Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

protocols (DDoS) (ACX Series, PTX Series, and QFX Series)

構文(ACXシリーズルーター)

構文(PTXシリーズルーターとQFXシリーズスイッチ)

構文(Junos OS Evolved用PTXシリーズおよびACX7100-48L)

階層レベル

説明

プロトコルグループ内のすべてのパケットタイプ、またはプロトコルグループ内の特定のパケットタイプについて、デフォルトの設定可能なコントロールプレーンDDoS保護ポリサーパラメータを変更します。

メモ:

ルーター PTX10003 priority 、集約型または個別のパケットタイプポリサーのデフォルトの優先度値を変更するオプションをサポートしていません。 QFX10002-60CスイッチおよびPTXシリーズルーターは、このオプション bypass-aggregate をサポートしていません。

メモ:

帯域幅という用語は通常、ビット/秒(bps)を指しますが、この機能は bandwidth パケット/秒(pps)値を表し、 burst オプションはバースト内のパケット数を表します。これらのオプションについては、個別に説明します。

1 または 表2 に記載されているすべてのプロトコルグループとパケットタイプが、すべてのデバイスでサポートされているわけではありません。例外は次のとおりです。

  • ACX シリーズ ルーターは、次のプロトコル グループ オプションのみをサポートします: arp、 、 、 bgpeoamdhcpv4v6igmpesmcipmcast-miss (不明なマルチキャスト パケット)、 、 ndpv6pvstppimripospfrsvpstpbfdlacpvrrpbfdv6ldplldpoam-lfmisis

  • PTX10003 ルーターと PTX10008 ルーターは、 、 bridge-controlradiusdiametertacacsgarp-replyptpl2ptなどのポリサー プロトコル グループ オプションall-fiber-channel-enodeをサポートしていません。

  • その他のPTXシリーズルーターは、次のポリサープロトコルグループオプションをサポートしていません:all-fiber-channel-enode、(ただし、プロトコルグループはサポートされています)、 bridge-controldiameter、 、 garp-replyarp pvstpmartian-addressstpproto-802-1xptpradiusおよびtacacs

  • QFX10002-60Cスイッチは、次のポリサープロトコルグループオプションをサポートしていません:all-fiber-channel-enode、(ただし、arpプロトコルグループはサポートされています)、 bridge-controldiametergarp-replymartian-addressproto-802-1xptpradiusおよびtacacs

  • QFX10002、QFX10008、およびQFX10016スイッチは、プロトコルグループオプションをサポートし ttl ていません。

オプション

aggregate

指定されたプロトコルに属するすべての制御パケットを結合グループとしてポリシングするポリサーのパラメーターを設定します。すべてのプロトコルグループに対して集約ポリサーが存在します。

メモ:

ACX シリーズルーターは、サポートされているプロトコルグループの集合型ポリサーのみをサポートします。

packet-type

プロトコル グループ内の指定された個々の制御パケット タイプのポリサー値を設定します。一部のデバイスでは、 表 1 にリストされているプロトコル グループでパケット タイプ ポリサーを設定できます。 表 1 に記載されていない他のすべてのプロトコル グループでは、集約ポリサーのみを使用できます。

表 1 に、一部のデバイスで使用可能なパケットタイプポリサーを持つプロトコルグループと、デフォルト構成パラメーターの一般的な値を示します。デフォルト値は、サポートするデバイス間やJunos OSリリースによって異なる場合があります。設定可能な値を変更する前に または show ddos-protection protocols parameters CLI コマンドを実行show ddos-protection protocolsすると、サポートされているすべてのプロトコル グループとパケット タイプのデフォルト ポリサー値を確認できます。これらのコマンドには、特定のプロトコルグループとパケットタイプ(または集約)を含めることもできます。

表1の各プロトコルグループは、集約ポリサーもサポートしています。すべてのプロトコルグループのデフォルトの集約ポリサー値については、表2を参照してください。

表1:PTXシリーズルーターとQFXシリーズスイッチのコントロールプレーンDDoS保護でサポートされているパケットタイプ

プロトコルグループ

パケット タイプ

説明

デフォルト帯域幅(pps)

デフォルト バースト(パケット数)

デフォルトの優先度

arp

arp-snoop または arp

メモ:

Junos OS リリース 20.3R1 および PTX および QFX シリーズ スイッチのその他のメンテナンス リリース以降、オプション名は arp-snoop 単に arpに名前が変更されます。

