ddos-protection (DDoS)
Syntaxe (routeurs ACX Series, périphériques ACX7900)
ddos-protection
global {
disable-routing-engine;
disable-logging;
}
protocols protocol-group aggregate {
fpc fpc-number;
bandwidth packets-per-second;
burst size;
disable-logging;
disable-routing-engine;
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Syntaxe (routeurs PTX Series et commutateurs QFX Series)
ddos-protection
global {
disable-fpc;
disable-logging;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Syntaxe (autres routeurs et commutateurs EX9200)
ddos-protection
global {
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection;
flow-level-control;
flow-detection-mode;
flow-report-rate;
violation-report-rate;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection-mode (automatic | off | on);
flow-detect-time seconds;
flow-level-bandwidth {
logical-interface flow-bandwidth;
physical-interface flow-bandwidth;
subscriber flow-bandwidth;
}
flow-level-control {
logical-interface flow-control-mode;
physical-interface flow-control-mode;
subscriber flow-control-mode;
}
flow-level-detection {
logical-interface flow-detection-mode;
physical-interface flow-detection-mode;
subscriber flow-detection-mode;
}
flow-recover-time seconds;
flow-timeout-time seconds;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
no-flow-logging
priority level;
recover-time seconds;
timeout-active-flows;
}
traceoptions{
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Niveau hiérarchique
[edit system]
Description
Configurez les mécanismes de contrôle de la protection DDoS pour la protection DDoS du plan de contrôle.
Les attaques DDoS utilisent généralement des paquets de contrôle réseau pour déclencher un grand nombre d’exceptions au plan de contrôle d’un appareil, ce qui perturbe les opérations normales du réseau. La protection DDoS régule le trafic pour permettre à l’appareil de continuer à fonctionner en cas d’attaque DDoS.
La protection DDoS est activée par défaut sur les équipements compatibles pour les groupes de protocoles et les types de paquets disponibles sur l’équipement. Vous pouvez désactiver des mécanismes de contrôle particuliers ou modifier les paramètres de contrôle par défaut, notamment :
Définissez le débit de trafic maximal autorisé, la taille maximale de rafale et la priorité du trafic.
(Sur certains appareils) Définissez le temps qui doit s’écouler depuis la dernière violation avant que le flux de trafic ne soit considéré comme récupéré de l’attaque.
(Sur certains appareils) Mettez à l’échelle la bande passante et les valeurs de rafale pour chaque carte de ligne afin que les mécanismes de contrôle de ce niveau se déclenchent à des seuils inférieurs aux seuils globaux du protocole ou du paquet.
Certains commutateurs EX Series peuvent être protégés contre les attaques DDoS par le plan de contrôle, mais ne prennent pas en charge les options CLI permettant d’afficher ou de modifier les paramètres de contrôle par défaut.
La protection DDoS prend en charge les mécanismes de contrôle pour de nombreux groupes de protocoles. Sur certains périphériques, vous pouvez modifier les paramètres du mécanisme de contrôle pour des types de paquets spécifiques au sein de certains groupes de protocoles. La prise en charge des groupes de protocoles et des types de paquets varie selon les plates-formes et les versions de Junos OS. Reportez-vous à la protocols déclaration pour plus de détails sur les principales différences, comme suit :
Pour les routeurs ACX Series, les routeurs PTX Series et les commutateurs QFX Series, reportez-vous à la section Protocoles (DDoS) (ACX Series, PTX Series et QFX Series).
Pour tous les autres périphériques de routage et commutateurs EX9200, reportez-vous à la section Protocoles (DDoS).
Les instructions restantes de cette hiérarchie d’instructions de configuration sont expliquées séparément. Recherchez une instruction dans l’Explorateur CLI ou cliquez sur une instruction liée dans la section Syntaxe pour plus de détails.
ACX7900 périphériques ne prennent pas en charge la configuration SCFD (Suspicious Control Flow Detection).
Les configurations au niveau FPC ne sont prises en charge que sur les appareils ACX7900.
Les routeurs PTX Series et les commutateurs QFX10002-60C ne prennent pas en charge cette bypass-aggregate option.
Niveau de privilège requis
admin : permet d’afficher cette instruction dans la configuration.
admin-control : permet d’ajouter cette instruction à la configuration.
Informations sur la version
Déclaration introduite dans Junos OS version 11.2.
La prise en charge de la gestion améliorée des abonnés a été ajoutée dans Junos OS version 17.3R1.