Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

protocols (DDoS) (ACX Series, PTX Series, and QFX Series)

구문(ACX 시리즈 라우터)

구문(PTX 시리즈 라우터 및 QFX 시리즈 스위치)

구문(Junos OS Evolved의 경우 PTX 시리즈 및 ACX7100-48L)

계층 수준

설명

프로토콜 그룹 내의 모든 패킷 유형 또는 프로토콜 그룹 내의 특정 패킷 유형에 대한 기본 구성 가능한 컨트롤 플레인 DDoS 보호 폴리서 매개 변수를 변경합니다.

참고:

라우터PTX10003 통합 또는 개별 패킷 유형 폴리서에 대한 기본 우선 순위 값을 변경하는 옵션을 지원하지 priority 않습니다. QFX10002-60C 스위치 및 PTX 시리즈 라우터는 옵션을 bypass-aggregate 지원하지 않습니다.

참고:

대역폭이라는 용어는 일반적으로 초당 비트 수(bps)를 의미하지만, 이 기능의 옵션은 초당 패킷( bandwidth pps) 값을 burst 나타내고 옵션은 버스트의 패킷 수를 나타냅니다. 이러한 옵션은 별도로 설명되어 있습니다.

표 1 또는 표 2에 나열된 모든 프로토콜 그룹 및 패킷 유형이 모든 디바이스에서 지원되는 것은 아닙니다. 예외는 다음과 같습니다.

  • ACX 시리즈 라우터는 다음 프로토콜 그룹 옵션만 지원합니다: arp, bfd, bfdv6, dhcpv4v6bgpigmpeoamesmc( ipmcast-miss 알 수 없는 멀티캐스트 패킷), , pvstprippimrsvpstplacplldpvrrpldpndpv6oam-lfmospfisis

  • PTX10003 및 PTX10008 라우터는 폴리서 프로토콜 그룹 옵션all-fiber-channel-enode인 , bridge-control, , diametergarp-reply, radiusl2ptptptacacs지원하지 않습니다.

  • 다른 PTX 시리즈 라우터는 다음과 같은 폴리서 프로토콜 그룹 옵션을 지원하지 않습니다: all-fiber-channel-enode, (단, arp 프로토콜 그룹은 지원됨), bridge-control, , pvstpmartian-addressstpgarp-replyproto-802-1xptpradiusdiametertacacs

  • QFX10002-60C 스위치는 다음과 같은 폴리서 프로토콜 그룹 옵션을 지원하지 않습니다: all-fiber-channel-enode, (단, arp 프로토콜 그룹은 지원됨), bridge-control, diameter, garp-reply, ptpmartian-addressproto-802-1xradius, , 및tacacs

  • QFX10002, QFX10008 및 QFX10016 스위치는 프로토콜 그룹 옵션을 지원하지 ttl 않습니다.

옵션

aggregate

지정된 프로토콜에 속하는 모든 제어 패킷을 하나의 결합된 그룹으로 폴리싱하는 폴리서에 대한 매개 변수를 구성합니다. 모든 프로토콜 그룹에 대해 통합 폴리서가 존재합니다.

참고:

ACX 시리즈 라우터는 지원되는 프로토콜 그룹에 대한 통합 폴리서만 지원합니다.

packet-type

프로토콜 그룹 내에서 지정된 개별 제어 패킷 유형에 대한 폴리서 값을 구성합니다. 일부 디바이스에서는 표 1에 나열된 프로토콜 그룹에서 packet-type 폴리서를 구성할 수 있습니다. 표 1에 나열되지 않은 다른 모든 프로토콜 그룹의 경우, 통합 폴리서만 사용할 수 있습니다.

표 1 에는 일부 디바이스에서 사용할 수 있는 패킷 유형 폴리서가 있는 프로토콜 그룹과 기본 구성 매개 변수에 대한 공통 값이 나와 있습니다. 기본값은 지원 디바이스와 Junos OS 릴리스에 따라 다를 수 있습니다. 구성 가능한 값을 수정하기 전에 또는 show ddos-protection protocols parameters CLI 명령을 실행하여 show ddos-protection protocols 지원되는 모든 프로토콜 그룹 및 패킷 유형에 대한 기본 폴리서 값을 확인할 수 있습니다. 이러한 명령과 함께 특정 프로토콜 그룹 및 패킷 유형(또는 집계)을 포함할 수도 있습니다.