ARPトラフィック

10000

1024 または 2048

unclassified

未分類ARPパケット

500

1024

bfd

bundle-bfd

(PTX 10003 のみ)リンクバンドルBFDトラフィック

10000

10000

multihop-bfd

マルチホップ BFD トラフィック

 5000 または 10000

2048 または 10000

unclassified

未分類の BFD パケット

10000

2048

dhcpv4

(PTX10003およびPTX10008ルーターのみ、ラインカードおよびREレベルでのレート制限用)

ack

DHCPACKパケット

500

500

媒体

bad-packets

不正な形式の DHCPv4 パケット

0

0

bootp

DHCPBOOTP パケット

300

300

decline

DHCPDECLINE パケット

500

500

discover

DHCP 検出パケット

500

500

force-renew

DHCPFORCERE-NEWパケット

2000

2000

inform

DHCPインフォームパケット

500

500

lease-active

DHCpleaseact-IVE パケット

2000

2000

lease-query

DHCplease-QUERYパケット

2000

2000

lease-unassigned

DHCプリーズ未割り当てパケット

2000

2000

lease-unknown

DHCpleaseun-knownパケット

2000

2000

nak

DHCPNAKパケット

500

500

no-message-type

メッセージタイプが欠落しているDHCPパケット

1000

1000

offer

DHCPOFFERパケット

1000

1000

rebind

DHCPv4 パケット再バインド

2000

2000

release

DHCP リリース パケット

2000

2000

renew

DHCPRENEW パケット

2000

2000

request

DHCPリクエストパケット

1000

1000

媒体

unclassified

すべての未分類 DHCPv4 パケット

300

150

dhcpv6

(PTX10003およびPTX10008ルーターのみ、ラインカードおよびREレベルでのレート制限用)

