Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren des DDoS-Schutzes auf der Steuerungsebene

Der DDoS-Schutz auf Steuerungsebene ist standardmäßig für alle unterstützten Protokollgruppen und Pakettypen aktiviert. Die Geräte verfügen über Standardwerte für Bandbreite (Paketrate in pps), Bandbreitenskalierung, Burst (Anzahl der Pakete in einem Burst), Burst-Skalierung, Priorität und Wiederherstellungszeit. Um die Standardwerte für den Policer für alle unterstützten Protokollgruppen und Pakettypen anzuzeigen, führen Sie den show ddos-protection protocols CLI-Befehl aus, bevor Sie konfigurierbare DDoS-Schutzwerte ändern.

Anmerkung:

EX2300- und EX2300-C-Switches verfügen möglicherweise über DDoS-Schutz auf der Steuerungsebene, unterstützen jedoch keine CLI-Optionen zum Anzeigen oder Ändern der Standard-Policer-Parameter.

Beginnend mit Junos OS Version 24.2R1 unterstützen die EX4100- und EX4400-Geräte und ab Junos OS Version 24.4R1 die EX3400- und EX4300-MP-Geräte CLI-Optionen zum Anzeigen oder Ändern der Standard-Policer-Parameter.

Sie können die DDoS-Konfigurationsparameter der Steuerungsebene wie folgt ändern:

  • Für einzelne Pakettypen, die innerhalb einer Protokollgruppe unterstützt werden, können Sie die Werte für Bandbreite (pps), Burst (Pakete) und priority policer ändern.

    Anmerkung:

    Auf PTX10003- und PTX10008-Routern können Sie die Standardwerte für Bandbreite (pps) und Burst (Pakete) für Aggregations- oder Pakettyp-Policer ändern, jedoch nicht für Prioritätswerte.

  • Für den aggregierten Policer für eine Protokollgruppe können Sie die Werte für Bandbreite (pps) und Burst (Pakete) des Policers ändern.

  • Wenn Sie Werte für Bandbreite (pps), Burst (Pakete) und Priorität für eine Protokollgruppe oder einen Pakettyp-Policer festlegen, gelten auf allen Policer-Ebenen die gleichen Werte. Ändern Sie die Skalierungskonfigurationsoptionen, um diese Werte auf der Ebene der Packet Forwarding Engine zu optimieren.

    Anmerkung:

    Router der ACX-Serie mit DDoS-Schutz auf Steuerungsebene unterstützen das Ändern von Policer-Werten auf der Ebene der Routing-Engine, die bis auf die PFE-Chipsatzebene weitergegeben werden. Sie unterstützen nicht die Konfigurationsoptionen für die Linecard-Skalierung in der [edit system ddos-protection protocols protocol-group aggregate fpc Anweisungshierarchie.

Sie können den DDoS-Schutz der Steuerungsebene wie folgt deaktivieren:

  • Auf den meisten Routinggeräten, die über Policer auf Routing-Engine-Ebene verfügen, können Sie den DDoS-Schutz der Steuerungsebene in der Routing-Engine und für alle Linecards entweder global oder für einzelne Pakettypen innerhalb einer Protokollgruppe deaktivieren.

  • PTX10003 enthalten PTX10008- und PTX10016-Router Policer auf der Routing-Engine-Ebene, aber wie bei anderen PTX-Serie-Routern können Sie nur Linecard-Policer deaktivieren.

  • Auf anderen Routern der PTX-Serie und Switches der QFX-Serie werden Policer nur auf den Linecards unterstützt, sodass Sie auf diesen Geräten den DDoS-Schutz der Steuerungsebene für alle Linecards entweder global oder für einzelne Pakettypen innerhalb einer Protokollgruppe deaktivieren können.

Die DDoS-Protokollierung auf Steuerungsebene ist standardmäßig aktiviert, Sie können sie jedoch global für alle DDoS-Ereignisse der Steuerungsebene oder für einzelne Pakettypen innerhalb einer Protokollgruppe deaktivieren. Sie können auch Ablaufverfolgungsvorgänge für die Überwachung von DDoS-Ereignissen auf Steuerungsebene konfigurieren.

