Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

configuration de la protection DDoS du plan de contrôle

La protection DDoS du plan de contrôle est activée par défaut pour tous les groupes de protocoles et types de paquets pris en charge. Les périphériques ont des valeurs par défaut pour la bande passante (débit de paquets en pps), l’échelle de bande passante, la rafale (nombre de paquets dans une rafale), l’échelle de rafale, la priorité et le temps de récupération. Pour afficher les valeurs par défaut du mécanisme de contrôle pour tous les groupes de protocoles et types de paquets pris en charge, exécutez la show ddos-protection protocols commande CLI avant de modifier les valeurs de protection DDoS configurables.

Note:

Les commutateurs EX2300 et EX2300-C peuvent être dotés d’une protection DDoS du plan de contrôle, mais ne prennent pas en charge les options CLI pour afficher ou modifier les paramètres de contrôle par défaut.

À partir de Junos OS version 24.2R1, des périphériques EX4100 et EX4400 et à partir de Junos OS version 24.4R1, les périphériques EX3400 et EX4300-MP prennent en charge les options CLI pour afficher ou modifier les paramètres par défaut du mécanisme de contrôle.

Vous pouvez modifier les paramètres de configuration DDoS du plan de contrôle comme suit :

  • Pour les types de paquets individuels pris en charge au sein d’un groupe de protocoles, vous pouvez modifier les valeurs de bande passante (pps), de rafale (paquets) et de mécanismes de contrôle de priorité.

    Note:

    Sur les routeurs PTX10003 et PTX10008, vous pouvez modifier les valeurs de bande passante (pps) et de rafale (paquets) par défaut pour les mécanismes de contrôle d’agrégation ou de type de paquet, mais pas les valeurs de priorité.

  • Pour le mécanisme de contrôle agrégé d’un groupe de protocoles, vous pouvez modifier les valeurs du mécanisme de contrôle de la bande passante (pps) et de la rafale (paquets).

  • Lorsque vous définissez des valeurs de bande passante (pps), de rafale (paquets) et de priorité pour un groupe de protocoles ou un mécanisme de contrôle de type de paquets, les mêmes valeurs s’appliquent à tous les niveaux du mécanisme de contrôle. Modifiez les options de configuration de mise à l’échelle pour ajuster ces valeurs au niveau du moteur de transfert de paquets.

    Note:

    Les routeurs ACX Series avec protection DDoS du plan de contrôle prennent en charge la modification des valeurs de contrôle au niveau du moteur de routage, qui se propage jusqu’au niveau du chipset PFE. Ils ne prennent pas en charge les options de configuration de mise à l’échelle de la carte de ligne au niveau de la [edit system ddos-protection protocols protocol-group aggregate fpc hiérarchie des instructions.

Vous pouvez désactiver la protection DDoS du plan de contrôle comme suit :

  • Sur la plupart des périphériques de routage dotés de mécanismes de contrôle au niveau du moteur de routage, vous pouvez désactiver la protection DDoS du plan de contrôle au niveau du moteur de routage et pour toutes les cartes de ligne, globalement ou pour des types de paquets individuels au sein d’un groupe de protocoles.

  • PTX10003, les routeurs PTX10008 et PTX10016 incluent des mécanismes de contrôle au niveau moteur de routage, mais comme les autres routeurs PTX Series, vous ne pouvez désactiver que les mécanismes de contrôle de carte de ligne.

  • Sur d’autres routeurs PTX Series et commutateurs QFX Series, les mécanismes de contrôle sont pris en charge uniquement au niveau des cartes de ligne. Sur ces appareils, vous pouvez donc désactiver la protection DDoS du plan de contrôle pour toutes les cartes de ligne, globalement ou pour des types de paquets individuels au sein d’un groupe de protocoles.

La journalisation DDoS du plan de contrôle est activée par défaut, mais vous pouvez la désactiver globalement pour tous les événements DDoS du plan de contrôle ou pour les types de paquets individuels au sein d’un groupe de protocoles. Vous pouvez également configurer des opérations de suivi pour surveiller les événements DDoS du plan de contrôle.

Note:

Les routeurs MX Series avec MPC et les routeurs T4000 avec FPC5 prennent en charge la protection DDoS du plan de contrôle. La CLI accepte la configuration si d’autres cartes de ligne sont également installées sur l’un ou l’autre de ces types de routeurs, mais que les autres cartes de ligne ne sont pas protégées, de sorte que le routeur n’est fondamentalement pas protégé.

Pour modifier les paramètres de protection DDoS du plan de contrôle configuré par défaut :

  1. (Facultatif) Configurez les paramètres de protection DDoS du plan de contrôle global ou désactivez la protection DDoS du plan de contrôle.

  2. (Facultatif) Configurez les paramètres de protection DDoS du plan de contrôle pour le mécanisme de contrôle agrégé ou les types de paquets individuels pour les groupes de protocoles souhaités.

