Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

protocols (DDoS)

Sintaxis

Nivel jerárquico

Descripción

(Enrutadores serie MX con solo MPC, enrutadores de núcleo T4000 con solo conmutadores FPC5 o EX9200) Configure controladores de protección DDoS del plano de control para todos los tipos de paquetes admitidos dentro de un grupo de protocolos o para un tipo de paquete compatible determinado dentro de un grupo de protocolos.

A partir de Junos OS versión 22.2R1, también hemos habilitado la compatibilidad con las siguientes instrucciones de protocolo DDoS para dispositivos MX10008. En versiones anteriores, los dispositivos MX10008 no eran compatibles con estas instrucciones de protocolo DDoS.

  • Filter-action
  • Virtual-chassis
  • Ttl
  • Redirect
  • Re-services
  • Re-services-v6
  • Rejectv6
  • L2pt
  • Syslog
  • Vxlan
Nota:

Para ver las opciones de configuración del controlador de protección DDoS del plano de control disponibles en enrutadores serie PTX y conmutadores serie QFX, que son diferentes de las opciones descritas aquí, consulte protocolos (DDoS) (serie ACX, serie PTX y serie QFX).
Nota:

Aunque el término ancho de banda suele referirse a bits por segundo (bps), la opción de bandwidth esta función representa un valor de paquetes por segundo (pps) y la opción representa el burst número de paquetes en una ráfaga. Estas opciones se explican por separado.

Opciones

aggregate

Configure el policer para supervisar todos los paquetes de control dentro del grupo de protocolos. Puede configurar un agente de policía agregado para cualquier grupo de protocolos.
packet-type

(Opcional) Nombre del tipo de paquete de control que se va a controlar. Puede configurar un agente de policía específico solo para los siguientes tipos de paquetes y grupos de protocolos:

  • arp— Están disponibles los siguientes tipos de paquetes ARP:

    • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

  • bgp— Están disponibles los siguientes tipos de paquetes BGP:

    • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

  • bgpv6— Están disponibles los siguientes tipos de paquetes BGPv6:

    • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

  • dhcpv4: los siguientes tipos de paquetes están disponibles para el tráfico DHCPv4:

    • ack— Paquetes DHCPACK.

    • bad-packets— Paquetes DHCPv4 con formatos defectuosos.

    • bootp— Paquetes DHCPBOOTP.

    • decline— Paquetes DHCPDECLINE.

    • discover— Paquetes DHCPDISCOVER.

    • force-renew— PAQUETES DHCPFORCERENEW.

    • inform— Paquetes DHCPINFORM.

    • lease-active— Paquetes DHCPLEASEACTIVE.

    • lease-query—PAQUETES DHCPLEASEQUERY.

    • lease-unassigned— PAQUETES DHCPLEASEUNASSIGNED.

    • lease-unknown— Paquetes DHCPLEASEUNKNOWN.

    • nak— Paquetes DHCPNAK.

    • no-message-type— Paquetes DHCP que no tienen el tipo de mensaje.

    • offer— Paquetes DHCPOFFER.

    • release— Paquetes DHCPRELEASE.

    • renew— PAQUETES DHCPRENEW.

    • request—Paquetes DHCPREQUEST.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

  • dhcpv6: los siguientes tipos de paquetes están disponibles para el tráfico DHCPv6:

    • advertise— ANUNCIE paquetes.

    • confirm— CONFIRMAR paquetes.

    • decline— RECHAZAR paquetes.

    • information-request— PAQUETES DE SOLICITUD DE INFORMACIÓN.

    • leasequery— PAQUETES LEASEQUERY.

    • leasequery-data— PAQUETES LEASEQUERY-DATA.

    • leasequery-done— PAQUETES LEASEQUERY-DONE.

    • leasequery-reply— PAQUETES LEASEQUERY-REPLY.

    • rebind— Paquetes REBIND.

    • reconfigure— RECONFIGURAR paquetes.

    • relay-forward— PAQUETES RELAY-FORWARD.

    • relay-reply— Paquetes RELAY-REPLY.

    • release— PAQUETES RELEASE.

    • renew— RENOVAR paquetes.

    • reply— PAQUETES DE RESPUESTA.

    • request— SOLICITAR paquetes.

    • solicit—SOLICITAR paquetes.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

  • filter-action: los siguientes tipos de paquetes están disponibles para paquetes de acción de filtro de firewall no clasificados, enviados al host debido a términos de rechazo en filtros de firewall:

    • filter-v4— Paquetes de acción de filtro IPv4 no clasificados.

    • filter-v6— Paquetes de acción de filtro IPv6 no clasificados.

    • other— Todos los demás paquetes de acción de filtro no clasificados que no son IPv4 o IPv6.

  • frame-relay: los siguientes tipos de paquetes están disponibles para el tráfico de Frame Relay:

    • frf15— Paquetes FRF.15 de frame relay multilink.

