컨트롤 플레인 DDoS 방어 구성
컨트롤 플레인 DDoS 보호는 지원되는 모든 프로토콜 그룹 및 패킷 유형에 대해 기본적으로 활성화됩니다. 디바이스에는 대역폭(pps 단위의 패킷 속도), 대역폭 확장, 버스트(버스트의 패킷 수), 버스트 확장, 우선 순위 및 복구 시간에 대한 기본값이 있습니다. 지원되는 모든 프로토콜 그룹 및 패킷 유형에 대한 기본 폴리서 값을 보려면 구성 가능한 디도스(DDoS) 공격 보호 값을 수정하기 전에 CLI 명령을 실행합니다 show ddos-protection protocols .
EX2300 및 EX2300-C 스위치에는 컨트롤 플레인 DDoS 보호 기능이 있을 수 있지만 기본 폴리서 매개 변수를 표시하거나 변경하는 CLI 옵션은 지원하지 않습니다.
Junos OS 릴리스 24.2R1, EX4100 및 EX4400 디바이스부터 Junos OS 릴리스 24.4R1부터 EX3400 및 EX4300-MP 디바이스는 CLI 옵션을 지원하여 기본 폴리서 매개변수를 표시하거나 변경합니다.
컨트롤 플레인 DDoS 구성 매개 변수를 다음과 같이 변경할 수 있습니다.
프로토콜 그룹 내에서 지원되는 개별 패킷 유형에 대해 대역폭(pps), 버스트(패킷) 및 우선 순위 폴리서 값을 변경할 수 있습니다.
메모:PTX10003 및 PTX10008 라우터에서 집계 또는 패킷 유형 폴리서의 기본 대역폭(pps) 및 버스트(패킷) 값을 변경할 수 있지만 우선 순위 값은 변경할 수 없습니다.
프로토콜 그룹의 집계 폴리서의 경우, 대역폭(pps) 및 버스트(패킷) 폴리서 값을 변경할 수 있습니다.
프로토콜 그룹 또는 패킷 유형 폴리서에 대한 대역폭(pps), 버스트(패킷) 및 우선순위 값을 설정하면 모든 폴리서 수준에서 동일한 값이 적용됩니다. 확장 구성 옵션을 변경하여 패킷 포워딩 엔진 수준에서 이러한 값을 조정합니다.
메모:컨트롤 플레인 DDoS 보호 기능을 갖춘 ACX 시리즈 라우터는 라우팅 엔진 수준에서 폴리서 값 변경을 지원하며, 이는 PFE 칩셋 수준으로 전파됩니다. 명령문 계층에서
[edit system ddos-protection protocols protocol-group aggregate fpc라인 카드 확장 구성 옵션을 지원하지 않습니다.
다음과 같이 컨트롤 플레인 DDoS 보호를 비활성화할 수 있습니다.
라우팅 엔진 수준에서 폴리서가 있는 대부분의 라우팅 디바이스에서, 라우팅 엔진에서 컨트롤 플레인 디도스(DDoS) 보호를 비활성화할 수 있으며, 전 세계적으로 또는 프로토콜 그룹 내 개별 패킷 유형의 모든 라인 카드에 대해 비활성화할 수 있습니다.
-
PTX10003, PTX10008 및 PTX10016 라우터는 라우팅 엔진 수준의 폴리서를 포함하지만 다른 PTX 시리즈 라우터와 마찬가지로 라인 카드 폴리서만 비활성화할 수 있습니다.
다른 PTX 시리즈 라우터 및 QFX 시리즈 스위치에서는 폴리서가 라인 카드에서만 지원되므로 이러한 디바이스에서는 전역적으로 또는 프로토콜 그룹 내의 개별 패킷 유형에 대해 모든 라인 카드에 대해 컨트롤 플레인 DDoS 보호를 비활성화할 수 있습니다.
컨트롤 플레인 DDoS 로깅은 기본적으로 활성화되어 있지만 모든 컨트롤 플레인 DDoS 이벤트 또는 프로토콜 그룹 내의 개별 패킷 유형에 대해 전역적으로 비활성화할 수 있습니다. 컨트롤 플레인 DDoS 이벤트를 모니터링하기 위한 추적 작업을 구성할 수도 있습니다.
MPC를 갖춘 MX 시리즈 라우터와 FPC5를 갖춘 T4000 라우터는 컨트롤 플레인 DDoS 보호를 지원합니다. 다른 라인 카드가 이러한 유형의 라우터 중 하나에 설치되어 있지만 다른 라인 카드가 보호되지 않으므로 라우터가 본질적으로 보호되지 않는 경우 CLI는 구성을 수락합니다.
