Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show ddos-protection protocols

구문

설명

지원되는 프로토콜 그룹 또는 개별 패킷 유형에 대한 컨트롤 플레인 DDoS 보호 구성 및 통계를 표시합니다.

옵션

none

모든 프로토콜 그룹의 모든 패킷 유형에 대한 정보를 표시합니다.

aggregate

(선택 사항) 통합 폴리서에 대한 컨트롤 플레인 디도스(DDoS) 공격 보호 정보를 표시합니다. 이 aggregate 옵션은 지원되는 모든 프로토콜 그룹에서 사용할 수 있습니다.

packet-type

(선택 사항) 지정된 프로토콜 그룹의 지정된 패킷 유형에 대한 컨트롤 플레인 DDoS 보호 정보를 표시합니다. 사용 가능한 패킷 유형은 프로토콜 그룹에 따라 다르며, 일부 프로토콜 그룹만 개별 패킷 유형에 대한 폴리서를 가질 수 있습니다.

protocol-group

(선택 사항) 프로토콜 그룹에 대한 컨트롤 플레인 DDoS 보호 정보를 표시합니다.

기본 폴리서 구성을 변경하는 데 사용하는 지원 옵션과 동일한 이 명령과 함께 사용할 수 있는 다양한 디바이스에서 사용 가능한 protocol-group packet-type 옵션 목록은 다음 구성 문을 참조하십시오.

필요한 권한 수준

보기

출력 필드

표 1 에는 명령의 출력 필드가 나열되어 있습니다 show ddos-protection protocols . 출력 필드는 나타나는 대략적인 순서대로 나열됩니다.

표 1: ddos-protection 프로토콜 출력 필드 표시

필드 이름

필드 설명

Packet types

패킷 유형 수

Modified

폴리서 값이 기본값에서 수정된 패킷 수.

Received traffic

수신된 트래픽 플로우 수입니다.

Currently violated

현재 플로우 대역폭 제한을 위반하고 있는 플로우 수.

Currently tracked flows

플로우 감지에 의해 범인 플로우로 추적되고 있는 활성 플로우의 수입니다.

Total detected flows

복구되거나 시간 초과된 흐름을 포함하여 감지된 총 원인 흐름 수입니다.

Protocol Group

프로토콜 그룹의 이름입니다.

Packet type

프로토콜 그룹의 패킷 유형 이름입니다.

Bandwidth

대역폭 폴리서 값; 위반이 선언되기 전에 허용되는 초당 패킷 수입니다.

Burst

버스트 폴리서 값; 위반이 선언되기 전에 버스트에서 허용되는 최대 패킷 수입니다.

Priority

트래픽 혼잡 시 더 중요한 트래픽이 통과할 수 있도록 하는 개별 패킷 폴리서에 대한 패킷 유형의 우선 순위: low, medium, 또는 high. 사용 가능한 대역폭이 충분하지 않을 때 우선 순위가 낮은 패킷은 삭제할 수 있습니다.

Recover time

트래픽 흐름이 공격에서 복구된 것으로 간주되기 전에 마지막 위반 이후 경과해야 하는 시간입니다. 타이머가 만료되면 알림이 생성됩니다.

Enabled

폴리서의 상태:

  • Yes- 폴리서는 라우팅 엔진과 FPC(라인 카드) 모두에서 활성화됩니다. 이것이 기본 상태입니다.

  • No—폴리서는 글로벌 구성에 의해 라우팅 엔진과 FPC 모두에서 비활성화됩니다. 패킷 유형 수준 구성에 의해 비활성화되지 않습니다.

  • No*- 폴리서는 라우팅 엔진과 FPC 모두에서 비활성화됩니다. 별표(*)는 이러한 인스턴스 중 하나 또는 둘 모두가 패킷 유형 수준에서 비활성화되었음을 나타냅니다. 전역적으로 비활성화될 수도 있습니다.