  3. (Facultatif) Configurez le suivi pour les opérations de protection DDoS du plan de contrôle.

Désactivation globale de la protection DDoS, des mécanismes de contrôle et de la journalisation

Les mécanismes de contrôle de protection DDoS sont activés par défaut pour tous les groupes de protocoles et types de paquets pris en charge.

Sur les routeurs ACX Series, vous pouvez désactiver les mécanismes de contrôle globalement ou pour des groupes de protocoles individuels au niveau du moteur de routage. La désactivation globale des mécanismes de contrôle désactive essentiellement la protection contre les attaques DDoS du plan de contrôle sur l’appareil.

Sur les routeurs MX Series, les routeurs T4000 et les commutateurs EX9200, les mécanismes de contrôle sont établis au niveau de la carte de ligne individuelle et du moteur de routage. Vous pouvez désactiver globalement les mécanismes de contrôle des cartes de ligne pour tous les MPC ou FPC5. Vous pouvez également désactiver le contrôleur du moteur de routage. Lorsque vous désactivez l’un ou l’autre de ces mécanismes de contrôle, les mécanismes de contrôle de ce niveau pour tous les groupes de protocoles et types de paquets sont désactivés.

Sur les routeurs PTX Series et les commutateurs QFX Series, les mécanismes de contrôle sont établis au niveau des cartes de ligne individuelles uniquement. Si vous désactivez globalement les mécanismes de contrôle des cartes de ligne, la protection contre les attaques DDoS du plan de contrôle est désactivée sur le commutateur.

PTX10003, les routeurs PTX10008 et PTX10016 incluent des mécanismes de contrôle au niveau moteur de routage, mais comme les autres routeurs PTX Series, vous ne pouvez désactiver que les mécanismes de contrôle de carte de ligne.

La journalisation de la protection DDoS du plan de contrôle est également activée par défaut. Vous pouvez désactiver la journalisation des événements DDoS du plan de contrôle (y compris la journalisation des événements de détection de flux) pour tous les groupes de protocoles et types de paquets sur le routeur ou le commutateur.

Note:

La configuration globale pour la désactivation des mécanismes de contrôle et la journalisation remplace toute configuration locale pour les types de paquets.

Pour configurer les paramètres de protection DDoS du plan de contrôle global :

  1. (Facultatif) (Non disponible sur les routeurs ACX Series) Pour désactiver les mécanismes de contrôle de carte de ligne :
  2. (En option) (Non disponible sur les routeurs PTX Series ni les commutateurs QFX Series) Pour désactiver les mécanismes de contrôle du moteur de routage :
  3. (Facultatif) Pour désactiver la journalisation des événements :

configuration de la protection DDoS du plan de contrôle, des mécanismes de contrôle des types de paquets agrégés ou individuels

Les mécanismes de contrôle DDoS du plan de contrôle sont appliqués pour contrôler le trafic des paquets et sont activés par défaut pour tous les groupes de protocoles et types de paquets pris en charge. Vous pouvez modifier les paramètres par défaut du mécanisme de contrôle pour configurer différentes valeurs pour le débit de trafic maximal autorisé, la taille maximale de la rafale, la priorité du trafic et le temps qui doit s’écouler depuis la dernière violation avant que le flux de trafic ne soit considéré comme récupéré de l’attaque. Vous pouvez également mettre à l’échelle les valeurs de bande passante et de rafale des cartes de ligne individuelles afin que les mécanismes de contrôle de ce niveau se déclenchent à des seuils inférieurs aux seuils globaux de protocole ou de paquets.

La prise en charge des groupes de protocoles et des types de paquets varie selon les plates-formes et les versions de Junos OS, comme suit :

Vous pouvez configurer des valeurs agrégées de mécanismes de contrôle pour n’importe quel groupe de protocoles. Le mécanisme de contrôle d’agrégation s’applique à la combinaison de tous les types de trafic de paquets de contrôle pour ce groupe.

Note:

Les routeurs ACX Series prennent en charge le mécanisme de contrôle agrégé uniquement pour les groupes de protocoles pris en charge.

Pour certains groupes de protocoles, vous pouvez également configurer des valeurs de mécanismes de contrôle pour des types de paquets individuels. Lorsque vous configurez des valeurs de mécanisme de contrôle agrégées pour certains groupes de protocoles, vous pouvez éventuellement contourner ce mécanisme de contrôle pour un ou plusieurs types de paquets particuliers de ce groupe.

