Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

protocols (DDoS)

構文

階層レベル

説明

(MPCのみのMXシリーズルーター、FPC5のみのT4000コアルーター、またはEX9200スイッチ)プロトコルグループ内のすべてのサポートされているパケットタイプ、またはプロトコルグループ内の特定のサポートされているパケットタイプに対して、コントロールプレーンDDoS保護ポリサーを設定します。

Junos OS リリース 22.2R1 以降、MX10008デバイスに対しても以下の DDoS プロトコル ステートメントのサポートが有効になりました。以前のリリースでは、MX10008デバイスはこれらの DDoS プロトコル ステートメントをサポートしていませんでした。

  • Filter-action
  • Virtual-chassis
  • Ttl
  • Redirect
  • Re-services
  • Re-services-v6
  • Rejectv6
  • L2pt
  • Syslog
  • Vxlan
メモ:

PTXシリーズルーターとQFXシリーズスイッチで使用可能なコントロールプレーンDDoS保護ポリサー設定オプション(ここで説明するオプションとは異なる)については、 プロトコル(DDoS)(ACXシリーズ、PTXシリーズ、QFXシリーズ)を参照してください。

メモ:

帯域幅という用語は通常、ビット/秒(bps)を指しますが、この機能は bandwidth パケット/秒(pps)値を表し、 burst オプションはバースト内のパケット数を表します。これらのオプションについては、個別に説明します。

オプション

aggregate

プロトコル グループ内のすべての制御パケットを監視するようにポリサーを構成します。どのプロトコルグループに対しても集約ポリサーを設定できます。

packet-type

(オプション)ポリシングする制御パケット タイプの名前。特定のポリサーは、以下のパケットタイプとプロトコルグループに対してのみ設定できます。

  • arp—次のARPパケットタイプを使用できます。

    • aggregate- このプロトコル グループのすべてのタイプの制御パケット トラフィックの組み合わせに適用されます。

    MXシリーズのデバイスでは、Junos OSリリース23.2R1より前のARP要求および応答トラフィックには単一のDDoSプロトコルがありました。Junos OSリリース23.2R1以降、ARP要求および応答トラフィックの[edit ddos-protection protocols arp]階層レベルで、個別のDDoSプロトコルパケットタイプと ucastbcastを設定できます。個別の DDoS ポリサーにより、ARP トラフィックのパケット レート制限と優先度処理が改善されます。

