Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: QFX 시리즈 스위치에서 컨트롤 플레인 DDoS 보호 구성

이 예에서는 스위치가 신속하게 공격을 식별하고 악의적인 제어 패킷의 홍수로 인해 시스템 리소스가 고갈되는 것을 방지할 수 있도록 컨트롤 플레인 DDoS 보호를 구성하는 방법을 보여줍니다.

요구 사항

컨트롤 플레인 DDoS 방어에는 다음과 같은 하드웨어 및 소프트웨어가 필요합니다.

  • 컨트롤 플레인 DDoS 보호를 지원하는 QFX 시리즈 스위치

  • Junos OS 릴리스 15.1X53-D10 이상

이 기능을 구성하기 위해 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

디도스(DDoS) 공격은 여러 소스를 사용하여 프로토콜 제어 패킷으로 네트워크를 플러딩합니다. 이 악의적인 트래픽은 네트워크에서 많은 수의 예외를 트리거하고 시스템 리소스를 고갈시켜 네트워크 또는 서버에 대한 유효한 사용자 액세스를 거부하려고 시도합니다.

컨트롤 플레인 DDoS 보호는 지원되는 QFX 시리즈 스위치에서 기본적으로 활성화됩니다. 이 예에서는 스위치가 부정적인 영향을 받기 전에 초과 제어 트래픽을 식별하고 패킷을 삭제하는 속도 제한 폴리서의 기본 구성을 수정하는 방법을 설명합니다. 샘플 작업에는 프로토콜 그룹에 대한 통합 폴리서 구성, 프로토콜 그룹 내 특정 제어 패킷 유형에 대한 폴리서 구성, 컨트롤 플레인 DDoS 보호 작업에 대한 추적 옵션 지정이 포함됩니다.

이 예는 프로토콜 그룹 및 RADIUS accounting 패킷 유형에 대한 radius 기본 폴리서 매개 변수 및 동작을 변경하는 방법을 보여줍니다. 동일한 명령을 사용하여 지원되는 다른 프로토콜 그룹 및 패킷 유형에 대한 폴리서 제한을 변경할 수 있습니다. 사용 가능한 모든 구성 옵션은 계층 수준에서 [edit system] ddos-protection 구성 문을 참조하십시오.

위상수학

구성

절차

CLI 빠른 구성

프로토콜 그룹 및 특정 제어 패킷 유형에 대한 컨트롤 플레인 DDoS 보호를 신속하게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

컨트롤 플레인 디도스(DDoS) 공격 보호 구성 방법:

  1. 프로토콜 그룹을 지정합니다.

  2. RADIUS 집계 폴리서에 대한 최대 트래픽 속도를 구성합니다. 즉, 모든 RADIUS 패킷의 조합에 사용됩니다.

    메모:

    옵션을 사용하여 bandwidth 트래픽 속도를 변경합니다. 대역폭이라는 용어는 일반적으로 초당 비트 수(bps)를 의미하지만 이 기능의 옵션은 초당 패킷( bandwidth pps) 값을 나타냅니다.

  3. RADIUS 집계 폴리서의 최대 버스트 크기(패킷 수)를 구성합니다.

  4. RADIUS 계정 패킷에 대해 서로 다른 최대 트래픽 속도(pps) 및 버스트 크기(패킷)를 구성합니다.

  5. RADIUS 계정 패킷의 우선 순위를 줄입니다.

  6. RADIUS 서버 제어 패킷이 총 대역폭(pps)에 포함되지 않도록 합니다. 즉, 서버 패킷은 총 대역폭 초과 여부를 결정하기 위해 결합된 RADIUS 트래픽에 기여하지 않습니다. 그러나 서버 패킷은 여전히 트래픽 속도 통계에 포함됩니다.

  7. (여러 라인 카드가 있는 스위치에만 해당) 슬롯 1의 FPC에서 RADIUS 폴리서에 대한 위반이 선언되기 전에 허용되는 대역폭(pps) 및 버스트 크기(패킷)를 줄입니다.

  8. 모든 컨트롤 플레인 DDoS 보호 프로토콜 처리 이벤트에 대한 추적을 구성합니다.

결과

구성 모드에서 계층 수준의 명령을 system 입력하여 show ddos-protection 구성을 확인합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

컨트롤 플레인 DDoS 보호 구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

컨트롤 플레인 DDoS 방어 구성 확인

목적

RADIUS 폴리서 값이 기본값에서 변경되었는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show ddos-protection protocols radius parameters .

의미

명령 출력은 RADIUS 집계 폴리서와 RADIUS 어카운팅, 서버 및 권한 부여 제어 패킷 폴리서의 현재 구성을 보여줍니다. 기본값에서 수정된 폴리서 값은 별표로 표시됩니다. 출력은 RADIUS 폴리서 구성이 올바르게 수정되었음을 보여줍니다.