  • Partial- 폴리서는 라우팅 엔진 또는 FPC 중 하나에서 비활성화되지만 둘 다에서는 비활성화되지 않습니다. 전역 구성에 의해 비활성화됩니다. 패킷 유형 수준 구성에 의해 비활성화되지 않습니다.

  • Partial*- 폴리서는 라우팅 엔진 또는 FPC 중 하나에서 비활성화되지만 둘 다에서는 비활성화되지 않습니다. 별표(*)는 인스턴스가 패킷 유형 수준 구성에 의해 비활성화되었음을 나타냅니다. 전역적으로 비활성화될 수도 있습니다.

비활성화는 계층 수준에서 모든 패킷 유형, 계층 수준에서 특정 패킷 유형 [edit system ddos-protection global] 또는 두 수준 모두에서 전역적으로 [edit system ddos-protection protocols protocol-group (aggregate | packet-type] 발생할 수 있습니다.

Bypass aggregate

우회 집계 구성 상태:

  • 예 - 집계 폴리서가 우회됩니다.

  • 아니오 - 통합 폴리서가 적용됩니다.

이 필드는 개별 폴리서에 대해서만 나타납니다.

Flow detection configuration

라우터에 구성된 플로우 탐지 상태:

  • 감지 모드 - 의심스러운 흐름 감지를 위한 작동 모드: 자동, 꺼짐 또는 켜짐.

  • Log flows—의심스러운 트래픽 흐름의 자동 로깅 상태: on() 또는 off(YesNo).

  • 시간 초과 흐름—원인 흐름 시간 초과 동작의 상태: 구성된 시간 초과 기간() 동안 흐름이 억제되거나 더 이상 위반되지 않을 때까지 흐름이 억제됩니다(YesNo).

  • 탐지 시간 - 패킷 유형에 허용된 대역폭을 초과한 의심스러운 플로우가 원인으로 간주되기 전에 경과해야 하는 시간(초)입니다.

  • 복구 시간 - 원인 흐름이 정상으로 돌아온 것으로 간주되기 전에 경과해야 하는 시간(초)입니다. 이 기간은 흐름이 마지막 위반을 트리거한 임계값 아래로 떨어질 때 시작됩니다.

  • 시간 초과 시간 - 시간 초과가 활성화된 경우 원인 흐름이 억제된 시간(초)입니다.

  • 플로우 어그리게이션 레벨 구성—각 트래픽 플로우 어그리게이션 수준(가입자, 논리적 인터페이스, 물리적 인터페이스)에서의 트래픽에 대한 플로우 감지 모드, 플로우 제어 모드 및 플로우 대역폭.

    • 감지 모드 - 플로우 감지 상태: 자동, 꺼짐 또는 켜짐.

      제어 모드 - 범인 트래픽 제어 모드: 허용된 대역폭 내로 삭제, 유지 또는 폴리싱.

      Flow rate(플로우 속도) - 초당 패킷 단위로 제어 트래픽에 허용되는 대역폭입니다.

System-wide information

라우터에 대해 수집되는 정보는 다음과 같습니다.

  • 폴리서가 위반되었는지 여부를 나타내는 메시지가 표시됩니다.

  • 아니요. 현재 초과 트래픽을 수신하고 있는 FPC 중 - 현재 폴리서를 위반하고 있는 카드 수입니다.

  • 아니요. 초과 트래픽을 수신한 FPC 수—어느 시점에서 폴리서를 위반한 적이 있는 카드 수.

  • Violation first detected at—첫 번째 위반의 타임스탬프입니다.

  • Violation last seen at(마지막으로 본 위반 위치) - 마지막으로 관찰된 위반의 타임스탬프입니다.

  • 위반 기간 - 위반 기간입니다.

  • Number of violations(위반 횟수) - 위반이 발생한 횟수입니다.

  • Received—모든 카드 슬롯 및 라우팅 엔진에서 수신된 패킷 수입니다.