advertise

DHCPv6 アドバタイズ パケット

500

500

confirm

DHCPv6 確認パケット

1000

1000

媒体

decline

DHCPv6 拒否パケット

1000

1000

information-request

DHCPv6 情報要求パケット

1000

1000

leasequery

DHCPv6 リースクエリー パケット

1000

1000

leasequery-data

DHCPv6 リースクエリデータパケット

1000

1000

leasequery-done

リースクエリ完了パケット

1000

1000

leasequery-reply

DHCPv6 リースクエリ応答パケット

1000

1000

rebind

DHCPv6 パケット再バインド

2000

2000

媒体

reconfigure

DHCPv6 によるパケットの再設定

1000

1000

relay-forward

DHCPv6 リレー転送パケット

1000

1000

relay-reply

DHCPv6 リレー-応答パケット

1000

1000

release

DHCPv6 リリース パケット

2000

2000

renew

DHCPv6 パケット更新

2000

2000

媒体

reply

DHCPv6 応答パケット

1000

1000

媒体

request

DHCPv6 リクエスト パケット

1000

1000

媒体

solicit

DHCPv6 送信要求パケット

500

500

unclassified

すべての未分類 DHCPv6 パケット

3000

3000

eoam

oam-cfm

イーサネット OAM CFM トラフィック

1000

1024 または 2048

unclassified

未分類のイーサネットOAMトラフィック

100000

1024 または 2048

igmpv6

mld

MLDトラフィック

1000 または 5000

1024 または 2048

unclassified

未分類の IGMPv6 パケット

1000 または 90000

1024 または 2048

ldp

ldp-hello

一部のデバイスには集約ポリサーがあります ldp-hello 。以下のデバイスのみが、このパケット タイプ ポリサーをサポートしています。

  • PTX10003ルーターとPTX10008ルーター

  • QFX10002、QFX10008、およびQFX10016スイッチ

LDP HELLOトラフィック

1000

1024

unclassified

LDP未分類パケット

1000

1024

mcast-snoop

igmp

IGMPスヌーピングの制御パケット

500、5000、または 20000

2048 または 5000

mld

MLD スヌーピングの制御パケット

500、2000、または 5000

2048

pim

PIM スヌーピングの制御パケット

 500、2000、または 5000

2048

unclassified

未分類のマルチキャスト スヌーピング制御パケット

500

2048

radius

accounting

RADIUS アカウンティング パケット

200

2048

authorization

RADIUS 認証パケット

200

2048

server

RADIUSサーバーのトラフィック

200

2048

unclassified

未分類のRADIUSトラフィック

200

2048

tcc

ethernet-tcc

TCCカプセル化されたイーサネットトラフィック

100

100、1024、または2048

iso-tcc

TCCカプセル化ISOトラフィック

100

100、1024、または2048

unclassified

未分類のTCCカプセル化トラフィック

100

1024 または 2048

protocol-group

指定されたプロトコル グループのポリサー値を設定します。表 2 にリストされている以下のいずれかのプロトコル グループに対して集約ポリサーを設定できます。この表は、各プロトコル グループのポリサーのデフォルト設定パラメータを示しています。デフォルト値は、サポートするデバイス間やJunos OSリリースによって異なる場合があります。設定可能な値を変更する前に または show ddos-protection protocols parameters CLI コマンドを実行show ddos-protection protocolsして、サポートされているすべてのプロトコル グループのデフォルト ポリサー値を確認できます。また、これらのコマンドに オプションの有無にかかわらずaggregate特定のプロトコルグループを含めることで、集約ポリサーのパラメーターを確認することもできます。

2 のプロトコル グループは、 表 1 に記載されている対応する個々のパケット タイプ ポリサーもサポートします。
表2:ACXシリーズルーター、PTXシリーズルーター、QFXシリーズスイッチのコントロールプレーンDDoS保護でサポートされているプロトコルグループ

プロトコルグループ

説明

デフォルト帯域幅(pps)

デフォルト バースト(パケット数)

デフォルトの帯域幅とバースト値は、プラットフォーム タイプと基盤となる DDoS インフラ設定によって異なります。

all-fiber-channel-enode

ファイバーチャネルENodeトラフィック

10

1024 または 2048

arp または arp-snoop

(異なるプラットフォームでは、 または という名前のarparp-snoopARPトラフィックに対して集約ポリサープロトコルグループオプションがサポートされています。)

ARPトラフィック

メモ:

一部のプラットフォームでは、 arp プロトコルグループはパケットタイプとして含まれています arp-snoop表 1 を参照してください。Junos OS リリース 20.3R1 および PTX および QFX シリーズスイッチのその他のメンテナンスリリース以降、 arp-snoop プロトコルグループの パケットタイプオプションの名前が arp に変更されます arp

1000、2000、または 10000

512、1024、2000、または 2048

bfd

シングル ホップ BFD トラフィック

1000、6200、10000、20000、または 250000

512、2048 または 20000

bfdv6

BFDv6トラフィック

512、3000、10000、20000、または 250000

512、2048 または 20000

bgp

BGPトラフィック

1200、1500、3000、5000、10000、20000、または 250000

512、2048、4096、または 20000

bridge-control

ブリッジ制御トラフィック

10

2048

dhcpv4

(PTX10003およびPTX10008ルーターのみ)

すべての DHCPv4 トラフィックの集約(優先度:中)

メモ:

PTX10003およびPTX10008ルーターでは、PFEラインカードおよびREレベルでのレート制限にこのオプションを使用します。PFEチップレベルでのレート制限には、アグリゲートオプション dhcpv4v6 を使用します。

5000

5000

dhcpv6

(PTX10003およびPTX10008ルーターのみ)

すべての DHCPv6 トラフィックの集約(優先度:低)

メモ:

PTX10003およびPTX10008ルーターでは、PFEラインカードおよびREレベルでのレート制限にこのオプションを使用します。PFEチップレベルでのレート制限には、アグリゲートオプション dhcpv4v6 を使用します。

5000

5000

dhcpv4v6

DHCPv4 および DHCPv6 トラフィック(結合されたトラフィックに制限が適用されます)

メモ:

PTX10003 および PTX10008 ルーターでは、PFE チップ レベルでのみレート制限を行うためにこの集約オプションを使用します(優先度は [低])。dhcpv6ラインカードおよびREレベルでのレート制限のための使用dhcpv4プロトコルグループおよび個々のパケットタイプオプション。

600 または 5000

512、2048 または 5000

diameter

Diameter および Gx-Plus トラフィック

200

2048

dns

DNSトラフィック

200

200 または 2048

dtcp

DTCPトラフィック

200

200 または 2048

egpv6

EGPv6トラフィック

10

10 または 2048

eoam

イーサネットOAMトラフィック

メモ:

PTX10003ルーターとPTX10008ルーターでは、集約 eoam プロトコルグループオプションにはOAM-CFMパケットが含まれます(個々のパケットタイプオプションはありません oam-cfm )。

