컨트롤 플레인 DDoS(Distributed Denial-of-Service) 보호 개요
DoS(서비스 거부) 공격은 네트워크 요소 또는 서버의 모든 리소스를 사용하여 네트워크 또는 서버 리소스에 대한 유효한 사용자 액세스를 거부하려는 모든 시도입니다. 디도스(DDoS) 공격은 여러 소스의 공격을 수반하므로 훨씬 더 많은 양의 트래픽이 네트워크를 공격할 수 있습니다. 이러한 공격은 일반적으로 네트워크 프로토콜 제어 패킷을 사용하여 디바이스의 컨트롤 플레인에 대한 많은 예외를 트리거합니다. 이로 인해 과도한 처리 부하가 발생하여 정상적인 네트워크 운영이 중단됩니다.
단일 디도스(DDoS) 공격 보호 관리 지점을 통해 네트워크 관리자는 네트워크 제어 트래픽에 대한 프로필을 사용자 지정할 수 있습니다. 라우터의 경우, GRES(Graceful Routing Engine Switchover ) 및 통합 ISSU(in-service-software-upgrade) 전환 전반에 걸쳐 보호 및 모니터링이 지속됩니다. 가입자 수가 증가해도 보호는 줄어들지 않습니다.
디도스(DDoS) 공격 위반에 대한 호스트 바운드 트래픽 폴리서
디도스(DDoS) 공격으로부터 컨트롤 플레인을 보호하기 위해 디바이스에는 호스트 바운드 트래픽에 대해 기본적으로 활성화된 폴리서가 있습니다. 필요한 경우 많은 폴리서 기본값을 수정할 수 있습니다. 호스트 바운드 트래픽은 OSPF 및 BGP와 같은 라우팅 프로토콜을 위한 프로토콜 제어 패킷을 포함하여 라우팅 엔진으로 향하는 트래픽입니다. 라우터 IP 주소로 향하는 트래픽도 호스트 바운드 트래픽으로 간주됩니다.
폴리서는 주어진 프로토콜의 모든 제어 트래픽에 대한 속도 제한을 지정하거나, 경우에 따라 프로토콜의 특정 제어 패킷 유형에 대한 속도 제한을 지정합니다. 디바이스, 라우팅 엔진 및 라인 카드 수준에서 패킷 유형 및 프로토콜 그룹에 대한 폴리서 작업을 모니터링할 수 있습니다. 또한 폴리서 이벤트의 로깅을 제어할 수 있습니다.
디바이스는 기본 또는 구성된 폴리서 값을 초과할 때 제어 트래픽을 삭제합니다. DDoS 위반이 발생해도 디바이스는 패킷 처리를 중지하지 않습니다. 그것은 단지 그들의 속도를 제한합니다. 위반이 발생할 때마다 즉시 알림이 생성되어 운영자에게 공격 가능성에 대해 경고합니다. 디바이스는 위반 횟수를 계산하고 위반이 시작된 시간과 마지막으로 관찰된 위반 시간을 기록합니다. 트래픽 속도가 대역폭 위반 임계값 아래로 떨어지면 복구 타이머는 트래픽 흐름이 정상으로 돌아온 것으로 간주되는 시점을 결정합니다. 타이머가 만료되기 전에 더 이상 위반이 발생하지 않으면 디바이스는 위반 상태를 지우고 알림을 생성합니다.
PTX 라우터 및 QFX 시리즈 스위치에서 타이머는 300초로 설정되며 수정할 수 없습니다.
첫 번째 보호 라인은 패킷 전달 엔진(PFE)의 폴리서입니다. 여러 라인 카드가 있는 디바이스에서는 각 라인 카드의 폴리서 상태 및 통계가 라우팅 엔진으로 릴레이되고 집계됩니다. 폴리서 상태는 전환 중에도 유지됩니다. 스위치 오버 중에 라인 카드 통계 및 위반 횟수는 보존되지만 라우팅 엔진 폴리서 통계는 보존되지 않습니다. 라인 카드의 모든 포트에서 도착하는 제어 트래픽은 패킷 전달 엔진에 통합되며, 여기서 폴리싱되어 라우팅 엔진에 도달하기 전에 초과 패킷을 삭제하고 라우팅 엔진이 처리할 수 있는 트래픽 양만 수신하도록 합니다.
