,计时器设置为 300 秒,无法修改。

第一道保护线是数据包转发引擎 (PFE) 上的监管器。在具有多个线卡的设备上,每个线卡的监管器状态和统计信息将中继到路由引擎并聚合。监管器状态在切换期间得到维护。尽管在切换期间会保留线卡统计信息和违规计数,但路由引擎监管器统计信息不会。控制来自线卡所有端口的流量汇聚在数据包转发引擎上,在那里受到监管,在数据包到达路由引擎之前丢弃多余的数据包,并确保路由引擎仅接收它可以处理的流量。

支持此功能的 ACX 系列路由器仅支持聚合监管器,不支持线卡级别的监管。您可以全局更改路由引擎级别的默认监管器值,也可以更改特定协议组的默认监管器值,这些值会向下传播到 PFE 芯片组级别。但是,您不能像在其他设备上那样在线卡级别应用其他扩展参数。您可以在路由引擎级别全局禁用管制,也可以为特定协议组禁用管制。全局禁用管制会有效地禁用设备上的控制平面 DDoS 保护。

QFX10000 系列交换机和 PTX 系列路由器在 PFE 芯片组、线卡和路由引擎中的三个级别实施 DDoS 保护限制。

除了通过事件日志记录提供违规通知外,控制平面 DDoS 防护还允许您监控监管器,获取监管器配置、遇到的违规数量、违规的日期和时间、数据包到达率以及接收或丢弃的数据包数量等信息。

注意:

控制平面 DDoS 保护监管器作用于系统的流量队列。交换机的 QFX5100 行和 QFX5200 行管理的协议流量多于队列数量,因此系统通常必须将多个协议映射到同一队列。当一个协议的流量与其他协议共享一个队列并违反 DDoS 保护监管器限制时,这些设备会报告该队列上所有映射协议的违规,因为系统不会区分哪个协议的流量专门导致了违规。您可以使用您了解的流经网络的流量类型来确定哪些报告的协议实际触发了违规。

平台支持

在 Junos OS 14.2 及更高版本中,特定平台支持控制平面 DDoS 保护。通常,以下平台的某些型号默认启用控制平面 DDoS 保护,并支持更改默认监管器参数的配置选项:

  • ACX 系列路由器。

  • EX9200 交换机。

  • 仅安装了 MPC 的 MX 系列路由器。

  • 具有内置 MPC 的 MX 系列路由器。

    注意:

    为简单起见,文本是指线卡或线卡监管器,对于这些路由器,这意味着内置 MPC。

    由于这些路由器没有 FPC 插槽,因此命令在字段show中显示的FPC信息实际上是指 TFEB。

  • 仅安装了基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)的 PTX 系列路由器从 Junos OS 17.4R1 版开始支持控制平面 DDoS 保护。

    PTX10002路由器从 Junos OS 18.2R1 版开始支持控制平面 DDoS 保护。

    PTX10003路由器从 Junos OS 演化版 19.3R1 开始支持控制平面 DDoS 保护。

    PTX10004路由器从 Junos OS 演化版 20.3R1 开始支持控制平面 DDoS 保护。

    PTX10008路由器从 Junos OS 演化版 20.1R1 开始支持控制平面 DDoS 保护。

  • QFX 系列交换机,包括 QFX5100 系列、QFX5200 系列和 QFX10000 系列交换机。

    QFX10002-60C 交换机从 Junos OS 18.1R1 版开始支持控制平面 DDoS 保护。

  • 仅安装了 5 类 FPC 的 T4000 路由器。

注意:

  • 在 Junos Evolved 平台上,您必须在设备的 lo0 接口上配置 inet and/或 inet6 protocol family,以便 DDoS 保护分别适用于这些协议系列。

  • 某些 EX 系列交换机可能具有控制平面 DDoS 保护,但不支持 CLI 选项来显示或更改默认监管器参数。

  • 对于除 MPC(MX 系列)、5 类 FPC (T4000) 或基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)之外还有其他线卡的路由器平台,CLI 接受配置,但其他线卡不受保护,因此路由器不受保护。

