protocols (DDoS) (ACX Series, PTX Series, and QFX Series)
구문(ACX 시리즈 라우터)
protocols protocol-group aggregate { bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; }
구문(PTX 시리즈 라우터 및 QFX 시리즈 스위치)
protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; }
구문(Junos OS Evolved의 경우 PTX 시리즈 및 ACX7100-48L)
protocols{ arp; bfd; bfdv6; bgp; custom; sample; dhcpv4; dhcpv6; dhcpv4v6; l2tp; ppp; pppoe; }
계층 수준
[edit system ddos-protection]
설명
프로토콜 그룹 내의 모든 패킷 유형 또는 프로토콜 그룹 내의 특정 패킷 유형에 대한 기본 구성 가능한 컨트롤 플레인 DDoS 보호 폴리서 매개 변수를 변경합니다.
라우터PTX10003 통합 또는 개별 패킷 유형 폴리서에 대한 기본 우선 순위 값을 변경하는 옵션을 지원하지 priority
않습니다. QFX10002-60C 스위치 및 PTX 시리즈 라우터는 옵션을 bypass-aggregate
지원하지 않습니다.
대역폭이라는 용어는 일반적으로 초당 비트 수(bps)를 의미하지만, 이 기능의 옵션은 초당 패킷( bandwidth
pps) 값을 burst
나타내고 옵션은 버스트의 패킷 수를 나타냅니다. 이러한 옵션은 별도로 설명되어 있습니다.
표 1 또는 표 2에 나열된 모든 프로토콜 그룹 및 패킷 유형이 모든 디바이스에서 지원되는 것은 아닙니다. 예외는 다음과 같습니다.
ACX 시리즈 라우터는 다음 프로토콜 그룹 옵션만 지원합니다:
arp
,bfd
,bfdv6
,dhcpv4v6
bgp
igmp
eoam
esmc
(ipmcast-miss
알 수 없는 멀티캐스트 패킷), ,pvstp
rip
pim
rsvp
stp
lacp
lldp
vrrp
ldp
ndpv6
oam-lfm
ospf
isis
PTX10003 및 PTX10008 라우터는 폴리서 프로토콜 그룹 옵션
all-fiber-channel-enode
인 ,bridge-control
, ,diameter
garp-reply
,radius
l2pt
ptp
를tacacs
지원하지 않습니다.다른 PTX 시리즈 라우터는 다음과 같은 폴리서 프로토콜 그룹 옵션을 지원하지 않습니다:
all-fiber-channel-enode
, (단,arp
프로토콜 그룹은 지원됨),bridge-control
, ,pvstp
martian-address
stp
garp-reply
proto-802-1x
ptp
radius
diameter
tacacs
QFX10002-60C 스위치는 다음과 같은 폴리서 프로토콜 그룹 옵션을 지원하지 않습니다:
all-fiber-channel-enode
, (단,arp
프로토콜 그룹은 지원됨),bridge-control
,diameter
,garp-reply
,ptp
martian-address
proto-802-1x
radius
, , 및tacacs
QFX10002, QFX10008 및 QFX10016 스위치는 프로토콜 그룹 옵션을 지원하지
ttl
않습니다.
옵션
aggregate |
지정된 프로토콜에 속하는 모든 제어 패킷을 하나의 결합된 그룹으로 폴리싱하는 폴리서에 대한 매개 변수를 구성합니다. 모든 프로토콜 그룹에 대해 통합 폴리서가 존재합니다.