이 기능을 지원하는 ACX 시리즈 라우터는 통합 폴리서만 지원하며 라인 카드 수준에서의 폴리싱은 지원하지 않습니다. 라우팅 엔진 수준에서 전역적으로 또는 PFE 칩셋 수준으로 전파되는 특정 프로토콜 그룹에 대한 기본 폴리서 값을 변경할 수 있습니다. 그러나 다른 디바이스에서와 같이 라인 카드 수준에서 추가 확장 매개 변수를 적용할 수 없습니다. 라우팅 엔진 수준에서 전 세계적으로 또는 특정 프로토콜 그룹에 대해 폴리싱을 비활성화할 수 있습니다. 폴리싱을 전역적으로 비활성화하면 디바이스에서 컨트롤 플레인 DDoS 방어가 효과적으로 비활성화됩니다.
QFX10000 시리즈 스위치와 PTX 시리즈 라우터는 PFE 칩셋, 라인 카드 및 라우팅 엔진의 세 가지 수준에서 디도스(DDoS) 공격 보호 제한을 적용합니다.
컨트롤 플레인 DDoS 보호는 이벤트 로깅을 통해 위반 알림을 제공할 뿐만 아니라 폴리서를 모니터링하여 폴리서 구성, 발생한 위반 수, 위반 날짜 및 시간, 패킷 도착률, 수신 또는 삭제된 패킷 수와 같은 정보를 얻을 수 있도록 합니다.
컨트롤 플레인 DDoS 방어 폴리서는 시스템의 트래픽 대기열에서 작동합니다. 스위치의 QFX5100 및 QFX5200 라인은 대기열 수보다 더 많은 프로토콜에 대한 트래픽을 관리하므로 시스템은 종종 둘 이상의 프로토콜을 동일한 대기열에 매핑해야 합니다. 한 프로토콜의 트래픽이 다른 프로토콜과 대기열을 공유하고 디도스(DDoS) 공격 보호 폴리서 제한을 위반하는 경우, 시스템은 어떤 프로토콜의 트래픽이 구체적으로 위반을 일으켰는지 구분하지 못하기 때문에 이러한 디바이스는 매핑된 모든 프로토콜에 대해 해당 대기열에 대한 위반을 보고합니다. 네트워크를 통해 흐르는 트래픽 유형에 대해 알고 있는 정보를 사용하여 보고된 프로토콜 중 실제로 위반을 트리거한 프로토콜을 식별할 수 있습니다.
플랫폼 지원
Junos OS 릴리스 14.2 이상 릴리스에서는 컨트롤 플레인 DDoS 보호가 특정 플랫폼에서 지원됩니다. 일반적으로 다음 플랫폼의 일부 모델에서는 컨트롤 플레인 DDoS 보호가 기본적으로 활성화되어 있으며 기본 폴리서 매개 변수를 변경할 수 있는 구성 옵션을 지원합니다.
ACX 시리즈 라우터.
EX9200 스위치.
MPC만 설치된 MX 시리즈 라우터.
MPC가 내장된 MX 시리즈 라우터.
메모:단순성을 위해 텍스트가 라인 카드 또는 라인 카드 폴리서를 언급하는 경우, 이러한 라우터의 경우 이는 내장 MPC를 의미합니다.
이러한 라우터에는 FPC 슬롯이 없기 때문에 명령별로
show
필드에 표시되는FPC
정보는 실제로 TFEB를 참조합니다.PE 기반 FPC(PTX3000, PTX5000, PTX1000 및 PTX10000)만 설치된 PTX 시리즈 라우터는 Junos OS 릴리스 17.4R1부터 컨트롤 플레인 DDoS 보호를 지원합니다.
PTX10002 라우터는 Junos OS 릴리스 18.2R1부터 컨트롤 플레인 디도스(DDoS) 공격 보호를 지원합니다.
