Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de la protección DDoS del plano de control

La protección DDoS del plano de control está habilitada de forma predeterminada para todos los grupos de protocolos y tipos de paquetes compatibles. Los dispositivos tienen valores predeterminados para ancho de banda (velocidad de paquetes en pps), escala de ancho de banda, ráfaga (número de paquetes en una ráfaga), escala de ráfaga, prioridad y tiempo de recuperación. Para ver los valores predeterminados del aplicador de políticas para todos los grupos de protocolos y tipos de paquetes admitidos, ejecute el comando de la show ddos-protection protocols CLI antes de modificar cualquier valor de protección DDoS configurable.

Nota:

Es posible que los conmutadores EX2300 y EX2300-C tengan protección DDoS del plano de control, pero no admitan las opciones de CLI para mostrar o cambiar los parámetros predeterminados del aplicador de policía.

A partir de Junos OS versión 24.2R1, los dispositivos EX4100 y EX4400 y a partir de Junos OS versión 24.4R1, los dispositivos EX3400 y EX4300-MP admiten opciones de CLI para mostrar o cambiar los parámetros predeterminados del aplicador de aplicación.

Puede cambiar los parámetros de configuración de DDoS del plano de control de la siguiente manera:

  • Para los tipos de paquetes individuales admitidos dentro de un grupo de protocolos, puede cambiar los valores de ancho de banda (pps), ráfaga (paquetes) y prioridad del aplicador de política.

    Nota:

    En enrutadores PTX10003 y PTX10008, puede cambiar los valores predeterminados de ancho de banda (pps) y ráfaga (paquetes) para los administradores agregados o de tipo de paquete, pero no los valores de prioridad.

  • Para el separador agregado de un grupo de protocolos, puede cambiar los valores del aplicador de ancho de banda (pps) y ráfaga (paquetes).

  • Cuando se establecen valores de ancho de banda (pps), ráfaga (paquetes) y prioridad para un grupo de protocolo o un aplicador de tipo de paquete, se aplican los mismos valores en todos los niveles del aplicador de aplicación. Cambie las opciones de configuración de escala para ajustar esos valores en el nivel del motor de reenvío de paquetes.

    Nota:

    Los enrutadores de la serie ACX con protección DDoS del plano de control admiten el cambio de valores de aplicador en el nivel del motor de enrutamiento, que se propaga hasta el nivel del chipset PFE. No admiten las opciones de configuración de escala de tarjeta de línea en la jerarquía de [edit system ddos-protection protocols protocol-group aggregate fpc instrucciones.

Puede deshabilitar la protección DDoS del plano de control de la siguiente manera:

  • En la mayoría de los dispositivos de enrutamiento que tienen políticas en el nivel del motor de enrutamiento, puede deshabilitar la protección DDoS del plano de control en el motor de enrutamiento y para todas las tarjetas de línea, ya sea globalmente o para tipos de paquetes individuales dentro de un grupo de protocolos.

  • Los enrutadores PTX10003, PTX10008 y PTX10016 incluyen aplicadores de políticas a nivel de motor de enrutamiento, pero al igual que otros enrutadores de la serie PTX, sólo puede deshabilitar los controladores de tarjetas de línea.

  • En otros enrutadores de la serie PTX y conmutadores de la serie QFX, los aplicadores de políticas sólo se admiten en las tarjetas de línea, por lo que en estos dispositivos puede deshabilitar la protección DDoS del plano de control para todas las tarjetas de línea, ya sea globalmente o para tipos de paquetes individuales dentro de un grupo de protocolos.

El registro DDoS del plano de control está habilitado de forma predeterminada, pero puede deshabilitarlo globalmente para todos los eventos DDoS del plano de control o para tipos de paquetes individuales dentro de un grupo de protocolos. También puede configurar operaciones de seguimiento para supervisar eventos DDoS del plano de control.

Nota:

Los enrutadores de la serie MX con MPC y los enrutadores T4000 con FPC5 admiten la protección DDoS del plano de control. La CLI acepta la configuración si también hay otras tarjetas de línea instaladas en cualquiera de estos tipos de enrutadores, pero las otras tarjetas de línea no están protegidas, por lo que el enrutador no está protegido en esencia.

