ddos-protection (DDoS)
Sintaxis (enrutadores de la serie ACX)
ddos-protection
global {
disable-routing-engine;
disable-logging;
}
protocols protocol-group aggregate {
bandwidth packets-per-second;
burst size;
disable-logging;
disable-routing-engine;
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Sintaxis (enrutadores serie PTX y conmutadores serie QFX)
ddos-protection
global {
disable-fpc;
disable-logging;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
priority level;
}
traceoptions {
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Sintaxis (otros enrutadores y conmutadores EX9200)
ddos-protection
global {
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection;
flow-level-control;
flow-detection-mode;
flow-report-rate;
violation-report-rate;
}
protocols protocol-group (aggregate | packet-type) {
bandwidth packets-per-second;
burst size;
bypass-aggregate;
disable-fpc;
disable-logging;
disable-routing-engine;
flow-detection-mode (automatic | off | on);
flow-detect-time seconds;
flow-level-bandwidth {
logical-interface flow-bandwidth;
physical-interface flow-bandwidth;
subscriber flow-bandwidth;
}
flow-level-control {
logical-interface flow-control-mode;
physical-interface flow-control-mode;
subscriber flow-control-mode;
}
flow-level-detection {
logical-interface flow-detection-mode;
physical-interface flow-detection-mode;
subscriber flow-detection-mode;
}
flow-recover-time seconds;
flow-timeout-time seconds;
fpc slot-number {
bandwidth-scale percentage;
burst-scale percentage;
disable-fpc;
}
no-flow-logging
priority level;
recover-time seconds;
timeout-active-flows;
}
traceoptions{
file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>;
flag flag;
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Nivel jerárquico
[edit system]
Descripción
Configure los policías de protección DDoS para la protección DDoS del plano de control.
Los ataques DDoS suelen usar paquetes de control de red para activar un gran número de excepciones en el plano de control de un dispositivo que interrumpe las operaciones normales de red. La protección DDoS protege el tráfico para permitir que el dispositivo continúe funcionando bajo un ataque DDoS.
La protección DDoS está habilitada de forma predeterminada en dispositivos compatibles con los grupos de protocolos y los tipos de paquetes disponibles en el dispositivo. Puede deshabilitar determinados agentes de policía o cambiar los parámetros predeterminados del policer, incluidos los siguientes:
Establezca la velocidad de tráfico máxima permitida, el tamaño máximo de ráfaga y la prioridad del tráfico.
(En algunos dispositivos) Defina cuánto tiempo debe pasar desde la última infracción antes de que se considere que el flujo de tráfico se recuperó del ataque.
(En algunos dispositivos) Escale el ancho de banda y los valores de ráfaga para tarjetas de línea individuales, de modo que los agentes de policía de este nivel se activen en umbrales más bajos que los umbrales generales de protocolo o paquete.
Es posible que algunos conmutadores de la serie EX tengan protección DDoS del plano de control, pero no admiten opciones de CLI para mostrar o cambiar los parámetros predeterminados del aplicador de políticas.
La protección DDoS admite agentes de policía para muchos grupos de protocolos. En algunos dispositivos, puede cambiar los parámetros del policer para tipos de paquetes específicos dentro de algunos grupos de protocolos. La compatibilidad con grupos de protocolos y tipos de paquete varía según las plataformas y las versiones de Junos OS. Consulte la protocols instrucción para obtener más información sobre las principales diferencias, como sigue:
Para enrutadores serie ACX, enrutadores serie PTX y conmutadores serie QFX, consulte protocolos (DDoS) (serie ACX, serie PTX y serie QFX).
Para todos los demás dispositivos de enrutamiento y conmutadores EX9200, consulte protocolos (DDoS).
Las instrucciones restantes de esta jerarquía de instrucciones de configuración se explican por separado. Busque una instrucción en el Explorador de CLI o haga clic en una instrucción vinculada en la sección Sintaxis para obtener más información.
Los enrutadores serie PTX y los conmutadores QFX10002-60C no admiten la bypass-aggregate opción.
Nivel de privilegio requerido
admin: para ver esta instrucción en la configuración.
admin-control: para agregar esta instrucción a la configuración.
Información de la versión
Instrucción introducida en la versión 11.2 de Junos OS.
Compatibilidad con la administración mejorada de suscriptores agregada en Junos OS versión 17.3R1.