  • 路由平台上的 Junos OS 17.3R1 版中添加了对增强型订阅者管理的控制平面 DDoS 保护支持。

  • 要更改受支持协议组和数据包类型的默认配置控制平面 DDoS 保护参数,支持 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机具有 CLI 配置选项,这些选项与 MX 系列和 T4000 路由器的可用选项明显不同。有关不同设备上的可用配置选项,请参阅以下配置语句:

监管器类型和数据包优先级

控制平面 DDoS 保护包括两种类型的监管器:

  • 聚合监管器应用于属于协议组的完整数据包类型集。例如,您可以配置适用于所有 PPPoE 控制数据包类型或所有 DHCPv4 控制数据包类型的聚合监管器。您可以指定带宽(每秒数据包数 [pps])和突发(突发中的数据包)限制,扩展带宽和突发限制,并为聚合监管器设置流量优先级。所有协议组都支持聚合监管器。

  • 为协议组中的每个控制数据包类型分配单个 监管器,也称为 数据包类型。例如,您可以为一种或多种类型的 PPPoE 控制数据包、RADIUS 控制数据包或组播侦听数据包配置监管器。您可以指定带宽 (pps) 和突发(数据包)限制值,扩展带宽和突发限制,并为数据包类型监管器设置流量优先级。单个监管器可用于某些协议组。

协议组和数据包类型支持因平台和 Junos OS 版本而异,如下所示:

控制数据包首先由其单个监管器(如果支持)监管,然后由其聚合监管器监管。单个监管器丢弃的数据包永远不会到达聚合监管器。通过单个监管器的数据包随后可由聚合监管器丢弃。

注意:

ACX 系列路由器仅支持任何受支持的协议组的聚合监管器。

协议组中的数据包类型具有可配置的默认优先级:低、中或高。每个控制数据包都会根据为协议组中每个数据包类型配置的优先级,在其聚合监管器施加的数据包速率限制内与其他数据包争夺带宽。

优先级机制是绝对的。高优先级流量优先于中等优先级和低优先级流量获取带宽。中等优先级流量优先于低优先级流量获取带宽。低优先级流量只能使用高优先级和中优先级流量留下的带宽。如果优先级较高的流量占用了所有带宽,则所有优先级较低的流量都将被丢弃。

在 Junos OS 23.2R1 版之前的版本中,在 MX 系列设备上,设备中的线卡类型决定了传入协议的分布式拒绝服务 (DDoS) 优先级。从 Junos OS 23.2R1 版开始,设备根据 DDoS 参数表确定协议的 DDoS 优先级。此增强功能使设备能够默认以相同方式处理特定协议的所有数据包,而不管设备的线卡如何。您可以使用 CLI 修改 DDoS 参数表。此功能提高了网络中设备对协议进行优先级排序以防范 DDoS 攻击的方式的一致性。

监管器优先级行为示例

例如,在支持 PPPoE 协议组的控制平面 DDoS 保护的设备上,请考虑如何在此协议组中配置数据包类型。忽略此示例的其他 PPPoE 数据包类型,假设您为 PADI 和 PADT 数据包配置单个监管器,并为所有这些数据包配置一个 PPPoE 聚合监管器。您优先考虑 PADT 数据包而不是 PADI 数据包,因为 PADT 数据包使 PPPoE 应用程序能够释放资源以接受新连接。因此,您可以为 PADT 数据包分配高优先级,为 PADI 数据包分配低优先级。

聚合监管器对协议组施加总数据包速率限制。由其单个监管器传递的 PADT 数据包在其单个监管器传递的 PADI 数据包之前可以访问该带宽,因为 PADT 数据包具有更高的优先级。如果传递的 PADT 数据包太多,以至于它们使用了所有可用带宽,则所有 PADI 数据包都会被丢弃,因为聚合监察器上没有剩余带宽。

监察器层次结构示例

控制平面 DDoS 监管器的组织方式与协议控制流量的分层流相匹配。控制来自线卡所有端口的流量在数据包转发引擎上融合。来自路由器上所有线卡的控制流量在路由引擎上融合。同样,DDoS 监管器沿控制路径分层放置,以便尽早在路径上丢弃多余的数据包。这种设计通过移除多余的恶意流量来保留系统资源,以便路由引擎仅接收其可以处理的流量。

