配置控制平面 DDoS 保护
默认情况下,控制平面 DDoS 保护为所有支持的协议组和数据包类型启用。设备具有带宽(数据包速率,以 pps 为单位)、带宽规模、突发(突发中的数据包数)、突发规模、优先级和恢复时间的默认值。要查看所有受支持的协议组和数据包类型的默认监管器值,请先运行 show ddos-protection protocols
CLI 命令,然后再修改任何可配置的 DDoS 保护值。
EX2300 和 EX2300-C 交换机可能具有控制平面 DDoS 保护,但不支持用于显示或更改默认监管器参数的 CLI 选项。
从 Junos OS 24.2R1 版(EX4100 和 EX4400 设备)开始,从 Junos OS 24.4R1 版开始,EX3400 和 EX4300-MP 设备支持 CLI 选项以显示或更改默认监管器参数。
您可以按如下方式更改控制平面 DDoS 配置参数:
对于协议组中支持的单个数据包类型,您可以更改带宽 (pps)、突发 (packets) 和优先级监管器值。
注意:在 PTX10003 和 PTX10008 路由器上,您可以更改聚合或数据包类型监管器的默认带宽 (pps) 和突发(数据包)值,但不能更改优先级值。
对于协议组的聚合监管器,可以更改带宽 (pps) 和突发 (packets) 监管器值。
为协议组或数据包类型监管器设置带宽 (pps)、突发(数据包)和优先级值时,相同的值适用于所有监管器级别。更改扩展配置选项,以在数据包转发引擎级别调整这些值。
注意:具有控制平面 DDoS 保护的 ACX 系列路由器支持在路由引擎级别更改监管器值,该值会向下传播到 PFE 芯片组级别。它们不支持语句层次结构中的
[edit system ddos-protection protocols protocol-group aggregate fpc
线卡扩展配置选项。
您可以禁用控制平面 DDoS 保护,如下所示:
在大多数在路由引擎级别设有监管器的路由设备上,您可以在路由引擎以及全局或协议组中的单个数据包类型禁用所有线卡的控制平面 DDoS 保护。
-
PTX10003、PTX10008 和 PTX10016 路由器包括路由引擎级别的监管器,但与其他 PTX 系列 路由器一样,您只能禁用线卡监管器。
在其他 PTX 系列路由器和 QFX 系列交换机上,监管器仅在线卡上受支持,因此在这些设备上,您可以禁用全局或协议组中单个数据包类型的所有线卡的控制平面 DDoS 保护。
控制平面 DDoS 日志记录默认处于启用状态,但您可以为所有控制平面 DDoS 事件或协议组中的单个数据包类型全局禁用它。您还可以配置跟踪操作以监控控制平面 DDoS 事件。
带 MPC 的 MX 系列路由器和带 FPC5 的 T4000 路由器支持控制平面 DDoS 防御。如果这些类型的任一路由器上也安装了其他线卡,但其他线卡未受到保护,因此路由器基本上不受保护,则 CLI 将接受该配置。
要更改默认配置的控制平面 DDoS 保护参数,请执行以下操作:
(选答)配置全局控制平面 DDoS 保护设置或禁用控制平面 DDoS 保护。
(选答)为聚合监管器配置控制平面 DDoS 保护设置,或为所需协议组配置单个数据包类型。
(选答)为控制平面 DDoS 保护操作配置跟踪。
全局禁用控制平面 DDoS 保护、监管器和日志记录
控制平面 DDoS 保护监管器默认为所有支持的协议组和数据包类型启用。
在 ACX 系列路由器上,您可以全局禁用监管器,也可以在路由引擎级别为单个协议组禁用监管器。全局禁用监管器实质上是禁用设备上的控制平面 DDoS 保护。
在 MX 系列路由器、T4000 路由器和 EX9200 交换机上,监管器会在单个线卡和路由引擎级别建立。您可以为所有 MPC 或 FPC5 全局禁用线卡监管器。您还可以禁用路由引擎监管器。禁用其中任一监管器时,将禁用所有协议组和数据包类型的该级别的监管器。
在 PTX 系列路由器和 QFX 系列交换机上,监管器仅在单个线卡级别建立。如果全局禁用线卡监管器,则交换机上的控制平面 DDoS 保护将被禁用。
PTX10003、PTX10008 和 PTX10016 路由器包括路由引擎级别的监管器,但与其他 PTX 系列 路由器一样,您只能禁用线卡监管器。
默认情况下,控制平面 DDoS 保护日志记录也会处于启用状态。您可以禁用路由器或交换机上所有协议组和数据包类型的所有控制平面 DDoS 事件日志记录(包括流检测事件日志记录)。
用于禁用监管器和日志记录的全局配置将覆盖数据包类型的任何本地配置。
要配置全局控制平面 DDoS 保护设置,请执行以下操作:
配置控制平面 DDoS 保护 聚合或单个数据包类型监管器
控制平面 DDoS 监管器用于控制数据包流量,并且默认情况下会为所有支持的协议组和数据包类型启用。您可以更改默认监管器参数,以便为最大允许流量速率、最大突发大小、流量优先级以及自上次违规以来必须经过的时间配置不同的值,然后流量才会被视为已从攻击中恢复。您还可以缩放单个线卡的带宽和突发值,以便此级别的监管器以低于整体协议或数据包阈值的阈值触发。