  • bgp—次のBGPパケットタイプを使用できます。

    • aggregate- このプロトコル グループのすべてのタイプの制御パケット トラフィックの組み合わせに適用されます。

  • bgpv6—次のBGPv6パケットタイプを使用できます。

    • aggregate- このプロトコル グループのすべてのタイプの制御パケット トラフィックの組み合わせに適用されます。

  • dhcpv4- DHCPv4 トラフィックでは、次のパケット タイプを使用できます。

    • ack- DHCPACK パケット。

    • bad-packets- 不正な形式の DHCPv4 パケット。

    • bootp- DHCPBOOTP パケット。

    • decline- DHCPDECLINE パケット。

    • discover- DHCP パケットを検出します。

    • force-renew- DHCP 強制パケットを更新します。

    • inform- DHCPINFORM パケット。

    • lease-active- DHCプリーズアクティブパケット。

    • lease-query- DHCpleaseQueryパケット。

    • lease-unassigned- DHCプリーズ未割り当てパケット。

    • lease-unknown- DHCお願いします不明なパケットです。

    • nak- DHCPNAK パケット。

    • no-message-type- メッセージ タイプが欠落している DHCP パケット。

    • offer- DHCPOFFERパケット。

    • release- DHCP リリース パケット。

    • renew- DHCPRENEW パケット。

    • request- DHCPリクエストパケット。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

  • dhcpv6- DHCPv6 トラフィックでは、次のパケット タイプを使用できます。

    • advertise- パケットをアドバタイズします。

    • confirm- パケットを確認します。

    • decline- パケットを拒否します。

    • information-request- 情報要求パケット。

    • leasequery- リースクエリパケット。

    • leasequery-data- リースクエリデータパケット。

    • leasequery-done- リースクエリ完了パケット。

    • leasequery-reply- リースクエリ応答パケット。

    • rebind- パケットを再バインドします。

    • reconfigure- パケットを再設定します。

    • relay-forward- リレー転送パケット。

    • relay-reply- リレー応答パケット。

    • release- パケットを解放します。

    • renew- パケットを更新します。

    • reply- 応答パケット。

    • request- リクエストパケット。

    • solicit- パケットを要請します。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

  • filter-action- ファイアウォール フィルターの拒否条件のためにホストに送信された未分類のファイアウォール フィルター アクション パケットでは、以下のパケット タイプを使用できます。

    • filter-v4- 未分類の IPv4 フィルター アクション パケット。

    • filter-v6- 未分類の IPv6 フィルター アクション パケット。

    • other- IPv4 または IPv6 以外の他のすべての未分類フィルター アクション パケット。

  • frame-relay- フレームリレートラフィックには、以下のパケットタイプを使用できます。

    • frf15- マルチリンク フレーム リレー FRF.15 パケット。

    • frf16- マルチリンク フレーム リレー FRF.16 パケット。

  • ip-fragments- IP フラグメントには、次のパケット タイプを使用できます。

    • first-fragment- 最初の IP フラグメント。

    • trail-fragment- 最後の IP フラグメント。

  • ip-options—IPオプションのトラフィックでは、次のパケット タイプを使用できます。

    • non-v4v6- IPv4/v6 以外のオプション パケット。

    • router-alert- ルータ アラート オプション パケット。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

  • l2tp—次のパケットタイプは、Junos OSリリース13.3R5および14.1X50のL2TP LNS加入者管理ネットワーク環境で使用できます(このオプションは、現在の拡張加入者管理環境のL2TP ERAによって廃止されました)。

    • cdn- コール切断通知メッセージ パケット。

    • hello- Hello メッセージ パケット。

    • iccn- 着信コールに接続されたメッセージ パケット。

    • icrq- 着信コール要求メッセージ パケット。

    • scccn- 制御接続開始メッセージ パケット。

    • sccrq- 開始制御接続要求メッセージ パケット。

    • stopccn- 停止制御接続通知メッセージ パケット。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

  • mcast-snoop- マルチキャスト スヌーピングのトラフィックを制御します。

    • igmp- スヌーピングされた IGMP トラフィック。

    • mld- スヌーピングされた MLD トラフィック。

    • pim- スヌーピングされた PIM 制御トラフィック。

  • mlp—次の MLP パケット タイプを使用できます。

    • aggregate- このプロトコル グループのすべてのタイプの制御パケット トラフィックの組み合わせに適用されます。

    • add- 要求を追加します。ホストに送信された内部 MAC アドレス学習要求パケット。

    • delete- リクエストを削除します。ホストに送信された内部 MAC アドレス学習要求パケット。

    • lookup- ルックアップ要求ホストに送信された内部 MAC アドレス学習要求パケット。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

    • macpin-exception- MACアドレスのピニングの例外(動的に学習されたMACアドレスは、MACの重複検出によるMAC移動によるループを防ぐためにピン留めされます)。

  • ndpv6—特に記載のない限り、14.1R8、14.2R8、15.1R5、15.1F7、および16.1R1以降、次のNDPv6パケットタイプを使用できます。

    • aggregate- このプロトコル グループのすべてのタイプの制御パケット トラフィックの組み合わせに適用されます。

    • invalid-hop-limit—(16.1R2 以降)無効なホップ制限パケット。これらのメッセージは、悪意のあるネットワークベースのパケットフラッドで細工されたパケットを表している可能性があります。

    • neighbor-advertisement- ネイバーアドバタイズメントパケット。重複アドレスの検出とネイバーの到達可能性のテストに使用されるメッセージです。ネイバーアドバタイズは、ネイバー要請メッセージに応答して送信されます。