1000、6200、または 100000

102、512、2048、または 10000

esmc

ESMCトラフィック

200

512

ethernet-tcc

TCCカプセル化されたイーサネットトラフィック

メモ:

tccプロトコルグループオプションには、一部のデバイスのパケットタイプオプションとしてこれが含まれています。

100

100 または 2048

exception

  • MTU トラフィック

  • マルチキャスト トラフィック

  • TTLトラフィック(QFX10002スイッチ、QFX10008スイッチ、QFX10016スイッチのみ)

100

2048

ftp

FTP トラフィック

500 または 1500

1500 または 2048

garp-reply

Gratuitous ARP 応答トラフィック

100

2048

gre

GREトラフィック

500

500 または 2048

icmp

ICMPトラフィック

500、1000、または 20000

500、2048、または 20000

igmp

IGMPv4およびIGMPv6トラフィック

メモ:

このオプションは、PTXシリーズおよびQFX10002-60CデバイスでIGMPv4トラフィックにのみ使用し igmpv6 、オプションはIGMPv6トラフィックに使用します。PTX10003およびPTX10008ルーターでは、このオプションは集約されたIGMPおよびMLDトラフィックを含みます。

1000、1600、5000、または 90000

512、2048 または 5000

igmpv6

IGMPv6 トラフィック

20000 または 90000

2048 または 5000

ip-options

IP パケット ヘッダー オプションを使用した IP トラフィック

100

100 または 2048

ipmcast-miss

(ACX シリーズのみ)

不明な IPv4 および IPv6 マルチキャスト パケット

600

512

isis

IS-ISトラフィック

1000、1200、5000、または 20000

512、2048、4096、または 20000
isis-data

ISIS-データトラフィック

5000、8000、または 10000

4096 または 8000
isis-hello

ISIS-Helloトラフィック

1000、5000、または 12000

4096 または 12000

iso-tcc

TCCカプセル化ISOトラフィック

メモ:

tccプロトコルグループオプションには、一部のデバイスのパケットタイプオプションとしてこれが含まれています。

100

100 または 2048

l2pt

レイヤー 2 プロトコル トンネリング トラフィック

500

2048

l2tp

レイヤー 2 トンネリング プロトコル トラフィック

500

500 または 2048

lacp

LACP トラフィック

800、1000、または 2000

512、300、2000、または 2048

ldp

LDPトラフィック

1200、5000、10000、または 20000

200、512、2048、または 20000

ldp-hello

LDP Hello パケット

メモ:

以下のデバイスにはパケット タイプ ポリサーがあり ldp-hello 、この集約ポリサーを使用しません。

  • PTX10003ルーターとPTX10008ルーター

  • QFX10002、QFX10008、およびQFX10016スイッチ

1000 または 5000

2048 または 5000

lldp

LLDPトラフィック

100、800、または 2000

300、512、2000、または 2048

lmp

LMP トラフィック

100

100 または 2048

martian-address

火星の住所

200

20

mcast-snoop

マルチキャスト スヌーピングのトラフィックを制御する

5000、20000、または 22000

2048、6000、または 20000

mld

MLDトラフィック

メモ:

igmpv6プロトコルグループオプションには、一部のデバイスのパケットタイプオプションとしてこれが含まれています。

1000

2048

msdp

MSDP トラフィック

20000

20000

multihop-bfd

マルチホップ BFD トラフィック

メモ:

bfdプロトコルグループオプションには、一部のデバイスのパケットタイプオプションとしてこれが含まれています。

1500

2048

ndpv6

NDPv6トラフィック

100、1000、または 2000

512、1024、または 2000

ntp

NTPトラフィック

20000

20000

oam-cfm

OAM CFM トラフィック

メモ:

eoamプロトコルグループオプションには、一部のデバイスのパケットタイプオプションとしてこれが含まれています。PTX10003ルーターとPTX10008ルーターでは、集約eoamプロトコルグループオプションにはOAM-CFMパケットが含まれます(個別のパケットタイプオプションはありませんoam-cfm)。

200

2048

oam-lfm

OAM LFM トラフィック

200、800、1000、または 20000

512、1000、2048、または 20000

ospf

OSPF トラフィック

1200、5000、10000、または 20000

200、512、2048、4096、または 20000

ospf-hello

OSPF hello パケット

1000、1500、または 10000

2048、4096、または 20000

pim

(ACX シリーズのみ)