  • Dropped(삭제됨) - 삭제된 위치에 관계없이 손실된 패킷 수입니다.

  • Arrival rate(도착 속도) - 모든 카드와 라우팅 엔진에서 도착하는 패킷의 현재 트래픽 속도입니다.

  • 최대 도착 속도 - 모든 카드와 라우팅 엔진에서 도착하는 패킷에 대한 가장 높은 트래픽 속도입니다.

Routing Engine information

라우팅 엔진에 대해 수집되는 정보는 다음과 같습니다.

  • 대역폭 - 허용되는 초당 최대 패킷 수입니다.

  • 버스트 - 버스트에 허용되는 최대 패킷 수입니다.

  • 폴리서의 상태:

    • enabled- 라우팅 엔진 폴리서가 활성화됩니다. 이것이 기본 상태입니다.

    • disabled- 라우팅 엔진 폴리서는 전역적으로 비활성화됩니다. 패킷 유형 수준 구성에 의해 비활성화되지 않습니다.

    • disabled*- 라우팅 엔진 폴리서는 패킷 유형 수준 구성에 의해 비활성화됩니다. 전역적으로 비활성화될 수도 있습니다.

  • 폴리서가 위반되었는지 여부를 나타내는 메시지입니다. 폴리서는 개별 카드에서 전달될 수 있지만, 라우팅 엔진에 도착하는 패킷의 결합된 속도는 구성된 폴리서 값을 초과할 수 있습니다.

  • Violation first detected at—첫 번째 위반의 타임스탬프입니다.

  • Violation last seen at(마지막으로 본 위반 위치) - 마지막으로 관찰된 위반의 타임스탬프입니다.

  • 위반 기간 - 위반 기간입니다.

  • Number of violations(위반 횟수) - 위반이 발생한 횟수입니다.

  • 수신—라우팅 엔진에서 모든 카드로부터 수신된 패킷 수.

  • 삭제됨 - 라우팅 엔진에서 손실된 패킷 수입니다. 통합 폴리서 및 개별 프로토콜 폴리서에 의해 드롭된 패킷을 포함합니다.

  • 도착 속도 - 모든 카드에서 라우팅 엔진에 도착하는 패킷의 현재 트래픽 속도입니다.

  • 최대 도착 속도 - 모든 카드에서 라우팅 엔진에 도착하는 패킷에 대한 가장 높은 트래픽 속도입니다.

  • Dropped by aggregate policer(집계 폴리서에 의해 삭제됨) - 집계 폴리서에 의해 손실된 패킷 수입니다.

  • 개별 폴리서에 의해 삭제됨 - 개별 폴리서에 의해 삭제된 패킷 수입니다.

FPC slot information

표시된 슬롯의 카드에 대해 수집된 다음 정보:

  • 대역폭 - 대역폭 확장 비율 및 위반이 선언되기 전에 허용되는 초당 패킷 수입니다.

  • 버스트 - 버스트 확장 비율 및 위반이 선언되기 전에 버스트에서 허용되는 최대 패킷 수입니다.

  • 폴리서의 상태:

    • enabled- FPC 폴리서가 활성화됩니다. 이것이 기본 상태입니다.

    • disabled- FPC 폴리서는 전역적으로 비활성화됩니다. 패킷 유형 수준 구성에 의해 비활성화되지 않습니다.

    • disabled*- FPC 폴리서는 패킷 유형 수준 구성에 의해 비활성화됩니다. 전역적으로 비활성화될 수도 있습니다.

  • 폴리서가 위반되었는지 여부를 나타내는 메시지가 표시됩니다.

  • Violation first detected at—첫 번째 위반의 타임스탬프입니다.

  • Violation last seen at(마지막으로 본 위반 위치) - 마지막으로 관찰된 위반의 타임스탬프입니다.

  • 위반 기간 - 위반 기간입니다.

