show ddos-protection protocols

Sintaxis

Descripción

Muestra la configuración y las estadísticas de protección de DDoS del plano de control para grupos de protocolo admitidos o tipos de paquetes individuales.

Opciones

Ninguno	Muestra información para todos los tipos de paquetes en todos los grupos de protocolos.
`aggregate`	(Opcional) Muestra la información de protección de DDoS del plano de control para el agente de policía agregado. La `aggregate` opción está disponible para todos los grupos de protocolo compatibles.
`packet-type`	(Opcional) Muestra la información de protección de DDoS del plano de control para el tipo de paquete especificado en el grupo de protocolo especificado. Los tipos de paquetes disponibles varían según el grupo de protocolos, y solo algunos grupos de protocolos pueden tener policías para tipos de paquetes individuales.
`protocol-group`	(Opcional) Muestra la información de protección de DDoS del plano de control para un grupo de protocolos.

Consulte las siguientes instrucciones de configuración para ver la lista de opciones disponibles protocol-group y packet-type en diferentes dispositivos que puede usar con este comando, que son las mismas que las opciones compatibles que usa para cambiar las configuraciones predeterminadas del aplicador de políticas:

Para dispositivos de enrutamiento, excepto enrutadores serie PTX, consulte protocolos (DDoS).
Para enrutadores serie PTX y conmutadores serie QFX, consulte protocolos (DDoS) (serie ACX, serie PTX y serie QFX).

Nivel de privilegio requerido

Vista

Campos de salida

La tabla 1 enumera los campos de salida del show ddos-protection protocols comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.