기본 구성 컨트롤 플레인 DDoS 보호 매개 변수를 변경하려면:
(선택 사항) 글로벌 컨트롤 플레인 DDoS 보호 설정을 구성하거나 컨트롤 플레인 DDoS 보호를 사용하지 않도록 설정합니다.
(선택 사항) 원하는 프로토콜 그룹의 통합 폴리서 또는 개별 패킷 유형에 대한 컨트롤 플레인 디도스(DDoS) 공격 보호 설정을 구성합니다.
(선택 사항) 컨트롤 플레인 DDoS 보호 작업에 대한 추적을 구성합니다.
컨트롤 플레인 디도스(DDoS) 공격 방어 폴리서 비활성화 및 전 세계 로깅
컨트롤 플레인 디도스(DDoS) 공격 보호 폴리서는 지원되는 모든 프로토콜 그룹 및 패킷 유형에 대해 기본적으로 활성화됩니다.
ACX 시리즈 라우터에서는 전역적으로 또는 라우팅 엔진 수준에서 개별 프로토콜 그룹에 대해 폴리서를 비활성화할 수 있습니다. 폴리서를 전역으로 비활성화하면 기본적으로 디바이스에서 컨트롤 플레인 디도스(DDoS) 공격 보호가 비활성화됩니다.
MX 시리즈 라우터, T4000 라우터 및 EX9200 스위치에서 폴리서는 개별 라인 카드와 라우팅 엔진 수준에서 설정됩니다. 모든 MPC 또는 FPC5에 대해 전역으로 라인 카드 폴리서를 비활성화할 수 있습니다. 라우팅 엔진 폴리서를 비활성화할 수도 있습니다. 이러한 폴리서 중 하나를 비활성화하면 모든 프로토콜 그룹 및 패킷 유형에 대한 해당 수준의 폴리서가 비활성화됩니다.
PTX 시리즈 라우터 및 QFX 시리즈 스위치에서는 폴리서가 개별 라인 카드 수준에서만 설정됩니다. 전역으로 회선 카드 폴리서를 비활성화하면 스위치에서 컨트롤 플레인 디도스(DDoS) 공격 보호가 비활성화됩니다.
PTX10003, PTX10008 및 PTX10016 라우터는 라우팅 엔진 수준의 폴리서를 포함하지만 다른 PTX 시리즈 라우터와 마찬가지로 라인 카드 폴리서만 비활성화할 수 있습니다.
컨트롤 플레인 DDoS 보호 로깅도 기본적으로 사용하도록 설정됩니다. 라우터 또는 스위치 전체의 모든 프로토콜 그룹 및 패킷 유형에 대한 모든 컨트롤 플레인 DDoS 이벤트 로깅(플로우 감지 이벤트 로깅 포함)을 비활성화할 수 있습니다.
폴리서 비활성화 및 로깅에 대한 전역 구성은 패킷 유형에 대한 모든 로컬 구성을 대체합니다.
글로벌 컨트롤 플레인 DDoS 보호 설정을 구성하려면 다음을 수행합니다.
컨트롤 플레인 디도스(DDoS) 공격 방어 구성 집계 또는 개별 패킷 유형 폴리서
컨트롤 플레인 디도스(DDoS) 폴리서는 패킷 트래픽을 제어하기 위해 적용되며 지원되는 모든 프로토콜 그룹 및 패킷 유형에 대해 기본적으로 활성화됩니다. 기본 폴리서 매개 변수를 변경하여 최대 허용 트래픽 속도, 최대 버스트 크기, 트래픽 우선 순위 및 트래픽 플로우가 공격에서 복구된 것으로 간주되기 전에 마지막 위반 이후 경과해야 하는 시간에 대해 다른 값을 구성할 수 있습니다. 또한 개별 라인 카드의 대역폭과 버스트 값을 스케일링하여 이 수준의 폴리서가 전체 프로토콜 또는 패킷 임계값보다 낮은 임계값에서 트리거되도록 할 수 있습니다.
프로토콜 그룹 및 패킷 유형 지원은 플랫폼과 Junos OS 릴리스에 따라 다르며, 다음과 같습니다.
대부분의 라우팅 디바이스는 프로토콜(DDoS)을 참조하십시오.
ACX 시리즈 라우터, PTX 시리즈 라우터 및 QFX 시리즈 스위치의 경우, 프로토콜(디도스)(ACX 시리즈, PTX 시리즈, QFX 시리즈)을 참조하십시오.
모든 프로토콜 그룹에 대해 집계 폴리서 값을 구성할 수 있습니다. 집계 폴리서는 해당 그룹에 대한 모든 유형의 제어 패킷 트래픽 조합에 적용됩니다.
ACX 시리즈 라우터는 지원되는 모든 프로토콜 그룹에 대해서만 통합 폴리서를 지원합니다.
