protocols (DDoS)

Configure el aplicador de políticas para supervisar todos los paquetes de control del grupo de protocolos. Puede configurar un aplicador de políticas de agregado para cualquier grupo de protocolos.

(Opcional) Nombre del tipo de paquete de control que se va a vigilar. Puede configurar un aplicador de políticas específico solo para los siguientes tipos de paquetes y grupos de protocolos:

• arp: están disponibles los siguientes tipos de paquetes ARP:

  • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

  En los dispositivos de la serie MX, antes de Junos OS versión 23.2R1, el tráfico de solicitud y respuesta ARP tenía un único protocolo DDoS. A partir de Junos OS versión 23.2R1, puede configurar tipos bcast de paquetes de protocolo DDoS independientes y , en el nivel de jerarquía [edit ddos-protection protocols arp] para el tráfico de solicitud y ucastrespuesta ARP. Los controladores DDoS independientes proporcionan una limitación de velocidad de paquetes mejorada y un manejo de prioridad para el tráfico ARP.

• bgp: están disponibles los siguientes tipos de paquetes BGP:

  • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

• bgpv6—Están disponibles los siguientes tipos de paquetes BGPv6:

  • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

• dhcpv4: los siguientes tipos de paquetes están disponibles para el tráfico DHCPv4:

  • ack—Paquetes DHCPACK.

  • bad-packets: paquetes DHCPv4 con formatos incorrectos.

  • bootp: paquetes DHCPBOOTP.

  • decline: paquetes DHCPDECLINE.

  • discover—Paquetes DHCPDISCOVER.

  • force-renew—DHCPFORCERENEW paquetes.

  • inform—Paquetes de DHCPINFORM.

  • lease-active—DHCPLEASEPAQUETES activos.

  • lease-query—DHCPLEASEQUERYpaquetes.

  • lease-unassigned—DHCPLEASEPAQUETES sin asignar.

  • lease-unknown—DHCPLEASEPAQUETES desconocidos.

  • nak—Paquetes DHCPNAK.

  • no-message-type: paquetes DHCP a los que les falta el tipo de mensaje.

  • offer—Paquetes DHCPOFFER.

  • release—Paquetes DHCPRELEASE.

  • renew: paquetes DHCPRENEW.

  • request: paquetes DHCPREQUEST.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

• dhcpv6: los siguientes tipos de paquetes están disponibles para el tráfico DHCPv6:

  • advertise—Anuncie paquetes.

  • confirm: CONFIRME los paquetes.

  • decline—RECHAZAR paquetes.

  • information-request—Paquetes de SOLICITUD DE INFORMACIÓN.

  • leasequery—Paquetes LEASEQUERY.

  • leasequery-data—Paquetes LEASEQUERY-DATA.

  • leasequery-done—Paquetes LEASEQUERY-DONE.

  • leasequery-reply—Paquetes LEASEQUERY-ANSWER.

  • rebind: volver a enlazar paquetes.

  • reconfigure—RECONFIGURAR paquetes.

  • relay-forward—Paquetes RELAY-FORWARD.

  • relay-reply—Paquetes RELAY-ANSWER.

  • release—LIBERAR paquetes.

  • renew: RENOVAR paquetes.

  • reply—Paquetes de RESPUESTA.

  • request—SOLICITAR paquetes.

  • solicit—SOLICITAR paquetes.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

• filter-action: los siguientes tipos de paquetes están disponibles para paquetes de acción de filtro de firewall no clasificados, enviados al host debido a términos de rechazo en los filtros de firewall:

  • filter-v4: paquetes de acción de filtro IPv4 sin clasificar.

  • filter-v6: paquetes de acción de filtro IPv6 sin clasificar.

  • other: todos los demás paquetes de acción de filtro sin clasificar que no sean IPv4 o IPv6.

• frame-relay: los siguientes tipos de paquetes están disponibles para el tráfico de Frame Relay:

  • frf15—Multilink frame relay FRF.15 paquetes.

  • frf16—Multilink frame relay FRF.16 paquetes.

• ip-fragments—Los siguientes tipos de paquetes están disponibles para fragmentos IP:

  • first-fragment—Primer fragmento de IP.

  • trail-fragment—Último fragmento de IP.

• ip-options: los siguientes tipos de paquetes están disponibles para el tráfico de opciones IP:

  • non-v4v6: paquetes de opciones distintos de IPv4/v6.

  • router-alert: paquetes de opciones de alerta de enrutador.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

• l2tp—Los siguientes tipos de paquetes están disponibles para entornos de red de administración de suscriptores LNS L2TP en las versiones 13.3R5 y 14.1X50 de Junos OS (esta opción ha quedado obsoleta por la era de L2TP en los entornos actuales de administración mejorada de suscriptores):

  • cdn—Paquetes de mensajes de llamada-desconexión-notificación.