Tabla 1: muestra los campos de salida de los protocolos de protección de ddos
Nombre del campo	Descripción del campo
`Packet types`	Número de tipos de paquetes
`Modified`	Número de paquetes para los que se modificaron los valores del agente de policía del valor predeterminado.
`Received traffic`	Número de flujos de tráfico recibidos.
`Currently violated`	Número de flujos que están violando actualmente el límite de ancho de banda del flujo.
`Currently tracked flows`	Número de flujos activos que se rastrean como flujos culpables mediante la detección de flujo.
`Total detected flows`	Número total de flujos culpables que se han detectado, incluidos los que se recuperaron o agotaron el tiempo de salida.
`Protocol Group`	Nombre del grupo de protocolos.
`Packet type`	Nombre del tipo de paquete en el grupo de protocolos.
`Bandwidth`	Valor de policía de ancho de banda; número de paquetes por segundo que se permiten antes de que se declare una infracción.
`Burst`	Valor del agente de policía de ráfagas; la cantidad máxima de paquetes que se permiten en una ráfaga antes de que se declare una infracción.
`Priority`	Prioridad del tipo de paquete para los policías de paquetes individuales que permiten el paso de tráfico más importante en caso de congestión de tráfico: `low`, `medium`o `high`. Los paquetes de prioridad más baja se pueden reducir cuando no hay suficiente ancho de banda disponible.
`Recover time`	Tiempo que debe pasar desde la última infracción antes de que se considere que el flujo de tráfico se recuperó del ataque. Cuando caduca el temporizador, se genera una notificación.
`Enabled`	Estado del agente de policía: `Yes`: el aplicador de políticas está habilitado tanto en el motor de enrutamiento como en la FPC (tarjeta de línea). Este es el estado predeterminado. `No`: el aplicador de políticas está deshabilitado tanto en el motor de enrutamiento como en la FPC mediante la configuración global. La configuración de nivel del tipo de paquete no la deshabilita. `No`: el aplicador de políticas está deshabilitado tanto en el motor de enrutamiento como en la FPC. El asterisco () indica que una o ambas instancias están deshabilitadas en el nivel de tipo de paquete; también puede deshabilitarse globalmente. `Partial`: el aplicador de políticas está deshabilitado en el motor de enrutamiento o en la FPC, pero no en ambos. Está deshabilitado por configuración global. La configuración de nivel del tipo de paquete no la deshabilita. `Partial`: el aplicador de políticas está deshabilitado en el motor de enrutamiento o en la FPC, pero no en ambos. El asterisco () indica que la instancia está deshabilitada por la configuración de nivel de tipo de paquete; también puede deshabilitarse globalmente. La deshabilitación puede ocurrir globalmente para todos los tipos de paquetes en el `[edit system ddos-protection global]` nivel de jerarquía, para un tipo de paquete específico en el `[edit system ddos-protection protocols protocol-group (aggregate \| packet-type]` nivel de jerarquía o en ambos niveles.
`Bypass aggregate`	Estado de la configuración de agregado de derivación: Sí: el agente de policía agregado se omite. No: el agente de policía agregado se aplica. Este campo solo aparece para los agentes de policía individuales.
`Flow detection configuration`	Estado de detección de flujo configurado en el enrutador: Modo de detección: modo de operación para la detección de flujo sospechoso: automático, apagado o activado. Flujos de registro: estado de registro automático de flujos de tráfico sospechosos: encendido (`Yes`) o apagado (`No`). Flujos de tiempo de espera: comportamiento del tiempo de espera del flujo culpable: el flujo se suprime para un período de tiempo de espera configurado (`Yes`) o el flujo se suprime hasta que ya no está en violación (`No`). Tiempo de detección: el tiempo en segundos que debe transcurrir antes de que un flujo sospechoso haya superado el ancho de banda permitido para el tipo de paquete se considera un flujo culpable. Tiempo de recuperación: tiempo en segundos que debe transcurrir antes de que se considere que un flujo culpable ha vuelto a la normalidad. El período comienza cuando el flujo cae por debajo del umbral que desencadenó la última infracción. Tiempo de tiempo de espera: tiempo en segundos que se suprime un flujo culpable, si se han habilitado los tiempos de espera. Configuración de nivel de agregación de flujo: modo de detección de flujo, modo de control de flujo y ancho de banda de flujo para el tráfico en cada uno de los niveles de agregación de flujo de tráfico: suscriptor, interfaz lógica e interfaz física. Modo de detección: estado de detección de flujo: automático, apagado o activado. Modo de control: modo de control del tráfico culpable: caído, mantenido o controlado de nuevo dentro del ancho de banda permitido. Velocidad de flujo: ancho de banda permitido para el tráfico de control en paquetes por segundo.
`System-wide information`	La siguiente información recopilada para el enrutador: Un mensaje indica si se ha infringido el agente de policía. No. de FPC que actualmente reciben un exceso de tráfico: número de tarjetas que actualmente infringen un agente de policía. No. de FPC que han recibido un exceso de tráfico: número de tarjetas que en algún momento han infringido un agente de policía. La infracción se detectó primero en: marca de hora de la primera infracción. Violación vista por última vez en: marca de hora de la última infracción observada. Duración de la infracción: duración de la infracción. Número de violaciones: número de veces que se ha producido la infracción. Recibido: número de paquetes recibidos en todas las ranuras de tarjeta y el motor de enrutamiento. Caído: número de paquetes caídos independientemente de dónde se hayan caído. Velocidad de llegada: velocidad de tráfico actual para los paquetes que llegan de todas las tarjetas y del motor de enrutamiento. Velocidad máxima de llegada: velocidad de tráfico más alta para los paquetes que llegan de todas las tarjetas y del motor de enrutamiento.
