Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:在 QFX 系列交换机上配置控制平面 DDoS 保护

此示例说明如何配置控制平面 DDoS 保护,以便交换机可以快速识别攻击并防止大量恶意控制数据包耗尽系统资源。

要求

控制平面 DDoS 防护需要以下硬件和软件:

  • 支持控制平面 DDoS 保护的 QFX 系列交换机

  • Junos OS 版本 15.1X53-D10 或更高版本

在配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

分布式拒绝服务 (DDoS) 攻击使用多个来源向网络中发送协议控制数据包。此恶意流量会在网络中触发大量异常,并试图耗尽系统资源以拒绝有效用户访问网络或服务器。

默认情况下,在受支持的 QFX 系列交换机上启用控制平面 DDoS 保护。此示例介绍如何修改速率限制监管器的默认配置,这些监管器可识别过度控制流量并在交换机受到不利影响之前丢弃数据包。示例任务包括为协议组配置聚合监管器、为协议组中的特定控制数据包类型配置监管器,以及为控制平面 DDoS 保护操作指定跟踪选项。

此示例说明如何更改协议组和 Radius accounting 数据包类型的一些默认监管器参数和行为radius。您可以使用相同的命令更改其他受支持的协议组和数据包类型的监管器限制。有关所有可用的配置选项,请参阅层次结构级别的 ddos 保护配置语句[edit system]

拓扑学

配置

程序

CLI 快速配置

要为协议组和特定控制数据包类型快速配置控制平面 DDoS 保护,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置控制平面 DDoS 防护,请执行以下操作:

  1. 指定协议组。

  2. 配置 RADIUS 聚合监管器的最大流量速率;也就是说,用于所有 RADIUS 数据包的组合。

    注意:

    您可以使用该 bandwidth 选项更改流量速率。虽然术语带宽通常是指每秒比特数 (bps),但此功能的选项 bandwidth 表示每秒数据包数 (pps) 值。

  3. 配置 RADIUS 聚合监管器的最大突发大小(数据包数)。

  4. 为 RADIUS 记帐数据包配置不同的最大流量速率 (pps) 和突发大小(数据包)。

  5. 降低 RADIUS 记帐数据包的优先级。

  6. 防止 RADIUS 服务器控制数据包包含在聚合带宽 (pps) 中;也就是说,服务器数据包不会对组合的 RADIUS 流量产生影响,以确定是否超过了聚合带宽。但是,服务器数据包仍包含在流量速率统计信息中。

  7. (仅在具有多个线卡的交换机上)减少插槽 1 中 FPC 上的 RADIUS 监管器声明冲突之前允许的带宽 (pps) 和突发大小(数据包)。

  8. 为所有控制平面 DDoS 防护协议处理事件配置跟踪。

结果

在配置模式下,通过在层次结构级别输入 show ddos-protection 命令 system 来确认您的配置。

如果完成设备配置,请从配置模式输入 commit

验证

要确认控制平面 DDoS 防护配置是否正常工作,请执行以下操作:

验证控制平面 DDoS 防护配置

目的

验证 RADIUS 监管器值是否已从默认值更改。

行动

在操作模式下,输入 show ddos-protection protocols radius parameters 命令。

意义

命令输出显示 RADIUS 聚合监管器和 RADIUS 记帐、服务器和授权控制数据包监管器的当前配置。从默认值修改的监管器值标有星号。输出显示 RADIUS 监管器配置已正确修改。