Bonne pratique :

Bien que tous les mécanismes de contrôle aient des valeurs de paramètre par défaut, celles-ci peuvent ne pas refléter avec précision le modèle de trafic de contrôle de votre réseau. Nous vous recommandons de modéliser votre réseau afin de déterminer les valeurs les mieux adaptées à votre situation. Avant de configurer les mécanismes de contrôle pour votre réseau, vous pouvez afficher rapidement les valeurs par défaut de tous les types de paquets à partir du mode opérationnel à l’aide de la show ddos-protection protocols parameters brief commande. Vous pouvez également utiliser la commande pour spécifier un seul groupe de protocoles d’intérêt. Par exemple, pour afficher les valeurs par défaut du groupe de dhcpv4 protocoles, utilisez la show ddos-protection protocols dhcpv4 parameters brief commande.

Vous pouvez désactiver un mécanisme de contrôle de type de paquet au niveau du moteur de routage (s’il est pris en charge) ou au niveau du moteur de transfert de paquets (s’il est pris en charge) pour une carte de ligne spécifiée ou pour toutes les cartes de ligne. Vous pouvez également désactiver la journalisation de tous les événements de protection DDoS du plan de contrôle pour les types de paquets individuels au sein d’un groupe de protocoles.

Pour configurer les paramètres de protection DDoS agrégés ou de type paquet souhaités :

  1. Spécifiez le groupe de protocoles.

    Par exemple, pour spécifier le groupe de protocoles DHCPv4 sur des routeurs MX Series, PTX10003 ou PTX10008 :

    ou, sur les équipements ACX Series, PTX Series et QFX Series, la prise en charge de la protection DDoS du plan de contrôle dispose d’une option combinée DHCPv4 et DHCPv6 qui autorise uniquement la configuration agrégée des mécanismes de contrôle :

  2. Spécifiez un type de paquet individuel pris en charge ou l’option aggregate permettant d’englober tous les types de paquets du groupe de protocoles.

    ou

    Par exemple, pour spécifier uniquement des paquets de version DHCPv4 sur les périphériques qui prennent en charge des types de paquets DHCPv4 individuels :

  3. (Facultatif) Configurez le débit de trafic maximal autorisé par le mécanisme de contrôle pour le type de paquet (ou l’agrégat).

    Par exemple, pour définir une bande passante de 600 paquets par seconde pour les paquets de la version DHCPv4 :

  4. (Facultatif) Configurez le nombre maximal de paquets de ce type de paquet (ou agrégat) que le mécanisme de contrôle autorise dans une rafale de trafic.

    Par exemple, pour définir un maximum de 5 000 paquets de version DHCPv4 :

  5. (Facultatif) Définissez la priorité du trafic.
    Note:

    Vous ne pouvez pas modifier les valeurs de priorité par défaut sur les routeurs PTX10003 ou PTX10008.

    Par exemple, pour spécifier une priorité moyenne pour les paquets de la version DHCPv4 :

  6. (Facultatif) Configurez le temps qui doit s’écouler depuis la dernière violation avant que le flux de trafic ne soit considéré comme ayant récupéré de l’attaque.

    Par exemple, pour spécifier que 600 secondes doivent s’être écoulées depuis la dernière violation du mécanisme de contrôle des paquets de version DHCPv4 :

  7. (Facultatif, pris en charge sur certains équipements) Contournez la configuration du mécanisme de contrôle agrégé. Cela ne s’applique que lorsqu’un mécanisme de contrôle d’agrégation et un mécanisme de contrôle individuel sont configurés pour le groupe de protocoles.

    Par exemple, pour contourner le mécanisme de contrôle d’agrégation pour DHCPv4, renouvelez les paquets :

  8. (Facultatif, pris en charge sur certains équipements) Désactivez les mécanismes de contrôle des cartes de ligne pour le type de paquet (ou l’agrégat) sur toutes les cartes de ligne.
    Note:

    Lorsque vous désactivez globalement les mécanismes de contrôle de la carte de ligne au niveau de la [edit system ddos-protection global] hiérarchie, le paramètre global remplace le paramètre de type de paquet indiqué à cette étape. Si vous supprimez par la suite la configuration globale, c’est la configuration par paquet qui prend effet.

    Par exemple, pour désactiver le mécanisme de contrôle de la carte de ligne pour les paquets bootp DHCPv4 :

  9. (Facultatif) Désactivez la journalisation des événements de protection DDoS du plan de contrôle pour un seul type de paquet (ou agrégat).
    Note:

    Les événements désactivés pour le paquet sont associés à des violations du mécanisme de contrôle ; La consignation des événements de flux responsables de la détection de flux n’est pas affectée par cette instruction.
    Note:

    Lorsque vous désactivez globalement la journalisation globale des événements de protection DDoS du plan de contrôle au niveau de la [edit system ddos-protection global] hiérarchie, le paramètre global remplace le paramètre de type de paquet indiqué à cette étape. Si vous supprimez par la suite la configuration globale, c’est la configuration par paquet qui prend effet.