    • frf16— Paquetes FRF.16 de frame relay multilink.

  • ip-fragments: los siguientes tipos de paquetes están disponibles para fragmentos ip:

    • first-fragment— Primer fragmento de IP.

    • trail-fragment: último fragmento de IP.

  • ip-options: los siguientes tipos de paquetes están disponibles para el tráfico de opciones IP:

    • non-v4v6— Paquetes de opciones distintos de IPv4/v6.

    • router-alert— Paquetes de opciones de alerta de enrutador.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

  • l2tp: los siguientes tipos de paquetes están disponibles para entornos de red de administración de suscriptores L2TP LNS en Junos OS versiones 13.3R5 y 14.1X50 (esta opción ha sido obsoleta por la ERA de L2TP en los entornos actuales de administración mejorada de suscriptores):

    • cdn— Paquetes de mensajes call-disconnect-notify.

    • hello— Paquetes de mensajes de saludo.

    • iccn— Paquetes de mensajes conectados por llamada entrante.

    • icrq— Paquetes de mensajes de solicitud de llamada entrante.

    • scccn— Paquetes de mensajes start-control-connection-Connected.

    • sccrq— Paquetes de mensajes de inicio-control-conexión-solicitud.

    • stopccn— Paquetes de mensajes de stop-control-conexión-notificación.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

  • mcast-snoop— Control del tráfico para el espionaje multidifusión.

    • igmp— Tráfico IGMP husmeado.

    • mld— Tráfico MLD espiado.

    • pim— Control de tráfico de control PIM husmeado.

  • mlp— Están disponibles los siguientes tipos de paquetes MLP:

    • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

    • add— Agregar solicitudes; paquetes de solicitud de aprendizaje de dirección MAC interna enviados al host.

    • delete— Eliminar solicitudes; paquetes de solicitud de aprendizaje de dirección MAC interna enviados al host.

    • lookup— Solicitudes de búsqueda; paquetes de solicitud de aprendizaje de dirección MAC interna enviados al host.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

    • macpin-exception— Excepciones a la fijación de direcciones MAC (en las que las direcciones MAC aprendidas dinámicamente se anclan para evitar el bucle causado por los movimientos mac de la detección de MAC duplicada).

  • ndpv6— Los siguientes tipos de paquetes NDPv6 están disponibles, excepto donde se indique, a partir de 14.1R8, 14.2R8, 15.1R5, 15.1F7 y 16.1R1:

    • aggregate: se aplica a la combinación de todos los tipos de tráfico de paquetes de control para este grupo de protocolos.

    • invalid-hop-limit— (A partir de 16.1R2) Paquetes de límite de saltos no válidos. Estos mensajes pueden representar paquetes creados en una inundación de paquetes maliciosos basados en la red.

    • neighbor-advertisement— Paquetes publicitarios de vecino. Estos son mensajes que se utilizan para la detección de direcciones duplicadas y para probar la accesibilidad de los vecinos. Los anuncios del vecino se envían en respuesta a los mensajes de solicitud del vecino.

    • neighbor-solicitation— Paquetes de solicitud de vecino. Estos son mensajes que se utilizan para la detección de direcciones duplicadas y para probar la accesibilidad de los vecinos.

    • redirect: redireccionamiento de paquetes.

    • router-advertisement— Paquetes publicitarios de enrutador. Estos son mensajes enviados para anunciar la presencia del enrutador, anunciar prefijos, ayudar en la configuración de direcciones y compartir otra información de vínculo, como el tamaño de la MTU y el límite de saltos. Los nodos IPv6 del vínculo pueden usar esta información para configurarse con una dirección IPv6 e información de enrutamiento, como la puerta de enlace predeterminada.

    • router-solicitation— Paquetes de solicitud de enrutador. Estos son mensajes enviados por los nodos IPv6 cuando se conectan para solicitar anuncios inmediatos de enrutador desde el enrutador.

  • ppp: están disponibles los siguientes tipos de paquetes PPP:

    • authentication— Paquetes de protocolo de autenticación PPP.

    • echo-rep— Paquetes de respuesta de eco LCP.

    • echo-req— Paquetes de solicitud de eco LCP.

    • ipcp— Paquetes de protocolo de control IP.

    • ipv6cp— Paquetes de protocolo de control IPv6.

    • isis— Paquetes IS-IS.

    • lcp— Paquetes de protocolo de control de vínculos.

    • mlppp-lcp— Paquetes LCP MLPPP.

    • mplscp— Paquetes de protocolo de control MPLS.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

  • pppoe— Están disponibles los siguientes tipos de paquetes PPPoE:

    • padi— Paquetes PADI.

    • padm— Paquetes PADM.

    • padn— Paquetes PADN.