참고:
ACX 시리즈 라우터는 지원되는 프로토콜 그룹에 대한 통합 폴리서만 지원합니다. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
packet-type |
프로토콜 그룹 내에서 지정된 개별 제어 패킷 유형에 대한 폴리서 값을 구성합니다. 일부 디바이스에서는 표 1에 나열된 프로토콜 그룹에서 packet-type 폴리서를 구성할 수 있습니다. 표 1에 나열되지 않은 다른 모든 프로토콜 그룹의 경우, 통합 폴리서만 사용할 수 있습니다. 표 1 에는 일부 디바이스에서 사용할 수 있는 패킷 유형 폴리서가 있는 프로토콜 그룹과 기본 구성 매개 변수에 대한 공통 값이 나와 있습니다. 기본값은 지원 디바이스와 Junos OS 릴리스에 따라 다를 수 있습니다. 구성 가능한 값을 수정하기 전에 또는 표 1의 각 프로토콜 그룹은 통합 폴리서도 지원합니다. 모든 프로토콜 그룹에 대한 기본 집계 폴리서 값은 표 2를 참조하십시오.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol-group |
지정된 프로토콜 그룹에 대한 폴리서 값을 구성합니다. 표 2에 나열된 다음 프로토콜 그룹 중 하나에 대해 통합 폴리서를 구성할 수 있습니다. 이 표에는 각 프로토콜 그룹에 대한 통합 폴리서 기본 구성 매개 변수가 나와 있습니다. 기본값은 지원 디바이스와 Junos OS 릴리스에 따라 다를 수 있습니다. 구성 가능한 값을 수정하기 전에 또는 |
프로토콜 그룹 |
설명 |
기본 대역폭(pps) |
기본 버스트(패킷 수) |
---|---|---|---|
기본 대역폭 및 버스트 값은 플랫폼 유형 및 기본 DDoS 인프라 설정에 따라 다릅니다. |
|||
|
파이버 채널 ENode 트래픽 |
10 |
1024 또는 2048 |
(다른 플랫폼은 또는 |
ARP 트래픽
참고:
일부 플랫폼에서는 |
1000, 2000 또는 10000 |
512, 1024, 2000 또는 2048 |
|
단일 홉 BFD 트래픽 |
1000, 6200, 10000, 20000 또는 250000 |
512, 2048 또는 20000 |
|
BFDv6 트래픽 |
512, 3000, 10000, 20000 또는 250000 |
512, 2048 또는 20000 |
|
BGP 트래픽 |
1200, 1500, 3000, 5000, 10000, 20000 또는 250000 |
512, 2048, 4096 또는 20000 |
|
브리지 제어 트래픽 |
10 |
2048 |
(PTX10003 및 PTX10008 라우터만 해당) |
모든 DHCPv4 트래픽에 대한 집계(우선 순위 중간)
참고:
PTX10003 및 PTX10008 라우터에서 PFE 라인 카드 및 RE 수준에서 속도를 제한하기 위해 이 옵션을 사용합니다. PFE 칩 수준에서 속도 제한을 위해 집계 옵션을 |
5000 |
5000 |
(PTX10003 및 PTX10008 라우터만 해당) |
모든 DHCPv6 트래픽에 대한 집계(낮은 우선 순위)
참고:
PTX10003 및 PTX10008 라우터에서 PFE 라인 카드 및 RE 수준에서 속도를 제한하기 위해 이 옵션을 사용합니다. PFE 칩 수준에서 속도 제한을 위해 집계 옵션을 |
5000 |
5000 |
|
DHCPv4 및 DHCPv6 트래픽(결합된 트래픽에 제한이 적용됨)
참고:
PTX10003 및 PTX10008 라우터에서는 PFE 칩 수준에서만 속도를 제한하기 위해 이 집계 옵션을 사용합니다(우선 순위는 낮음). |
600 또는 5000 |
512, 2048 또는 5000 |
|
Diameter 및 Gx-Plus 트래픽 |
200 |
2048 |
|
DNS 트래픽 |
200 |
200 또는 2048 |
|
DTCP 트래픽 |
200 |
200 또는 2048 |
|
EGPv6 트래픽 |
10 |
10 또는 2048 |
|
이더넷 OAM 트래픽
참고:
PTX10003 및 PTX10008 라우터에서 어그리게이션 |
1000, 6200 또는 100000 |