    • neighbor-solicitation- ネイバー要請パケット。重複アドレスの検出とネイバーの到達可能性のテストに使用されるメッセージです。

    • redirect- パケットをリダイレクトします。

    • router-advertisement- ルーター アドバタイズメント パケット。ルーターの存在の通知、プレフィックスのアドバタイズ、アドレス設定の支援、MTU サイズやホップ制限などの他のリンク情報の共有のために送信されるメッセージです。リンク上の IPv6 ノードは、この情報を使用して、IPv6 アドレスとデフォルト ゲートウェイなどのルーティング情報で自身を構成できます。

    • router-solicitation- ルーター要請パケット。これらは、IPv6 ノードがオンラインになったときに送信されるメッセージで、ルーターから即時のルーター アドバタイズメントを要求します。

  • ppp—次のPPPパケットタイプを使用できます。

    • authentication- PPP 認証プロトコル パケット。

    • echo-rep- LCP エコー応答パケット。

    • echo-req- LCP エコー要求パケット。

    • ipcp- IP 制御プロトコル パケット。

    • ipv6cp- IPv6 制御プロトコル パケット。

    • isis- IS-IS パケット。

    • lcp- リンク制御プロトコル パケット。

    • mlppp-lcp- MLPPP LCP パケット。

    • mplscp- MPLS 制御プロトコル パケット。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

  • pppoe—次のPPPoEパケットタイプを使用できます。

    • padi- PADI パケット。

    • padm- PADM パケット。

    • padn- PADN パケット。

    • pado- PADO パケット。

    • padr- PADR パケット。

    • pads- PADS パケット。

    • padt- PADT パケット。

  • radius—次のRADIUSパケットタイプを使用できます。

    • accounting- RADIUS アカウンティング パケット。

    • authorization- RADIUS 認証パケット。

    • server- RADIUS サーバーのトラフィック。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

  • re-services—ルーティング エンジンベースの HTTP リダイレクト IPv4 トラフィックでは、次のパケット タイプを使用できます。

    • captive-portal—ルーティングエンジンベースのキャプティブポータルコンテンツ配信パケット。

  • re-services-v6—ルーティング エンジンベースの HTTP リダイレクト IPv6 トラフィックでは、次のパケット タイプを使用できます。

    • captive-portal—ルーティングエンジンベースのキャプティブポータルコンテンツ配信パケット。

  • resolve- 以下のパケット タイプは、トラフィック要求解決アクションのためにホストに送信される未分類の解決パケットに使用できます。

    • mcast-v4- 未分類の IPv4 マルチキャスト解決パケット。

    • mcast-v6- 未分類の IPv6 マルチキャスト解決パケット。

    • ucast-v4- 未分類の IPv4 ユニキャスト解決パケット。

    • ucast-v6- 未分類の IPv6 ユニキャスト解決パケット。

    • other- その他すべての未分類解決パケット。

  • sample- 次のサンプル パケット タイプを使用できます。

    • host- ホスト パケット。

    • pfe- パケット転送エンジンのパケット。

    • syslog- システム ログ メッセージ パケット。

    • tap- TAP パケット。

  • tcp-flags—次のTCPフラグ付きパケットタイプを使用できます。

    • established- ACK または RST フラグが設定された TCP パケット。

    • initial- SYN フラグが設定され、ACK フラグが設定されていない TCP パケット。

    • unclassified- 確立されたパケットと最初のパケット以外の方法でフラグが設定された TCP パケット。

  • unclassified- 次の未分類パケット タイプを使用できます。

    • control-layer2- 未分類のレイヤー 2 制御パケット。

    • control-v4- 未分類の IPv4 制御パケット。

    • control-v6- 未分類の IPv6 制御パケット。

    • fw-host- 未分類のホスト送信ファイアウォール パケット。

    • host-route-v4- ルーターのローカル インターフェイス アドレスに送信されたトラフィック内の未分類の IPv4 ルーティング プロトコルとホスト パケット。