    • pado— Paquetes PADO.

    • padr— Paquetes PADR.

    • pads— Paquetes PADS.

    • padt— Paquetes PADT.

  • radius— Están disponibles los siguientes tipos de paquetes RADIUS:

    • accounting— Paquetes de contabilidad RADIUS.

    • authorization— Paquetes de autorización RADIUS.

    • server— Tráfico de servidor RADIUS.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

  • re-services— El siguiente tipo de paquete está disponible para el tráfico IPv4 de redireccionamiento HTTP basado en motor de enrutamiento:

    • captive-portal— Paquetes de entrega de contenido de portal cautivos basados en motor de enrutamiento.

  • re-services-v6— El siguiente tipo de paquete está disponible para el tráfico IPv6 de redireccionamiento HTTP basado en motor de enrutamiento:

    • captive-portal— Paquetes de entrega de contenido de portal cautivos basados en motor de enrutamiento.

  • resolve: los siguientes tipos de paquetes están disponibles para paquetes de resolución no clasificados, que se envían al host debido a una acción de resolución de solicitud de tráfico:

    • mcast-v4— Paquetes de resolución de multidifusión IPv4 no clasificados.

    • mcast-v6— Paquetes de resolución de multidifusión IPv6 no clasificados.

    • ucast-v4— Paquetes de resolución de unidifusión IPv4 sin clasificar.

    • ucast-v6— Paquetes de resolución de unidifusión IPv6 sin clasificar.

    • other— Todos los demás paquetes de resolución no clasificados.

  • sample— Están disponibles los siguientes tipos de paquetes de ejemplo:

    • host— Paquetes host.

    • pfe— Paquetes del motor de reenvío de paquetes.

    • syslog— Paquetes de mensajes de registro del sistema.

    • tap— Paquetes TAP.

  • tcp-flags— Están disponibles los siguientes tipos de paquetes marcados por TCP:

    • established— Paquetes TCP con conjunto de marcas ACK o RST.

    • initial— Los paquetes TCP con el conjunto de indicadores SYN y la marca ACK no se establecen.

    • unclassified— Paquetes TCP con marcas establecidas de otra manera que los paquetes establecidos e iniciales.

  • unclassified— Están disponibles los siguientes tipos de paquetes sin clasificar:

    • control-layer2— Paquetes de control de capa 2 no clasificados.

    • control-v4— Paquetes de control IPv4 no clasificados.

    • control-v6— Paquetes de control IPv6 no clasificados.

    • fw-host— Paquetes de firewall de envío a host no clasificados.

    • host-route-v4— Protocolo de enrutamiento IPv4 sin clasificar y paquetes host en el tráfico enviado a la dirección de interfaz local del enrutador.

    • host-route-v6— Protocolo de enrutamiento IPv6 sin clasificar y paquetes host en el tráfico enviado a la dirección de interfaz local del enrutador.

    • other— Todos los paquetes no clasificados que no pertenecen a otro tipo.

  • virtual-chassis— Los siguientes tipos de paquetes están disponibles para paquetes de chasis virtual:

    • control-low— Paquetes de control de prioridad baja.

    • control-high— Paquetes de control de alta prioridad.

    • unclassified— Todos los paquetes sin clasificar en el grupo de protocolos.

    • vc-packets— Todos los paquetes de excepción en el vínculo de chasis virtual.

    • vc-ttl-errors— Paquetes de error TTL de chasis virtual.
protocol-group

Nombre del grupo de protocolos para el que se policia el tráfico. Puede configurar un agente de policía para cualquiera de los siguientes grupos de protocolos:

  • amtv4— Tráfico AMT IPv4.

  • amtv6— Tráfico AMT IPv6.

  • ancp— Tráfico ANCP.

  • ancpv6— Tráfico ANCPv6.

  • arp—Tráfico ARP.

  • atm— Tráfico ATM.

  • bfd— Tráfico BFD.

  • bfdv6— Tráfico BFDv6.

  • bgp— Tráfico BGP.

  • bgpv6—Tráfico BGPv6.

  • control: control del tráfico.

  • demux-autosense— Demux optimiza el tráfico.

  • dhcpv4— Tráfico DHCPv4.

  • dhcpv6— Tráfico DHCPv6.

  • diameter— Diámetro y tráfico Gx-Plus.

  • dns—Tráfico DNS.

  • dtcp—Tráfico DTCP.

  • dynamic-vlan— Tráfico de excepción de VLAN dinámica.

  • egpv6— Tráfico EGPv6.

  • eoam—Tráfico EOAM.

  • esmc—Tráfico ESMC.

  • fab-probe— Paquetes de sondeo fab out.

  • filter-action— Paquetes de acción de filtro de firewall IPv4 e IPv6 enviados al host debido a los términos de rechazo en los filtros de firewall

  • frame-relay— Tráfico de Frame Relay.