Anmerkung:

Router der MX-Serie mit MPCs und T4000-Router mit FPC5s unterstützen DDoS-Schutz auf Steuerungsebene. Die CLI akzeptiert die Konfiguration, wenn auf einem dieser Routertypen auch andere Linecards installiert sind, die anderen Linecards jedoch nicht geschützt sind, sodass der Router im Wesentlichen nicht geschützt ist.

So ändern Sie die DDoS-Schutzparameter der standardmäßig konfigurierten Steuerungsebene:

  1. (Optional) Konfigurieren Sie die globalen DDoS-Schutzeinstellungen der Steuerungsebene oder deaktivieren Sie den DDoS-Schutz der Steuerungsebene.

  2. (Optional) Konfigurieren Sie DDoS-Schutzeinstellungen der Steuerungsebene für den aggregierten Policer oder einzelne Pakettypen für die gewünschten Protokollgruppen.

  3. (Optional) Konfigurieren Sie die Ablaufverfolgung für DDoS-Schutzvorgänge auf Steuerungsebene.

Deaktivieren der DDoS-Schutzrichtlinien der Steuerungsebene und der globalen Protokollierung

DDoS-Schutzpolicen der Steuerungsebene sind standardmäßig für alle unterstützten Protokollgruppen und Pakettypen aktiviert.

Auf Routern der ACX-Serie können Sie Policer global oder für einzelne Protokollgruppen auf Routing-Engine-Ebene deaktivieren. Durch das globale Deaktivieren von Richtlinien wird im Wesentlichen der DDoS-Schutz der Steuerungsebene auf dem Gerät deaktiviert.

Bei Routern der MX-Serie, T4000-Routern und EX9200-Switches werden die Policer auf der Ebene der einzelnen Linecard und der Routing-Engine eingerichtet. Sie können die Linecard-Policer global für alle MPCs oder FPC5s deaktivieren. Sie können auch den Routing-Engine-Policer deaktivieren. Wenn Sie einen dieser Policer deaktivieren, werden die Policer auf dieser Ebene für alle Protokollgruppen und Pakettypen deaktiviert.

Bei Routern der PTX-Serie und Switches der QFX-Serie werden Policer nur auf der Ebene einzelner Linecards eingerichtet. Wenn Sie Linecard-Policer global deaktivieren, wird der DDoS-Schutz der Steuerungsebene auf dem Switch deaktiviert.

PTX10003 enthalten PTX10008- und PTX10016-Router Policer auf der Routing-Engine-Ebene, aber wie bei anderen PTX-Serie-Routern können Sie nur Linecard-Policer deaktivieren.

Die DDoS-Schutzprotokollierung der Steuerungsebene ist ebenfalls standardmäßig aktiviert. Sie können die gesamte DDoS-Ereignisprotokollierung der Steuerungsebene (einschließlich der Protokollierung von Datenstromerkennungsereignissen) für alle Protokollgruppen und Pakettypen im Router oder Switch deaktivieren.

Anmerkung:

Die globale Konfiguration zum Deaktivieren von Policern und Protokollieren überschreibt alle lokalen Konfigurationen für Pakettypen.

So konfigurieren Sie die DDoS-Schutzeinstellungen der globalen Steuerungsebene:

  1. (Optional) (Nicht verfügbar auf Routern der ACX-Serie) So deaktivieren Sie Linecard-Policer:
  2. (Optional) (Nicht verfügbar auf Routern der PTX-Serie oder Switches der QFX-Serie) So deaktivieren Sie die Routing-Engine-Policer:
  3. (Optional) So deaktivieren Sie die Ereignisprotokollierung:

Konfigurieren von DDoS-Schutz auf der Steuerungsebene, aggregierte oder einzelne Pakettyp-Policer

DDoS-Policer der Steuerungsebene werden zur Steuerung des Paketverkehrs angewendet und sind standardmäßig für alle unterstützten Protokollgruppen und Pakettypen aktiviert. Sie können die Standardparameter des Policers ändern, um unterschiedliche Werte für die maximal zulässige Datenverkehrsrate, die maximale Burst-Größe, die Datenverkehrspriorität und die Zeitspanne zu konfigurieren, die seit dem letzten Verstoß vergehen muss, bevor der Datenverkehrsfluss als nach dem Angriff erholt gilt. Sie können auch die Bandbreiten- und Burst-Werte für einzelne Linecards skalieren, sodass die Policer auf dieser Ebene bei niedrigeren Schwellenwerten als die allgemeinen Protokoll- oder Paketschwellenwerte auslösen.