PIM IPv4 および IPv6 パケット

1600

512

pim-ctrl

PIM 制御パケット

1000 または 1500

200 または 2048

pim-data

PIM データ

2000 または 3000

1024 または 2048

proto-802-1x

802.1X トラフィック

200

200 または 2048

ptp

PTPトラフィック

100

2048

pvstp

PVSTPトラフィック

800、2000、または 20000

512、2048、または 20000

radius

RADIUS トラフィック

200

2048

reject

ネクストホップ転送決定により拒否されたパケット

100、200、または 2000

200、2000、または2048

resolve

トラフィック要求解決アクションのためにホストに送信された未分類の IPv4 および IPv6 解決パケット

100、500、または 5000

100、2048、または 5000

rip

RIPトラフィック

200、1200、または 20000

200、512、2048、または 20000

rsvp

RSVPトラフィック

1200、5000、10000、または 20000

512、2048、10000、または 20000

snmp

SNMPトラフィック

1000 または 20000

1024、2048、または 20000

ssh

SSHトラフィック

5000 または 20000

500、2048、または 20000

stp

STPトラフィック

800 または 20000

512、2048、または 20000

tacacs

TACACS+ トラフィック

200

2048

tcc

移行型クロスコネクト カプセル化トラフィック

100 または 200

200、1024、または 2048

telnet

Telnet トラフィック

5000 または 20000

500、2048、または 20000

ttl

有効期限パケット

100 または 2000

2048

unclassified

他の使用可能なプロトコル グループに分類できないトラフィック

100 または 10000

2048 または 10000

vrrp

VRRP トラフィック

512、1000、2000、または 20000

512、1000、2048、または 20000

vxlan

VXLAN レイヤー 2 およびレイヤー 3 パケット

300

10
表3:Junos OS Evolved用PTXシリーズルーターのコントロールプレーンDDoS保護でサポートされているプロトコルグループ

プロトコルグループ

説明

arp または

ARP トラフィックの設定

bfd

BFD トラフィックの設定

bfdv6

BFDv6トラフィック

bgp

BGP トラフィックを構成する

custom

カスタムトラフィックの設定

sample

サンプリングトラフィックの設定

dhcpv4

DHCPv4トラフィックを設定する

dhcpv6

DHCPv6トラフィックを設定する
dhcpv4v6

DHCPv4/v6トラフィックの設定

l2tp

L2TPトラフィックを設定します。

ppp

PPPトラフィックを設定します。

pppoe

PPPoE トラフィックを設定します。

Junos OS Evolvedリリース23.1R1以降、QFX5220、QFX5130、およびQFX5700シリーズデバイスでは、デフォルトのDDoS localnh aggregate bandwidth 値は1500ppsです。Junos OS Evolvedリリース23.1R1以前では、[] CLIコマンドを使用して帯域幅値set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200を設定できます。この設定により、ローカルIPトラフィック量の多い際のLAGインターフェイスのダウンタイムを防ぐことができます。

Junos OSリリース23.3R1以降、QFXシリーズデバイスで、[]階層レベルでプロトコルサポートedit ddos-protection protocolsが追加されましたip-option

Junos OS Evolvedリリース23.4R1以降、加入者サービス拡張用のDVLAN(シングルおよびデュアルタグ)、ACX7100-48Lデバイスでのパフォーマンスなどに以下が含まれます。
  • DHCP(IP-DEMUX lite)およびPPPoE加入者(IPv4、IPV6、およびデュアルスタック)とCoS合法的傍受およびフィルターのサポート。
  • BBEプロトコル用のL2TP(LAC)DDOSポリサー設定によるDVLAN(シングルおよびデュアルタグ)。個々の BBE プロトコルおよび DDOS プロトコル グループ設定が有効になります。

  • プロトコルグループDHCPv6、L2TP、PPP、PPPoEのサポート

  • 集合型DDOSプロトコルグループ dhcpv4v6 のみがアクティブです。
  • レイヤー2トンネリングプロトコル(L2TP)、IPV4、IPV6、デュアルスタック用のL2TPアクセスコンセントレータ(LAC)加入者インターフェイスのサポートクラス(CoS)による加入者拡張認定。

    残りのステートメントについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。

必要な権限レベル

admin:設定でこのステートメントを表示します。

admin-control—このステートメントを設定に追加します。

リリース情報

Junos OSリリース11.2で導入されたステートメント。

関連ドキュメント