ddos-protection (DDoS)
構文(ACXシリーズルーター)
ddos-protection global { disable-routing-engine; disable-logging; } protocols protocol-group aggregate { fpc fpc-number; bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
構文(PTXシリーズルーターとQFXシリーズ、EX4100、EX4400スイッチ)
ddos-protection global { disable-fpc; disable-logging; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
構文(他のルーター、ACX7100-48L、EX9200スイッチ)
ddos-protection global { disable-fpc; disable-logging; disable-routing-engine; flow-detection; flow-level-control; flow-detection-mode; flow-report-rate; violation-report-rate; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; disable-routing-engine; flow-detection-mode (automatic | off | on); flow-detect-time seconds; flow-level-bandwidth { logical-interface flow-bandwidth; physical-interface flow-bandwidth; subscriber flow-bandwidth; } flow-level-control { logical-interface flow-control-mode; physical-interface flow-control-mode; subscriber flow-control-mode; } flow-level-detection { logical-interface flow-detection-mode; physical-interface flow-detection-mode; subscriber flow-detection-mode; } flow-recover-time seconds; flow-timeout-time seconds; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } ipsec { ike; on-trigger; mtu-error; sn-alarm; spi-inval; tx-alarm; unclassified; } no-flow-logging priority level; recover-time seconds; timeout-active-flows; } traceoptions{ file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
階層レベル
[edit system]
形容
コントロール プレーンの DDoS 保護のための DDoS 保護ポリシーを構成します。
DDoS攻撃は通常、ネットワーク制御パケットを使用して、デバイスのコントロールプレーンに多数の例外をトリガーし、通常のネットワーク運用を中断します。DDoS 保護はトラフィックをポリシーし、DDoS 攻撃の下でもデバイスが機能し続けるようにします。
DDoS 保護は、デバイスで利用可能なプロトコル グループとパケット タイプに対応するデバイス上で、デフォルトで有効になっています。特定のポリサーを無効にしたり、次のようなデフォルトのポリサー パラメーターを変更したりできます。
-
最大許容トラフィック レート、最大バースト サイズ、トラフィック優先度を設定します。
-
(一部のデバイス上)トラフィックフローが攻撃から回復したと見なされるまでに、最後の違反から経過する必要がある時間を定義します。
-
(一部のデバイス上)個々のラインカードの帯域幅とバースト値をスケーリングして、このレベルのポリサーが、プロトコル全体またはパケットのしきい値よりも低いしきい値でトリガーされるようにします。
一部のEXシリーズスイッチにはコントロールプレーンDDoS保護が搭載されている場合がありますが、デフォルトのポリサーパラメーターを表示または変更するCLIオプションはサポートされていません。
DDoS保護は、多くのプロトコルグループのポリサーをサポートします。一部のデバイスでは、一部のプロトコル グループ内の特定のパケット タイプのポリサー パラメーターを変更できます。プロトコル グループとパケット タイプのサポートは、プラットフォームや Junos OS のリリースによって異なります。主な相違点の詳細については、以下の protocols
ステートメントを参照してください。
-
ACXシリーズルーター、PTXシリーズルーター、QFXシリーズスイッチについては、 プロトコル(DDoS)(ACXシリーズ、PTXシリーズ、QFXシリーズ)を参照してください。
-
その他のルーティング デバイスと EX9200 スイッチについては、 プロトコル(DDoS)を参照してください。
この設定ステートメント階層の残りのステートメントについては、別途説明します。 詳細については、CLI Explorer でステートメントを検索するか、[Syntax] セクションでリンクされたステートメントをクリックします。
PTXシリーズルーターとQFX10002-60Cスイッチは、 bypass-aggregate
オプションをサポートしていません。
Junos OS リリース 24.2R1 以降、EX4100 および EX4400 デバイスで CLI を使用して DDOS プロトコルを設定できます。
必要な権限レベル
admin—設定でこのステートメントを表示します。
admin-control—設定にこのステートメントを追加します。
リリース情報
Junos OS リリース 11.2 で導入されたステートメント
MX304デバイス向けJunos OS リリース 24.2R1で導入されたステートメント。
Junos OS リリース 17.3R1 で追加された拡張加入者管理のサポート。