SUR CETTE PAGE
Exemple : configuration de la protection DDoS du plan de contrôle sur les commutateurs QFX Series
Cet exemple montre comment configurer la protection DDoS du plan de contrôle afin qu’un commutateur puisse rapidement identifier une attaque et empêcher un flot de paquets de contrôle malveillants d’épuiser les ressources système.
Exigences
La protection DDoS du plan de contrôle nécessite le matériel et les logiciels suivants :
Commutateur QFX Series prenant en charge la protection DDoS du plan de contrôle
Junos OS version 15.1X53-D10 ou ultérieure
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise pour que vous puissiez configurer cette fonctionnalité.
Aperçu
Les attaques par déni de service distribué (DDoS) utilisent plusieurs sources pour inonder un réseau de paquets de contrôle de protocole. Ce trafic malveillant déclenche un grand nombre d’exceptions dans le réseau et tente d’épuiser les ressources du système pour empêcher les utilisateurs valides d’accéder au réseau ou au serveur.
La protection DDoS du plan de contrôle est activée par défaut sur un commutateur QFX Series pris en charge. Cet exemple décrit comment vous pouvez modifier la configuration par défaut des mécanismes de contrôle de limitation de débit qui identifient l’excès de trafic de contrôle et abandonnent les paquets avant que le commutateur ne soit affecté. Les exemples de tâches incluent la configuration d’un mécanisme de contrôle d’agrégation pour un groupe de protocoles, la configuration de mécanismes de contrôle pour des types particuliers de paquets de contrôle au sein d’un groupe de protocoles et la spécification d’options de trace pour les opérations de protection DDoS du plan de contrôle.
Cet exemple montre comment modifier certains paramètres et comportements par défaut du mécanisme de contrôle pour le groupe de radius protocoles et le type de paquet Radius accounting . Vous pouvez utiliser les mêmes commandes pour modifier les limites du mécanisme de contrôle pour d’autres groupes de protocoles et types de paquets pris en charge. Reportez-vous à l’instruction de configuration ddos-protection au niveau de la [edit system] hiérarchie pour connaître toutes les options de configuration disponibles.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la protection DDoS du plan de contrôle pour des groupes de protocoles et des types de paquets de contrôle particuliers, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
[edit] edit system set ddos-protection protocols radius aggregate bandwidth 150 set ddos-protection protocols radius aggregate burst 2000 set ddos-protection protocols radius accounting bandwidth 100 burst 150 set ddos-protection protocols radius accounting priority low set ddos-protection protocols radius server bypass-aggregate set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer la protection DDoS du plan de contrôle :
Spécifiez un groupe de protocoles.
[edit system ddos-protection protocols] user@host# edit radius
Configurez le débit de trafic maximal pour le mécanisme de contrôle d’agrégation RADIUS ; c’est-à-dire pour la combinaison de tous les paquets RADIUS.
Note:Vous pouvez modifier le taux de trafic à l’aide de l’option
bandwidth. Bien que le terme bande passante fasse généralement référence aux bits par seconde (bps), l’option de cette fonctionnalité représente une valeur debandwidthpaquets par seconde (pps).[edit system ddos-protection protocols radius] user@host# set aggregate bandwidth 150
Configurez la taille de rafale maximale (nombre de paquets) pour le mécanisme de contrôle d’agrégation RADIUS.
[edit system ddos-protection protocols radius] user@host# set aggregate burst 2000
Configurez un débit de trafic maximal (pps) et une taille de rafale (paquets) différents pour les paquets de comptabilité RADIUS.
[edit system ddos-protection protocols radius] user@host# set accounting bandwidth 100 burst 1500
Diminuez la priorité des paquets de comptabilité RADIUS.
[edit system ddos-protection protocols radius] user@host# set accounting priority low
Empêcher les paquets de contrôle du serveur RADIUS d’être inclus dans la bande passante agrégée (pps) ; c’est-à-dire que les paquets du serveur ne contribuent pas au trafic RADIUS combiné pour déterminer si la bande passante agrégée est dépassée. Toutefois, les paquets serveur sont toujours inclus dans les statistiques de débit de trafic.
[edit system ddos-protection protocol radius] user@host# set server bypass-aggregate
(Sur les commutateurs avec plusieurs cartes de ligne uniquement) Réduisez la bande passante (pps) et la taille de rafale (paquets) autorisées avant qu’une violation ne soit déclarée pour le mécanisme de contrôle RADIUS sur le FPC dans l’emplacement 1.
[edit system ddos-protection protocols radius] user@host# set aggregate fpc 1 bandwidth-scale 80 user@host# set aggregate fpc 1 burst-scale 75
Configurez le suivi pour tous les événements de traitement du protocole de protection DDoS du plan de contrôle.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Résultats
Depuis le mode configuration, confirmez votre configuration en saisissant la show ddos-protection commande au niveau de la system hiérarchie.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-log size 10m;
flag all;
}
protocols {
radius {
aggregate {
bandwidth 150;
burst 2000;
}
server {
bypass-aggregate;
}
accounting {
bandwidth 100;
burst 1500;
priority low;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration de la protection DDoS du plan de contrôle fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration de la protection DDoS du plan de contrôle
But
Vérifiez que les valeurs du mécanisme de contrôle RADIUS ont changé par rapport à la valeur par défaut.
Action
À partir du mode opérationnel, entrez la show ddos-protection protocols radius parameters commande.
user@host> show ddos-protection protocols radius parameters
Packet types: 5, Modified: 3
* = User configured value
Protocol Group: Radius
Packet type: aggregate (Aggregate for all Radius traffic)
Aggregate policer configuration:
Bandwidth: 150 pps*
Burst: 2000 packets*
Recover time: 300 seconds
Enabled: Yes
Routing Engine information:
Bandwidth: 150 pps, Burst: 2000 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (150 pps), Burst: 100% (2000 packets), enabled
Packet type: server (Radius server traffic)
Individual policer configuration:
Bandwidth: 200 pps
Burst: 2048 packets
Priority: High
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes*
Routing Engine information:
Bandwidth: 200 pps, Burst: 2048 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
Packet type: accounting (Radius accounting traffic)
Individual policer configuration:
Bandwidth: 100 pps*
Burst: 1500 packets*
Priority: Low*
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
Routing Engine information:
Bandwidth: 100 pps, Burst: 1500 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (100 pps), Burst: 100% (1500 packets), enabled
Packet type: authorization (Radius authorization traffic)
Individual policer configuration:
Bandwidth: 200 pps
Burst: 2048 packets
Priority: High
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
Routing Engine information:
Bandwidth: 200 pps, Burst: 2048 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
Signification
La sortie de la commande affiche la configuration actuelle du mécanisme de contrôle d’agrégation RADIUS et des mécanismes de contrôle des paquets de comptabilité, de serveur et de contrôle d’autorisation RADIUS. Les valeurs du mécanisme de contrôle qui ont été modifiées par rapport aux valeurs par défaut sont marquées d’un astérisque. La sortie indique que la configuration du mécanisme de contrôle RADIUS a été modifiée correctement.