표 1의 각 프로토콜 그룹은 통합 폴리서도 지원합니다. 모든 프로토콜 그룹에 대한 기본 집계 폴리서 값은 표 2를 참조하십시오.

표 1: PTX 시리즈 라우터 및 QFX 시리즈 스위치에서 컨트롤 플레인 디도스(DDoS) 공격 보호가 지원하는 패킷 유형

프로토콜 그룹

패킷 유형

설명

기본 대역폭(pps)

기본 버스트(패킷 수)

기본 우선 순위

arp

arp-snoop 또는 arp

참고:

Junos OS 릴리스 20.3R1 및 PTX 및 QFX 시리즈 스위치의 다른 여러 유지 관리 릴리스부터 옵션 이름은 arp-snoop 단순히 arp.

ARP 트래픽

10000

1024 또는 2048

높은

unclassified

분류되지 않은 ARP 패킷

500

1024

높은

bfd

bundle-bfd

(PTX 10003 전용) 링크 번들 BFD 트래픽

10000

10000

높은

multihop-bfd

멀티홉 BFD 트래픽

5000 또는 10000

2048 또는 10000

높은

unclassified

분류되지 않은 BFD 패킷

10000

2048

높은

dhcpv4

(PTX10003 및 PTX10008 라우터만 해당, 라인 카드 및 RE 수준에서 속도 제한용)

ack

DHCPACK 패킷

500

500

매체

bad-packets

형식이 잘못된 DHCPv4 패킷

0

0

낮은

bootp

DHCPBOOTP 패킷

300

300

낮은

decline

DHCPDECLINE 패킷

500

500

낮은

discover

DHCPDISCOVER 패킷

500

500

낮은

force-renew

DHCPFORCERE-NEW 패킷

2000

2000

높은

inform

DHCPINFORM 패킷

500

500

낮은

lease-active

DHCPLEASEACT-IVE 패킷

2000

2000

높은

lease-query

DHCPLEASE-QUERY 패킷

2000

2000

높은

lease-unassigned

DHCPLEASEUN-ASSIGNED 패킷

2000

2000

높은

lease-unknown

DHCPLEASEUN-KNOWN 패킷

2000

2000

높은

nak

DHCPNAK 패킷

500

500

낮은

no-message-type

메시지 유형이 누락된 DHCP 패킷

1000

1000

낮은

offer

DHCPOFFER 패킷

1000

1000

낮은

rebind

DHCPv4 리바인드 패킷

2000

2000

높은

release

DHCPRELEASE 패킷

2000

2000

높은

renew

DHCPRENEW 패킷

2000

2000

높은

request

DHCPREQUEST 패킷

1000

1000

매체

unclassified

분류되지 않은 모든 DHCPv4 패킷

300

150

낮은

dhcpv6

(PTX10003 및 PTX10008 라우터만 해당, 라인 카드 및 RE 수준에서 속도 제한용)

