Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

コントロールプレーンDDoS保護の設定

コントロールプレーンDDoS保護は、サポートされているすべてのプロトコルグループとパケットタイプに対してデフォルトで有効になっています。デバイスには、帯域幅(pps単位のパケットレート)、帯域幅スケール、バースト(バースト内のパケット数)、バーストスケール、優先度、および回復時間のデフォルト値があります。サポートされているすべてのプロトコルグループとパケットタイプのデフォルトのポリサー値を確認するには、設定可能なDDoS保護値を変更する前に、 show ddos-protection protocols CLIコマンドを実行します。

手記:

EX2300およびEX2300-Cスイッチには、コントロールプレーンDDoS保護が搭載されている場合がありますが、デフォルトのポリサーパラメーターを表示または変更するCLIオプションはサポートされていません。

Junos OS リリース 24.2R1 以降、EX4100 および EX4400 デバイス、Junos OS リリース 24.4R1 以降、EX3400 および EX4300-MP デバイスは、デフォルトのポリサー パラメーターを表示または変更する CLI オプションをサポートしています。

コントロール プレーン DDoS 構成パラメーターは、次のように変更できます。

  • プロトコル グループ内でサポートされる個々のパケット タイプについて、帯域幅(pps)、バースト(パケット)、およびプライオリティ ポリサー値を変更できます。

    手記:

    PTX10003およびPTX10008ルーターでは、集約またはパケットタイプポリサーのデフォルトの帯域幅(pps)とバースト(パケット)の値は変更できますが、優先度値は変更できません。

  • プロトコル グループの集約ポリサーでは、帯域幅(pps)とバースト(パケット)のポリサー値を変更できます。

  • プロトコル グループまたはパケット タイプのポリサーに帯域幅(pps)、バースト(パケット)、および優先度の値を設定すると、すべてのポリサー レベルで同じ値が適用されます。スケーリング設定オプションを変更して、パケット転送エンジンレベルでこれらの値を調整します。

    手記:

    コントロールプレーンDDoS保護を備えたACXシリーズルーターは、ルーティングエンジンレベルでのポリサー値の変更をサポートしており、これはPFEチップセットレベルに伝播します。これらは、 [edit system ddos-protection protocols protocol-group aggregate fpc ステートメント階層でのラインカードスケーリング設定オプションをサポートしていません。

コントロール プレーンの DDoS 保護は、次のように無効にできます。

  • ルーティングエンジンレベルのポリサーを持つほとんどのルーティングデバイスでは、グローバルまたはプロトコルグループ内の個々のパケットタイプに対して、ルーティングエンジンおよびすべてのラインカードでコントロールプレーンDDoS保護を無効にすることができます。

  • PTX10003、PTX10008およびPTX10016ルーターには、ルーティングエンジンレベルのポリサーが含まれていますが、他のPTXシリーズルーターと同様に、無効にできるのはラインカード ポリサーのみです。

  • その他のPTXシリーズルーターおよびQFXシリーズスイッチでは、ポリサーはラインカードでのみサポートされているため、これらのデバイスでは、グローバルまたはプロトコルグループ内の個々のパケットタイプに対して、すべてのラインカードに対してコントロールプレーンDDoS保護を無効にすることができます。

コントロール プレーン DDoS ログはデフォルトで有効になっていますが、すべてのコントロール プレーン DDoS イベントまたはプロトコル グループ内の個々のパケット タイプに対してグローバルに無効にできます。また、コントロールプレーンDDoSイベントを監視するためのトレース操作を設定することもできます。

手記:

MPCを搭載したMXシリーズルーターとFPC5を搭載したT4000ルーターは、コントロールプレーンDDoS保護をサポートしています。これらのタイプのルーターのいずれかに他のラインカードもインストールされているが、他のラインカードは保護されていないため、ルーターは基本的に保護されません。

デフォルトで設定されたコントロールプレーンDDoS保護パラメーターを変更するには:

  1. (オプション)グローバル コントロール プレーン DDoS 保護設定を構成するか、コントロール プレーン DDoS 保護を無効にします。

  2. (オプション)目的のプロトコルグループの集約ポリサーまたは個々のパケットタイプのコントロールプレーンDDoS保護設定を構成します。

  3. (オプション)コントロール プレーンの DDoS 保護操作のトレースを構成します。

コントロールプレーンDDoS保護ポリサーの無効化とグローバルロギング

コントロール プレーン DDoS 保護ポリサーは、サポートされているすべてのプロトコル グループとパケット タイプに対して既定で有効になっています。

ACXシリーズルーターでは、グローバルに、またはルーティングエンジンレベルで個々のプロトコルグループに対して、ポリサーを無効にすることができます。ポリサーをグローバルに無効にすると、基本的にデバイスのコントロールプレーンDDoS保護が無効になります。

MXシリーズルーター、T4000ルーター、EX9200スイッチでは、個々のラインカードとルーティングエンジンのレベルでポリサーが確立されます。すべてのMPCまたはFPC5に対してグローバルにラインカードポリサーを無効にできます。また、ルーティングエンジンのポリサーを無効にすることもできます。これらのポリサーのいずれかを無効にすると、すべてのプロトコル グループとパケット タイプのそのレベルのポリサーが無効になります。

PTXシリーズルーターおよびQFXシリーズスイッチでは、個々のラインカードのレベルでのみポリサーが確立されます。ラインカード ポリサーをグローバルに無効にすると、コントロール プレーンの DDoS 保護はスイッチで無効になります。

PTX10003、PTX10008およびPTX10016ルーターには、ルーティングエンジンレベルのポリサーが含まれていますが、他のPTXシリーズルーターと同様に、無効にできるのはラインカード ポリサーのみです。

コントロール プレーンの DDoS 保護ログも既定で有効になっています。ルーターまたはスイッチ全体のすべてのプロトコルグループとパケットタイプについて、すべてのコントロールプレーンDDoSイベントロギング(フロー検出イベントロギングを含む)を無効にすることができます。

手記:

ポリサーとロギングを無効にするグローバル設定は、パケット タイプのローカル設定よりも優先されます。

グローバル コントロール プレーン DDoS 保護設定を構成するには:

  1. (オプション)(ACXシリーズルーターでは使用できません)ラインカードポリサーを無効にするには:
  2. (オプション)(PTXシリーズルーターまたはQFXシリーズスイッチでは使用できません) ルーティングエンジンのポリサーを無効にするには:
  3. (オプション)イベントログを無効にするには:

コントロールプレーンDDoS防御の設定 集約または個々のパケットタイプポリサー

コントロールプレーンDDoSポリサーは、パケットトラフィックを制御するために適用され、サポートされているすべてのプロトコルグループとパケットタイプに対してデフォルトで有効になっています。デフォルトのポリサー パラメータを変更して、最大許容トラフィック レート、最大バースト サイズ、トラフィック優先度、およびトラフィック フローが攻撃から回復したと見なされるまでに最後の違反から経過する必要がある時間に異なる値を設定できます。また、個々のラインカードの帯域幅とバースト値をスケーリングして、このレベルのポリサーがプロトコル全体またはパケットのしきい値よりも低いしきい値でトリガーされるようにすることもできます。

プロトコルグループとパケットタイプのサポートは、プラットフォームやJunos OSリリースによって、以下のように異なります。

任意のプロトコル グループに対して集約ポリサー値を設定できます。集約ポリサーは、そのグループのすべてのタイプの制御パケット トラフィックの組み合わせに適用されます。

手記:

ACXシリーズルーターは、サポートされているプロトコルグループのアグリゲートポリサーのみをサポートします。

一部のプロトコル グループでは、個々のパケット タイプに対してポリサー値を設定することもできます。特定のプロトコル グループに対して集約ポリサー値を設定する場合、オプションで、そのグループ内の 1 つ以上の特定のパケット タイプに対してそのポリサーをバイパスできます。

ベスト プラクティス:

すべてのポリサーにはデフォルトのパラメータ値がありますが、これらの値はネットワークの制御トラフィックパターンを正確に反映していない可能性があります。ネットワークをモデル化して、状況に最適な値を決定することをお勧めします。ネットワークのポリサーを設定する前に、 show ddos-protection protocols parameters brief コマンドを使用して、運用モードからすべてのパケットタイプのデフォルト値をすばやく表示できます。コマンドを使用して、対象のプロトコル グループを 1 つ指定することもできます。たとえば、 dhcpv4 プロトコル グループのデフォルト値を表示するには、 show ddos-protection protocols dhcpv4 parameters brief コマンドを使用します。

指定したラインカードまたはすべてのラインカードについて、ルーティングエンジンレベル(サポートされている場合)またはパケット転送エンジンレベル(サポートされている場合)で、パケットタイプポリサーを無効にすることができます。また、プロトコル グループ内の個々のパケット タイプのすべてのコントロール プレーン DDoS 保護イベントのログ記録を無効にすることもできます。

目的のアグリゲートまたはパケットタイプの DDoS 保護ポリサー設定を構成するには、次の手順に従います。

  1. プロトコル グループを指定します。

    たとえば、MXシリーズ、PTX10003、または PTX10008 ルーターで DHCPv4 プロトコル グループを指定するには、次のようにします。

    または、ACXシリーズ、PTXシリーズ、QFXシリーズデバイスでは、コントロールプレーンDDoS保護サポートに、集約ポリサー設定のみを許可するDHCPv4とDHCPv6を組み合わせたオプションがあります。

  2. サポートされている個々のパケット タイプを指定するか、 aggregate オプションを指定して、プロトコル グループ内のすべてのパケット タイプを網羅します。

    又は

    たとえば、個々の DHCPv4 パケット タイプをサポートするデバイスで DHCPv4 リリース パケットのみを指定するには、次のようにします。

  3. (オプション)ポリサーがパケットタイプ(または集約)に対して許可する最大トラフィックレートを設定します。

    たとえば、DHCPv4 リリース パケットの帯域幅を 1 秒あたり 600 パケットに設定するには、次のようにします。

  4. (オプション)ポリサーがトラフィックのバーストで許可する、このパケットタイプ(または集約)のパケットの最大数を設定します。

    例えば、最大 5000 の DHCPv4 リリース パケットを設定するには、次のようにします。

  5. (オプション)トラフィックの優先度を設定します。
    手記:

    PTX10003 または PTX10008 ルーターのデフォルトの優先度値は変更できません。

    たとえば、DHCPv4 リリース パケットに中程度の優先度を指定するには、次のようにします。

  6. (オプション)トラフィックフローが攻撃から回復したと見なされるまでに、最後の違反から経過する必要がある時間を設定します。

    たとえば、DHCPv4 リリース パケット ポリサーの最後の違反から 600 秒が経過している必要があることを指定するには:

  7. (オプション、一部のデバイスでサポート)集約ポリサー設定をバイパスします。これは、集約ポリサーと個別ポリサーがプロトコル グループに対して設定されている場合にのみ適用されます。

    たとえば、DHCPv4 更新パケットの集約ポリサーをバイパスするには、次のようにします。

  8. (オプション、一部のデバイスでサポート)すべてのラインカードでパケットタイプ(または集約)のラインカードポリサーを無効にします。
    手記:

    [edit system ddos-protection global]階層レベルでラインカード ポリサーをグローバルに無効にすると、グローバル設定がこのステップで示すパケット タイプごとの設定よりも優先されます。その後、グローバル設定を削除すると、パケット タイプごとの設定が有効になります。

    たとえば、DHCPv4 bootp パケットのラインカード ポリサーを無効にするには、次のようにします。

  9. (オプション)1つのパケットタイプ(またはアグリゲート)のみのコントロールプレーンDDoS保護イベントログを無効にします。
    手記:

    パケットに対して無効にされたイベントは、ポリサー違反に関連付けられます。フロー検出原因フローイベントのロギングは、このステートメントの影響を受けません。
    手記:

    コントロール プレーン DDoS 保護イベント ログを [edit system ddos-protection global] 階層レベルでグローバルに無効にすると、グローバル設定によって、この手順で示されているパケットの種類ごとの設定が上書きされます。その後、グローバル設定を削除すると、パケット タイプごとの設定が有効になります。

    たとえば、DHCPv4検出パケットのラインカードポリサーでコントロールプレーンDDoS保護イベントログを無効にするには:

  10. (オプション、PTXシリーズルーターまたはQFXシリーズスイッチでは使用できません)このパケットタイプのみのルーティングエンジンポリサーを無効にします。
    手記:

    [edit system ddos-protection global]階層レベルでルーティングエンジンポリサーをグローバルに無効にすると、グローバル設定がこのステップで示すパケットタイプごとの設定を上書きします。その後、グローバル設定を削除すると、パケット タイプごとの設定が有効になります。

    例えば、DHCPv4検出パケットのルーティングエンジンポリサーを無効にするには:

  11. (オプション、ACXシリーズルーターではサポートされていません)単一のラインカードでパケットタイプ(または集約)のパケットレベル設定を行います。単一の固定ラインカード(スロット0にあると見なされ、 fpc0とラベル付けされた単一のFPC)を搭載したスイッチでは、ポリサー値のスケーリングはスイッチ全体に影響します。

    たとえば、DHCPv4 にアクセスするには、スロット 3 のラインカードのパケット設定を検出します。

  12. (オプション、ACXシリーズルーターではサポートされていません)ラインカード上のパケットタイプ(または集約)のポリサー帯域幅をスケーリングします。

    たとえば、帯域幅を DHCPv4 に設定された全ラインカード設定の 80% に拡張するには、スロット 3 のラインカード上のパケットを検出します。

  13. (オプション、ACXシリーズルーターではサポートされていません)ラインカード上のパケットタイプ(または集約)のポリサーバーストサイズをスケーリングします。

    たとえば、最大帯域幅を DHCPv4 に構成された全ラインカード設定の 75% に拡張するには、スロット 3 のラインカード上のパケットを検出します。

  14. (オプション、ACXシリーズルーターではサポートされていません)特定のラインカードのパケットタイプ(またはアグリゲート)のラインカードポリサーを無効にします。

    たとえば、DHCPv4 のラインカード ポリサーを無効にするには、スロット 3 のラインカード上のパケットを検出します。

参照

コントロールプレーンDDoS攻撃防御の検証と管理

目的

コントロール プレーンの DDoS 防御の構成、状態、統計に関する情報を表示またはクリアします。

アクション

  • すべてのプロトコルグループのすべてのパケットタイプのコントロールプレーンDDoS保護ポリサー設定、違反状態、統計情報を表示するには:

    設定を変更する前にこのコマンドを実行して、デフォルトのポリサー値を確認します。

  • 特定のプロトコル グループ内の特定のパケット タイプのコントロール プレーン DDoS 防御ポリサーの設定、違反状態、統計情報を表示するには:

  • すべてのプロトコル グループのコントロール プレーン DDoS 保護ポリサー違反の数のみを表示するには:

  • すべてのプロトコルグループのすべてのパケットタイプに対するコントロールプレーンDDoS保護設定の表を表示するには:

  • すべてのプロトコル グループのすべてのパケット タイプのパケット統計とコントロール プレーン DDoS 防御違反統計の完全なリストを表示するには:

  • グローバル コントロール プレーン DDoS 保護違反の統計を表示するには:

  • コントロール プレーン DDoS 保護のバージョン番号を表示するには:

  • すべてのプロトコルグループのすべてのパケットタイプのコントロールプレーンDDoS保護統計をクリアするには:

  • 特定のプロトコル グループのすべてのパケット タイプのコントロール プレーン DDoS 防御統計をクリアするには:

  • 特定のプロトコル グループの特定のパケット タイプのコントロール プレーン DDoS 防御統計をクリアするには:

  • すべてのプロトコル グループのすべてのパケット タイプのコントロール プレーン DDoS 保護違反状態をクリアするには:

  • 特定のプロトコル グループのすべてのパケット タイプのコントロール プレーン DDoS 保護違反状態をクリアするには:

  • 特定のプロトコル グループの特定のパケット タイプのコントロール プレーン DDoS 保護違反状態をクリアするには:

参照