102, 512, 2048 또는 10000 |
|
ESMC 트래픽 |
200 |
512 |
|
TCC 캡슐화 이더넷 트래픽
참고:
|
100 |
100 또는 2048 |
|
|
100 |
2048 |
|
FTP 트래픽 |
500 또는 1500 |
1500 또는 2048 |
|
Gratuitous ARP 응답 트래픽 |
100 |
2048 |
|
GRE 트래픽 |
500 |
500 또는 2048 |
|
ICMP 트래픽 |
500, 1000 또는 20000 |
500, 2048 또는 20000 |
|
IGMPv4 및 IGMPv6 트래픽
참고:
PTX 시리즈 및 QFX10002-60C 디바이스에서 IGMPv4 트래픽에만 |
1000, 1600, 5000 또는 90000 |
512, 2048 또는 5000 |
|
IGMPv6 트래픽 |
20000 또는 90000 |
2048 또는 5000 |
|
IP 패킷 헤더 옵션이 있는 IP 트래픽 |
100 |
100 또는 2048 |
(ACX 시리즈만 해당) |
알 수 없는 IPv4 및 IPv6 멀티캐스트 패킷 |
600 |
512 |
|
IS-IS 트래픽 |
1000, 1200, 5000 또는 20000 |
512, 2048, 4096 또는 20000 |
isis-data |
ISIS-데이터 트래픽 |
5000, 8000 또는 10000 |
4096 또는 8000 |
isis-hello |
ISIS-Hello 트래픽 |
1000, 5000 또는 12000 |
4096 또는 12000 |
|
TCC 캡슐화 ISO 트래픽
참고:
|
100 |
100 또는 2048 |
|
레이어 2 프로토콜 터널링 트래픽 |
500 |
2048 |
|
레이어 2 터널링 프로토콜 트래픽 |
500 |
500 또는 2048 |
|
LACP 트래픽 |
800, 1000 또는 2000 |
512, 300, 2000 또는 2048 |
|
LDP 트래픽 |
1200, 5000, 10000 또는 20000 |
200, 512, 2048 또는 20000 |
|
LDP Hello 패킷
참고:
다음 디바이스에는 패킷 유형 폴리서가
|
1000 또는 5000 |
2048 또는 5000 |
|
LLDP 트래픽 |
100, 800 또는 2000 |
300, 512, 2000 또는 2048 |
|
LMP 트래픽 |
100 |
100 또는 2048 |
|
화성 주소 |
200 |
20 |
|
멀티캐스트 스누핑을 위한 트래픽 제어 |
5000, 20000 또는 22000 |
2048, 6000 또는 20000 |
|
MLD 트래픽
참고:
|
1000 |
2048 |
|
MSDP 트래픽 |
20000 |
20000 |
|
멀티홉 BFD 트래픽
참고:
|
1500 |
2048 |
|
NDPv6 트래픽 |
100, 1000 또는 2000 |
512, 1024 또는 2000 |
|
NTP 트래픽 |
20000 |
20000 |
|
OAM CFM 트래픽
참고:
|
200 |
2048 |
|
OAM LFM 트래픽 |
200, 800, 1000 또는 20000 |
512, 1000, 2048 또는 20000 |
|
OSPF 트래픽 |
1200, 5000, 10000 또는 20000 |
200, 512, 2048, 4096 또는 20000 |
|
OSPF Hello 패킷 |
1000, 1500 또는 10000 |
2048, 4096 또는 20000 |
(ACX 시리즈만 해당) |
PIM IPv4 및 IPv6 패킷 |
1600 |
512 |
|
PIM 제어 패킷 |
1000 또는 1500 |
200 또는 2048 |
|
PIM 데이터 |
2000 또는 3000 |
1024 또는 2048 |
|
802.1X 트래픽 |
200 |
200 또는 2048 |
|
PTP 트래픽 |
100 |
2048 |
|
PVSTP 트래픽 |
800, 2000 또는 20000 |
512, 2048 또는 20000 |
|
RADIUS 트래픽 |
200 |
2048 |
|
다음 홉 전달 결정에 의해 거부된 패킷 |
100, 200 또는 2000 |
200, 2000 또는 2048 |