Die Unterstützung von Protokollgruppen und Pakettypen variiert je nach Plattform und Junos OS-Version wie folgt:

Sie können aggregierte Policerwerte für jede Protokollgruppe konfigurieren. Der aggregierte Policer gilt für die Kombination aller Arten von Steuerpaketdatenverkehr für diese Gruppe.

Anmerkung:

Router der ACX-Serie unterstützen den aggregierten Policer nur für alle unterstützten Protokollgruppen.

Für einige Protokollgruppen können Sie auch Policerwerte für einzelne Pakettypen konfigurieren. Wenn Sie aggregierte Policerwerte für bestimmte Protokollgruppen konfigurieren, können Sie diesen Policer optional für einen oder mehrere bestimmte Pakettypen in dieser Gruppe umgehen.

Beste Praxis:

Obwohl alle Policer über Standardparameterwerte verfügen, geben diese Werte möglicherweise nicht genau das Kontrolldatenverkehrsmuster Ihres Netzwerks wieder. Es wird empfohlen, dass Sie Ihr Netzwerk modellieren, um die besten Werte für Ihre Situation zu ermitteln. Bevor Sie Policer für Ihr Netzwerk konfigurieren, können Sie mit dem show ddos-protection protocols parameters brief Befehl schnell die Standardwerte für alle Pakettypen aus dem Betriebsmodus anzeigen. Sie können den Befehl auch verwenden, um eine einzelne Protokollgruppe von Interesse anzugeben. Verwenden Sie z. B. den show ddos-protection protocols dhcpv4 parameters brief Befehl, um Standardwerte für die dhcpv4 Protokollgruppe anzuzeigen.

Sie können einen Pakettyp-Policer entweder auf der Ebene der Routing-Engine (falls unterstützt) oder auf der Ebene der Packet Forwarding Engine (falls unterstützt) für eine angegebene Linecard oder für alle Linecards deaktivieren. Sie können auch die Protokollierung aller DDoS-Schutzereignisse der Steuerungsebene für einzelne Pakettypen innerhalb einer Protokollgruppe deaktivieren.

So konfigurieren Sie die gewünschten Einstellungen für den DDoS-Schutz vom Typ "Aggregat" oder "Paket":

  1. Geben Sie die Protokollgruppe an.

    Gehen Sie beispielsweise wie folgt vor, um die DHCPv4-Protokollgruppe auf MX-Serie, PTX10003- oder PTX10008-Routern anzugeben:

    Bei Geräten der ACX-Serie, PTX-Serie und QFX-Serie bietet die Unterstützung für DDoS-Schutz auf der Steuerungsebene eine kombinierte DHCPv4- und DHCPv6-Option, die nur eine aggregierte Policer-Konfiguration zulässt:

  2. Geben Sie einen unterstützten einzelnen Pakettyp oder die Option an, alle aggregate Pakettypen in der Protokollgruppe einzubeziehen.

    oder

    So geben Sie beispielsweise nur DHCPv4-Releasepakete auf Geräten an, die einzelne DHCPv4-Pakettypen unterstützen:

  3. (Optional) Konfigurieren Sie die maximale Datenverkehrsrate, die der Policer für den Pakettyp (oder das Aggregat) zulässt.

    So legen Sie beispielsweise eine Bandbreite von 600 Paketen pro Sekunde für DHCPv4-Releasepakete fest:

  4. (Optional) Konfigurieren Sie die maximale Anzahl von Paketen dieses Pakettyps (oder Aggregats), die der Policer in einem Datenverkehrsschub zulässt.