  • hello—Hola paquetes de mensajes.

  • iccn: paquetes de mensajes conectados a llamadas entrantes.

  • icrq—Paquetes de mensajes de solicitud de llamada entrante.

  • scccn—Paquetes de mensajes Start-Control-Connection-Connected.

  • sccrq—Paquetes de mensajes Start-Control-Connection-Request.

  • stopccn—Paquetes de mensajes Stop-Control-Connection-Notification.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

• mcast-snoop: controla el tráfico para la supervisión de multidifusión.

  • igmp—Tráfico IGMP espiado.

  • mld—Tráfico MLD fisgoneado.

  • pim—Tráfico de control PIM fisgoneado.

• mlp—Están disponibles los siguientes tipos de paquetes MLP:

  • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

  • add: Agregar solicitudes; paquetes internos de solicitud de aprendizaje de dirección MAC enviados al host.

  • delete—Eliminar solicitudes; paquetes internos de solicitud de aprendizaje de dirección MAC enviados al host.

  • lookup—Solicitudes de búsqueda; paquetes internos de solicitud de aprendizaje de dirección MAC enviados al host.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

  • macpin-exception—Excepciones a la fijación de direcciones MAC (en la que las direcciones MAC aprendidas dinámicamente se anclan para evitar bucles causados por movimientos MAC desde la detección de MAC duplicada).

• ndpv6—Los siguientes tipos de paquetes NDPv6 están disponibles, excepto donde se indique, a partir de 14.1R8, 14.2R8, 15.1R5, 15.1F7 y 16.1R1:

  • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

  • invalid-hop-limit—(A partir de la versión 16.1R2) Paquetes de límite de saltos no válidos. Estos mensajes pueden representar paquetes creados en una inundación de paquetes malintencionada basada en red.

  • neighbor-advertisement—Paquetes de anuncios para vecinos. Estos son mensajes utilizados para la detección de direcciones duplicadas y para probar la accesibilidad de los vecinos. Los anuncios de vecinos se envían en respuesta a mensajes de solicitud de vecinos.

  • neighbor-solicitation—Paquetes de solicitud de vecinos. Estos son mensajes utilizados para la detección de direcciones duplicadas y para probar la accesibilidad de los vecinos.

  • redirect: redireccionamiento de paquetes.

  • router-advertisement—Paquetes de anuncio del enrutador. Estos son mensajes enviados para anunciar la presencia del enrutador, anunciar prefijos, ayudar en la configuración de direcciones y compartir otra información del vínculo, como el tamaño de MTU y el límite de salto. Los nodos IPv6 del vínculo pueden usar esta información para configurarse con una dirección IPv6 e información de enrutamiento, como la puerta de enlace predeterminada.

  • router-solicitation—Paquetes de solicitud de enrutador. Estos son mensajes enviados por los nodos IPv6 cuando se conectan para solicitar anuncios inmediatos del enrutador.

• ppp—Están disponibles los siguientes tipos de paquetes PPP:

  • authentication—Paquetes del protocolo de autenticación PPP.

  • echo-rep—Paquetes de respuesta de eco LCP.

  • echo-req—Paquetes de solicitud de eco LCP.

  • ipcp—Paquetes del Protocolo de control IP.

  • ipv6cp—Paquetes del protocolo de control IPv6.

  • isis—Paquetes IS-IS.

  • lcp—Paquetes del Protocolo de control de vínculos.

  • mlppp-lcp—Paquetes LCP MLPPP.

  • mplscp: paquetes del protocolo de control MPLS.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

• pppoe—Están disponibles los siguientes tipos de paquetes PPPoE:

  • padi—Paquetes PADI.

  • padm—Paquetes PADM.

  • padn—Paquetes PAND.

  • pado—Paquetes PADO.

  • padr—Paquetes PADR.

  • pads—Paquetes PADS.

  • padt—Paquetes PADD.

• radius—Están disponibles los siguientes tipos de paquetes RADIUS:

  • accounting—Paquetes de contabilidad RADIUS.

  • authorization—Paquetes de autorización RADIUS.

  • server—Tráfico del servidor RADIUS.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

• re-services: el siguiente tipo de paquete está disponible para el tráfico IPv4 de redireccionamiento HTTP basado en motor de enrutamiento:

  • captive-portal—Paquetes de entrega de contenido de portal cautivo basados en motores de enrutamiento.