PTX10003 라우터는 Junos OS Evolved 릴리스 19.3R1부터 컨트롤 플레인 DDoS 보호를 지원합니다.
PTX10004 라우터는 Junos OS Evolved 릴리스 20.3R1부터 컨트롤 플레인 DDoS 보호를 지원합니다.
PTX10008 라우터는 Junos OS Evolved 릴리스 20.1R1부터 컨트롤 플레인 DDoS 보호를 지원합니다.
QFX5100 라인, QFX5200 라인 및 QFX10000 라인 스위치를 포함한 QFX 시리즈 스위치.
QFX10002-60C 스위치는 Junos OS 릴리스 18.1R1부터 컨트롤 플레인 디도스(DDoS) 공격 보호를 지원합니다.
Type 5 FPC만 설치된 T4000 라우터
Junos Evolved 플랫폼에서는 디도스(DDoS) 공격 보호가 프로토콜 패밀리에서 각각 작동하려면 디바이스의 lo0 인터페이스에서 및/또는
inet6
프로토콜 패밀리를 구성해야inet
합니다.일부 EX 시리즈 스위치에는 컨트롤 플레인 DDoS 보호 기능이 있을 수 있지만 기본 폴리서 매개 변수를 표시하거나 변경하는 CLI 옵션은 지원하지 않습니다.
MPC(MX 시리즈), Type 5 FPC(T4000) 또는 PE 기반 FPC(PTX3000, PTX5000, PTX1000 및 PTX10000) 외에 다른 라인 카드가 있는 라우터 플랫폼의 경우 CLI는 구성을 수락하지만 다른 라인 카드는 보호되지 않으므로 라우터가 보호되지 않습니다.
향상된 가입자 관리를 위한 컨트롤 플레인 DDoS 보호 지원이 라우팅 플랫폼의 Junos OS 릴리스 17.3R1에 추가되었습니다.
지원되는 프로토콜 그룹 및 패킷 유형에 대해 기본적으로 구성된 컨트롤 플레인 DDoS 보호 매개 변수를 변경하기 위해 ACX 시리즈 라우터, PTX 시리즈 라우터 및 QFX 시리즈 스위치를 지원하는 경우 MX 시리즈 및 T4000 라우터에서 사용할 수 있는 옵션과 크게 다른 CLI 구성 옵션을 갖습니다. 다른 디바이스에서 사용 가능한 구성 옵션에 대해서는 다음 구성 문을 참조하십시오.
PTX 시리즈 라우터를 제외한 라우팅 디바이스의 경우 프로토콜(DDoS)을 참조하십시오.
ACX 시리즈 라우터, PTX 시리즈 라우터 및 QFX 시리즈 스위치의 경우 프로토콜(DDoS)(ACX 시리즈, PTX 시리즈 및 QFX 시리즈)을 참조하십시오.
폴리서 유형 및 패킷 우선순위
컨트롤 플레인 DDoS 보호에는 두 가지 유형의 폴리서가 포함됩니다.
통합 폴리서는 프로토콜 그룹에 속하는 전체 패킷 유형 집합에 적용됩니다. 예를 들어, 모든 PPPoE 제어 패킷 유형 또는 모든 DHCPv4 제어 패킷 유형에 적용되는 집계 폴리서를 구성할 수 있습니다. 대역폭(초당 패킷[pps]) 및 버스트(버스트 내 패킷) 제한을 지정하고, 대역폭 및 버스트 제한을 확장하고, 집계 폴리서에 대한 트래픽 우선 순위를 설정할 수 있습니다. 통합 폴리서는 모든 프로토콜 그룹에서 지원됩니다.
패킷 유형 폴리서라고도 하는 개별 폴리서는 프로토콜 그룹 내의 각 제어 패킷 유형에 할당됩니다. 예를 들어, 하나 이상의 유형의 PPPoE 제어 패킷, RADIUS 제어 패킷 또는 멀티캐스트 스누핑 패킷에 대해 폴리서를 구성할 수 있습니다. 대역폭(pps) 및 버스트(패킷) 제한 값을 지정하고, 대역폭 및 버스트 제한을 확장하고, 패킷 유형 폴리서에 대한 트래픽 우선 순위를 설정할 수 있습니다. 개별 폴리서는 일부 프로토콜 그룹에 사용할 수 있습니다.