advertise

DHCPv6 ADVERTISE 패킷

500

500

낮은

confirm

DHCPv6 패킷 확인

1000

1000

매체

decline

DHCPv6 패킷 거부

1000

1000

낮은

information-request

DHCPv6 정보-요청 패킷

1000

1000

낮은

leasequery

DHCPv6 LEASEQUERY 패킷

1000

1000

낮은

leasequery-data

DHCPv6 LEASEQUERY-DATA 패킷

1000

1000

낮은

leasequery-done

LEASEQUERY-DONE 패킷

1000

1000

낮은

leasequery-reply

DHCPv6 LEASEQUERY-REPLY 패킷

1000

1000

낮은

rebind

DHCPv6 리바인드 패킷

2000

2000

매체

reconfigure

DHCPv6 패킷 재구성

1000

1000

낮은

relay-forward

DHCPv6 릴레이 포워드 패킷

1000

1000

낮은

relay-reply

DHCPv6 RELAY-REPLY 패킷

1000

1000

낮은

release

DHCPv6 릴리스 패킷

2000

2000

높은

renew

DHCPv6 갱신 패킷

2000

2000

매체

reply

DHCPv6 응답 패킷

1000

1000

매체

request

DHCPv6 요청 패킷

1000

1000

매체

solicit

DHCPv6 패킷 요청

500

500

낮은

unclassified

분류되지 않은 모든 DHCPv6 패킷

3000

3000

낮은

eoam

oam-cfm

이더넷 OAM CFM 트래픽

1000

1024 또는 2048

높은

unclassified

분류되지 않은 이더넷 OAM 트래픽

100000

1024 또는 2048

높은

igmpv6

mld

MLD 트래픽

1000 또는 5000

1024 또는 2048

높은

unclassified

분류되지 않은 IGMPv6 패킷

1000 또는 90000

1024 또는 2048

높은

ldp

ldp-hello

일부 디바이스에는 통합 폴리서가 있습니다 ldp-hello . 다음 디바이스만 이 패킷 유형 폴리서를 지원합니다.

  • PTX10003 및 PTX10008 라우터

  • QFX10002, QFX10008 및 QFX10016 스위치

LDP HELLO 트래픽

1000

1024

높은

unclassified

LDP 분류되지 않은 패킷

1000

1024

높은

mcast-snoop

igmp

IGMP 스누핑을 위한 제어 패킷

500, 5000 또는 20000

2048 또는 5000

높은

mld

MLD 스누핑을 위한 제어 패킷

500, 2000 또는 5000

2048

높은

pim

PIM 스누핑을 위한 제어 패킷

500, 2000 또는 5000

2048

높은

unclassified

분류되지 않은 멀티캐스트 스누핑 제어 패킷

500

2048

높은

radius

accounting

RADIUS 어카운팅 패킷

200

2048

높은

authorization

RADIUS 권한 부여 패킷

200

2048

높은

server

RADIUS 서버 트래픽

200

2048

높은

unclassified

분류되지 않은 RADIUS 트래픽

200

2048

높은

tcc

ethernet-tcc

TCC 캡슐화 이더넷 트래픽

100

100, 1024 또는 2048

높은

iso-tcc

TCC 캡슐화 ISO 트래픽

100

100, 1024 또는 2048

높은

unclassified

분류되지 않은 TCC 캡슐화 트래픽

100

1024 또는 2048

높은

protocol-group

지정된 프로토콜 그룹에 대한 폴리서 값을 구성합니다. 표 2에 나열된 다음 프로토콜 그룹 중 하나에 대해 통합 폴리서를 구성할 수 있습니다. 이 표에는 각 프로토콜 그룹에 대한 통합 폴리서 기본 구성 매개 변수가 나와 있습니다. 기본값은 지원 디바이스와 Junos OS 릴리스에 따라 다를 수 있습니다. 구성 가능한 값을 수정하기 전에 또는 show ddos-protection protocols parameters CLI 명령을 실행하여 show ddos-protection protocols 지원되는 모든 프로토콜 그룹에 대한 기본 폴리서 값을 확인할 수 있습니다. 또한 이러한 명령과 함께 옵션을 사용하거나 사용하지 않는 aggregate 특정 프로토콜 그룹을 포함하여 집계 폴리서 매개 변수를 확인할 수 있습니다.

표 2의 프로토콜 그룹은 표 1에 나열된 해당하는 개별 패킷 유형 폴리서도 지원합니다.

표 2: ACX 시리즈 라우터, PTX 시리즈 라우터 및 QFX 시리즈 스위치에서 컨트롤 플레인 DDoS 보호가 지원하는 프로토콜 그룹

프로토콜 그룹

설명

기본 대역폭(pps)

기본 버스트(패킷 수)

기본 대역폭 및 버스트 값은 플랫폼 유형 및 기본 DDoS 인프라 설정에 따라 다릅니다.

all-fiber-channel-enode

파이버 채널 ENode 트래픽

10

1024 또는 2048

arp 또는 arp-snoop

(다른 플랫폼은 또는 arp-snoop로 명명된 arp ARP 트래픽에 대해 통합 폴리서 프로토콜 그룹 옵션을 지원합니다.)

ARP 트래픽

참고:

일부 플랫폼에서는 arp 프로토콜 그룹이 패킷 유형으로 포함됩니다 arp-snoop . 표 1을 참조하십시오. Junos OS 릴리스 20.3R1 및 PTX 및 QFX 시리즈 스위치 arp-snoop 의 기타 유지 관리 릴리스부터 프로토콜 그룹의 패킷 유형 옵션의 arp 이름이 arp변경됩니다.