Para cambiar los parámetros de protección DDoS del plano de control configurados por defecto:

  1. (Opcional) Configure las opciones de protección DDoS del plano de control global o deshabilite la protección DDoS del plano de control.

  2. (Opcional) Configure las opciones de protección DDoS del plano de control para el aplicador de políticas agregadas o tipos de paquetes individuales para los grupos de protocolos deseados.

  3. (Opcional) Configure el seguimiento para las operaciones de protección DDoS del plano de control.

Deshabilitar los aplicadores de protección DDoS del plano de control y registrar globalmente

Los políticas de protección DDoS del plano de control están habilitados de forma predeterminada para todos los grupos de protocolos y tipos de paquetes admitidos.

En los enrutadores de la serie ACX, puede deshabilitar los aplicadores de políticas globalmente o para grupos de protocolos individuales en el nivel del motor de enrutamiento. La desactivación de los aplicadores de políticas a nivel mundial deshabilita esencialmente la protección DDoS del plano de control en el dispositivo.

En los enrutadores serie MX, enrutadores T4000 y conmutadores EX9200, los aplicadores de políticas se establecen a nivel de la tarjeta de línea individual y el motor de enrutamiento. Puede deshabilitar los aplicadores de tarjetas de línea globalmente para todos los MPC o FPC5. También puede deshabilitar el aplicador de políticas del motor de enrutamiento. Cuando se deshabilita cualquiera de estos policiares, se deshabilitan los aplicadores de ese nivel para todos los grupos de protocolos y tipos de paquetes.

En los enrutadores de la serie PTX y los conmutadores de la serie QFX, los controladores se establecen únicamente a nivel de tarjetas de línea individuales. Si desactiva los aplicadores de tarjeta de línea globalmente, la protección DDoS del plano de control se desactiva en el conmutador.

Los enrutadores PTX10003, PTX10008 y PTX10016 incluyen aplicadores de políticas a nivel de motor de enrutamiento, pero al igual que otros enrutadores de la serie PTX, sólo puede deshabilitar los controladores de tarjetas de línea.

El registro de protección DDoS del plano de control también está habilitado de forma predeterminada. Puede deshabilitar todo el registro de eventos DDoS del plano de control (incluido el registro de eventos de detección de flujo) para todos los grupos de protocolos y tipos de paquetes en el enrutador o conmutador.

Nota:

La configuración global para deshabilitar los aplicadores de políticas y el registro anula cualquier configuración local para los tipos de paquetes.

Para configurar las opciones de protección DDoS del plano de control global:

  1. (Opcional) (No disponible en enrutadores de la serie ACX) Para desactivar los aplicadores de tarjetas de línea:
  2. (Opcional) (No disponible en enrutadores de la serie PTX ni en conmutadores de la serie QFX) Para deshabilitar los aplicadores de políticas de motor de enrutamiento:
  3. (Opcional) Para deshabilitar el registro de eventos:

Configuración de la protección DDoS del plano de control Aplicadores de tipo de paquete agregados o individuales

Los politarizadores DDoS del plano de control se aplican para controlar el tráfico de paquetes y están habilitados de forma predeterminada para todos los grupos de protocolos y tipos de paquetes admitidos. Puede cambiar los parámetros predeterminados del aplicador para configurar valores diferentes para la tasa de tráfico máxima permitida, el tamaño máximo de ráfaga, la prioridad del tráfico y el tiempo que debe pasar desde la última infracción antes de que se considere que el flujo de tráfico se ha recuperado del ataque. También puede escalar los valores de ancho de banda y ráfaga de tarjetas de línea individuales para que los aplicadores de políticas de este nivel se activen en umbrales inferiores a los umbrales generales de protocolo o paquetes.

La compatibilidad con grupos de protocolos y tipos de paquetes varía según las plataformas y las versiones de Junos OS, como se indica a continuación:

Puede configurar valores de aplicador de agregado para cualquier grupo de protocolos. El aplicador de políticas agregadas se aplica a la combinación de todos los tipos de tráfico de paquetes de control para ese grupo.