프로토콜 그룹 및 패킷 유형 지원은 플랫폼과 Junos OS 릴리스에 따라 다음과 같이 다양합니다.
PTX 시리즈 라우터를 제외한 라우팅 디바이스의 경우 프로토콜(DDoS)을 참조하십시오.
ACX 시리즈 라우터, PTX 시리즈 라우터 및 QFX 시리즈 스위치의 경우 프로토콜(DDoS)(ACX 시리즈, PTX 시리즈 및 QFX 시리즈)을 참조하십시오.
제어 패킷은 먼저 개별 폴리서(지원되는 경우)에 의해 폴리싱된 다음 집계 폴리서에 의해 폴리싱됩니다. 개별 폴리서가 삭제한 패킷은 집계 폴리서에 도달하지 않습니다. 개별 폴리서를 통과하는 패킷은 이후 통합 폴리서에 의해 삭제될 수 있습니다.
ACX 시리즈 라우터는 지원되는 프로토콜 그룹에 대해 어그리게이션 폴리서만 지원합니다.
프로토콜 그룹 내의 패킷 유형은 구성 가능한 기본 우선 순위(낮음, 중간 또는 높음)를 갖습니다. 각 제어 패킷은 프로토콜 그룹의 각 패킷 유형에 대해 구성된 우선 순위에 따라 통합 폴리서가 부과하는 패킷 속도 제한 내에서 대역폭을 놓고 다른 패킷과 경쟁합니다.
우선 순위 메커니즘은 절대적입니다. 우선 순위가 높은 트래픽은 중간 우선 순위 및 낮은 우선 순위 트래픽보다 대역폭을 얻습니다. 중간 우선 순위 트래픽은 우선 순위가 낮은 트래픽보다 대역폭을 얻습니다. 우선 순위가 낮은 트래픽은 우선 순위가 높고 중간 우선 순위의 트래픽이 남긴 대역폭만 사용할 수 있습니다. 높은 우선 순위 트래픽이 모든 대역폭을 차지하는 경우 우선 순위가 낮은 트래픽은 모두 삭제됩니다.
Junos OS 릴리스 23.2R1 이전 릴리스에서는 MX 시리즈 디바이스에서 디바이스의 라인 카드 유형에 따라 수신 프로토콜의 DDoS(Distributed Denial of Service) 우선 순위가 결정됩니다. Junos OS 릴리스 23.2R1부터 디바이스는 디도스(DDoS) 공격 파라미터 테이블을 기반으로 프로토콜의 디도스(DDoS) 공격 우선순위를 결정합니다. 이러한 향상된 기능을 통해 디바이스는 디바이스의 라인 카드에 관계없이 기본적으로 특정 프로토콜의 모든 패킷을 동일하게 취급할 수 있습니다. CLI를 사용하여 디도스(DDoS) 공격 파라미터 테이블을 수정할 수 있습니다. 이 기능은 네트워크의 디바이스가 디도스(DDoS) 공격으로부터 보호하기 위해 프로토콜의 우선순위를 지정하는 방식의 일관성을 개선합니다.
폴리서 우선 순위 동작의 예
예를 들어, PPPoE 프로토콜 그룹에 대한 컨트롤 플레인 DDoS 보호를 지원하는 디바이스에서는 이 프로토콜 그룹 내에서 패킷 유형을 구성하는 방법을 고려합니다. 이 예에서 다른 PPPoE 패킷 유형을 무시하고, PADI 및 PADT 패킷에 대한 개별 폴리서와 모든 패킷에 대한 PPPoE 집계 폴리서를 구성한다고 가정합니다. PADT 패킷을 사용하면 PPPoE 어플리케이션이 새로운 연결을 수락하기 위해 리소스를 해제할 수 있기 때문에 PADI 패킷보다 PADT 패킷을 우선시합니다. 따라서, PADT 패킷에 높은 우선 순위를 할당하고 PADI 패킷에 낮은 우선 순위를 할당합니다.
