ddos-protection (DDoS)
構文(ACXシリーズルーター)
ddos-protection global { disable-routing-engine; disable-logging; } protocols protocol-group aggregate { bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
構文(PTXシリーズルーターとQFXシリーズスイッチ)
ddos-protection global { disable-fpc; disable-logging; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
構文(その他のルーターとEX9200スイッチ)
ddos-protection global { disable-fpc; disable-logging; disable-routing-engine; flow-detection; flow-level-control; flow-detection-mode; flow-report-rate; violation-report-rate; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; disable-routing-engine; flow-detection-mode (automatic | off | on); flow-detect-time seconds; flow-level-bandwidth { logical-interface flow-bandwidth; physical-interface flow-bandwidth; subscriber flow-bandwidth; } flow-level-control { logical-interface flow-control-mode; physical-interface flow-control-mode; subscriber flow-control-mode; } flow-level-detection { logical-interface flow-detection-mode; physical-interface flow-detection-mode; subscriber flow-detection-mode; } flow-recover-time seconds; flow-timeout-time seconds; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } no-flow-logging priority level; recover-time seconds; timeout-active-flows; } traceoptions{ file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
階層レベル
[edit system]
説明
コントロール プレーン DDoS 保護用に DDoS 保護ポリサーを設定します。
DDoS攻撃は通常、ネットワーク制御パケットを使用して、デバイスのコントロールプレーンに対する多数の例外をトリガーし、通常のネットワーク運用を中断します。DDoS防御は、トラフィックをポリサーして、デバイスがDDoS攻撃の下で機能し続けできるようにします。
DDoS 保護は、デバイスで利用可能なプロトコル グループとパケット タイプのサポート デバイスでデフォルトで有効になっています。特定のポリサーを無効にしたり、以下を含むデフォルトポリサーパラメーターを変更したりできます。
最大許容トラフィック レート、最大バースト サイズ、およびトラフィック優先度を設定します。
(一部のデバイスでは)トラフィック フローが攻撃から回復したと見なされる前に、最後の違反から通過する時間を定義します。
(一部のデバイスでは)個々のライン カードの帯域幅とバースト値を拡張し、このレベルのポリサーが全体的なプロトコルまたはパケットのしきい値よりも低いしきい値でトリガーされるようにします。
一部のEXシリーズスイッチは、コントロールプレーンDDoS保護を持つかもしれませんが、デフォルトのポリサーパラメーターを表示または変更するCLIオプションをサポートしていません。
DDoS防御は、多くのプロトコルグループのポリサーをサポートしています。一部のデバイスでは、一部のプロトコル グループ内の特定のパケット タイプに対してポリサー パラメータを変更できます。プロトコル グループとパケット タイプのサポートは、プラットフォームや Junos OS リリースによって異なります。 protocols
主な相違点については、以下のステートメントを参照してください。
ACX シリーズ ルーター、PTX シリーズ ルーター、QFX シリーズ スイッチについては、 プロトコル(DDoS)(ACX シリーズ、PTX シリーズ、QFX シリーズ)を参照してください。
その他のすべてのルーティング デバイスと EX9200 スイッチについては、 プロトコル(DDoS)を参照してください。
この設定ステートメント階層の残りのステートメントについては、別途説明します。 CLIエクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックして詳細を確認します。
PTX シリーズ ルーターおよび QFX10002-60C スイッチは、 オプションを bypass-aggregate
サポートしていません。
必要な権限レベル
admin—設定でこのステートメントを表示します。
admin-control—このステートメントを設定に追加します。
リリース情報
Junos OS リリース 11.2 で導入されたステートメント。
Junos OS リリース 17.3R1 で追加された拡張加入者管理のサポート。