  • ftp—Tráfico FTP.

  • ftpv6—Tráfico FTPv6.

  • gre—Tráfico GRE.

  • gtp-path-mgmt— Tráfico de administración de rutas GTP.

  • icmp— Tráfico ICMP.

  • igmp—Tráfico IGMP

  • igmpv4v6— Tráfico IGMP v4/v6.

  • igmpv6— Tráfico IGMPv6.

  • inline-ka— Las interfaces de servicio en línea mantienen el tráfico de tráfico.

  • inline-svcs— Tráfico de servicios en línea.

  • ip-fragments— El tráfico de fragmentos de IP.

  • ip-options–Tráfico IP con opciones de encabezado de paquete IP.

  • isis— Tráfico IS-IS.

  • jfm—Tráfico DE JFM.

  • l2pt— Tráfico de tunelización de protocolo de capa 2.

  • lacp—Tráfico LACP.

  • ldp—Tráfico LDP.

  • ldpv6— Tráfico LDPv6.

  • lldp—Tráfico LLDP.

  • lmp— Tráfico LMP.

  • lmpv6— Tráfico LMPv6.

  • mac-host— Tráfico mac de envío a host de capa 2.

  • mcast-snoop— Control del tráfico para el espionaje multidifusión.

  • mlp—Tráfico MLP.

  • msdp— Tráfico MSDP.

  • msdpv6— Tráfico MSDPv6.

  • multicast-copy: el tráfico de copia del host debido al enrutamiento de multidifusión.

  • mvrp—Tráfico MVRP.

  • ndpv6— Tráfico NDPv6.

  • ntp— Tráfico NTP.

  • oam-lfm— Tráfico OAM-LFM.

  • ospf— Tráfico OSPF.

  • ospfv3v6— Tráfico OSPFv3/IPv6.

  • pfcp— Tráfico del protocolo de control de reenvío de paquetes (PFCP).

  • pfe-alive— El motor de reenvío de paquetes mantiene el tráfico.

  • pim—Tráfico PIM.

  • pimv6—Tráfico PIMv6.

  • pmvrp— Tráfico PMVRP.

  • pos—Tráfico de PUNTO de venta.

  • ppp—Tráfico PPP.

  • pppoe—Tráfico PPPoE.

  • ptp—Tráfico PTP.

  • pvstp—Tráfico PVSTP.

  • radius—Tráfico RADIUS.

  • re-services— Entrega de contenido cautivo del portal tráfico IPv4 para redireccionamiento HTTP del motor de enrutamiento.

  • re-services-v6— Entrega de contenido cautivo del portal tráfico IPv6 para redireccionamiento HTTP del motor de enrutamiento.

  • redirect— El tráfico que activa las redirecciones ICMP.

  • reject— Paquetes rechazados por una decisión de reenvío de próximo salto.

  • rejectv6— Paquetes V6 rechazados por una decisión de reenvío de salto siguiente.

  • resolve: los paquetes IPv4 e IPv6 no clasificados que se envían al host debido a una acción de resolución de solicitud de tráfico.

  • rip— Tráfico RIP.

  • ripv6— Tráfico RIPv6.

  • rsvp— Tráfico RSVP.

  • rsvpv6— Tráfico RSVPv6.

  • services–Tráfico de servicio.

  • snmp—Tráfico SNMP.

  • snmpv6—Tráfico SNMPv6.

  • ssh—Tráfico SSH.

  • sshv6—Tráfico SSHv6.

  • stp—Tráfico STP.

  • syslog— Mensajes de registro del sistema tráfico UDP en el puerto 6333 para el servidor syslog del motor de enrutamiento.

  • tacacs— Tráfico TACACS.

  • tcp-flags— Tráfico con indicadores TCP.

  • telnet—Tráfico TELNET.

  • telnetv6— Tráfico TELNETv6.

  • ttl—Tráfico TTL.

  • tunnel-fragment— El túnel fragmenta el tráfico.

  • tunnel-ka— Tráfico de keepalive del túnel.

  • unclassified— Tráfico no clasificado.

  • virtual-chassis— Tráfico de chasis virtual.

  • vrrp—Tráfico VRRP.

  • vrrpv6— Tráfico VRRPv6.

  • vxlan—Tráfico de capa 2 y capa 3 VXLAN.

Las instrucciones restantes se explican por separado. Busque una instrucción en el Explorador de CLI o haga clic en una instrucción vinculada en la sección Sintaxis para obtener más información.

Nivel de privilegio requerido

admin: para ver esta instrucción en la configuración.

admin-control: para agregar esta instrucción a la configuración.

Información de la versión

Instrucción introducida en la versión 11.2 de Junos OS.

Compatibilidad con la administración mejorada de suscriptores agregada en Junos OS versión 17.3R1.

Documentación relacionada