Configuración de la protección DDoS del plano de control
La protección DDoS del plano de control está habilitada de forma predeterminada para todos los grupos de protocolos y tipos de paquetes compatibles. Los dispositivos tienen valores predeterminados para ancho de banda (velocidad de paquetes en pps), escala de ancho de banda, ráfaga (número de paquetes en una ráfaga), escala de ráfaga, prioridad y tiempo de recuperación. Para ver los valores predeterminados del aplicador de políticas para todos los grupos de protocolos y tipos de paquetes admitidos, ejecute el comando de la show ddos-protection protocols
CLI antes de modificar cualquier valor de protección DDoS configurable.
Es posible que los conmutadores EX2300 y EX2300-C tengan protección DDoS del plano de control, pero no admitan las opciones de CLI para mostrar o cambiar los parámetros predeterminados del aplicador de policía.
A partir de Junos OS versión 24.2R1, los dispositivos EX4100 y EX4400 y a partir de Junos OS versión 24.4R1, los dispositivos EX3400 y EX4300-MP admiten opciones de CLI para mostrar o cambiar los parámetros predeterminados del aplicador de aplicación.
Puede cambiar los parámetros de configuración de DDoS del plano de control de la siguiente manera:
Para los tipos de paquetes individuales admitidos dentro de un grupo de protocolos, puede cambiar los valores de ancho de banda (pps), ráfaga (paquetes) y prioridad del aplicador de política.
Nota:En enrutadores PTX10003 y PTX10008, puede cambiar los valores predeterminados de ancho de banda (pps) y ráfaga (paquetes) para los administradores agregados o de tipo de paquete, pero no los valores de prioridad.
Para el separador agregado de un grupo de protocolos, puede cambiar los valores del aplicador de ancho de banda (pps) y ráfaga (paquetes).
Cuando se establecen valores de ancho de banda (pps), ráfaga (paquetes) y prioridad para un grupo de protocolo o un aplicador de tipo de paquete, se aplican los mismos valores en todos los niveles del aplicador de aplicación. Cambie las opciones de configuración de escala para ajustar esos valores en el nivel del motor de reenvío de paquetes.
Nota:Los enrutadores de la serie ACX con protección DDoS del plano de control admiten el cambio de valores de aplicador en el nivel del motor de enrutamiento, que se propaga hasta el nivel del chipset PFE. No admiten las opciones de configuración de escala de tarjeta de línea en la jerarquía de
[edit system ddos-protection protocols protocol-group aggregate fpc
instrucciones.
Puede deshabilitar la protección DDoS del plano de control de la siguiente manera:
En la mayoría de los dispositivos de enrutamiento que tienen políticas en el nivel del motor de enrutamiento, puede deshabilitar la protección DDoS del plano de control en el motor de enrutamiento y para todas las tarjetas de línea, ya sea globalmente o para tipos de paquetes individuales dentro de un grupo de protocolos.
-
Los enrutadores PTX10003, PTX10008 y PTX10016 incluyen aplicadores de políticas a nivel de motor de enrutamiento, pero al igual que otros enrutadores de la serie PTX, sólo puede deshabilitar los controladores de tarjetas de línea.
En otros enrutadores de la serie PTX y conmutadores de la serie QFX, los aplicadores de políticas sólo se admiten en las tarjetas de línea, por lo que en estos dispositivos puede deshabilitar la protección DDoS del plano de control para todas las tarjetas de línea, ya sea globalmente o para tipos de paquetes individuales dentro de un grupo de protocolos.
El registro DDoS del plano de control está habilitado de forma predeterminada, pero puede deshabilitarlo globalmente para todos los eventos DDoS del plano de control o para tipos de paquetes individuales dentro de un grupo de protocolos. También puede configurar operaciones de seguimiento para supervisar eventos DDoS del plano de control.
Los enrutadores de la serie MX con MPC y los enrutadores T4000 con FPC5 admiten la protección DDoS del plano de control. La CLI acepta la configuración si también hay otras tarjetas de línea instaladas en cualquiera de estos tipos de enrutadores, pero las otras tarjetas de línea no están protegidas, por lo que el enrutador no está protegido en esencia.