`Routing Engine information`	La siguiente información recopilada para el motor de enrutamiento: Ancho de banda: número máximo de paquetes por segundo que se permite. Ráfaga: número máximo de paquetes que se permiten en una ráfaga. Estado del agente de policía: `enabled`: el agente de policía del motor de enrutamiento está habilitado. Este es el estado predeterminado. `disabled`: el agente de policía del motor de enrutamiento está deshabilitado globalmente. La configuración de nivel del tipo de paquete no la deshabilita. `disabled*`: la configuración de nivel del tipo de paquete deshabilita el controlador del motor de enrutamiento; también puede deshabilitarse globalmente. Un mensaje indica si se ha infringido el agente de policía; el policer puede pasarse a las tarjetas individuales, pero la velocidad combinada de paquetes que llegan al motor de enrutamiento puede superar el valor configurado del policer. La infracción se detectó primero en: marca de hora de la primera infracción. Violación vista por última vez en: marca de hora de la última infracción observada. Duración de la infracción: duración de la infracción. Número de violaciones: número de veces que se ha producido la infracción. Recibido: número de paquetes recibidos en el motor de enrutamiento de todas las tarjetas. Caído: número de paquetes caídos en el motor de enrutamiento; incluye paquetes caídos por el agente de policía agregado y por agentes de policía de protocolo individuales. Velocidad de llegada: velocidad de tráfico actual para los paquetes que llegan al motor de enrutamiento desde todas las tarjetas. Velocidad máxima de llegada: velocidad de tráfico más alta para los paquetes que llegan al motor de enrutamiento de todas las tarjetas. Caído por un agente de policía agregado: número de paquetes caídos por el policer agregado. Caído por policías individuales: número de paquetes caídos por un policía individual.
`FPC slot information`	La siguiente información recopilada para la tarjeta en la ranura indicada: Ancho de banda: porcentaje de escala de ancho de banda y la cantidad de paquetes por segundo que se permiten antes de que se declare una infracción. Ráfaga: porcentaje de escala de ráfaga y el número máximo de paquetes que se permiten en una ráfaga antes de que se declare una infracción. Estado del agente de policía: `enabled`: el agente de policía FPC está habilitado. Este es el estado predeterminado. `disabled`— El agente de policía de FPC está deshabilitado globalmente. La configuración de nivel del tipo de paquete no la deshabilita. `disabled*`— La configuración de nivel del tipo de paquete deshabilita el polide policía FPC; también puede deshabilitarse globalmente. Un mensaje indica si se ha infringido el agente de policía. La infracción se detectó primero en: marca de hora de la primera infracción. Violación vista por última vez en: marca de hora de la última infracción observada. Duración de la infracción: duración de la infracción. Número de violaciones: número de veces que se ha producido la infracción. Recibido: número de paquetes recibidos en la tarjeta de línea. Caído: número de paquetes caídos en la tarjeta de línea; incluye paquetes caídos por el agente de policía agregado y por agentes de policía de protocolo individuales. Velocidad de llegada: velocidad de tráfico actual para los paquetes que llegan a la tarjeta de línea. Velocidad máxima de llegada: velocidad de tráfico más alta para los paquetes que llegan a la tarjeta de línea. Caído por este agente de policía: número de paquetes caídos por el policer individual. Caído por un agente de policía agregado: número de paquetes caídos por el policer agregado. Nota: En los enrutadores serie MX con MPC integrados (los enrutadores MX5, MX10, MX40, MX80 y MX104), este campo muestra realmente información para tfeb0, ya que estos enrutadores no tienen ranuras de concentrador de PIC flexible (FPC). En su lugar, el motor de reenvío de paquetes tiene dos FPC "pseudo" (FPC 0 y FPC1).
`Bypass aggr.`	Estado de la configuración de agregado de derivación: Sí: se omite la configuración del agente de policía agregado. No: se aplica la configuración del agente de policía agregado. Los guiones indican que la configuración de agregado de derivación no está disponible; esto solo es posible para los agentes de policía agregados.
`FPC Mod`	Indica si la configuración ha cambiado de la predeterminada para las tarjetas de línea. No: la configuración predeterminada no ha cambiado del valor predeterminado para el tipo de paquete. Sí: la configuración predeterminada ha cambiado del valor predeterminado para el tipo de paquete
`Op mode`	Modo de operación para la detección de flujo sospechoso para el tipo de paquete: siempre activado (`on`), (`auto`) o deshabilitado (`off`).
`Policer BW (pps)`	Valor de policía de ancho de banda; número de paquetes por segundo que se permiten antes de que se declare una infracción.
`Aggr level Op:Fc:Bwidth (pps)`	Modo de operación de flujo, modo de control de flujo y ancho de banda de flujo para el tráfico del tipo de paquete en cada nivel de agregación de flujo de tráfico: suscriptor (`sub`), interfaz lógica (`ifl`) e interfaz física (`ifd`).
`Log flow`	Estado de registro automático de flujos de tráfico sospechosos para el tipo de paquete: activado (`Yes`) o desactivado (`No`).
`Time out`	Estado del comportamiento del tiempo de espera del flujo culpable para el tipo de paquete: el flujo se suprime o monitorea para un período de tiempo de espera configurado (`Yes`) o el flujo se suprime o monitorea hasta que ya no está en violación (`No`).

Salida de muestra

mostrar protocolos de protección de ddos
muestra protocolos de protección de ddos (tipo de paquete específico con detección de flujo deshabilitada)
muestra protocolos de protección de ddos (tipo de paquete específico con detección de flujo habilitada y automática)
muestra protocolos de protección de ddos (tipo de paquete específico con infracción de ancho de banda)

mostrar protocolos de protección de ddos

muestra protocolos de protección de ddos (tipo de paquete específico con detección de flujo deshabilitada)

muestra protocolos de protección de ddos (tipo de paquete específico con detección de flujo habilitada y automática)

muestra protocolos de protección de ddos (tipo de paquete específico con infracción de ancho de banda)

Información de la versión

Comando introducido en la versión 11.2 de Junos OS.

Compatibilidad con la administración mejorada de suscriptores agregada en Junos OS versión 17.3R1.

EN ESTA PÁGINA