Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置控制平面 DDoS 保护

默认情况下,控制平面 DDoS 保护为所有支持的协议组和数据包类型启用。设备具有带宽(数据包速率,以 pps 为单位)、带宽规模、突发(突发中的数据包数)、突发规模、优先级和恢复时间的默认值。要查看所有受支持的协议组和数据包类型的默认监管器值,请先运行 show ddos-protection protocols CLI 命令,然后再修改任何可配置的 DDoS 保护值。

注意:

EX2300 和 EX2300-C 交换机可能具有控制平面 DDoS 保护,但不支持用于显示或更改默认监管器参数的 CLI 选项。

从 Junos OS 24.2R1 版(EX4100 和 EX4400 设备)开始,从 Junos OS 24.4R1 版开始,EX3400 和 EX4300-MP 设备支持 CLI 选项以显示或更改默认监管器参数。

您可以按如下方式更改控制平面 DDoS 配置参数:

  • 对于协议组中支持的单个数据包类型,您可以更改带宽 (pps)、突发 (packets) 和优先级监管器值。

    注意:

    在 PTX10003 和 PTX10008 路由器上,您可以更改聚合或数据包类型监管器的默认带宽 (pps) 和突发(数据包)值,但不能更改优先级值。

  • 对于协议组的聚合监管器,可以更改带宽 (pps) 和突发 (packets) 监管器值。

  • 为协议组或数据包类型监管器设置带宽 (pps)、突发(数据包)和优先级值时,相同的值适用于所有监管器级别。更改扩展配置选项,以在数据包转发引擎级别调整这些值。

    注意:

    具有控制平面 DDoS 保护的 ACX 系列路由器支持在路由引擎级别更改监管器值,该值会向下传播到 PFE 芯片组级别。它们不支持语句层次结构中的 [edit system ddos-protection protocols protocol-group aggregate fpc 线卡扩展配置选项。

您可以禁用控制平面 DDoS 保护,如下所示:

  • 在大多数在路由引擎级别设有监管器的路由设备上,您可以在路由引擎以及全局或协议组中的单个数据包类型禁用所有线卡的控制平面 DDoS 保护。

  • PTX10003、PTX10008 和 PTX10016 路由器包括路由引擎级别的监管器,但与其他 PTX 系列 路由器一样,您只能禁用线卡监管器。

  • 在其他 PTX 系列路由器和 QFX 系列交换机上,监管器仅在线卡上受支持,因此在这些设备上,您可以禁用全局或协议组中单个数据包类型的所有线卡的控制平面 DDoS 保护。

控制平面 DDoS 日志记录默认处于启用状态,但您可以为所有控制平面 DDoS 事件或协议组中的单个数据包类型全局禁用它。您还可以配置跟踪操作以监控控制平面 DDoS 事件。

注意:

带 MPC 的 MX 系列路由器和带 FPC5 的 T4000 路由器支持控制平面 DDoS 防御。如果这些类型的任一路由器上也安装了其他线卡,但其他线卡未受到保护,因此路由器基本上不受保护,则 CLI 将接受该配置。

要更改默认配置的控制平面 DDoS 保护参数,请执行以下操作:

  1. (选答)配置全局控制平面 DDoS 保护设置或禁用控制平面 DDoS 保护。

  2. (选答)为聚合监管器配置控制平面 DDoS 保护设置,或为所需协议组配置单个数据包类型。

  3. (选答)为控制平面 DDoS 保护操作配置跟踪。

全局禁用控制平面 DDoS 保护、监管器和日志记录

控制平面 DDoS 保护监管器默认为所有支持的协议组和数据包类型启用。

在 ACX 系列路由器上,您可以全局禁用监管器,也可以在路由引擎级别为单个协议组禁用监管器。全局禁用监管器实质上是禁用设备上的控制平面 DDoS 保护。

在 MX 系列路由器、T4000 路由器和 EX9200 交换机上,监管器会在单个线卡和路由引擎级别建立。您可以为所有 MPC 或 FPC5 全局禁用线卡监管器。您还可以禁用路由引擎监管器。禁用其中任一监管器时,将禁用所有协议组和数据包类型的该级别的监管器。