• re-services-v6: el siguiente tipo de paquete está disponible para el tráfico IPv6 de redireccionamiento HTTP basado en motor de enrutamiento:

  • captive-portal—Paquetes de entrega de contenido de portal cautivo basados en motores de enrutamiento.

• resolve: los siguientes tipos de paquetes están disponibles para paquetes de resolución no clasificados que se envían al host debido a una acción de resolución de solicitud de tráfico:

  • mcast-v4—Multidifusión IPv4 no clasificada resuelve paquetes.

  • mcast-v6—Multidifusión IPv6 sin clasificar resuelve paquetes.

  • ucast-v4—Unidifusión IPv4 sin clasificar resuelve paquetes.

  • ucast-v6—Unidifusión IPv6 sin clasificar resuelve paquetes.

  • other: todos los demás paquetes de resolución no clasificados.

• sample—Están disponibles los siguientes tipos de paquetes de ejemplo:

  • host: paquetes de host.

  • pfe—Paquetes del motor de reenvío de paquetes.

  • syslog: paquetes de mensajes de registro del sistema.

  • tap: paquetes TAP.

• tcp-flags: están disponibles los siguientes tipos de paquetes marcados con TCP:

  • established: paquetes TCP con indicadores ACK o RST establecidos.

  • initial: paquetes TCP con el indicador SYN establecido y el indicador ACK no establecido.

  • unclassified: paquetes TCP con indicadores establecidos de cualquier otra manera que no sean los paquetes establecidos e iniciales.

• unclassified—Están disponibles los siguientes tipos de paquetes sin clasificar:

  • control-layer2—Paquetes de control de capa 2 sin clasificar.

  • control-v4: paquetes de control IPv4 sin clasificar.

  • control-v6—Paquetes de control IPv6 sin clasificar.

  • fw-host: paquetes de firewall de envío a host sin clasificar.

  • host-route-v4: paquetes de host y protocolo de enrutamiento IPv4 sin clasificar en el tráfico enviado a la dirección de interfaz local del enrutador.

  • host-route-v6: paquetes de host y protocolo de enrutamiento IPv6 sin clasificar en el tráfico enviado a la dirección de interfaz local del enrutador.

  • other: todos los paquetes no clasificados que no pertenecen a otro tipo.

• virtual-chassis: los siguientes tipos de paquetes están disponibles para los paquetes de chasis virtual:

  • control-low: paquetes de control de baja prioridad.

  • control-high—Paquetes de control de alta prioridad.

  • unclassified: todos los paquetes no clasificados del grupo de protocolos.

  • vc-packets: todos los paquetes de excepción en el vínculo del chasis virtual.

  • vc-ttl-errors—Paquetes de error de TTL del chasis virtual.

Nombre del grupo de protocolo para el que se vigila el tráfico. Puede configurar un aplicador de políticas para cualquiera de los siguientes grupos de protocolos:

• amtv4—Tráfico AMT IPv4.

• amtv6—Tráfico AMT IPv6.

• ancp—Tráfico ANCP.

• ancpv6—Tráfico ANCPv6.

• arp—Tráfico ARP.

• atm—Tráfico ATM.

• bfd—Tráfico BFD.

• bfdv6—Tráfico BFDv6.

• bgp—Tráfico BGP.

• bgpv6—Tráfico BGPv6.

• control—Controlar el tráfico.

• demux-autosense—Demux detección automática de tráfico.

• dhcpv4: tráfico DHCPv4.

• dhcpv6: tráfico DHCPv6.

• diameter—Diámetro y tráfico Gx-Plus.

• dns—Tráfico DNS.

• dtcp—Tráfico DTCP.

• dynamic-vlan: tráfico de excepción de VLAN dinámico.

• egpv6—Tráfico EGPv6.

• eoam—Tráfico EOAM.

• esmc—Tráfico de ESMC.

• fab-probe—Paquetes de sonda fabulosos.

• filter-action: paquetes de acción de filtro de firewall IPv4 e IPv6 enviados al host debido a términos rechazados en filtros de firewall

• frame-relay: tráfico de retransmisión de tramas.

• ftp—Tráfico FTP.

• ftpv6—Tráfico FTPv6.

• gre—Tráfico GRE.

• gtp-path-mgmt—Tráfico de administración de rutas GTP.

• icmp—Tráfico ICMP.

• igmp—Tráfico IGMP

• igmpv4v6—Tráfico IGMP v4/v6.

• igmpv6—Tráfico IGMPv6.

• inline-ka—Las interfaces de servicio en línea mantienen vivo el tráfico.

• inline-svcs—Tráfico de servicios en línea.

