例:QFX シリーズ スイッチでのコントロール プレーン DDoS 保護の設定
この例では、コントロールプレーンのDDoS攻撃防御を設定することで、スイッチが攻撃を迅速に識別し、悪意のある制御パケットの洪水によってシステムリソースが枯渇するのを防ぐ方法を示します。
必要条件
コントロールプレーンのDDoS攻撃防御には、以下のハードウェアとソフトウェアが必要です。
コントロールプレーンDDoS保護をサポートするQFXシリーズスイッチ
Junos OS リリース 15.1X53-D10 以降
この機能を設定する前に、デバイスの初期化以上の特別な設定を行う必要はありません。
概要
分散型サービス拒否(DDoS)攻撃は、複数のソースを使用し、プロトコル制御パケットでネットワークをフラッディングさせます。この悪意のあるトラフィックは、ネットワーク内で多数の例外をトリガーし、システムリソースを使い果たして、ネットワークまたはサーバーへの有効なユーザーのアクセスを拒否しようとします。
コントロールプレーンDDoS攻撃防御は、サポートされているQFXシリーズスイッチでデフォルトで有効になっています。この例では、過剰な制御トラフィックを特定し、スイッチが悪影響を受ける前にパケットをドロップするレート制限ポリサーのデフォルト設定を変更する方法を説明します。サンプル タスクには、プロトコル グループに対する集約ポリサーの設定、プロトコル グループ内の特定の制御パケット タイプに対するポリサーの構成、コントロール プレーン DDoS 防御動作のトレース オプションの指定などがあります。
この例では、radiusプロトコル グループと Radius accounting パケット タイプのデフォルト ポリサー パラメーターと動作の一部を変更する方法を示します。同じコマンドを使用して、他のサポートされているプロトコル グループおよびパケット タイプのポリサー制限を変更できます。使用可能なすべての設定オプションについては、[edit system]階層レベルの ddos-protection 設定ステートメントを参照してください。
位相幾何学
構成
プロシージャ
CLIクイック構成
プロトコル グループと特定の制御パケット タイプのコントロール プレーン DDoS 攻撃防御を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルでコマンドをコピーして CLI に貼り付け、構成モードから commit を入力します。
[edit] edit system set ddos-protection protocols radius aggregate bandwidth 150 set ddos-protection protocols radius aggregate burst 2000 set ddos-protection protocols radius accounting bandwidth 100 burst 150 set ddos-protection protocols radius accounting priority low set ddos-protection protocols radius server bypass-aggregate set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
コントロールプレーンのDDoS攻撃防御を設定するには:
プロトコル グループを指定します。
[edit system ddos-protection protocols] user@host# edit radius
RADIUS 集約ポリサーの最大トラフィックレートを設定します。つまり、すべてのRADIUSパケットの組み合わせに対するものです。
手記:bandwidthオプションを使用してトラフィック レートを変更します。帯域幅という用語は通常、ビット/秒(bps)を指しますが、この機能のbandwidthオプションはパケット/秒(pps)値を表します。[edit system ddos-protection protocols radius] user@host# set aggregate bandwidth 150
RADIUS 集約ポリサーの最大バースト サイズ(パケット数)を構成します。
[edit system ddos-protection protocols radius] user@host# set aggregate burst 2000
RADIUSアカウンティングパケットに異なる最大トラフィックレート(pps)とバーストサイズ(パケット)を設定します。
[edit system ddos-protection protocols radius] user@host# set accounting bandwidth 100 burst 1500
RADIUSアカウンティングパケットの優先度を下げます。
[edit system ddos-protection protocols radius] user@host# set accounting priority low
RADIUSサーバー制御パケットが集約帯域幅(pps)に含まれないようにします。つまり、サーバー パケットは、集約帯域幅を超えているかどうかを判断するための結合された RADIUS トラフィックには寄与しません。ただし、サーバー パケットは引き続きトラフィック レート統計に含まれます。
[edit system ddos-protection protocol radius] user@host# set server bypass-aggregate
(複数のラインカードを搭載したスイッチのみ)スロット1のFPCでRADIUSポリサーに違反が宣言されるまで許容される帯域幅(pps)とバーストサイズ(パケット)を減らします。
[edit system ddos-protection protocols radius] user@host# set aggregate fpc 1 bandwidth-scale 80 user@host# set aggregate fpc 1 burst-scale 75
すべてのコントロールプレーンDDoS保護プロトコル処理イベントのトレースを設定します。
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
業績
設定モードから、system階層レベルで show ddos-protection コマンドを入力して設定を確認します。
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-log size 10m;
flag all;
}
protocols {
radius {
aggregate {
bandwidth 150;
burst 2000;
}
server {
bypass-aggregate;
}
accounting {
bandwidth 100;
burst 1500;
priority low;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
コントロールプレーンのDDoS保護設定が正しく機能していることを確認するには、以下のタスクを実行します。
コントロールプレーンDDoS保護設定の検証
目的
RADIUS ポリサーの値がデフォルトから変更されていることを確認します。
アクション
動作モードから、 show ddos-protection protocols radius parameters コマンドを入力します。
user@host> show ddos-protection protocols radius parameters
Packet types: 5, Modified: 3
* = User configured value
Protocol Group: Radius
Packet type: aggregate (Aggregate for all Radius traffic)
Aggregate policer configuration:
Bandwidth: 150 pps*
Burst: 2000 packets*
Recover time: 300 seconds
Enabled: Yes
Routing Engine information:
Bandwidth: 150 pps, Burst: 2000 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (150 pps), Burst: 100% (2000 packets), enabled
Packet type: server (Radius server traffic)
Individual policer configuration:
Bandwidth: 200 pps
Burst: 2048 packets
Priority: High
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes*
Routing Engine information:
Bandwidth: 200 pps, Burst: 2048 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
Packet type: accounting (Radius accounting traffic)
Individual policer configuration:
Bandwidth: 100 pps*
Burst: 1500 packets*
Priority: Low*
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
Routing Engine information:
Bandwidth: 100 pps, Burst: 1500 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (100 pps), Burst: 100% (1500 packets), enabled
Packet type: authorization (Radius authorization traffic)
Individual policer configuration:
Bandwidth: 200 pps
Burst: 2048 packets
Priority: High
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
Routing Engine information:
Bandwidth: 200 pps, Burst: 2048 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
意味
コマンド出力は、RADIUS 集約ポリサーと、RADIUS アカウンティング、サーバー、および許可制御パケット ポリサーの現在の設定を示しています。デフォルト値から変更されたポリサー値には、アスタリスクのマークが付けられます。出力は、RADIUSポリサー設定が正しく変更されたことを示しています。