통합 폴리서는 프로토콜 그룹에 대한 총 패킷 속도 제한을 부과합니다. PADT 패킷이 더 높은 우선 순위를 가지므로, 개별 폴리서에 의해 전달된 PADT 패킷은 개별 폴리서에 의해 전달된 PADI 패킷보다 먼저 해당 대역폭에 액세스할 수 있습니다. 너무 많은 PADT 패킷이 전달되어 사용 가능한 모든 대역폭을 사용하면, 집계 폴리서에 남아 있는 대역폭이 없기 때문에 모든 PADI 패킷이 삭제됩니다.
폴리서 계층 예시
컨트롤 플레인 DDoS 폴리서는 프로토콜 제어 트래픽의 계층적 흐름에 맞게 구성됩니다. 라인 카드의 모든 포트에서 도착하는 제어 트래픽은 패킷 전달 엔진에 통합됩니다. 라우터의 모든 라인 카드의 제어 트래픽은 라우팅 엔진에 통합됩니다. 마찬가지로, 디도스(DDoS) 공격 폴리서는 제어 경로를 따라 계층적으로 배치되므로 초과 패킷은 경로에서 가능한 한 빨리 삭제됩니다. 이 설계는 라우팅 엔진이 처리할 수 있는 트래픽 양만 수신할 수 있도록 과도한 악성 트래픽을 제거하여 시스템 리소스를 보존합니다.
예를 들어, MX 시리즈 라우터에서 이 설계를 구현하기 위해 패킷 전달 엔진(칩셋)에 1개, 라인 카드에 2개, 라우팅 엔진에 2개 등 5개의 디도스(DDoS) 폴리서가 있습니다. 통합 폴리서는 일부 프로토콜 그룹의 패킷 전달 엔진에도 존재하며, 총 6개의 폴리서가 있습니다. 단순화를 위해 텍스트는 일반적인 경우를 따릅니다. 예를 들어, 그림 1 은 PPPoE 트래픽에 대한 폴리서 프로세스를 보여줍니다. 그림 2 는 DHCPv4 트래픽에 대한 폴리서 프로세스를 보여줍니다. (DHCPv6 트래픽에도 동일한 프로세스가 적용됩니다.)
PTX 시리즈 라우터와 QFX 시리즈 스위치는 패킷 전달 엔진에만 폴리서가 있는 더 단순한 설계를 가지고 있습니다. PTX10003 및 PTX10008 라우터는 패킷 전달 엔진 칩셋 및 라인 카드 수준에서 2개, 라우팅 엔진 수준에서 1개, 총 3개 수준에서 컨트롤 플레인 DDoS 보호 제한을 적용합니다. 그러나 패킷 유형 및 집계 폴리서는 이러한 모든 플랫폼에서 유사하게 작동합니다.
제어 패킷은 처리 및 전달을 위해 패킷 전달 엔진에 도착합니다. 첫 번째 폴리서(1)는 개별 폴리서(그림 1) 또는 통합 폴리서(그림 2)입니다.
첫 번째 폴리서는 두 가지 예외를 제외하고 개별 폴리서를 지원하는 프로토콜 그룹에 대한 개별 폴리서입니다. DHCPv4 및 DHCPv6 트래픽의 경우 첫 번째 폴리서는 집계 폴리서입니다.
첫 번째 폴리서는 통합 폴리서만 지원하는 프로토콜 그룹을 위한 통합 폴리서입니다.
첫 번째 폴리서를 통과하는 트래픽은 라인 카드 폴리서 중 하나 또는 둘 다에 의해 모니터링됩니다. 카드에 두 개 이상의 패킷 전달 엔진이 있는 경우 모든 패킷 전달 엔진의 트래픽이 라인 카드 폴리서에 수렴됩니다.
트래픽이 개별 폴리서를 지원하는 프로토콜 그룹에 속하면 라인 카드 개별 폴리서(2)를 통과한 다음 라인 카드 집계 폴리서(3)를 통과합니다. 개별 폴리서를 통과하는 트래픽은 통합 폴리서에 의해 삭제될 수 있습니다. DHCPv4 및 DHCPv6 트래픽은 패킷 전달 엔진의 통합 폴리서에 의해 모니터링되었지만, 라인 카드에서는 개별 폴리서를 지원하는 다른 프로토콜처럼 처리됩니다.