    • host-route-v6- ルーターのローカル インターフェイス アドレスに送信されたトラフィック内の未分類の IPv6 ルーティング プロトコルとホスト パケット。

    • other- 別のタイプに属していないすべての未分類パケット。

  • virtual-chassis- バーチャルシャーシパケットには、以下のパケットタイプを使用できます。

    • control-low- 優先度の低い制御パケット。

    • control-high- 優先度の高い制御パケット。

    • unclassified- プロトコル グループ内のすべての未分類パケット。

    • vc-packets- バーチャルシャーシリンク上のすべての例外パケット。

    • vc-ttl-errors- バーチャルシャーシTTLエラーパケット。

protocol-group

トラフィックがポリシングされるプロトコル グループの名前。次のいずれかのプロトコル グループに対してポリサーを設定できます。

  • amtv4- IPv4 AMTトラフィック。

  • amtv6- IPv6 AMT トラフィック。

  • ancp- ANCP トラフィック。

  • ancpv6- ANCPv6 トラフィック。

  • arp- ARP トラフィック。

  • atm- ATMトラフィック。

  • bfd- BFDトラフィック。

  • bfdv6- BFDv6 トラフィック。

  • bgp- BGP トラフィック。

  • bgpv6- BGPv6 トラフィック。

  • control- トラフィックを制御します。

  • demux-autosense- 自動検知トラフィックをデモックスします。

  • dhcpv4- DHCPv4 トラフィック。

  • dhcpv6- DHCPv6 トラフィック。

  • diameter- 直径とGx-Plusトラフィック。

  • dns- DNS トラフィック。

  • dtcp- DTCP トラフィック。

  • dynamic-vlan- ダイナミックVLAN例外トラフィック。

  • egpv6- EGPv6トラフィック。

  • eoam- EOAM トラフィック。

  • esmc- ESMCトラフィック。

  • fab-probe- ファブアウトプローブパケット。

  • filter-action- ファイアウォール フィルターの拒否条件が原因でホストに送信された IPv4 および IPv6 ファイアウォール フィルター アクション パケット

  • frame-relay- フレーム リレー トラフィック。

  • ftp- FTP トラフィック。

  • ftpv6- FTPv6 トラフィック。

  • gre- GREトラフィック。

  • gtp-path-mgmt- GTPパス管理トラフィック。

  • icmp- ICMP トラフィック。

  • igmp- IGMP トラフィック

  • igmpv4v6- IGMP v4/v6 トラフィック。

  • igmpv6- IGMPv6 トラフィック。

  • inline-ka- インライン サービス インターフェイスのキープアライブ トラフィック。

  • inline-svcs- インライン サービス トラフィック。

  • ip-fragments- IP はトラフィックをフラグメント化します。

  • ip-options–IP パケット ヘッダー オプションを使用した IP トラフィック。

  • isis- IS-ISトラフィック。

  • jfm- JFM トラフィック。

  • l2pt- レイヤー 2 プロトコル トンネリング トラフィック。

  • lacp- LACP トラフィック。

  • ldp- LDP トラフィック。

  • ldpv6- LDPv6 トラフィック。

  • lldp- LLDPトラフィック。

  • lmp- LMP トラフィック。

  • lmpv6- LMPv6 トラフィック。

  • mac-host- レイヤー 2 MAC 送信からホストへのトラフィック。

  • mcast-snoop- マルチキャスト スヌーピングのトラフィックを制御します。

  • mlp- MLPトラフィック。

  • msdp- MSDP トラフィック。

  • msdpv6- MSDPv6 トラフィック。

  • multicast-copy- マルチキャスト ルーティングによるホスト コピー トラフィック。

  • mvrp- MVRP トラフィック。

  • ndpv6- NDPv6 トラフィック。

  • ntp- NTP トラフィック。

  • oam-lfm- OAM-LFM トラフィック。

  • ospf- OSPF トラフィック。

    Junos OSリリース23.2R1以降、この ospf プロトコルには、DDOS優先度の高いOSPFトラフィックを分類するプロトコルと、DDOS優先度の低いOSPFトラフィックを分類するサブプロトコル ospf-hello ospf-unclassified の2つがあります。