Para cambiar los parámetros de protección DDoS del plano de control configurados por defecto:
(Opcional) Configure las opciones de protección DDoS del plano de control global o deshabilite la protección DDoS del plano de control.
(Opcional) Configure las opciones de protección DDoS del plano de control para el aplicador de políticas agregadas o tipos de paquetes individuales para los grupos de protocolos deseados.
(Opcional) Configure el seguimiento para las operaciones de protección DDoS del plano de control.
Deshabilitar los aplicadores de protección DDoS del plano de control y registrar globalmente
Los políticas de protección DDoS del plano de control están habilitados de forma predeterminada para todos los grupos de protocolos y tipos de paquetes admitidos.
En los enrutadores de la serie ACX, puede deshabilitar los aplicadores de políticas globalmente o para grupos de protocolos individuales en el nivel del motor de enrutamiento. La desactivación de los aplicadores de políticas a nivel mundial deshabilita esencialmente la protección DDoS del plano de control en el dispositivo.
En los enrutadores serie MX, enrutadores T4000 y conmutadores EX9200, los aplicadores de políticas se establecen a nivel de la tarjeta de línea individual y el motor de enrutamiento. Puede deshabilitar los aplicadores de tarjetas de línea globalmente para todos los MPC o FPC5. También puede deshabilitar el aplicador de políticas del motor de enrutamiento. Cuando se deshabilita cualquiera de estos policiares, se deshabilitan los aplicadores de ese nivel para todos los grupos de protocolos y tipos de paquetes.
En los enrutadores de la serie PTX y los conmutadores de la serie QFX, los controladores se establecen únicamente a nivel de tarjetas de línea individuales. Si desactiva los aplicadores de tarjeta de línea globalmente, la protección DDoS del plano de control se desactiva en el conmutador.
Los enrutadores PTX10003, PTX10008 y PTX10016 incluyen aplicadores de políticas a nivel de motor de enrutamiento, pero al igual que otros enrutadores de la serie PTX, sólo puede deshabilitar los controladores de tarjetas de línea.
El registro de protección DDoS del plano de control también está habilitado de forma predeterminada. Puede deshabilitar todo el registro de eventos DDoS del plano de control (incluido el registro de eventos de detección de flujo) para todos los grupos de protocolos y tipos de paquetes en el enrutador o conmutador.
La configuración global para deshabilitar los aplicadores de políticas y el registro anula cualquier configuración local para los tipos de paquetes.
Para configurar las opciones de protección DDoS del plano de control global:
Configuración de la protección DDoS del plano de control Aplicadores de tipo de paquete agregados o individuales
Los politarizadores DDoS del plano de control se aplican para controlar el tráfico de paquetes y están habilitados de forma predeterminada para todos los grupos de protocolos y tipos de paquetes admitidos. Puede cambiar los parámetros predeterminados del aplicador para configurar valores diferentes para la tasa de tráfico máxima permitida, el tamaño máximo de ráfaga, la prioridad del tráfico y el tiempo que debe pasar desde la última infracción antes de que se considere que el flujo de tráfico se ha recuperado del ataque. También puede escalar los valores de ancho de banda y ráfaga de tarjetas de línea individuales para que los aplicadores de políticas de este nivel se activen en umbrales inferiores a los umbrales generales de protocolo o paquetes.
La compatibilidad con grupos de protocolos y tipos de paquetes varía según las plataformas y las versiones de Junos OS, como se indica a continuación:
Para la mayoría de los dispositivos de enrutamiento, consulte protocolos (DDoS).
Para los enrutadores de la serie ACX, los enrutadores de la serie PTX y los conmutadores de la serie QFX, consulte protocolos (DDoS) (serie ACX, serie PTX y serie QFX).
Puede configurar valores de aplicador de agregado para cualquier grupo de protocolos. El aplicador de políticas agregadas se aplica a la combinación de todos los tipos de tráfico de paquetes de control para ese grupo.
Los enrutadores serie ACX solo admiten el aplicador de políticas agregadas para cualquier grupo de protocolos compatible.