    Par exemple, pour désactiver la journalisation des événements de protection DDoS du plan de contrôle sur le mécanisme de contrôle de la carte de ligne pour DHCPv4, découvrez les paquets :

  10. (En option, non disponible sur les routeurs PTX Series ou les commutateurs QFX Series) Désactivez le mécanisme de contrôle du moteur de routage pour ce type de paquet uniquement.
    Note:

    Lorsque vous désactivez globalement le mécanisme de contrôle du moteur de routage au niveau de la [edit system ddos-protection global] hiérarchie, le paramètre global remplace le paramètre de type de paquet indiqué à cette étape. Si vous supprimez par la suite la configuration globale, c’est la configuration par paquet qui prend effet.

    Par exemple, pour désactiver le mécanisme de contrôle du moteur de routage pour DHCPv4, découvrez les paquets :

  11. (Facultatif, non pris en charge sur les routeurs ACX Series) Configurez les paramètres au niveau du paquet pour le type de paquet (ou l’agrégat) sur une carte de ligne unique. Sur les commutateurs équipés d’une seule carte de ligne fixe (un FPC unique considéré comme étant dans l’emplacement 0 et étiqueté fpc0), la mise à l’échelle des valeurs du mécanisme de contrôle affecte l’ensemble du commutateur.

    Par exemple, pour accéder à DHCPv4, découvrez les paramètres des paquets sur la carte de ligne dans l’emplacement 3 :

  12. (Facultatif, non pris en charge sur les routeurs ACX Series) Mettez à l’échelle la bande passante du mécanisme de contrôle pour le type de paquet (ou agrégat) sur la carte de ligne.

    Par exemple, pour faire évoluer la bande passante à 80 % du paramètre de carte de ligne configuré pour DHCPv4, découvrez les paquets sur la carte de ligne dans l’emplacement 3 :

  13. (Facultatif, non pris en charge sur les routeurs ACX Series) Mettez à l’échelle la taille de rafale du mécanisme de contrôle en fonction du type de paquet (ou de l’agrégat) sur la carte de ligne.

    Par exemple, pour faire évoluer la bande passante maximale à 75 % du paramètre de carte de ligne configuré pour DHCPv4, découvrez les paquets sur la carte de ligne dans l’emplacement 3 :

  14. (Facultatif, non pris en charge sur les routeurs ACX Series) Désactivez le mécanisme de contrôle de la carte de ligne pour le type de paquet (ou d’agrégat) sur une carte de ligne particulière.

    Par exemple, pour désactiver le mécanisme de contrôle de la carte de ligne pour DHCPv4, découvrez les paquets sur la carte de ligne dans l’emplacement 3 :

Voir aussi

Vérification et gestion de la protection contre les DDoS du plan de contrôle

But

Affichez ou affichez des informations claires sur les configurations, les états et les statistiques de protection DDoS du plan de contrôle.

Action

  • Pour afficher la configuration du mécanisme de contrôle de protection DDoS, l’état de violation et les statistiques de tous les types de paquets dans tous les groupes de protocoles :

    Exécutez cette commande avant d’apporter des modifications à la configuration pour afficher les valeurs par défaut du mécanisme de contrôle.

  • Pour afficher la configuration du mécanisme de contrôle de protection DDoS, l’état de violation et les statistiques d’un type de paquet particulier dans un groupe de protocoles particulier :

  • Pour afficher uniquement le nombre de violations du mécanisme de contrôle de protection DDoS pour tous les groupes de protocoles :

  • Pour afficher un tableau de la configuration de la protection DDoS du plan de contrôle pour tous les types de paquets dans tous les groupes de protocoles :

  • Pour afficher la liste complète des statistiques sur les paquets et des statistiques sur les violations de la protection DDoS sur le plan de contrôle pour tous les types de paquets dans tous les groupes de protocoles :

  • Pour afficher les statistiques globales de violation de la protection DDoS du plan de contrôle :

  • Pour afficher le numéro de version de la protection DDoS du plan de contrôle :

  • Pour effacer les statistiques de protection DDoS du plan de contrôle pour tous les types de paquets dans tous les groupes de protocoles :

  • Pour effacer les statistiques de protection DDoS du plan de contrôle pour tous les types de paquets d’un groupe de protocoles particulier :

  • Pour effacer les statistiques de protection DDoS du plan de contrôle pour un type de paquet particulier dans un groupe de protocoles particulier :

  • Pour effacer les états de violation de la protection DDoS du plan de contrôle pour tous les types de paquets dans tous les groupes de protocoles :

  • Pour effacer les états de violation de la protection DDoS du plan de contrôle pour tous les types de paquets d’un groupe de protocoles particulier :

  • Pour effacer les états de violation de la protection DDoS du plan de contrôle pour un type de paquet particulier dans un groupe de protocoles particulier :

Voir aussi