|
분류되지 않은 IPv4 및 IPv6은 트래픽 요청 해결 작업으로 인해 호스트로 전송된 패킷을 해결합니다. |
100, 500 또는 5000 |
100, 2048 또는 5000 |
|
RIP 트래픽 |
200, 1200 또는 20000 |
200, 512, 2048 또는 20000 |
|
RSVP 트래픽 |
1200, 5000, 10000 또는 20000 |
512, 2048, 10000 또는 20000 |
|
SNMP 트래픽 |
1000 또는 20000 |
1024, 2048 또는 20000 |
|
SSH 트래픽 |
5000 또는 20000 |
500, 2048 또는 20000 |
|
STP 트래픽 |
800 또는 20000 |
512, 2048 또는 20000 |
|
TACACS+ 트래픽 |
200 |
2048 |
|
과도기적 교차 연결 캡슐화된 트래픽 |
100 또는 200 |
200, 1024 또는 2048 |
|
텔넷 트래픽 |
5000 또는 20000 |
500, 2048 또는 20000 |
|
TTL(Time to Live) 패킷 |
100 또는 2000 |
2048 |
|
사용 가능한 다른 프로토콜 그룹 중 하나로 분류할 수 없는 트래픽 |
100 또는 10000 |
2048 또는 10000 |
|
VRRP 트래픽 |
512, 1000, 2000 또는 20000 |
512, 1000, 2048 또는 20000 |
|
VXLAN 레이어 2 및 레이어 3 패킷 |
300 |
10 |
프로토콜 그룹 |
설명 |
---|---|
|
ARP 트래픽 구성 |
|
BFD 트래픽 구성 |
|
BFDv6 트래픽 |
|
BGP 트래픽 구성 |
|
CUSTOM 트래픽 구성 |
sample |
샘플링 트래픽 구성 |
|
DHCPv4 트래픽 구성 |
|
DHCPv6 트래픽 구성 |
dhcpv4v6 |
DHCPv4/v6 트래픽 구성 |
|
L2TP 트래픽을 구성합니다. |
|
PPP 트래픽을 구성합니다. |
|
PPPoE 트래픽을 구성합니다. |
Junos OS Evolved 릴리스 23.1R1부터 QFX5220, QFX5130 및 QFX5700 시리즈 디바이스의 기본 DDoS localnh aggregate bandwidth
값은 1500pps입니다. Junos OS Evolved 릴리스 23.1R1 이전에는 [set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200
] CLI 명령을 사용하여 대역폭 값을 구성할 수 있었습니다. 이 구성을 사용하면 로컬 IP 트래픽이 많은 동안 LAG 인터페이스 다운타임을 방지할 수 있습니다.
Junos OS 릴리스 23.3R1부터 QFX 시리즈 디바이스에 [edit ddos-protection protocols
] 계층 수준의 프로토콜 지원이 추가되었습니다ip-option
.
- DHCP (IP-DEMUX lite) 및 PPPoE 가입자 (IPv4, IPV6 및 듀얼 스택) 및 CoS 합법적 인터셉트 및 필터 지원.
- BBE 프로토콜에 대한 L2TP(LAC) DDOS 폴리서 구성이 포함된 DVLAN(단일 및 이중 태그). 개별 BBE 프로토콜 및 DDOS 프로토콜 그룹 구성이 활성화됩니다.
프로토콜 그룹 DHCPv6, L2TP, PPP 및 PPPoE 지원
- 통합 DDOS 프로토콜 그룹
dhcpv4v6
만 활성화됩니다. - IPV4, IPV6 및 듀얼 스택을 위한 L2TP LAC(Access Concentrator) 가입자 인터페이스, L2TP(Layer 2 Tunneling Protocol)에 대한 CoS(Class of Support)를 통한 가입자 확장 자격.
나머지 진술은 별도로 설명됩니다. CLI Explorer 에서 문을 검색하거나 Syntax(구문) 섹션에서 연결된 문을 클릭하여 자세한 내용을 확인합니다.
필요한 권한 수준
admin - 구성에서 이 명령문을 볼 수 있습니다.
admin-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 11.2에 소개된 명령문.