1000, 2000 또는 10000

512, 1024, 2000 또는 2048

bfd

단일 홉 BFD 트래픽

1000, 6200, 10000, 20000 또는 250000

512, 2048 또는 20000

bfdv6

BFDv6 트래픽

512, 3000, 10000, 20000 또는 250000

512, 2048 또는 20000

bgp

BGP 트래픽

1200, 1500, 3000, 5000, 10000, 20000 또는 250000

512, 2048, 4096 또는 20000

bridge-control

브리지 제어 트래픽

10

2048

dhcpv4

(PTX10003 및 PTX10008 라우터만 해당)

모든 DHCPv4 트래픽에 대한 집계(우선 순위 중간)

참고:

PTX10003 및 PTX10008 라우터에서 PFE 라인 카드 및 RE 수준에서 속도를 제한하기 위해 이 옵션을 사용합니다. PFE 칩 수준에서 속도 제한을 위해 집계 옵션을 dhcpv4v6 사용합니다.

5000

5000

dhcpv6

(PTX10003 및 PTX10008 라우터만 해당)

모든 DHCPv6 트래픽에 대한 집계(낮은 우선 순위)

참고:

PTX10003 및 PTX10008 라우터에서 PFE 라인 카드 및 RE 수준에서 속도를 제한하기 위해 이 옵션을 사용합니다. PFE 칩 수준에서 속도 제한을 위해 집계 옵션을 dhcpv4v6 사용합니다.

5000

5000

dhcpv4v6

DHCPv4 및 DHCPv6 트래픽(결합된 트래픽에 제한이 적용됨)

참고:

PTX10003 및 PTX10008 라우터에서는 PFE 칩 수준에서만 속도를 제한하기 위해 이 집계 옵션을 사용합니다(우선 순위는 낮음). dhcpv6 라인 카드 및 RE 수준에서 속도 제한을 위해 프로토콜 그룹 및 개별 패킷 유형 옵션을 사용합니다dhcpv4.

600 또는 5000

512, 2048 또는 5000

diameter

Diameter 및 Gx-Plus 트래픽

200

2048

dns

DNS 트래픽

200

200 또는 2048

dtcp

DTCP 트래픽

200

200 또는 2048

egpv6

EGPv6 트래픽

10

10 또는 2048

eoam

이더넷 OAM 트래픽

참고:

PTX10003 및 PTX10008 라우터에서 어그리게이션 eoam 프로토콜 그룹 옵션에는 OAM-CFM 패킷이 포함됩니다(개별 패킷 유형 옵션 없음 oam-cfm ).

1000, 6200 또는 100000

102, 512, 2048 또는 10000

esmc

ESMC 트래픽

200

512

ethernet-tcc

TCC 캡슐화 이더넷 트래픽

참고:

tcc 프로토콜 그룹 옵션은 일부 디바이스에서 이를 패킷 유형 옵션으로 포함합니다.

100

100 또는 2048

exception

  • 최대 전송 단위(MTU) 트래픽

  • 멀티캐스트 트래픽

  • TTL 트래픽(QFX10002, QFX10008 및 QFX10016 스위치만 해당)

100

2048

ftp

FTP 트래픽

500 또는 1500

1500 또는 2048

garp-reply

Gratuitous ARP 응답 트래픽

100

2048

gre

GRE 트래픽

500

500 또는 2048

icmp

ICMP 트래픽

500, 1000 또는 20000

500, 2048 또는 20000

igmp

IGMPv4 및 IGMPv6 트래픽

참고:

PTX 시리즈 및 QFX10002-60C 디바이스에서 IGMPv4 트래픽에만 igmpv6 이 옵션을 사용하고 IGMPv6 트래픽에 대해 옵션을 사용합니다. PTX10003 및 PTX10008 라우터에서 이 옵션은 집계된 IGMP 및 MLD 트래픽을 포함합니다.