Nota:

Los enrutadores serie ACX solo admiten el aplicador de políticas agregadas para cualquier grupo de protocolos compatible.

Para algunos grupos de protocolos, también puede configurar valores de aplicador para tipos de paquetes individuales. Al configurar valores de aplicador de agregado para determinados grupos de protocolos, puede omitir opcionalmente ese aplicador para uno o varios tipos de paquetes concretos de ese grupo.

Práctica recomendada:

Aunque todos los aplicadores de políticas tienen valores de parámetro predeterminados, es posible que estos valores no reflejen con precisión el patrón de tráfico de control de la red. Le recomendamos que modele su red para determinar los mejores valores para su situación. Antes de configurar los aplicadores de políticas para la red, puede ver rápidamente los valores predeterminados de todos los tipos de paquetes desde el modo operativo mediante el show ddos-protection protocols parameters brief comando. También puede utilizar el comando para especificar un único grupo de protocolo de interés. Por ejemplo, para ver los valores predeterminados del grupo de dhcpv4 protocolos, utilice el show ddos-protection protocols dhcpv4 parameters brief comando.

Puede deshabilitar un aplicador de tipo de paquete en el nivel del motor de enrutamiento (si es compatible) o en el nivel del motor de reenvío de paquetes (si es compatible) para una tarjeta de línea especificada o para todas las tarjetas de línea. También puede deshabilitar el registro de todos los eventos de protección DDoS del plano de control para tipos de paquetes individuales dentro de un grupo de protocolos.

Para configurar los ajustes deseados del aplicador de políticas de protección DDoS agregados o de tipo paquete:

  1. Especifique el grupo de protocolos.

    Por ejemplo, para especificar el grupo de protocolos DHCPv4 en enrutadores de la serie MX, PTX10003 o PTX10008:

    o, en dispositivos de las series ACX, PTX y QFX, la compatibilidad con la protección DDoS del plano de control tiene una opción combinada de DHCPv4 y DHCPv6 que solo permite la configuración agregada del aplicador de aplicaciones:

  2. Especifique un tipo de paquete individual admitido o la aggregate opción para abarcar todos los tipos de paquetes del grupo de protocolos.

    o

    Por ejemplo, para especificar solo paquetes de liberación DHCPv4 en dispositivos que admitan tipos de paquetes DHCPv4 individuales:

  3. (Opcional) Configure la velocidad de tráfico máxima que el aplicador permite para el tipo de paquete (o agregado).

    Por ejemplo, para establecer un ancho de banda de 600 paquetes por segundo para paquetes de versión DHCPv4:

  4. (Opcional) Configure el número máximo de paquetes de este tipo de paquete (o agregado) que el controlador permite en una ráfaga de tráfico.

    Por ejemplo, para establecer un máximo de 5000 paquetes de liberación DHCPv4:

  5. (Opcional) Establezca la prioridad del tráfico.
    Nota:

    No puede cambiar los valores de prioridad predeterminados en enrutadores PTX10003 o PTX10008.

    Por ejemplo, para especificar una prioridad media para los paquetes de lanzamiento de DHCPv4:

  6. (Opcional) Configure cuánto tiempo debe pasar desde la última infracción antes de que se considere que el flujo de tráfico se ha recuperado del ataque.

    Por ejemplo, para especificar que deben haber pasado 600 segundos desde la última infracción del separador de paquetes de liberación DHCPv4:

  7. (Opcional, compatible con algunos dispositivos) Omita la configuración del aplicador de políticas agregadas. Esto solo es aplicable cuando se configura un controlador de policía agregado y un controlador de policía individual para el grupo de protocolos.