例如,要在 MX 系列路由器上实施此设计,需要五个 DDoS 监管器:一个位于数据包转发引擎(芯片组)上,两个位于线卡上,两个位于路由引擎上。对于某些协议组,数据包转发引擎上也存在一个聚合监管器,总共有六个监管器;为简单起见,文本遵循一般情况。例如, 图 1 显示了 PPPoE 流量的监管器进程。 图 2 显示了 DHCPv4 流量的监管器进程。(相同的过程也适用于 DHCPv6 流量。

注意:

回想一下,PTX 系列路由器和 QFX 系列交换机的设计更简单,仅在数据包转发引擎中使用监管器。PTX10003 和 PTX10008 路由器在三个级别实施控制平面 DDoS 保护限制,两个在数据包转发引擎芯片组和线卡级别,一个在路由引擎级别。但是,数据包类型和聚合监管器在所有这些平台上的运行方式类似。

图 1: PPPoE 数据包 Policer Hierarchy for PPPoE Packets的监管器层次结构

图 2: DHCPv4 数据包 Policer Hierarchy for DHCPv4 Packets的监管器层次结构

控制数据包到达数据包转发引擎进行处理和转发。第一个监管器 (1) 是单个监管器(图 1)或聚合监管器(图 2)。

  • 第一个监管器是支持单个监管器的协议组的单个监管器,但有两个例外。对于 DHCPv4 和 DHCPv6 流量,第一个监管器是聚合监管器。

  • 第一个监管器是仅支持聚合监管器的协议组的聚合监管器。

通过第一个监管器的流量由一个或两个线卡监管器监控。如果卡有多个数据包转发引擎,则来自所有数据包转发引擎的流量将汇聚在线卡监管器上。

  • 当流量属于支持单个监管器的协议组时,它会通过线卡单个监管器 (2),然后通过线卡聚合监管器 (3)。通过单个监管器的流量可由聚合监管器丢弃。尽管 DHCPv4 和 DHCPv6 流量由数据包转发引擎上的聚合监管器监控,但在线卡上,它的处理方式与支持单个监管器的其他协议一样。

  • 当流量属于仅支持聚合监管器的协议组时,只有线卡聚合监管器会监控流量。

通过线卡监管器的流量由一个或两个路由引擎监管器监控。来自所有线卡的流量都汇聚在路由引擎监管器上。

  • 当流量属于支持单个监管器的协议组时,它将通过路由引擎单个监管器 (4),然后通过路由引擎聚合监管器 (5)。通过单个监管器的流量可由聚合监管器丢弃。与线卡级别一样,路由引擎的 DHCPv4 和 DHCPv6 流量的处理方式与支持单个监管器的其他协议一样。

  • 当流量属于仅支持聚合监管器的协议组时,只有聚合监管器会监控流量。

通过此设计,三个监管器评估仅支持聚合监管器的协议组的流量。在其他组中,这包括 ANCP、动态 VLAN、FTP 和 IGMP 流量。支持聚合监管器和单个监管器的协议组的流量由所有五个监管器评估。在其他组中,这包括 DHCPv4、MLP、PPP、PPPoE 和 虚拟机箱 流量。

图 1 显示了控制平面 DDoS 保护如何监管 PPPoE 控制数据包:

  1. 例如,PADR 数据包在数据包转发引擎上的第一个监管器进行评估,以确定它们是否在数据包速率限制内。超过限制的 PADR 数据包将被丢弃。

  2. 在线卡上的所有数据包转发引擎上通过监管器的所有 PADR 数据包接下来由线卡单个监管器进行评估。超过限制的 PADR 数据包将被丢弃。

  3. 所有通过线卡单个监管器的 PADR 数据包都将继续进入线卡聚合监管器。超过限制的 PADR 数据包将被丢弃。

  4. 路由器上所有线卡上的线卡聚合监管器传递的所有 PADR 数据包都将进入路由引擎单个监管器。超过限制的 PADR 数据包将被丢弃。

  5. 最后,路由引擎单个监管器传递的所有 PADR 数据包将继续前往路由引擎聚合监管器。超过限制的 PADR 数据包将被丢弃。未在此处丢弃的 PADR 数据包将作为安全、正常的流量传递。

