Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: configuración de la protección DDoS del plano de control en conmutadores de la serie QFX

En este ejemplo se muestra cómo configurar la protección DDoS del plano de control para que un conmutador pueda identificar rápidamente un ataque y evitar que una avalancha de paquetes de control malintencionados agote los recursos del sistema.

Requisitos

La protección DDoS del plano de control requiere el siguiente hardware y software:

  • Conmutador de la serie QFX compatible con la protección DDoS del plano de control

  • Junos OS versión 15.1X53-D10 o posterior

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.

Visión general

Los ataques de denegación de servicio distribuido (DDoS) utilizan múltiples fuentes para inundar una red con paquetes de control de protocolo. Este tráfico malicioso desencadena un gran número de excepciones en la red e intenta agotar los recursos del sistema para denegar a los usuarios válidos el acceso a la red o al servidor.

La protección DDoS del plano de control está habilitada de forma predeterminada en un conmutador serie QFX compatible. En este ejemplo se describe cómo modificar la configuración predeterminada de los aplicadores de limitación de velocidad que identifican el tráfico de control excesivo y descartan los paquetes antes de que el conmutador se vea afectado negativamente. Entre las tareas de ejemplo se incluyen la configuración de un aplicador de políticas agregado para un grupo de protocolos, la configuración de políticas para tipos de paquetes de control concretos dentro de un grupo de protocolos y la especificación de opciones de seguimiento para las operaciones de protección DDoS del plano de control.

En este ejemplo se muestra cómo cambiar algunos de los parámetros y el comportamiento predeterminados de la policía para el grupo de radius protocolos y el tipo de paquete Radius accounting . Puede usar los mismos comandos para cambiar los límites de la aplicación de políticas para otros grupos de protocolos y tipos de paquetes admitidos. Consulte la instrucción de configuración de protección DDoS en el nivel de [edit system] jerarquía para conocer todas las opciones de configuración disponibles.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la protección DDoS del plano de control para grupos de protocolos y tipos de paquetes de control concretos, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar la protección DDoS del plano de control:

  1. Especifique un grupo de protocolos.

  2. Configure la tasa de tráfico máxima para el aplicador de agregados RADIUS; es decir, para la combinación de todos los paquetes RADIUS.

    Nota:

    La tasa de tráfico se cambia mediante la bandwidth opción. Aunque el término ancho de banda suele referirse a bits por segundo (bps), la opción de bandwidth esta característica representa un valor de paquetes por segundo (pps).

  3. Configure el tamaño máximo de ráfaga (número de paquetes) para el aplicador de agregados RADIUS.

  4. Configure una velocidad máxima de tráfico (pps) y un tamaño de ráfaga (paquetes) diferentes para los paquetes de contabilidad RADIUS.

  5. Disminuya la prioridad de los paquetes de contabilidad RADIUS.

  6. Impedir que los paquetes de control de servidor RADIUS se incluyan en el ancho de banda agregado (pps); es decir, los paquetes de servidor no contribuyen al tráfico RADIUS combinado para determinar si se supera el ancho de banda agregado. Sin embargo, los paquetes del servidor todavía se incluyen en las estadísticas de velocidad de tráfico.

  7. (Solo en conmutadores con varias tarjetas de línea) Reduzca el ancho de banda (pps) y el tamaño de ráfaga (paquetes) permitidos antes de que se declare una infracción para el controlador RADIUS en la FPC en la ranura 1.

  8. Configure el seguimiento para todos los eventos de procesamiento del protocolo de protección DDoS del plano de control.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show ddos-protection comando en el nivel de system jerarquía.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración de protección DDoS del plano de control funciona correctamente, realice estas tareas:

Verificación de la configuración de protección DDoS del plano de control

Propósito

Compruebe que los valores del aplicador RADIUS han cambiado con respecto al valor predeterminado.

Acción

Desde el modo operativo, ingrese el show ddos-protection protocols radius parameters comando.

Significado

El resultado del comando muestra la configuración actual del aplicador de agregados RADIUS y de los aplicadores de paquetes de control de autorización, servidor y contabilidad RADIUS. Los valores de Policer que se han modificado a partir de los valores predeterminados se marcan con un asterisco. El resultado muestra que la configuración del controlador de policía RADIUS se ha modificado correctamente.