트래픽이 통합 폴리서만 지원하는 프로토콜 그룹에 속할 경우, 라인 카드 통합 폴리서만 트래픽을 모니터링합니다.
라인 카드 폴리서를 통과하는 트래픽은 라우팅 엔진 폴리서 중 하나 또는 둘 다에 의해 모니터링됩니다. 모든 라인 카드의 트래픽은 라우팅 엔진 폴리서에 수렴됩니다.
트래픽이 개별 폴리서를 지원하는 프로토콜 그룹에 속하면 라우팅 엔진 개별 폴리서(4)를 통과한 다음 라우팅 엔진 통합 폴리서(5)를 통과합니다. 개별 폴리서를 통과하는 트래픽은 통합 폴리서에 의해 삭제될 수 있습니다. 라인 카드 수준에서와 마찬가지로 라우팅 엔진의 DHCPv4 및 DHCPv6 트래픽은 개별 폴리서를 지원하는 다른 프로토콜처럼 처리됩니다.
트래픽이 통합 폴리서만 지원하는 프로토콜 그룹에 속할 경우, 통합 폴리서만 트래픽을 모니터링합니다.
이 설계에서는 3개의 폴리서가 통합 폴리서만 지원하는 프로토콜 그룹에 대한 트래픽을 평가합니다. 여기에는 ANCP, 동적 VLAN, FTP 및 IGMP 트래픽이 포함됩니다. 통합 폴리서와 개별 폴리서를 모두 지원하는 프로토콜 그룹의 트래픽은 5개의 폴리서 모두에 의해 평가됩니다. 여기에는 DHCPv4, MLP, PPP, PPPoE 및 Virtual Chassis 트래픽이 포함됩니다.
그림 1 은 컨트롤 플레인 DDoS 보호가 PPPoE 제어 패킷을 어떻게 폴리싱하는지 보여줍니다.
예를 들어, PADR 패킷은 패킷 전달 엔진의 첫 번째 폴리서에서 평가되어 패킷 속도 제한 내에 있는지 여부를 결정합니다. 한도를 초과하는 PADR 패킷은 삭제됩니다.
라인 카드의 모든 패킷 포워딩 엔진에서 폴리서를 통과하는 모든 PADR 패킷은 다음으로 라인 카드 개별 폴리서에 의해 평가됩니다. 한도를 초과하는 PADR 패킷은 삭제됩니다.
라인 카드 개별 폴리서를 통과하는 모든 PADR 패킷은 라인 카드 집계 폴리서로 진행됩니다. 한도를 초과하는 PADR 패킷은 삭제됩니다.
라우터의 모든 라인 카드에서 라인 카드 집계 폴리서에 의해 전달되는 모든 PADR 패킷은 라우팅 엔진 개별 폴리서로 진행됩니다. 한도를 초과하는 PADR 패킷은 삭제됩니다.
마지막으로, 라우팅 엔진 개별 폴리서에 의해 전달되는 모든 PADR 패킷은 라우팅 엔진 통합 폴리서로 진행됩니다. 한도를 초과하는 PADR 패킷은 삭제됩니다. 여기서 삭제되지 않은 PADR 패킷은 안전한 일반 트래픽으로 전달됩니다.
기본적으로 세 개의 개별 폴리서(패킷 전달 엔진, 라인 카드 및 라우팅 엔진)는 모두 주어진 패킷 유형에 대해 동일한 패킷 속도 제한을 갖습니다. 이 설계에서는 다른 패킷 전달 엔진 또는 라인 카드와 동일한 유형의 경쟁 트래픽이 없는 한 패킷 전달 엔진 및 라인 카드의 모든 제어 트래픽이 라우팅 엔진에 도달할 수 있습니다. 경쟁 트래픽이 존재할 경우, 초과 패킷은 컨버전스 포인트에서 삭제됩니다. 즉, 모든 경쟁 패킷 전달 엔진의 라인 카드와 모든 경쟁 라인 카드의 라우팅 엔진에서 삭제됩니다.