默认情况下,对于给定数据包类型,所有三个监管器(数据包转发引擎、线卡和路由引擎)都具有相同的数据包速率限制。通过此设计,只要没有来自其他数据包转发引擎或线卡的相同类型的竞争流量,来自数据包转发引擎和线卡的所有控制流量都可以到达路由引擎。当存在竞争流量时,多余的数据包将在融合点丢弃。也就是说,它们将丢弃在所有竞争数据包转发引擎的线卡和所有竞争线卡的路由引擎上。

限制数据包速率的监管器行为示例

例如,假设您将 PADI 数据包的监管器 bandwidth 选项设置为每秒 1000 个数据包。此值适用于数据包转发引擎、线卡和路由引擎上的单个 PADI 监管器。如果只有插槽 5 中的卡接收 PADI 数据包,则最多 1000 个 PADI pp 可以到达路由引擎(如果未超过 PPPoE 聚合监管器)。但是,假设插槽 9 中的卡也以 1000 pps 的速度接收 PADI 数据包,并且未超过其 PPPoE 聚合监察器。流量在两个线卡上传递单个监管器和聚合监管器,然后继续到路由引擎。在路由引擎上,组合数据包速率为 2000 pps。由于路由引擎上的 PADI 监管器只允许 1000 个 PADI pps 通过,因此它会丢弃多余的 1000 个数据包。只要超过带宽 (pps) 限制,它就会继续丢弃多余的数据包。

您可以在线卡上为带宽 (pps) 限制和突发(突发中的数据包)限制应用扩展因子,以微调每个插槽的流量限制。例如,假设单个监管器将 PADI 数据包速率设置为 1000 pps,将突发大小设置为 50,000 个数据包。您可以通过指定插槽编号和缩放因子来减少任何线卡上 PADI 数据包的流量限制。插槽 5 的带宽扩展因子 20 可将此示例中的流量减少到 1000 pps 的 20%,或者该插槽中线卡的 200 pps。同样,该槽的突发扩展因子为 50 会将突发大小减少 50%,达到 25,000 个数据包。默认情况下,缩放因子设置为 100,以便流量可以以 100% 的速率限制通过。

控制平面 DDoS 保护与订阅者登录数据包过载保护的比较

除了控制平面 DDoS 保护功能外,MX 系列路由器还具有内置的订阅者登录过载保护机制。登录过载保护机制(也称为负载限制机制)监控传入的订阅者登录数据包,并仅允许系统根据系统上的主要负载处理的内容。超出系统可处理范围的数据包将被丢弃。通过摆脱这种超额负载,系统能够保持最佳性能,并防止在过载情况下登录完成率的任何下降。此机制使用最少的资源,并且默认处于启用状态;无需用户配置。

此机制提供的保护仅次于控制平面 DDoS 保护提供的保护,作为针对高速率传入数据包的第一级防御。控制平面 DDoS 保护在数据包转发引擎上运行,并针对所有协议的所有数据包类型提供保护。相比之下,登录过载保护机制位于路由引擎上,专门仅适用于传入连接发起数据包,例如 DHCPv4 DHCPDISCOVER、DHCPv6 SOLICIT 和 PPPoE PADI 数据包。

相关文档

更改历史记录表

功能支持由您使用的平台和版本决定。使用 Feature Explorer 确定您的平台是否支持某项功能。

释放
描述
20.3R1
PTX10004路由器从 Junos OS 演化版 20.3R1 开始支持控制平面 DDoS 保护。
19.4R1-S1
PTX10008路由器从 Junos OS 演化版 20.1R1 开始支持控制平面 DDoS 保护。
19.3R1
PTX10003路由器从 Junos OS 演化版 19.3R1 开始支持控制平面 DDoS 保护。
18.2R1
PTX10002路由器从 Junos OS 18.2R1 版开始支持控制平面 DDoS 保护。
18.2R1
QFX10002-60C 交换机从 Junos OS 18.1R1 版开始支持控制平面 DDoS 保护。
17.4R1
仅安装了基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)的 PTX 系列路由器从 Junos OS 17.4R1 版开始支持控制平面 DDoS 保护。
17.3R1
路由平台上的 Junos OS 17.3R1 版中添加了对增强型订阅者管理的控制平面 DDoS 保护支持。
14.2
在 Junos OS 14.2 及更高版本中,特定平台支持控制平面 DDoS 保护。