ddos-protection (DDoS)
Syntax (Router der ACX-Serie)
ddos-protection
global {
disable-routing-engine;
disable-logging;
}
protocols protocol-group aggregate {
bandwidth packets-per-second;
burst size;
disable-logging;
disable-routing-engine;
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Syntax (Router der PTX-Serie und Switches der QFX-Serie)
ddos-protection
global {
disable-fpc;
disable-logging;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Syntax (andere Router und EX9200-Switches)
ddos-protection
global {
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection;
flow-level-control;
flow-detection-mode;
flow-report-rate;
violation-report-rate;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection-mode (automatic | off | on);
flow-detect-time seconds;
flow-level-bandwidth {
logical-interface flow-bandwidth;
physical-interface flow-bandwidth;
subscriber flow-bandwidth;
}
flow-level-control {
logical-interface flow-control-mode;
physical-interface flow-control-mode;
subscriber flow-control-mode;
}
flow-level-detection {
logical-interface flow-detection-mode;
physical-interface flow-detection-mode;
subscriber flow-detection-mode;
}
flow-recover-time seconds;
flow-timeout-time seconds;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
no-flow-logging
priority level;
recover-time seconds;
timeout-active-flows;
}
traceoptions{
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Hierarchieebene
[edit system]
Beschreibung
Konfigurieren Sie DDoS-Schutz-Policer für den DDoS-Schutz auf Steuerungsebene.
DDoS-Angriffe nutzen in der Regel Netzwerksteuerungspakete, um eine große Anzahl von Ausnahmen von der Steuerungsebene eines Geräts auszulösen, die den normalen Netzwerkbetrieb unterbrechen. Der DDoS-Schutz kontrolliert den Datenverkehr, damit das Gerät auch bei einem DDoS-Angriff weiterhin funktioniert.
Der DDoS-Schutz ist standardmäßig auf unterstützten Geräten für die auf dem Gerät verfügbaren Protokollgruppen und Pakettypen aktiviert. Sie können bestimmte Policer deaktivieren oder Standard-Policer-Parameter ändern, darunter:
Legen Sie die maximal zulässige Datenverkehrsrate, die maximale Burst-Größe und die Datenverkehrspriorität fest.
(Auf einigen Geräten) Definieren Sie, wie viel Zeit seit dem letzten Verstoß vergehen muss, bevor der Datenverkehrsfluss als wieder vom Angriff wiederhergestellt betrachtet wird.
(Auf einigen Geräten) Skalieren Sie Bandbreiten- und Burst-Werte für einzelne Linecards, sodass die Policer auf dieser Ebene niedrigere Schwellenwerte auslösen als die allgemeinen Protokoll- oder Paketschwellenwerte.
Einige Switches der EX-Serie verfügen möglicherweise über einen DDoS-Schutz auf der Steuerungsebene, unterstützen aber keine CLI-Optionen, um die Standard-Policer-Parameter anzuzeigen oder zu ändern.
DDoS-Schutz unterstützt Policer für viele Protokollgruppen. Auf einigen Geräten können Sie Policer-Parameter für bestimmte Pakettypen innerhalb einiger Protokollgruppen ändern. Die Unterstützung für Protokollgruppen und Pakettypen variiert von Plattformen und Junos OS-Versionen. In der protocols Erklärung finden Sie Details zu den wichtigsten Unterschieden, wie folgt:
Für Router der ACX-Serie, Router der PTX-Serie und Switches der QFX-Serie siehe Protokolle (DDoS) (ACX-Serie, PTX-Serie und QFX-Serie).
Für alle anderen Routing-Geräte und EX9200-Switches siehe Protokolle (DDoS).
Die restlichen Anweisungen in dieser Hierarchie der Konfigurationsanweisungen werden separat erklärt. Suchen Sie im CLI-Explorer nach einer Anweisung, oder klicken Sie im Syntaxabschnitt auf eine verknüpfte Anweisung, um Details zu erhalten.
Router der PTX-Serie und QFX10002-60C-Switches unterstützen die bypass-aggregate Option nicht.
Erforderliche Berechtigungsstufe
admin: Diese Anweisung wird in der Konfiguration angezeigt.
admin-control: So fügen Sie diese Anweisung zur Konfiguration hinzu.
Versionsinformationen
Erklärung eingeführt in Junos OS Version 11.2.
Unterstützung für erweiterte Anwenderverwaltung in Junos OS Version 17.3R1 hinzugefügt.