AUF DIESER SEITE
Beispiel: DDoS-Schutz auf Steuerungsebene konfigurieren
In diesem Beispiel wird gezeigt, wie der DDoS-Schutz auf Steuerungsebene konfiguriert wird, der es dem Router ermöglicht, einen Angriff schnell zu erkennen und zu verhindern, dass eine Flut bösartiger Steuerungspakete die Systemressourcen erschöpft.
Anforderungen
Für den DDoS-Schutz auf der Steuerungsebene ist die folgende Hardware und Software erforderlich:
Router der MX-Serie, auf denen nur MPCs installiert sind, T4000-Core-Router, auf denen nur FPC5s installiert sind, EX9200-Switches.
Anmerkung:Wenn ein Router zusätzlich zu MPCs oder FPC5s über andere Karten verfügt, akzeptiert die CLI die Konfiguration, aber die anderen Karten sind nicht geschützt, und daher ist der Router nicht geschützt.
Junos OS Version 11.2 oder höher
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor Sie diese Funktion konfigurieren können.
Überblick
Bei Distributed-Denial-of-Service-Angriffen werden mehrere Quellen genutzt, um ein Netzwerk oder einen Router mit Protokollsteuerungspaketen zu überfluten. Dieser schädliche Datenverkehr löst eine große Anzahl von Ausnahmen im Netzwerk aus und versucht, die Systemressourcen zu erschöpfen, um gültigen Benutzern den Zugriff auf das Netzwerk oder den Server zu verweigern.
In diesem Beispiel wird beschrieben, wie ratenbegrenzende Policer konfiguriert werden, die überschüssigen Kontrolldatenverkehr identifizieren und die Pakete verwerfen, bevor der Router beeinträchtigt wird. Zu den Beispielaufgaben gehören die Konfiguration von Policern für bestimmte Steuerungspakettypen innerhalb einer Protokollgruppe, die Konfiguration eines aggregierten Policers für eine Protokollgruppe und die Umgehung dieses Policers für einen bestimmten Kontrollpakettyp sowie das Angeben von Trace-Optionen für DDoS-Operationen.
In diesem Beispiel werden nicht alle möglichen Konfigurationsoptionen angezeigt.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um den DDoS-Schutz auf Steuerungsebene für Protokollgruppen und bestimmte Steuerungspakettypen schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI ein.
[edit] edit system set ddos-protection protocols dhcpv4 aggregate bandwidth 669 set ddos-protection protocols dhcpv4 aggregate burst 6000 set ddos-protection protocols dhcpv4 discover bandwidth 100 set ddos-protection protocols dhcpv4 discover recover-time 200 set ddos-protection protocols dhcpv4 discover burst 300 set ddos-protection protocols dhcpv4 offer priority medium set ddos-protection protocols dhcpv4 offer bypass-aggregate set ddos-protection protocols dhcpv4 offer fpc 1 bandwidth-scale 80 set ddos-protection protocols dhcpv4 offer fpc 1 burst-scale 75 set ddos-protection protocols pppoe aggregate bandwidth 800 set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie den DDoS-Schutz:
Geben Sie eine Protokollgruppe an.
[edit system ddos-protection protocols] user@host# edit dhcpv4
Konfigurieren Sie die maximale Datenverkehrsrate (in Paketen pro Sekunde [pps]) für den DHCPv4-Aggregat-Policer. d. h. für die Kombination aller DHCPv4-Pakete.
Anmerkung:Sie ändern die Datenverkehrsrate mit der
bandwidthOption. Obwohl sich der Begriff Bandbreite normalerweise auf Bits pro Sekunde (bps) bezieht, stellt diebandwidthOption dieser Funktion einen Wert für Pakete pro Sekunde (pps) dar.[edit system ddos-protection protocols dhcpv4] user@host# set aggregate bandwidth 669
Konfigurieren Sie die maximale Burst-Größe (Anzahl der Pakete) für den DHCPv4-Aggregat-Policer.
[edit system ddos-protection protocols dhcpv4] user@host# set aggregate burst 6000
Konfigurieren Sie die maximale Datenverkehrsrate (in pps) für den DHCPv4-Policer für Erkennungspakete.
[edit system ddos-protection protocols dhcpv4] user@host# set discover bandwidth 100
Verringern Sie die Wiederherstellungszeit für Verstöße gegen den DHCPv4-Erkennungspolicer.
[edit system ddos-protection protocols dhcpv4] user@host# set discover recover-time 200
Konfigurieren Sie die maximale Burst-Größe (Anzahl der Pakete) für den DHCPv4-Erkennungspolicer.
[edit system ddos-protection protocols dhcpv4] user@host# set discover burst 300
Erhöhen Sie die Priorität für DHCPv4-Angebotspakete.
[edit system ddos-protection protocols dhcpv4] user@host# set offer priority medium
Verhindern Sie, dass Angebotspakete in die aggregierte Bandbreite (pps) einbezogen werden. Das heißt, Angebotspakete tragen nicht zum kombinierten DHCPv4-Datenverkehr bei, um zu bestimmen, ob die Gesamtbandbreite (PPS) überschritten wird. Die Angebotspakete sind jedoch weiterhin in der Datenverkehrsratenstatistik enthalten.
[edit system ddos-protection protocols dhcpv4] user@host# set offer bypass-aggregate
Verringern Sie die Bandbreite (pps) und die Burst-Größe (Pakete), die zulässig sind, bevor ein Verstoß für den DHCPv4-Angebotspolicer auf der MPC oder FPC5 in Steckplatz 1 deklariert wird.
[edit system ddos-protection protocols dhcpv4] user@host# set offer fpc 1 bandwidth-scale 80 user@host# set offer fpc 1 burst-scale 75
Konfigurieren Sie die maximale Datenverkehrsrate für den PPPoE-Aggregatpolicer, d. h. für die Kombination aller PPPoE-Pakete.
[edit system ddos-protection protocols dhcpv4] user@host# up [edit system ddos-protection protocols] user@host# set pppoe aggregate bandwidth 800
Konfigurieren Sie die Ablaufverfolgung für alle DDoS-Protokollverarbeitungsereignisse.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show ddos-protection Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-trace size 10m;
flag all;
}
protocols {
pppoe {
aggregate {
bandwidth 800;
}
}
dhcpv4 {
aggregate {
bandwidth 669;
burst 6000;
}
discover {
bandwidth 100;
burst 300;
recover-time 200;
}
offer {
priority medium;
fpc 1 {
bandwidth-scale 80;
burst-scale 75;
}
bypass-aggregate;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die DDoS-Schutzkonfiguration ordnungsgemäß funktioniert:
- Überprüfen der Konfiguration und des Betriebs des DHCPv4-DDoS-Schutzes
- Überprüfen der PPPoE-DDoS-Konfiguration
Überprüfen der Konfiguration und des Betriebs des DHCPv4-DDoS-Schutzes
Zweck
Stellen Sie sicher, dass sich die DHCPv4-Aggregat- und Protokoll-Policer-Werte gegenüber den Standardwerten geändert haben. Überprüfen Sie bei fließendem DHCPv4- und PPPoE-Datenverkehr, ob die Policer ordnungsgemäß funktionieren. Sie können Befehle eingeben, um die einzelnen Policer anzuzeigen, an denen Sie interessiert sind, wie hier gezeigt, oder Sie können den show ddos-protection protocols dhcpv4 Befehl eingeben, um diese Informationen für alle DHCPv4-Pakettypen anzuzeigen.
Aktion
Geben Sie im Betriebsmodus den show ddos-protection protocols dhcpv4 aggregate Befehl ein.
user@host> show ddos-protection protocols dhcpv4 aggregate
Protocol Group: DHCPv4
Packet type: aggregate (aggregate for all DHCPv4 traffic)
Aggregate policer configuration:
Bandwidth: 669 pps
Burst: 6000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
System-wide information:
Aggregate bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:27:47 PST
Violation last seen at: 2011-03-10 06:28:57 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 23115 Max arrival rate: 1000 pps
Routing Engine information:
Bandwidth: 669 pps, Burst: 6000 packets, enabled
Aggregate policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 671 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (669 pps), Burst: 100% (5000 packets), enabled
Aggregate policer is no longer being violated
Violation first detected at: 2011-03-10 06:27:48 PST
Violation last seen at: 2011-03-10 06:28:58 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 34934 Max arrival rate: 1000 pps
Dropped by individual policers: 11819
Dropped by aggregate policer: 23115
Geben Sie im Betriebsmodus den show ddos-protection protocols dhcpv4 discover Befehl ein.
user@host> show ddos-protection protocols dhcpv4 discover
Protocol Group: DHCPv4
Packet type: discover (DHCPv4 DHCPDISCOVER)
Individual policer configuration:
Bandwidth: 100 pps
Burst: 300 packets
Priority: low
Recover time: 200 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:28:34 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:21 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Routing Engine information:
Bandwidth: 100 pps, Burst: 300 packets, enabled
Policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (100 pps), Burst: 100% (300 packets), enabled
Policer is no longer being violated
Violation first detected at: 2011-03-10 06:28:35 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:20 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Dropped by this policer: 11819
Dropped by aggregate policer: 0
Geben Sie im Betriebsmodus den show ddos-protection protocols dhcpv4 offer Befehl ein.
user@host> show ddos-protection protocols dhcpv4 offer
Protocol Group: DHCPv4
Packet type: offer (DHCPv4 DHCPOFFER)
Individual policer configuration:
Bandwidth: 1000 pps
Burst: 1000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes
System-wide information:
Bandwidth is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Routing Engine information:
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 80% (800 pps), Burst: 75% (750 packets), enabled
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
Bedeutung
Die Ausgabe dieser Befehle listet die Policerkonfiguration und die Datenverkehrsstatistiken für die DHCPv4-Aggregate-, Discover- bzw. Offer-Policer auf.
Im ersten Ausgabebeispiel und Individual policer configuration in Aggregate policer configuration den Abschnitten im zweiten und dritten Ausgabebeispiel sind die konfigurierten Werte für Bandbreite, Burst, Priorität, Wiederherstellungszeit und Bypass-Aggregat aufgeführt.
Der System-wide information Abschnitt zeigt die Summe aller DHCPv4-Datenverkehrsstatistiken und -verletzungen für den Policer, die auf allen Linecards und an der Routing-Engine aufgezeichnet wurden. In diesem Routing engine information Abschnitt werden die von der Routing-Engine aufgezeichneten Verkehrsstatistiken und -verstöße für den Policer angezeigt. Der FPC slot 1 information Abschnitt zeigt die Verkehrsstatistiken und Verstöße für den Polizeidienst, die nur an der Linecard in Steckplatz 1 aufgezeichnet wurden.
Die Ausgabe für den aggregierten Policer in diesem Beispiel zeigt die folgenden Informationen:
Der
System-wide informationAbschnitt zeigt, dass 71.064 DHCPv4-Pakete aller Typen über alle Linecards und die Routing-Engine empfangen wurden. Der Abschnitt zeigt eine einzelne Verletzung mit einem Zeitstempel und dass der aggregierte Policer an einer Linecard 23.115 dieser Pakete verworfen hat.Der
FPC slot 1 informationAbschnitt zeigt, dass diese Linecard alle 71.064 DHCPv4-Pakete empfangen hat, aber ihr aggregierter Policer einen Verstoß festgestellt hat und die im anderen Abschnitt gezeigten 23.115 Pakete verworfen hat. Die Linecard der einzelnen Polizisten verwarf weitere 11.819 Pakete.Der
Routing Engine informationAbschnitt zeigt, dass die verbleibenden 36.130 Pakete alle die Routing-Engine erreicht haben und dass ihr aggregierter Policer keine zusätzlichen Pakete verworfen hat.Die Differenz zwischen der Anzahl der empfangenen und verworfenen DHCPv4-Pakete auf der Linecard [71.064 - (23.115 + 11.819)] stimmt mit der Anzahl der an der Routing-Engine empfangenen Pakete überein. Dies ist möglicherweise nicht immer der Fall, da Pakete an mehr als einer Linecard empfangen und verworfen werden können. In diesem Beispiel hat nur die Linecard in Steckplatz 1 DHCPv4-Pakete empfangen.
Die Ausgabe für den DHCPv4-Erkennungspaket-Policer in diesem Beispiel zeigt die folgenden Informationen:
Der
System-wide informationAbschnitt zeigt, dass 47.949 DHCPv4-Erkennungspakete über alle Linecards und die Routing-Engine empfangen wurden. Der Abschnitt zeigt eine einzelne Verletzung mit einem Zeitstempel und dass der aggregierte Policer an einer Linecard 11.819 dieser Pakete verworfen hat.Der
FPC slot 1 informationAbschnitt zeigt, dass diese Linecard alle 47.949 DHCPv4-Ermittlungspakete empfangen hat, aber ihr einzelner Policer eine Verletzung festgestellt hat und die 11.819 Pakete verworfen hat, die im anderen Abschnitt gezeigt werden.Der
Routing Engine informationAbschnitt zeigt, dass nur 36.130 DHCPv4-Erkennungspakete die Routing-Engine erreicht haben und dass keine zusätzlichen Pakete verworfen wurden.Die Differenz zwischen der Anzahl der empfangenen und verworfenen DHCPv4-Erkennungspakete (47.949 - 11.819) entspricht der Anzahl der an der Routing-Engine empfangenen Pakete. Dies ist möglicherweise nicht immer der Fall, da Pakete an mehr als einer Linecard empfangen und verworfen werden können. In diesem Beispiel hat nur die Linecard in Steckplatz 1 DHCPv4-Erkennungspakete empfangen.
Die Ausgabe für den DHCPv4-Angebotspaket-Policer in diesem Beispiel zeigt die folgenden Informationen:
Dieser einzelne Polizist wurde noch nie an irgendeinem Ort verletzt.
An keinem Standort wurden DHCPv4-Angebotspakete empfangen.
Überprüfen der PPPoE-DDoS-Konfiguration
Zweck
Stellen Sie sicher, dass sich die PPPoE-Policerwerte gegenüber den Standardwerten geändert haben.
Aktion
Geben Sie im Betriebsmodus den show ddos-protection protocols pppoe parameters brief Befehl ein.
user@host> show ddos-protection protocols pppoe parameters brief Number of policers modified: 1 Protocol Packet Bandwidth Burst Priority Recover Policer Bypass FPC group type (pps) (pkts) time(sec) enabled aggr. mod pppoe aggregate 800* 2000 medium 300 yes -- no pppoe padi 500 500 low 300 yes no no pppoe pado 0 0 low 300 yes no no pppoe padr 500 500 medium 300 yes no no pppoe pads 0 0 low 300 yes no no pppoe padt 1000 1000 high 300 yes no no pppoe padm 0 0 low 300 yes no no pppoe padn 0 0 low 300 yes no no
Geben Sie im Betriebsmodus den show ddos-protection protocols pppoe padi Befehl ein, und geben Sie auch den Befehl für padr ein.
user@host> show ddos-protection protocols pppoe padi
Protocol Group: PPPoE
Packet type: padi (PPPoE PADI)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: low
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-09 11:26:33 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 660788548 Max arrival rate: 8008 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 39950330 Arrival rate: 298 pps
Dropped: 0 Max arrival rate: 503 pps
Dropped by aggregate policer: 0
FPC slot 3 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-09 11:26:35 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 664882578 Max arrival rate: 8008 pps
Dropped by this policer: 660788548
Dropped by aggregate policer: 4094030
user@host> show ddos-protection protocols pppoe padr
Protocol Group: PPPoE
Packet type: padr (PPPoE PADR)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:21:17 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:57 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 10287695 Arrival rate: 500 pps
Dropped: 0 Max arrival rate: 502 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-10 06:21:18 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:56 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Dropped by this policer: 484375900
Dropped by aggregate policer: 0
Bedeutung
Die Ausgabe des show ddos-protection protocols pppoe parameters brief Befehls listet die aktuelle Konfiguration für jeden einzelnen PPPoE-Paket-Policer und den PPPoE-Aggregat-Policer auf. Eine Änderung eines Standardwerts wird durch ein Sternchen neben dem geänderten Wert angezeigt. Die einzige Änderung, die in den Konfigurationsschritten an PPPoE-Policern vorgenommen wurde, betraf das aggregierte Policer-Bandbreitenlimit (PPS). Diese Änderung wird in der Ausgabe bestätigt. Neben den Konfigurationswerten meldet die Befehlsausgabe auch, ob ein Policer deaktiviert wurde, ob er den aggregierten Policer umgeht (d. h., dass der Datenverkehr für diesen Pakettyp nicht in die Auswertung durch den aggregierten Policer einbezogen wird) und ob der Policer für eine oder mehrere Linecards geändert wurde.
Die Ausgabe des show ddos-protection protocols pppoe padi Befehls in diesem Beispiel zeigt die folgenden Informationen:
Der
System-wide informationAbschnitt zeigt, dass 704.832.908 PPPoE-PADI-Pakete über alle Linecards und die Routing-Engine empfangen wurden. Der Abschnitt zeigt einen einzelnen Verstoß auf einer Linecard, der noch in Bearbeitung ist, und dass der aggregierte Policer an der Linecard 660.788.548 der PADI-Pakete verworfen hat.Der
FPC slot 3 informationAbschnitt zeigt, dass diese Linecard alle 704.832.908 PADI-Pakete empfangen hat. Sein einzelner Policer verwarf 660.788.548 dieser Pakete und sein aggregierter Policer verwarf die anderen 4.094.030 Pakete. Der Verstoß dauert an und dauert mehr als einen Tag an.Der
Routing Engine informationAbschnitt zeigt, dass nur 39.950.330 PADI-Pakete die Routing-Engine erreichten und dass sie keine zusätzlichen Pakete verwarf.Die Differenz zwischen der Anzahl der empfangenen und verworfenen PADI-Pakete auf der Linecard [704,832,908 - (660,788,548 + 4,094030)] stimmt mit der Anzahl überein, die an der Routing-Engine empfangen wurde. Dies ist möglicherweise nicht immer der Fall, da Pakete an mehr als einer Linecard empfangen und verworfen werden können. In diesem Beispiel hat nur die Linecard in Steckplatz 3 PADI-Pakete empfangen.
Die Ausgabe des show ddos-protection protocols pppoe padr Befehls in diesem Beispiel zeigt die folgenden Informationen:
Der
System-wide informationAbschnitt zeigt, dass 494.663.595 PPPoE-PADR-Pakete über alle Linecards und die Routing-Engine empfangen wurden. Der Abschnitt zeigt eine einzelne Verletzung auf einer Linecard, die noch in Bearbeitung ist, und dass der Policer an der Linecard 484.375.900 der PADR-Pakete verworfen hat.Der
FPC slot 1 informationAbschnitt zeigt, dass diese Linecard alle 494.663.595 PADR-Pakete empfangen hat. Der einzelne Polizist ließ 484.375.900 dieser Pakete fallen. Der Verstoß dauert an und dauert mehr als fünf Stunden an.Der
Routing Engine informationAbschnitt zeigt, dass nur 10.287.695 PADR-Pakete die Routing-Engine erreicht haben und dass keine zusätzlichen Pakete verworfen wurden.Die Differenz zwischen der Anzahl der empfangenen und verworfenen PADR-Pakete (494.663.595 - 484.375.900) stimmt mit der Anzahl der an der Routing-Engine empfangenen Pakete überein. Dies ist möglicherweise nicht immer der Fall, da Pakete an mehr als einer Linecard empfangen und verworfen werden können. In diesem Beispiel hat nur die Linecard in Steckplatz 1 PADR-Pakete empfangen.
Dieses Szenario ist unrealistisch, da alle PADI-Pakete, die auf einer Linecard empfangen werden, und alle PADR-Pakete auf einer anderen Linecard angezeigt werden. Ziel des Szenarios ist es, zu veranschaulichen, wie Polizeiverstöße für einzelne Linecards gemeldet werden.