• ip-fragments—Fragmenta el tráfico de IP.

• ip-options–Tráfico IP con opciones de encabezado de paquete IP.

• isis—Tráfico IS-IS.

• jfm—Tráfico de JFM.

• l2pt: tráfico de tunelización de protocolo de capa 2.

• lacp—Tráfico LACP.

• ldp—Tráfico LDP.

• ldpv6—Tráfico LDPv6.

• lldp—Tráfico LLDP.

• lmp—Tráfico LMP.

• lmpv6—Tráfico LMPv6.

• mac-host: tráfico de envío al host MAC de capa 2.

• mcast-snoop: controla el tráfico para la supervisión de multidifusión.

• mlp—Tráfico MLP.

• msdp—Tráfico MSDP.

• msdpv6—Tráfico MSDPv6.

• multicast-copy: tráfico de copia del host debido al enrutamiento de multidifusión.

• mvrp—Tráfico MVRP.

• ndpv6—Tráfico NDPv6.

• ntp—Tráfico NTP.

• oam-lfm—Tráfico OAM-LFM.

• ospf—Tráfico OSPF.

  A partir de Junos OS versión 23.2R1, el protocolo tiene dos subprotocolos: ospf-hello para clasificar el tráfico OSPF de alta prioridad DDOS y ospf-unclassified para clasificar el tráfico OSPF de ospf baja prioridad DDOS.

• ospfv3v6—Tráfico OSPFv3/IPv6.

  A partir de Junos OS versión 23.2R1, el protocolo tiene dos subprotocolos: ospfv3v6-hello para clasificar el tráfico OSPF de alta prioridad DDOS y ospfv3v6-unclassified para clasificar el tráfico OSPF de ospfv3v6 baja prioridad DDOS.

• pfcp—Tráfico del Protocolo de control de reenvío de paquetes (PFCP).

• pfe-alive—El motor de reenvío de paquetes mantiene vivo el tráfico.

• pim—Tráfico PIM.

• pimv6—Tráfico PIMv6.

• pmvrp—Tráfico PMVRP.

• pos—Tráfico de TPV.

• ppp—Tráfico PPP.

• pppoe—Tráfico PPPoE.

• ptp—Tráfico PTP.

• pvstp—Tráfico PVSTP.

• radius—Tráfico RADIUS.

• re-services: entrega de contenido del portal cautivo Tráfico IPv4 para la redirección HTTP del motor de enrutamiento.

• re-services-v6—Entrega de contenido del portal cautivo Tráfico IPv6 para la redirección HTTP del motor de enrutamiento.

• redirect: tráfico que activa redireccionamientos ICMP.

• reject: paquetes rechazados por una decisión de reenvío del siguiente salto.

• rejectv6: paquetes V6 rechazados por una decisión de reenvío del siguiente salto.

• resolve: IPv4 e IPv6 no clasificados resuelven paquetes enviados al host debido a una acción de resolución de solicitud de tráfico.

• rip—Tráfico RIP.

• ripv6—Tráfico RIPv6.

• rsvp—Tráfico RSVP.

  A partir de Junos OS versión 23.2R1, el protocolo tiene dos subprotocolos: rsvp-hello para clasificar el tráfico RSVP de alta prioridad de DDOS y ospfv3v6-unclassified para clasificar el tráfico de RSVP de baja prioridad de rsvp DDOS.

• rsvpv6: tráfico RSVPv6.

• services–Tráfico de servicios.

• snmp: tráfico SNMP.

• snmpv6: tráfico SNMPv6.

• ssh—Tráfico SSH.

• sshv6—Tráfico SSHv6.

• stp—Tráfico STP.

• syslog: mensajes de registro del sistema Tráfico UDP en el puerto 6333 para el servidor syslog del motor de enrutamiento.

• tacacs—Tráfico TACACS.

• tcp-flags: tráfico con indicadores TCP.

• telnet—Tráfico TELNET.

• telnetv6—Tráfico de TELNETv6.

• ttl—Tráfico TTL.

• tunnel-fragment: el túnel fragmenta el tráfico.

• tunnel-ka—Tráfico de mantenimiento vivo del túnel.

• unclassified—Tráfico no clasificado.

  A partir de Junos OS versión 23.2R1, el protocolo tiene dos subprotocolos: host-route-tcp-v4 y para clasificar el tráfico DDoS de unclassified baja prioridad TCP y host-route-udp-v4 UDP.

• virtual-chassis—Tráfico de chasis virtual.

• vrrp—Tráfico VRRP.

• vrrpv6—Tráfico VRRPv6.

• vxlan—Tráfico de las capas 2 y 3 de VXLAN.