일부 프로토콜 그룹의 경우, 개별 패킷 유형에 대한 폴리서 값을 구성할 수도 있습니다. 특정 프로토콜 그룹에 대한 집계 폴리서 값을 구성할 때 해당 그룹에서 하나 이상의 특정 패킷 유형에 대해 해당 폴리서를 선택적으로 우회할 수 있습니다.
모든 폴리서가 기본 매개변수 값을 가지고 있지만, 이러한 값은 네트워크의 제어 트래픽 패턴을 정확하게 반영하지 않을 수 있습니다. 네트워크를 모델링하여 상황에 가장 적합한 값을 결정하는 것이 좋습니다. 네트워크의 폴리서를 구성하기 전에 명령을 사용하여 운영 모드에서 모든 패킷 유형에 대한 기본값을 show ddos-protection protocols parameters brief 빠르게 확인할 수 있습니다. 또한 명령을 사용하여 관심 있는 단일 프로토콜 그룹을 지정할 수 있습니다. 예를 들어, 프로토콜 그룹의 기본값을 dhcpv4 보려면 명령을 사용합니다 show ddos-protection protocols dhcpv4 parameters brief .
지정된 라인 카드 또는 모든 라인 카드에 대해 라우팅 엔진 수준(지원되는 경우) 또는 패킷 포워딩 엔진 수준(지원되는 경우)에서 패킷 유형 폴리서를 비활성화할 수 있습니다. 또한 프로토콜 그룹 내의 개별 패킷 유형에 대한 모든 컨트롤 플레인 DDoS 보호 이벤트의 로깅을 비활성화할 수 있습니다.
원하는 집계 또는 패킷 유형 디도스(DDoS) 공격 보호 폴리서 설정을 구성하려면 다음을 수행합니다.
참조
컨트롤 플레인 디도스(DDoS) 공격 방어 확인 및 관리
목적
컨트롤 플레인 DDoS 방어 구성, 상태 및 통계에 대한 정보를 보거나 지웁니다.
행동
모든 프로토콜 그룹의 모든 패킷 유형에 대한 컨트롤 플레인 DDoS 방어 폴리서 구성, 위반 상태 및 통계를 표시하려면 다음을 수행합니다.
user@host> show ddos-protection protocols
구성을 변경하기 전에 이 명령을 실행하여 기본 폴리서 값을 확인합니다.
특정 프로토콜 그룹의 특정 패킷 유형에 대한 컨트롤 플레인 DDoS 방어 폴리서 구성, 위반 상태 및 통계를 표시하려면 다음을 수행합니다.
user@host> show ddos-protection protocols protocol-group packet-type
모든 프로토콜 그룹에 대한 컨트롤 플레인 DDoS 보호 폴리서 위반 수만 표시:
user@host> show ddos-protection protocols violations
모든 프로토콜 그룹의 모든 패킷 유형에 대한 컨트롤 플레인 DDoS 보호 구성 테이블을 표시:
user@host> show ddos-protection protocols parameters brief
모든 프로토콜 그룹의 모든 패킷 유형에 대한 패킷 통계 및 컨트롤 플레인 DDoS 보호 위반 통계의 전체 목록을 표시하려면 다음을 수행합니다.
user@host> show ddos-protection protocols statistics detail
글로벌 컨트롤 플레인 DDoS 보호 위반 통계를 표시하려면 다음을 수행합니다.
user@host> show ddos-protection statistics
컨트롤 플레인 DDoS 방어 버전 번호를 표시하려면 다음을 수행합니다.
user@host> show ddos-protection version
모든 프로토콜 그룹의 모든 패킷 유형에 대한 컨트롤 플레인 DDoS 보호 통계를 삭제하려면 다음을 수행합니다.
user@host> clear ddos-protection protocols statistics
특정 프로토콜 그룹의 모든 패킷 유형에 대한 컨트롤 플레인 디도스(DDoS) 공격 보호 통계를 삭제하려면 다음을 수행합니다.
user@host> clear ddos-protection protocols protocol-group statistics
특정 프로토콜 그룹의 특정 패킷 유형에 대한 컨트롤 플레인 디도스(DDoS) 공격 보호 통계를 삭제하려면 다음을 사용하십시오.
user@host> clear ddos-protection protocols protocol-group packet-type statistics
모든 프로토콜 그룹의 모든 패킷 유형에 대한 컨트롤 플레인 DDoS 방어 위반 상태를 제거하려면:
user@host> clear ddos-protection protocols states
특정 프로토콜 그룹의 모든 패킷 유형에 대한 컨트롤 플레인 DDoS 방어 위반 상태를 제거하려면:
user@host> clear ddos-protection protocols protocol-group states
특정 프로토콜 그룹의 특정 패킷 유형에 대한 컨트롤 플레인 DDoS 방어 위반 상태를 제거하려면:
user@host> clear ddos-protection protocols protocol-group packet-type states