  • Number of violations(위반 횟수) - 위반이 발생한 횟수입니다.

  • Received(수신) - 라인 카드에서 수신된 패킷 수입니다.

  • Dropped(삭제됨) - 라인 카드에서 손실된 패킷 수입니다. 통합 폴리서 및 개별 프로토콜 폴리서에 의해 드롭된 패킷을 포함합니다.

  • 도착 속도 - 라인 카드에 도착하는 패킷의 현재 트래픽 속도입니다.

  • 최대 도착 속도 - 라인 카드에 도착하는 패킷에 대한 가장 높은 트래픽 속도입니다.

  • Dropped by this policer(이 폴리서에 의해 삭제됨) - 개별 폴리서에 의해 삭제된 패킷 수입니다.

  • Dropped by aggregate policer(집계 폴리서에 의해 삭제됨) - 집계 폴리서에 의해 손실된 패킷 수입니다.

참고:
  • 내장 MPC가 있는 MX 시리즈 라우터(MX5, MX10, MX40, MX80 및 MX104 라우터)에서는 FPC(Flexible PIC Concentrator) 슬롯이 없기 때문에 이 필드는 실제로 tfeb0에 대한 정보를 표시합니다. 대신 패킷 전달 엔진에는 두 개의 "의사" FPC(FPC 0 및 FPC1)가 있습니다.

Bypass aggr.

우회 집계 구성 상태:

  • 예 - 통합 폴리서 구성이 무시됩니다.

  • 아니요 - 통합 폴리서 구성이 적용됩니다.

대시는 우회 집계 구성을 사용할 수 없음을 나타냅니다. 이는 집계 폴리서에만 가능합니다.

FPC Mod

라인 카드의 구성이 기본값에서 변경되었는지 여부를 나타냅니다.

  • 아니오 - 패킷 유형의 기본 구성이 기본값에서 변경되지 않았습니다.

  • 예 - 패킷 유형의 기본 구성이 기본값에서 변경되었습니다

Op mode

패킷 유형에 대한 의심스러운 플로우 감지를 위한 작동 모드: always-on(), () 또는 disabled(onautooff).

Policer BW (pps)

대역폭 폴리서 값; 위반이 선언되기 전에 허용되는 초당 패킷 수입니다.

Aggr level Op:Fc:Bwidth (pps)

각 트래픽 플로우 어그리게이션 레벨에서 패킷 유형의 트래픽에 대한 플로우 작동 모드, 플로우 제어 모드 및 플로우 대역폭: 가입자(), 논리적 인터페이스(), 물리적 인터페이스(subiflifd).

Log flow

패킷 유형에 대한 의심스러운 트래픽 흐름의 자동 로깅 상태: 켜기() 또는 끄기(YesNo).

Time out

패킷 유형에 대한 원인 플로우 타임아웃 동작 상태: 구성된 타임아웃 기간 동안 플로우가 억제 또는 모니터링되거나() 더 이상 위반되지 않을 때까지 플로우가 억제 또는 모니터링됩니다(YesNo).

샘플 출력

디도스-프로텍션 프로토콜 표시

show ddos-protection protocols(플로우 탐지가 비활성화된 특정 패킷 유형)

show ddos-protection protocols(플로우 탐지가 활성화되고 자동인 특정 패킷 유형)

show ddos-protection protocols(대역폭 위반이 있는 특정 패킷 유형)

show ddos-protection protocols(ARP 브로드캐스트)

show ddos-protection protocols(ARP 유니캐스트)

show ddos-protection protocols ip-options 매개 변수

릴리스 정보

Junos OS 릴리스 11.2에서 소개된 명령입니다.

향상된 가입자 관리에 대한 지원이 Junos OS 릴리스 17.3R1에 추가되었습니다.

ARP 브로드캐스트 및 유니캐스트 프로토콜에 대한 지원이 Junos OS 릴리스 23.2R1에 추가되었습니다.