1000, 1600, 5000 또는 90000

512, 2048 또는 5000

igmpv6

IGMPv6 트래픽

20000 또는 90000

2048 또는 5000

ip-options

IP 패킷 헤더 옵션이 있는 IP 트래픽

100

100 또는 2048

ipmcast-miss

(ACX 시리즈만 해당)

알 수 없는 IPv4 및 IPv6 멀티캐스트 패킷

600

512

isis

IS-IS 트래픽

1000, 1200, 5000 또는 20000

512, 2048, 4096 또는 20000

isis-data

ISIS-데이터 트래픽

5000, 8000 또는 10000

4096 또는 8000

isis-hello

ISIS-Hello 트래픽

1000, 5000 또는 12000

4096 또는 12000

iso-tcc

TCC 캡슐화 ISO 트래픽

참고:

tcc 프로토콜 그룹 옵션은 일부 디바이스에서 이를 패킷 유형 옵션으로 포함합니다.

100

100 또는 2048

l2pt

레이어 2 프로토콜 터널링 트래픽

500

2048

l2tp

레이어 2 터널링 프로토콜 트래픽

500

500 또는 2048

lacp

LACP 트래픽

800, 1000 또는 2000

512, 300, 2000 또는 2048

ldp

LDP 트래픽

1200, 5000, 10000 또는 20000

200, 512, 2048 또는 20000

ldp-hello

LDP Hello 패킷

참고:

다음 디바이스에는 패킷 유형 폴리서가 ldp-hello 있으며 이 통합 폴리서를 사용하지 않습니다.

  • PTX10003 및 PTX10008 라우터

  • QFX10002, QFX10008 및 QFX10016 스위치

1000 또는 5000

2048 또는 5000

lldp

LLDP 트래픽

100, 800 또는 2000

300, 512, 2000 또는 2048

lmp

LMP 트래픽

100

100 또는 2048

martian-address

화성 주소

200

20

mcast-snoop

멀티캐스트 스누핑을 위한 트래픽 제어

5000, 20000 또는 22000

2048, 6000 또는 20000

mld

MLD 트래픽

참고:

igmpv6 프로토콜 그룹 옵션은 일부 디바이스에서 이를 패킷 유형 옵션으로 포함합니다.

1000

2048

msdp

MSDP 트래픽

20000

20000

multihop-bfd

멀티홉 BFD 트래픽

참고:

bfd 프로토콜 그룹 옵션은 일부 디바이스에서 이를 패킷 유형 옵션으로 포함합니다.

1500

2048

ndpv6

NDPv6 트래픽

100, 1000 또는 2000

512, 1024 또는 2000

ntp

NTP 트래픽

20000

20000

oam-cfm

OAM CFM 트래픽

참고:

eoam 프로토콜 그룹 옵션은 일부 디바이스에서 이를 패킷 유형 옵션으로 포함합니다. PTX10003 및 PTX10008 라우터에서 어그리게이션 eoam 프로토콜 그룹 옵션에는 OAM-CFM 패킷이 포함됩니다(개별 패킷 유형 옵션 없음oam-cfm).

200

2048

oam-lfm

OAM LFM 트래픽

200, 800, 1000 또는 20000

512, 1000, 2048 또는 20000

ospf

OSPF 트래픽

1200, 5000, 10000 또는 20000

200, 512, 2048, 4096 또는 20000

ospf-hello

OSPF Hello 패킷

1000, 1500 또는 10000

2048, 4096 또는 20000

pim

(ACX 시리즈만 해당)

PIM IPv4 및 IPv6 패킷

1600

512

pim-ctrl

PIM 제어 패킷

1000 또는 1500

200 또는 2048

pim-data

PIM 데이터

2000 또는 3000

1024 또는 2048

proto-802-1x

802.1X 트래픽

200

200 또는 2048

ptp

PTP 트래픽

100

2048

pvstp

PVSTP 트래픽

800, 2000 또는 20000

512, 2048 또는 20000

radius

RADIUS 트래픽

200

2048

reject

다음 홉 전달 결정에 의해 거부된 패킷

100, 200 또는 2000

200, 2000 또는 2048

resolve

분류되지 않은 IPv4 및 IPv6은 트래픽 요청 해결 작업으로 인해 호스트로 전송된 패킷을 해결합니다.