在 PTX 系列路由器和 QFX 系列交换机上,监管器仅在单个线卡级别建立。如果全局禁用线卡监管器,则交换机上的控制平面 DDoS 保护将被禁用。

PTX10003、PTX10008 和 PTX10016 路由器包括路由引擎级别的监管器,但与其他 PTX 系列 路由器一样,您只能禁用线卡监管器。

默认情况下,控制平面 DDoS 保护日志记录也会处于启用状态。您可以禁用路由器或交换机上所有协议组和数据包类型的所有控制平面 DDoS 事件日志记录(包括流检测事件日志记录)。

注意:

用于禁用监管器和日志记录的全局配置将覆盖数据包类型的任何本地配置。

要配置全局控制平面 DDoS 保护设置,请执行以下操作:

  1. (可选)(不适用于 ACX 系列路由器)要禁用线卡监管器:
  2. (可选)(不适用于 PTX 系列路由器或 QFX 系列交换机)要禁用路由引擎监管器:
  3. (可选)要禁用事件日志记录:

配置控制平面 DDoS 保护 聚合或单个数据包类型监管器

控制平面 DDoS 监管器用于控制数据包流量,并且默认情况下会为所有支持的协议组和数据包类型启用。您可以更改默认监管器参数,以便为最大允许流量速率、最大突发大小、流量优先级以及自上次违规以来必须经过的时间配置不同的值,然后流量才会被视为已从攻击中恢复。您还可以缩放单个线卡的带宽和突发值,以便此级别的监管器以低于整体协议或数据包阈值的阈值触发。

协议组和数据包类型支持因平台和 Junos OS 版本而异,具体如下所示:

您可以为任何协议组配置聚合监管器值。聚合监管器适用于该组的所有类型的控制数据包流量的组合。

注意:

ACX 系列路由器仅支持任何受支持协议组的聚合监管器。

对于某些协议组,您还可以为单个数据包类型配置监管器值。为某些协议组配置聚合监管器值时,可以选择绕过该组中一个或多个特定数据包类型的监管器。

最佳实践:

尽管所有监管器都有默认参数值,但这些值可能无法准确反映网络的控制流量模式。我们建议您对网络进行建模,以确定适合您情况的最佳值。在为网络配置监管器之前,您可以使用命令在操作模式 show ddos-protection protocols parameters brief 下快速查看所有数据包类型的默认值。也可以使用命令指定单个感兴趣的协议组。例如,要查看协议组的 dhcpv4 默认值,请使用 show ddos-protection protocols dhcpv4 parameters brief 命令。

您可以在路由引擎级别(如果支持)或在数据包转发引擎级别(如果支持)为指定线卡或所有线卡禁用数据包类型监管器。您还可以禁用协议组中各个数据包类型的所有控制平面 DDoS 保护事件的日志记录。

要配置所需的聚合或数据包类型 DDoS 防护监管器设置,请执行以下操作:

  1. 指定协议组。

    例如,要在 MX 系列、PTX10003 或 PTX10008 路由器上指定 DHCPv4 协议组:

    或者,在 ACX 系列、PTX 系列和 QFX 系列设备上,控制平面 DDoS 防御支持具有 DHCPv4 和 DHCPv6 组合选项,该选项仅允许聚合监管器配置:

  2. 指定支持的单个数据包类型或 aggregate 选项以包含协议组中的所有数据包类型。

    例如,要在支持单个 DHCPv4 数据包类型的设备上仅指定 DHCPv4 释放数据包:

  3. (可选)配置监管器为数据包类型(或聚合)允许的最大流量速率。

    例如,要为 DHCPv4 释放数据包设置每秒 600 个数据包的带宽:

  4. (可选)配置监管器在突发流量中允许的此数据包类型(或聚合)的最大数据包数。

    例如,要设置最多 5000 个 DHCPv4 释放数据包:

  5. (可选)设置流量优先级。
    注意:

    您无法更改PTX10003或PTX10008路由器上的默认优先级值。

    例如,要为 DHCPv4 释放数据包指定中等优先级:

  6. (可选)配置自上次违规以来必须经过的时间,流量才会被视为已从攻击中恢复。

    例如,要指定自上次违反 DHCPv4 释放数据包监管器起必须经过 600 秒:

  7. (可选,在某些设备上受支持)绕过聚合监管器配置。仅当为协议组配置了聚合监管器和单个监管器时,这才适用。

    例如,要绕过 DHCPv4 的聚合监管器,请续订数据包:

  8. (可选,在某些设备上受支持)禁用所有线卡上数据包类型(或聚合)的线卡监管器。
    注意:

    [edit system ddos-protection global] 层次结构级别全局禁用线卡监管器时,全局设置将覆盖此步骤中显示的按数据包类型设置。如果随后移除全局配置,则按数据包的类型配置将生效。

    例如,要禁用 DHCPv4 bootp 数据包的线卡监管器,请执行以下操作:

  9. (可选)仅禁用一种数据包类型(或聚合)的控制平面 DDoS 保护事件日志记录。
    注意:

    为数据包禁用的事件与监管器违规相关联;流检测罪魁祸首流事件的日志记录不受此语句的影响。

    注意:

    [edit system ddos-protection global] 层次结构级别全局禁用控制平面 DDoS 保护事件日志记录时,全局设置将覆盖此步骤中显示的每个数据包的类型设置。如果随后移除全局配置,则按数据包的类型配置将生效。

    例如,要在 DHCPv4 发现数据包的线卡监管器上禁用控制平面 DDoS 保护事件日志记录:

  10. (可选,不适用于 PTX 系列路由器或 QFX 系列交换机) 仅禁用此数据包类型的路由引擎监管器。
    注意:

    [edit system ddos-protection global] 层次结构级别全局禁用路由引擎监管器时,全局设置将覆盖此步骤中显示的按数据包类型设置。如果随后移除全局配置,则按数据包的类型配置将生效。

    例如,要禁用 DHCPv4 发现数据包的路由引擎监管器:

  11. (可选,在 ACX 系列路由器上不受支持)在单个线卡上为数据包类型(或聚合)配置数据包级别设置。在具有单个固定线卡的交换机上(单个 FPC 被视为在插槽 0 中并标记为 fpc0),缩放监管器值会影响整个交换机。

    例如,要访问 DHCPv4 发现插槽 3 中线卡上的数据包设置:

  12. (可选,在 ACX 系列路由器上不受支持)扩展线卡上数据包类型(或聚合)的监管器带宽。

    例如,要将带宽扩展到为 DHCPv4 配置的全线卡设置的 80%,请在插槽 3 的线卡上发现数据包:

  13. (可选,在 ACX 系列路由器上不受支持)扩展线卡上数据包类型(或聚合)的监管器突发大小。

    例如,要将最大带宽扩展到为 DHCPv4 配置的所有线卡设置的 75%,请在插槽 3 的线卡上发现数据包:

  14. (可选,在 ACX 系列路由器上不受支持)禁用特定线卡上数据包类型(或聚合)的线卡监管器。

    例如,要禁用插槽 3 中线卡上的数据包 DHCPv4 发现数据包的线卡监管器:

验证和管理控制平面 DDoS 保护

目的

查看或清除有关控制平面 DDoS 保护配置、状态和统计信息的信息。

行动

  • 要显示所有协议组中所有数据包类型的控制平面 DDoS 防护、监管器配置、违规状态和统计信息:

    在进行任何配置更改之前,请运行此命令,以查看默认监管器值。

  • 要显示控制平面、DDoS 防护、监管器配置、违规状态和特定协议组中特定数据包类型的统计信息,请执行以下操作:

  • 要仅显示所有协议组的控制平面 DDoS 保护监管器违规数:

  • 要显示所有协议组中所有数据包类型的控制平面 DDoS 保护配置表:

  • 要显示所有协议组中所有数据包类型的数据包统计信息和控制平面 DDoS 保护违规统计信息的完整列表:

  • 要显示全局控制平面 DDoS 保护违规统计信息:

  • 要显示控制平面 DDoS 防御版本号,请执行以下操作:

  • 要清除所有协议组中所有数据包类型的控制平面 DDoS 保护统计信息:

  • 要清除特定协议组中所有数据包类型的控制平面 DDoS 保护统计信息:

  • 要清除特定协议组中特定数据包类型的控制平面 DDoS 保护统计信息:

  • 要清除所有协议组中所有数据包类型的控制平面 DDoS 保护违规状态,请执行以下操作:

  • 要清除特定协议组中所有数据包类型的控制平面 DDoS 保护违规状态,请执行以下操作:

  • 要清除特定协议组中特定数据包类型的控制平面 DDoS 保护违规状态,请执行以下操作: