EN ESTA PÁGINA
Ejemplo: configuración de la protección DDoS del plano de control en conmutadores de la serie QFX
En este ejemplo se muestra cómo configurar la protección DDoS del plano de control para que un conmutador pueda identificar rápidamente un ataque y evitar que una avalancha de paquetes de control malintencionados agote los recursos del sistema.
Requisitos
La protección DDoS del plano de control requiere el siguiente hardware y software:
Conmutador de la serie QFX compatible con la protección DDoS del plano de control
Junos OS versión 15.1X53-D10 o posterior
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Visión general
Los ataques de denegación de servicio distribuido (DDoS) utilizan múltiples fuentes para inundar una red con paquetes de control de protocolo. Este tráfico malicioso desencadena un gran número de excepciones en la red e intenta agotar los recursos del sistema para denegar a los usuarios válidos el acceso a la red o al servidor.
La protección DDoS del plano de control está habilitada de forma predeterminada en un conmutador serie QFX compatible. En este ejemplo se describe cómo modificar la configuración predeterminada de los aplicadores de limitación de velocidad que identifican el tráfico de control excesivo y descartan los paquetes antes de que el conmutador se vea afectado negativamente. Entre las tareas de ejemplo se incluyen la configuración de un aplicador de políticas agregado para un grupo de protocolos, la configuración de políticas para tipos de paquetes de control concretos dentro de un grupo de protocolos y la especificación de opciones de seguimiento para las operaciones de protección DDoS del plano de control.
En este ejemplo se muestra cómo cambiar algunos de los parámetros y el comportamiento predeterminados de la policía para el grupo de radius
protocolos y el tipo de paquete Radius accounting
. Puede usar los mismos comandos para cambiar los límites de la aplicación de políticas para otros grupos de protocolos y tipos de paquetes admitidos. Consulte la instrucción de configuración de protección DDoS en el nivel de [edit system]
jerarquía para conocer todas las opciones de configuración disponibles.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección DDoS del plano de control para grupos de protocolos y tipos de paquetes de control concretos, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
[edit] edit system set ddos-protection protocols radius aggregate bandwidth 150 set ddos-protection protocols radius aggregate burst 2000 set ddos-protection protocols radius accounting bandwidth 100 burst 150 set ddos-protection protocols radius accounting priority low set ddos-protection protocols radius server bypass-aggregate set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar la protección DDoS del plano de control:
Especifique un grupo de protocolos.
[edit system ddos-protection protocols] user@host# edit radius
Configure la tasa de tráfico máxima para el aplicador de agregados RADIUS; es decir, para la combinación de todos los paquetes RADIUS.
Nota:La tasa de tráfico se cambia mediante la
bandwidth
opción. Aunque el término ancho de banda suele referirse a bits por segundo (bps), la opción debandwidth
esta característica representa un valor de paquetes por segundo (pps).[edit system ddos-protection protocols radius] user@host# set aggregate bandwidth 150
Configure el tamaño máximo de ráfaga (número de paquetes) para el aplicador de agregados RADIUS.
[edit system ddos-protection protocols radius] user@host# set aggregate burst 2000
Configure una velocidad máxima de tráfico (pps) y un tamaño de ráfaga (paquetes) diferentes para los paquetes de contabilidad RADIUS.
[edit system ddos-protection protocols radius] user@host# set accounting bandwidth 100 burst 1500
Disminuya la prioridad de los paquetes de contabilidad RADIUS.
[edit system ddos-protection protocols radius] user@host# set accounting priority low
Impedir que los paquetes de control de servidor RADIUS se incluyan en el ancho de banda agregado (pps); es decir, los paquetes de servidor no contribuyen al tráfico RADIUS combinado para determinar si se supera el ancho de banda agregado. Sin embargo, los paquetes del servidor todavía se incluyen en las estadísticas de velocidad de tráfico.
[edit system ddos-protection protocol radius] user@host# set server bypass-aggregate
(Solo en conmutadores con varias tarjetas de línea) Reduzca el ancho de banda (pps) y el tamaño de ráfaga (paquetes) permitidos antes de que se declare una infracción para el controlador RADIUS en la FPC en la ranura 1.
[edit system ddos-protection protocols radius] user@host# set aggregate fpc 1 bandwidth-scale 80 user@host# set aggregate fpc 1 burst-scale 75
Configure el seguimiento para todos los eventos de procesamiento del protocolo de protección DDoS del plano de control.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show ddos-protection
comando en el nivel de system
jerarquía.
[edit system] user@host# show ddos-protection traceoptions { file ddos-log size 10m; flag all; } protocols { radius { aggregate { bandwidth 150; burst 2000; } server { bypass-aggregate; } accounting { bandwidth 100; burst 1500; priority low; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración de protección DDoS del plano de control funciona correctamente, realice estas tareas:
Verificación de la configuración de protección DDoS del plano de control
Propósito
Compruebe que los valores del aplicador RADIUS han cambiado con respecto al valor predeterminado.
Acción
Desde el modo operativo, ingrese el show ddos-protection protocols radius parameters
comando.
user@host> show ddos-protection protocols radius parameters Packet types: 5, Modified: 3 * = User configured value Protocol Group: Radius Packet type: aggregate (Aggregate for all Radius traffic) Aggregate policer configuration: Bandwidth: 150 pps* Burst: 2000 packets* Recover time: 300 seconds Enabled: Yes Routing Engine information: Bandwidth: 150 pps, Burst: 2000 packets, enabled FPC slot 0 information: Bandwidth: 100% (150 pps), Burst: 100% (2000 packets), enabled Packet type: server (Radius server traffic) Individual policer configuration: Bandwidth: 200 pps Burst: 2048 packets Priority: High Recover time: 300 seconds Enabled: Yes Bypass aggregate: Yes* Routing Engine information: Bandwidth: 200 pps, Burst: 2048 packets, enabled FPC slot 0 information: Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled Packet type: accounting (Radius accounting traffic) Individual policer configuration: Bandwidth: 100 pps* Burst: 1500 packets* Priority: Low* Recover time: 300 seconds Enabled: Yes Bypass aggregate: No Routing Engine information: Bandwidth: 100 pps, Burst: 1500 packets, enabled FPC slot 0 information: Bandwidth: 100% (100 pps), Burst: 100% (1500 packets), enabled Packet type: authorization (Radius authorization traffic) Individual policer configuration: Bandwidth: 200 pps Burst: 2048 packets Priority: High Recover time: 300 seconds Enabled: Yes Bypass aggregate: No Routing Engine information: Bandwidth: 200 pps, Burst: 2048 packets, enabled FPC slot 0 information: Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
Significado
El resultado del comando muestra la configuración actual del aplicador de agregados RADIUS y de los aplicadores de paquetes de control de autorización, servidor y contabilidad RADIUS. Los valores de Policer que se han modificado a partir de los valores predeterminados se marcan con un asterisco. El resultado muestra que la configuración del controlador de policía RADIUS se ha modificado correctamente.