100, 500 또는 5000

100, 2048 또는 5000

rip

RIP 트래픽

200, 1200 또는 20000

200, 512, 2048 또는 20000

rsvp

RSVP 트래픽

1200, 5000, 10000 또는 20000

512, 2048, 10000 또는 20000

snmp

SNMP 트래픽

1000 또는 20000

1024, 2048 또는 20000

ssh

SSH 트래픽

5000 또는 20000

500, 2048 또는 20000

stp

STP 트래픽

800 또는 20000

512, 2048 또는 20000

tacacs

TACACS+ 트래픽

200

2048

tcc

과도기적 교차 연결 캡슐화된 트래픽

100 또는 200

200, 1024 또는 2048

telnet

텔넷 트래픽

5000 또는 20000

500, 2048 또는 20000

ttl

TTL(Time to Live) 패킷

100 또는 2000

2048

unclassified

사용 가능한 다른 프로토콜 그룹 중 하나로 분류할 수 없는 트래픽

100 또는 10000

2048 또는 10000

vrrp

VRRP 트래픽

512, 1000, 2000 또는 20000

512, 1000, 2048 또는 20000

vxlan

VXLAN 레이어 2 및 레이어 3 패킷

300

10

표 3: 진화한 Junos OS를 위한 PTX 시리즈 라우터의 컨트롤 플레인 디도스(DDoS) 공격 방어가 지원하는 프로토콜 그룹

프로토콜 그룹

설명

arp 또는

ARP 트래픽 구성

bfd

BFD 트래픽 구성

bfdv6

BFDv6 트래픽

bgp

BGP 트래픽 구성

custom

CUSTOM 트래픽 구성

sample

샘플링 트래픽 구성

dhcpv4

DHCPv4 트래픽 구성

dhcpv6

DHCPv6 트래픽 구성

dhcpv4v6

DHCPv4/v6 트래픽 구성

l2tp

L2TP 트래픽을 구성합니다.

ppp

PPP 트래픽을 구성합니다.

pppoe

PPPoE 트래픽을 구성합니다.

Junos OS Evolved 릴리스 23.1R1부터 QFX5220, QFX5130 및 QFX5700 시리즈 디바이스의 기본 DDoS localnh aggregate bandwidth 값은 1500pps입니다. Junos OS Evolved 릴리스 23.1R1 이전에는 [set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200] CLI 명령을 사용하여 대역폭 값을 구성할 수 있었습니다. 이 구성을 사용하면 로컬 IP 트래픽이 많은 동안 LAG 인터페이스 다운타임을 방지할 수 있습니다.

Junos OS 릴리스 23.3R1부터 QFX 시리즈 디바이스에 [edit ddos-protection protocols] 계층 수준의 프로토콜 지원이 추가되었습니다ip-option.

Junos OS Evolved 릴리스 23.4R1부터 가입자 서비스 확장을 위한 DVLAN(단일 및 이중 태그)과 다음을 포함하는 ACX7100-48L 디바이스에서의 성능을 지원합니다.
  • DHCP (IP-DEMUX lite) 및 PPPoE 가입자 (IPv4, IPV6 및 듀얼 스택) 및 CoS 합법적 인터셉트 및 필터 지원.
  • BBE 프로토콜에 대한 L2TP(LAC) DDOS 폴리서 구성이 포함된 DVLAN(단일 및 이중 태그). 개별 BBE 프로토콜 및 DDOS 프로토콜 그룹 구성이 활성화됩니다.
  • 프로토콜 그룹 DHCPv6, L2TP, PPP 및 PPPoE 지원

  • 통합 DDOS 프로토콜 그룹 dhcpv4v6 만 활성화됩니다.
  • IPV4, IPV6 및 듀얼 스택을 위한 L2TP LAC(Access Concentrator) 가입자 인터페이스, L2TP(Layer 2 Tunneling Protocol)에 대한 CoS(Class of Support)를 통한 가입자 확장 자격.

    나머지 진술은 별도로 설명됩니다. CLI Explorer 에서 문을 검색하거나 Syntax(구문) 섹션에서 연결된 문을 클릭하여 자세한 내용을 확인합니다.

필요한 권한 수준

admin - 구성에서 이 명령문을 볼 수 있습니다.

admin-control - 구성에 이 명령문을 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 11.2에 소개된 명령문.