协议组和数据包类型支持因平台和 Junos OS 版本而异,具体如下所示:
对于大多数路由设备,请参阅协议 (DDoS)。
有关 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机,请参阅协议 (DDoS)(ACX 系列、PTX 系列和 QFX 系列)。
您可以为任何协议组配置聚合监管器值。聚合监管器适用于该组的所有类型的控制数据包流量的组合。
ACX 系列路由器仅支持任何受支持协议组的聚合监管器。
对于某些协议组,您还可以为单个数据包类型配置监管器值。为某些协议组配置聚合监管器值时,可以选择绕过该组中一个或多个特定数据包类型的监管器。
尽管所有监管器都有默认参数值,但这些值可能无法准确反映网络的控制流量模式。我们建议您对网络进行建模,以确定适合您情况的最佳值。在为网络配置监管器之前,您可以使用命令在操作模式 show ddos-protection protocols parameters brief
下快速查看所有数据包类型的默认值。也可以使用命令指定单个感兴趣的协议组。例如,要查看协议组的 dhcpv4
默认值,请使用 show ddos-protection protocols dhcpv4 parameters brief
命令。
您可以在路由引擎级别(如果支持)或在数据包转发引擎级别(如果支持)为指定线卡或所有线卡禁用数据包类型监管器。您还可以禁用协议组中各个数据包类型的所有控制平面 DDoS 保护事件的日志记录。
要配置所需的聚合或数据包类型 DDoS 防护监管器设置,请执行以下操作:
另见
验证和管理控制平面 DDoS 保护
目的
查看或清除有关控制平面 DDoS 保护配置、状态和统计信息的信息。
行动
要显示所有协议组中所有数据包类型的控制平面 DDoS 防护、监管器配置、违规状态和统计信息:
user@host> show ddos-protection protocols
在进行任何配置更改之前,请运行此命令,以查看默认监管器值。
要显示控制平面、DDoS 防护、监管器配置、违规状态和特定协议组中特定数据包类型的统计信息,请执行以下操作:
user@host> show ddos-protection protocols protocol-group packet-type
要仅显示所有协议组的控制平面 DDoS 保护监管器违规数:
user@host> show ddos-protection protocols violations
要显示所有协议组中所有数据包类型的控制平面 DDoS 保护配置表:
user@host> show ddos-protection protocols parameters brief
要显示所有协议组中所有数据包类型的数据包统计信息和控制平面 DDoS 保护违规统计信息的完整列表:
user@host> show ddos-protection protocols statistics detail
要显示全局控制平面 DDoS 保护违规统计信息:
user@host> show ddos-protection statistics
要显示控制平面 DDoS 防御版本号,请执行以下操作:
user@host> show ddos-protection version
要清除所有协议组中所有数据包类型的控制平面 DDoS 保护统计信息:
user@host> clear ddos-protection protocols statistics
要清除特定协议组中所有数据包类型的控制平面 DDoS 保护统计信息:
user@host> clear ddos-protection protocols protocol-group statistics
要清除特定协议组中特定数据包类型的控制平面 DDoS 保护统计信息:
user@host> clear ddos-protection protocols protocol-group packet-type statistics
要清除所有协议组中所有数据包类型的控制平面 DDoS 保护违规状态,请执行以下操作:
user@host> clear ddos-protection protocols states
要清除特定协议组中所有数据包类型的控制平面 DDoS 保护违规状态,请执行以下操作:
user@host> clear ddos-protection protocols protocol-group states
要清除特定协议组中特定数据包类型的控制平面 DDoS 保护违规状态,请执行以下操作:
user@host> clear ddos-protection protocols protocol-group packet-type states