    So legen Sie beispielsweise maximal 5000 DHCPv4-Releasepakete fest:

  5. (Optional) Legen Sie die Datenverkehrspriorität fest.
    Anmerkung:

    Sie können die Standardprioritätswerte auf PTX10003- oder PTX10008-Routern nicht ändern.

    So legen Sie beispielsweise eine mittlere Priorität für DHCPv4-Releasepakete fest:

  6. (Optional) Konfigurieren Sie, wie viel Zeit seit dem letzten Verstoß vergehen muss, bevor der Datenverkehrsfluss als nach dem Angriff erholt gilt.

    So geben Sie beispielsweise an, dass seit dem letzten Verstoß gegen die DHCPv4-Freigabepaketüberwachung 600 Sekunden vergangen sein müssen:

  7. (Optional, wird auf einigen Geräten unterstützt) Umgehen Sie die Konfiguration des aggregierten Policers. Dies ist nur anwendbar, wenn ein aggregierter Policer und ein einzelner Policer für die Protokollgruppe konfiguriert sind.

    Um beispielsweise den aggregierten Policer für DHCPv4-Erneuerungspakete zu umgehen, gehen Sie wie folgt vor:

  8. (Optional, wird auf einigen Geräten unterstützt) Deaktivieren Sie Linecard-Policer für den Pakettyp (oder das Aggregat) auf allen Linecards.
    Anmerkung:

    Wenn Sie Linecard-Policer global auf Hierarchieebene [edit system ddos-protection global] deaktivieren, überschreibt die globale Einstellung die in diesem Schritt gezeigte Einstellung pro Pakettyp. Wenn Sie die globale Konfiguration anschließend entfernen, wird die Konfiguration pro Pakettyp wirksam.

    So deaktivieren Sie z. B. die Linecard-Polizei für DHCPv4-Bootp-Pakete:

  9. (Optional) Deaktivieren Sie die DDoS-Schutzereignisprotokollierung der Steuerungsebene für nur einen Pakettyp (oder ein Aggregat).
    Anmerkung:

    Ereignisse, die für das Paket deaktiviert sind, sind mit Verstößen gegen die Polizei verbunden. Die Protokollierung von Datenstromerkennungs-Culprit-Flow-Ereignissen ist von dieser Anweisung nicht betroffen.
    Anmerkung:

    Wenn Sie die DDoS-Schutzereignisprotokollierung der Steuerungsebene global auf Hierarchieebene [edit system ddos-protection global] deaktivieren, hat die globale Einstellung Vorrang vor der in diesem Schritt gezeigten Einstellung pro Pakettyp. Wenn Sie die globale Konfiguration anschließend entfernen, wird die Konfiguration pro Pakettyp wirksam.

    Gehen Sie beispielsweise wie folgt vor, um die DDoS-Schutzereignisprotokollierung der Steuerungsebene auf dem Linecard-Policer für DHCPv4-Erkennungspakete zu deaktivieren:

  10. (Optional, nicht verfügbar bei Routern der PTX-Serie oder Switches der QFX-Serie) Deaktivieren Sie den Routing-Engine-Policer nur für diesen Pakettyp.
    Anmerkung:

    Wenn Sie den Routing-Engine-Policer global auf Hierarchieebene [edit system ddos-protection global] deaktivieren, überschreibt die globale Einstellung die in diesem Schritt gezeigte Einstellung pro Pakettyp. Wenn Sie die globale Konfiguration anschließend entfernen, wird die Konfiguration pro Pakettyp wirksam.

    Gehen Sie beispielsweise wie folgt vor, um den Routing-Engine-Policer für DHCPv4-Ermittlungspakete zu deaktivieren:

  11. (Optional, nicht unterstützt auf Routern der ACX-Serie) Konfigurieren Sie Einstellungen auf Paketebene für den Pakettyp (oder das Aggregat) auf einer einzelnen Linecard. Bei Switches mit einer einzelnen Festnetzkarte (ein einzelner FPC, der sich vermutlich in Steckplatz 0 befindet und mit einer Bezeichnung versehen ist fpc0) wirkt sich die Skalierung der Policer-Werte auf den gesamten Switch aus.

