Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Beispiel: Konfigurieren des DDoS-Schutzes auf Steuerungsebene auf Switches der QFX-Serie

In diesem Beispiel wird gezeigt, wie der DDoS-Schutz auf Steuerungsebene konfiguriert wird, damit ein Switch einen Angriff schnell erkennen und verhindern kann, dass eine Flut von bösartigen Steuerungspaketen die Systemressourcen erschöpft.

Anforderungen

Für den DDoS-Schutz auf der Steuerungsebene ist die folgende Hardware und Software erforderlich:

  • Switch der QFX-Serie, der DDoS-Schutz auf Steuerungsebene unterstützt

  • Junos OS Version 15.1X53-D10 oder höher

Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor Sie diese Funktion konfigurieren können.

Überblick

Distributed-Denial-of-Service-Angriffe (DDoS) nutzen mehrere Quellen, um ein Netzwerk mit Protokollsteuerungspaketen zu überfluten. Dieser schädliche Datenverkehr löst eine große Anzahl von Ausnahmen im Netzwerk aus und versucht, die Systemressourcen zu erschöpfen, um gültigen Benutzern den Zugriff auf das Netzwerk oder den Server zu verweigern.

Der DDoS-Schutz auf Steuerungsebene ist auf einem unterstützten Switch der QFX-Serie standardmäßig aktiviert. In diesem Beispiel wird beschrieben, wie Sie die Standardkonfiguration für die ratenbegrenzenden Policer ändern können, die übermäßigen Steuerungsdatenverkehr identifizieren und die Pakete verwerfen, bevor der Switch beeinträchtigt wird. Zu den Beispielaufgaben gehören die Konfiguration eines aggregierten Policers für eine Protokollgruppe, die Konfiguration von Policern für bestimmte Steuerungspakettypen innerhalb einer Protokollgruppe und die Angabe von Trace-Optionen für DDoS-Schutzvorgänge auf der Steuerungsebene.

In diesem Beispiel wird gezeigt, wie einige der standardmäßigen Policer-Parameter und das Verhalten für die radius Protokollgruppe und den Radius-Pakettyp accounting geändert werden. Sie können dieselben Befehle verwenden, um die Policer-Limits für andere unterstützte Protokollgruppen und Pakettypen zu ändern. In der Konfigurationsanweisung ddos-protection auf Hierarchieebene [edit system] finden Sie alle verfügbaren Konfigurationsoptionen.

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um den DDoS-Schutz der Steuerungsebene für Protokollgruppen und bestimmte Steuerungspakettypen schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und rufen Sie dann den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den DDoS-Schutz auf der Steuerungsebene:

  1. Geben Sie eine Protokollgruppe an.

  2. Konfigurieren Sie die maximale Datenverkehrsrate für den RADIUS-Aggregat-Policer. d. h. für die Kombination aller RADIUS-Pakete.

    Anmerkung:

    Sie ändern die Datenverkehrsrate mit der bandwidth Option. Obwohl sich der Begriff Bandbreite normalerweise auf Bits pro Sekunde (bps) bezieht, stellt die bandwidth Option dieser Funktion einen Wert für Pakete pro Sekunde (pps) dar.

  3. Konfigurieren Sie die maximale Burst-Größe (Anzahl der Pakete) für den RADIUS-Aggregat-Policer.

  4. Konfigurieren Sie eine andere maximale Datenverkehrsrate (pps) und Burstgröße (Pakete) für RADIUS-Abrechnungspakete.

  5. Verringern Sie die Priorität für RADIUS-Kontoführungspakete.

  6. Verhindern, dass RADIUS-Serversteuerungspakete in die aggregierte Bandbreite (pps) einbezogen werden. Das heißt, Serverpakete tragen nicht zum kombinierten RADIUS-Datenverkehr bei, um zu bestimmen, ob die aggregierte Bandbreite überschritten wird. Die Serverpakete sind jedoch weiterhin in der Datenverkehrsratenstatistik enthalten.

  7. (Nur auf Switches mit mehreren Linecards) Reduzieren Sie die Bandbreite (pps) und die Burst-Größe (Pakete), bevor eine Verletzung für den RADIUS-Policer auf dem FPC in Steckplatz 1 deklariert wird.

  8. Konfigurieren Sie die Ablaufverfolgung für alle DDoS-Schutzprotokollverarbeitungsereignisse der Steuerungsebene.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show ddos-protection Befehl auf Hierarchieebene system eingeben.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die DDoS-Schutzkonfiguration der Steuerungsebene ordnungsgemäß funktioniert:

Verifizieren der DDoS-Schutzkonfiguration der Steuerungsebene

Zweck

Stellen Sie sicher, dass sich die Standardwerte für den RADIUS-Policer geändert haben.

Aktion

Geben Sie im Betriebsmodus den show ddos-protection protocols radius parameters Befehl ein.

Bedeutung

Die Befehlsausgabe zeigt die aktuelle Konfiguration des RADIUS-Aggregat-Policers und der RADIUS-Paket-Policer für Accounting, Server und Autorisierungssteuerung. Policer-Werte, die von den Standardwerten geändert wurden, sind mit einem Sternchen gekennzeichnet. Die Ausgabe zeigt, dass die RADIUS-Policerkonfiguration korrekt geändert wurde.

Zugehörige Dokumentation