패킷 속도를 제한하는 폴리서 동작의 예
예를 들어, PADI 패킷에 대한 폴리서 bandwidth
옵션을 초당 1000 패킷으로 설정한다고 가정해 봅시다. 이 값은 패킷 전달 엔진, 라인 카드 및 라우팅 엔진의 개별 PADI 폴리서에게 적용됩니다. 슬롯 5의 카드만 PADI 패킷을 수신하는 경우, 최대 1000개의 PADI pps가 라우팅 엔진에 도달할 수 있습니다 (PPPoE 집계 폴리서가 초과되지 않은 경우). 그러나 슬롯 9의 카드도 1000pps에서 PADI 패킷을 수신하고 있으며 PPPoE 집계 폴리서를 초과하지 않는다고 가정합니다. 트래픽은 두 라인 카드에서 개별 및 집계 폴리서를 통과하고 라우팅 엔진으로 진행합니다. 라우팅 엔진에서 결합된 패킷 속도는 2000pps입니다. 라우팅 엔진의 PADI 폴리서는 1000 PADI pps만 통과하도록 허용하기 때문에, 초과 1000 패킷을 삭제합니다. 대역폭(pps) 제한을 초과하는 한 초과 패킷을 계속 삭제합니다.
라인 카드에서 대역폭(pps) 제한과 버스트(버스트의 패킷) 제한 모두에 대해 배율 인수를 적용하여 각 슬롯의 트래픽 제한을 미세 조정할 수 있습니다. 예를 들어, 개별 폴리서가 PADI 패킷 속도를 1000pps로 설정하고 버스트 크기를 50,000 패킷으로 설정한다고 가정해 봅시다. 슬롯 번호와 스케일링 팩터를 지정함으로써 모든 라인 카드의 PADI 패킷에 대한 트래픽 제한을 줄일 수 있습니다. 슬롯 5에 대한 대역폭 확장 계수 20은 이 예에서 트래픽을 1000pps의 20% 또는 해당 슬롯의 라인 카드에 대한 200pps로 줄입니다. 마찬가지로, 해당 슬롯에 대한 버스트 배율 인수가 50이면 버스트 크기가 25,000개 패킷으로 50% 감소합니다. 기본적으로 배율 인수는 100으로 설정되므로 트래픽은 속도 제한의 100%로 통과할 수 있습니다.
컨트롤 플레인 DDoS 방어와 가입자 로그인 패킷 과부하 보호 비교
컨트롤 플레인 DDoS 보호 기능 외에도 MX 시리즈 라우터에는 가입자 로그인 과부하 보호 메커니즘이 내장되어 있습니다. 로그인 오버로드 보호 메커니즘(로드 스로틀 메커니즘이라고도 함)은 들어오는 가입자 로그인 패킷을 모니터링하고 시스템의 일반적인 부하에 따라 시스템이 처리할 수 있는 것만 허용합니다. 시스템이 처리할 수 있는 범위를 초과하는 패킷은 폐기됩니다. 이러한 초과 부하를 제거함으로써 시스템은 최적의 성능을 유지하고 과부하 조건에서 로그인 완료율의 저하를 방지할 수 있습니다. 이 메커니즘은 최소한의 리소스를 사용하며 기본적으로 사용하도록 설정됩니다. 사용자 구성은 필요하지 않습니다.
이 메커니즘이 제공하는 보호는 컨트롤 플레인 DDoS 방어가 높은 비율의 패킷에 대한 첫 번째 방어 수준으로 제공하는 것에 비하면 부차적인 것입니다. 컨트롤 플레인 DDoS 보호는 패킷 전달 엔진에서 작동하며 모든 프로토콜의 모든 패킷 유형으로부터 보호합니다. 대조적으로, 로그인 과부하 보호 메커니즘은 라우팅 엔진에 있으며 특히 DHCPv4 DHCPDISCOVER, DHCPv6 SOLICIT 및 PPPoE PADI 패킷과 같은 수신 연결 시작 패킷에서만 작동합니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.