ddos-protection (DDoS)
Syntaxe (routeurs ACX Series)
ddos-protection
global {
disable-routing-engine;
disable-logging;
}
protocols protocol-group aggregate {
bandwidth packets-per-second;
burst size;
disable-logging;
disable-routing-engine;
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Syntaxe (routeurs PTX Series et commutateurs QFX Series)
ddos-protection
global {
disable-fpc;
disable-logging;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Syntaxe (autres routeurs et commutateurs EX9200)
ddos-protection
global {
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection;
flow-level-control;
flow-detection-mode;
flow-report-rate;
violation-report-rate;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection-mode (automatic | off | on);
flow-detect-time seconds;
flow-level-bandwidth {
logical-interface flow-bandwidth;
physical-interface flow-bandwidth;
subscriber flow-bandwidth;
}
flow-level-control {
logical-interface flow-control-mode;
physical-interface flow-control-mode;
subscriber flow-control-mode;
}
flow-level-detection {
logical-interface flow-detection-mode;
physical-interface flow-detection-mode;
subscriber flow-detection-mode;
}
flow-recover-time seconds;
flow-timeout-time seconds;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
no-flow-logging
priority level;
recover-time seconds;
timeout-active-flows;
}
traceoptions{
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Niveau hiérarchique
[edit system]
Description
Configurez les mécanismes de protection DDoS pour la protection DDoS du plan de contrôle.
Les attaques DDoS utilisent généralement des paquets de contrôle réseau pour déclencher un grand nombre d’exceptions au plan de contrôle d’un équipement qui perturbe les opérations réseau normales. La protection DDoS contrôle le trafic pour permettre à l’équipement de continuer à fonctionner sous une attaque DDoS.
La protection contre les attaques DDoS est activée par défaut sur les équipements prenant en charge les groupes de protocoles et les types de paquets disponibles sur l’équipement. Vous pouvez désactiver des mécanismes de contrôle particuliers ou modifier les paramètres de mécanismes de contrôle par défaut, notamment :
Définissez le débit de trafic maximum autorisé, la taille maximale de l’rafale et la priorité du trafic.
(Sur certains équipements) Définir le temps passé depuis la dernière violation avant que le flux de trafic ne soit considéré comme récupéré suite à l’attaque.
(Sur certains équipements) Adaptez la bande passante et les valeurs d’rafale pour chaque carte d’interfaces afin que les mécanismes de contrôle à ce niveau se déclenchent à des seuils inférieurs à ceux du protocole global ou des seuils de paquets.
Certains commutateurs EX Series peuvent être protégés contre les attaques DDoS sur le plan de contrôle, mais ne prennent pas en charge les options CLI pour afficher ou modifier les paramètres du mécanismes de contrôle par défaut.
La protection DDoS prend en charge les mécanismes de contrôle pour de nombreux groupes de protocoles. Sur certains équipements, vous pouvez modifier les paramètres du mécanismes de contrôle pour des types de paquets spécifiques au sein de certains groupes de protocoles. La prise en charge des groupes de protocoles et des types de paquets varie selon les plates-formes et les versions de Junos OS. Pour plus de détails sur les principales différences, reportez-vous à l’énoncé protocols ci-dessous :
Pour les routeurs ACX Series, les routeurs PTX Series et les commutateurs QFX Series, voir protocoles (DDoS) (ACX Series, PTX Series et QFX Series).
Pour tous les autres équipements de routage et commutateurs EX9200, voir protocoles (DDoS).
Les autres instructions de cette hiérarchie d’instructions de configuration sont expliquées séparément. Recherchez une instruction dans l’explorateur CLI ou cliquez sur une déclaration liée dans la section Syntax pour plus de détails.
Les routeurs PTX Series et les commutateurs QFX10002-60C ne prennent pas en charge cette bypass-aggregate option.
Niveau de privilège requis
admin : pour afficher cette instruction dans la configuration.
admin-control : pour ajouter cette instruction à la configuration.
Informations de mise à jour
Déclaration présentée dans Junos OS version 11.2.
Prise en charge de la gestion améliorée des abonnés ajoutée à Junos OS version 17.3R1.