Para algunos grupos de protocolos, también puede configurar valores de aplicador para tipos de paquetes individuales. Al configurar valores de aplicador de agregado para determinados grupos de protocolos, puede omitir opcionalmente ese aplicador para uno o varios tipos de paquetes concretos de ese grupo.
Aunque todos los aplicadores de políticas tienen valores de parámetro predeterminados, es posible que estos valores no reflejen con precisión el patrón de tráfico de control de la red. Le recomendamos que modele su red para determinar los mejores valores para su situación. Antes de configurar los aplicadores de políticas para la red, puede ver rápidamente los valores predeterminados de todos los tipos de paquetes desde el modo operativo mediante el show ddos-protection protocols parameters brief
comando. También puede utilizar el comando para especificar un único grupo de protocolo de interés. Por ejemplo, para ver los valores predeterminados del grupo de dhcpv4
protocolos, utilice el show ddos-protection protocols dhcpv4 parameters brief
comando.
Puede deshabilitar un aplicador de tipo de paquete en el nivel del motor de enrutamiento (si es compatible) o en el nivel del motor de reenvío de paquetes (si es compatible) para una tarjeta de línea especificada o para todas las tarjetas de línea. También puede deshabilitar el registro de todos los eventos de protección DDoS del plano de control para tipos de paquetes individuales dentro de un grupo de protocolos.
Para configurar los ajustes deseados del aplicador de políticas de protección DDoS agregados o de tipo paquete:
Ver también
Verificación y administración de la protección DDoS del plano de control
Propósito
Vea o aclare información sobre las configuraciones, los estados y las estadísticas de protección DDoS del plano de control.
Acción
Para mostrar la configuración, el estado de infracción y las estadísticas de la política de protección DDoS del plano de control para todos los tipos de paquetes de todos los grupos de protocolos:
user@host> show ddos-protection protocols
Ejecute este comando antes de realizar cambios en la configuración para ver los valores predeterminados de la herramienta de aplicación.
Para mostrar la configuración, el estado de infracción y las estadísticas de la política de protección DDoS del plano de control para un tipo de paquete determinado en un grupo de protocolos determinado:
user@host> show ddos-protection protocols protocol-group packet-type
Para mostrar solo el número de infracciones de la policía de protección DDoS del plano de control para todos los grupos de protocolos:
user@host> show ddos-protection protocols violations
Para mostrar una tabla de la configuración de protección DDoS del plano de control para todos los tipos de paquetes de todos los grupos de protocolos:
user@host> show ddos-protection protocols parameters brief
Para mostrar una lista completa de estadísticas de paquetes y estadísticas de infracción de protección DDoS del plano de control para todos los tipos de paquetes en todos los grupos de protocolos:
user@host> show ddos-protection protocols statistics detail
Para mostrar estadísticas de infracción de protección DDoS del plano de control global:
user@host> show ddos-protection statistics
Para mostrar el número de versión de protección DDoS del plano de control:
user@host> show ddos-protection version
Para borrar las estadísticas de protección DDoS del plano de control para todos los tipos de paquetes de todos los grupos de protocolos:
user@host> clear ddos-protection protocols statistics
Para borrar las estadísticas de protección DDoS del plano de control para todos los tipos de paquetes de un grupo de protocolos determinado:
user@host> clear ddos-protection protocols protocol-group statistics
Para borrar las estadísticas de protección DDoS del plano de control para un tipo de paquete concreto de un grupo de protocolos determinado:
user@host> clear ddos-protection protocols protocol-group packet-type statistics
Para borrar los estados de infracción de protección DDoS del plano de control para todos los tipos de paquetes en todos los grupos de protocolos:
user@host> clear ddos-protection protocols states
Para borrar los estados de infracción de protección DDoS del plano de control para todos los tipos de paquetes de un grupo de protocolos determinado:
user@host> clear ddos-protection protocols protocol-group states
Para borrar los estados de infracción de protección DDoS del plano de control para un tipo de paquete determinado en un grupo de protocolos determinado:
user@host> clear ddos-protection protocols protocol-group packet-type states