  • ospfv3v6- OSPFv3/IPv6 トラフィック。

    Junos OSリリース23.2R1以降、この ospfv3v6 プロトコルには、DDOS優先度の高いOSPFトラフィックを分類するプロトコルと、DDOS優先度の低いOSPFトラフィックを分類するサブプロトコル ospfv3v6-hello ospfv3v6-unclassified の2つがあります。

  • pfcp- パケット転送制御プロトコル(PFCP)トラフィック。

  • pfe-alive- パケット転送エンジンのキープアライブトラフィック。

  • pim- PIM トラフィック。

  • pimv6- PIMv6 トラフィック。

  • pmvrp- PMVRP トラフィック。

  • pos- POSトラフィック。

  • ppp- PPP トラフィック。

  • pppoe- PPPoE トラフィック。

  • ptp- PTP トラフィック。

  • pvstp- PVSTP トラフィック。

  • radius- RADIUS トラフィック。

  • re-services- ルーティング エンジン HTTP リダイレクト用のキャプティブ ポータル コンテンツ配信 IPv4 トラフィック。

  • re-services-v6- キャプティブ ポータル コンテンツ配信 ルーティング エンジン HTTP リダイレクト用の IPv6 トラフィック。

  • redirect- ICMP リダイレクトをトリガーするトラフィック。

  • reject- ネクストホップ転送決定により拒否されたパケット。

  • rejectv6- ネクストホップ転送決定により拒否されたV6パケット。

  • resolve- トラフィック要求解決アクションのためにホストに送信された未分類の IPv4 および IPv6 解決パケット。

  • rip- RIP トラフィック。

  • ripv6- RIPv6 トラフィック。

  • rsvp- RSVP トラフィック。

    Junos OSリリース23.2R1以降、この rsvp プロトコルには、DDOS優先度の高いRSVPトラフィックを分類するプロトコルと、DDOS優先度の低いRSVPトラフィックを分類するサブプロトコル rsvp-hello ospfv3v6-unclassified の2つがあります。

  • rsvpv6- RSVPv6 トラフィック。

  • services–サービストラフィック。

  • snmp- SNMP トラフィック。

  • snmpv6- SNMPv6トラフィック。

  • ssh- SSHトラフィック。

  • sshv6- SSHv6 トラフィック。

  • stp- STP トラフィック。

  • syslog- システム ログ メッセージ ルーティング エンジン syslog サーバのポート 6333 での UDP トラフィック。

  • tacacs- TACACS トラフィック。

  • tcp-flags- TCP フラグを持つトラフィック。

  • telnet- TELNET トラフィック。

  • telnetv6- TELNETv6 トラフィック。

  • ttl- TTL トラフィック。

  • tunnel-fragment- トンネルはトラフィックをフラグメント化します。

  • tunnel-ka- トンネルキープアライブトラフィック。

  • unclassified- 未分類のトラフィック。

    Junos OSリリース23.2R1以降、このunclassifiedプロトコルには2つのサブプロトコルがあります。 および は、DDOS低優先度TCPおよびhost-route-udp-v4UDPトラフィックを分類します。 host-route-tcp-v4

  • virtual-chassis- バーチャルシャーシのトラフィック。

  • vrrp- VRRP トラフィック。

  • vrrpv6- VRRPv6 トラフィック。

  • vxlan- VXLAN レイヤー 2 およびレイヤー 3 のトラフィック。

残りのステートメントについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。

必要な権限レベル

admin:設定でこのステートメントを表示します。

admin-control—このステートメントを設定に追加します。

リリース情報

Junos OSリリース11.2で導入されたステートメント。

Junos OSリリース17.3R1で追加された拡張加入者管理のサポート。