    So greifen Sie beispielsweise auf DHCPv4 und die Paketeinstellungen auf der Linecard in Steckplatz 3 zu:

  12. (Optional, nicht unterstützt auf Routern der ACX-Serie) Skalieren Sie die Policer-Bandbreite für den Pakettyp (oder das Aggregat) auf der Linecard.

    Wenn Sie beispielsweise die Bandbreite auf 80 Prozent der für DHCPv4 konfigurierten Einstellung für alle Linecards skalieren möchten, ermitteln Sie Pakete auf der Linecard in Steckplatz 3:

  13. (Optional, nicht unterstützt auf Routern der ACX-Serie) Skalieren Sie die Burst-Größe des Policers für den Pakettyp (oder das Aggregat) auf der Linecard.

    Wenn Sie beispielsweise die maximale Bandbreite auf 75 Prozent der für DHCPv4 konfigurierten Einstellung für alle Linecards skalieren möchten, ermitteln Sie Pakete auf der Linecard in Steckplatz 3:

  14. (Optional, nicht unterstützt auf Routern der ACX-Serie) Deaktivieren Sie die Linecard-Überwachung für den Pakettyp (oder das Aggregat) auf einer bestimmten Linecard.

    So deaktivieren Sie beispielsweise die Linecard-Überwachung für DHCPv4 und ermitteln Pakete auf der Linecard in Steckplatz 3:

Siehe auch

Verifizierung und Verwaltung des DDoS-Schutzes auf Steuerungsebene

Zweck

Zeigen Sie Informationen zu DDoS-Schutzkonfigurationen, -zuständen und -statistiken der Steuerungsebene an oder löschen Sie sie.

Aktion

  • So zeigen Sie die DDoS-Schutz-Policer-Konfiguration, den Verstoßstatus und die Statistiken der Steuerungsebene für alle Pakettypen in allen Protokollgruppen an:

    Führen Sie diesen Befehl aus, bevor Sie Konfigurationsänderungen vornehmen, um die Standardwerte des Policers anzuzeigen.

  • So zeigen Sie die DDoS-Schutz-Policer-Konfiguration, den Verletzungsstatus und die Statistiken der Steuerungsebene für einen bestimmten Pakettyp in einer bestimmten Protokollgruppe an:

  • So zeigen Sie nur die Anzahl der Verletzungen der DDoS-Schutzpolizei der Steuerungsebene für alle Protokollgruppen an:

  • So zeigen Sie eine Tabelle mit der DDoS-Schutzkonfiguration der Steuerungsebene für alle Pakettypen in allen Protokollgruppen an:

  • So zeigen Sie eine vollständige Liste der Paketstatistiken und Statistiken zu DDoS-Schutzverletzungen auf der Steuerungsebene für alle Pakettypen in allen Protokollgruppen an:

  • So zeigen Sie Statistiken zu Verstößen gegen den DDoS-Schutz der globalen Steuerungsebene an:

  • So zeigen Sie die Versionsnummer des DDoS-Schutzes der Steuerungsebene an:

  • So löschen Sie die DDoS-Schutzstatistiken der Steuerungsebene für alle Pakettypen in allen Protokollgruppen:

  • So löschen Sie die DDoS-Schutzstatistiken der Steuerungsebene für alle Pakettypen in einer bestimmten Protokollgruppe:

  • So löschen Sie DDoS-Schutzstatistiken der Steuerungsebene für einen bestimmten Pakettyp in einer bestimmten Protokollgruppe:

  • So löschen Sie den Status von DDoS-Schutzverletzungen auf der Steuerungsebene für alle Pakettypen in allen Protokollgruppen:

  • So löschen Sie den Status von DDoS-Schutzverletzungen auf der Steuerungsebene für alle Pakettypen in einer bestimmten Protokollgruppe:

  • So löschen Sie den Status eines DDoS-Schutzes auf der Steuerungsebene für einen bestimmten Pakettyp in einer bestimmten Protokollgruppe:

Siehe auch