    Por ejemplo, para omitir el aplicador de políticas de agregado para paquetes de renovación DHCPv4:

  8. (Opcional, compatible con algunos dispositivos) Deshabilite los aplicadores de políticas de tarjetas de línea para el tipo de paquete (o agregado) en todas las tarjetas de línea.
    Nota:

    Cuando se deshabilitan los aplicadores de tarjeta de línea globalmente en el nivel de [edit system ddos-protection global] jerarquía, la configuración global anula la configuración por tipo de paquete que se muestra en este paso. Si posteriormente quita la configuración global, la configuración por paquete surte efecto.

    Por ejemplo, para deshabilitar el aplicador de tarjeta de línea para paquetes bootp DHCPv4:

  9. (Opcional) Deshabilite el registro de eventos de protección DDoS del plano de control solo para un tipo de paquete (o agregado).
    Nota:

    Los eventos deshabilitados para el paquete están asociados con infracciones de policía; El registro de eventos de flujo culpables de detección de flujo no se ve afectado por esta instrucción.

    Nota:

    Cuando se deshabilita el registro de eventos de protección DDoS del plano de control globalmente en el nivel de [edit system ddos-protection global] jerarquía, la configuración global anula la configuración por tipo de paquete que se muestra en este paso. Si posteriormente quita la configuración global, la configuración por paquete surte efecto.

    Por ejemplo, para deshabilitar el registro de eventos de protección DDoS del plano de control en el analizador de tarjetas de línea para paquetes de detección DHCPv4:

  10. (Opcional, no disponible en enrutadores de la serie PTX ni conmutadores de la serie QFX) Deshabilite el aplicador de políticas del motor de enrutamiento sólo para este tipo de paquete.
    Nota:

    Cuando se deshabilita globalmente el controlador de motor de enrutamiento en el nivel de [edit system ddos-protection global] jerarquía, la configuración global anula la configuración por tipo de paquete que se muestra en este paso. Si posteriormente quita la configuración global, la configuración por paquete surte efecto.

    Por ejemplo, para deshabilitar el aplicador de políticas de motor de enrutamiento para paquetes de detección DHCPv4:

  11. (Opcional, no compatible con enrutadores de la serie ACX) Configure las opciones a nivel de paquete para el tipo de paquete (o agregado) en una tarjeta de una sola línea. En los conmutadores con una sola tarjeta de línea fija (una sola FPC considerada como en la ranura 0 y etiquetada fpc0), la escala de los valores del aplicador afecta a todo el conmutador.

    Por ejemplo, para acceder a la configuración de paquetes de detección DHCPv4 en la tarjeta de línea en la ranura 3:

  12. (Opcional, no compatible con enrutadores de la serie ACX) Escale el ancho de banda del aplicador para el tipo de paquete (o agregado) de la tarjeta de línea.

    Por ejemplo, para escalar el ancho de banda al 80 por ciento de la configuración de tarjeta de línea configurada para detectar paquetes DHCPv4 en la tarjeta de línea en la ranura 3:

  13. (Opcional, no compatible con enrutadores de la serie ACX) Escale el tamaño de ráfaga del aplicador para el tipo de paquete (o agregado) de la tarjeta de línea.

    Por ejemplo, para escalar el ancho de banda máximo al 75 por ciento de la configuración de tarjeta de línea configurada para DHCPv4, descubra paquetes en la tarjeta de línea en la ranura 3:

  14. (Opcional, no compatible con enrutadores de la serie ACX) Deshabilite el controlador de tarjeta de línea para el tipo de paquete (o agregado) en una tarjeta de línea determinada.

    Por ejemplo, para deshabilitar el controlador de tarjetas de línea para detectar paquetes DHCPv4 en la tarjeta de línea en la ranura 3:

Verificación y administración de la protección DDoS del plano de control

Propósito

Vea o aclare información sobre las configuraciones, los estados y las estadísticas de protección DDoS del plano de control.

Acción

  • Para mostrar la configuración, el estado de infracción y las estadísticas de la política de protección DDoS del plano de control para todos los tipos de paquetes de todos los grupos de protocolos:

    Ejecute este comando antes de realizar cambios en la configuración para ver los valores predeterminados de la herramienta de aplicación.

  • Para mostrar la configuración, el estado de infracción y las estadísticas de la política de protección DDoS del plano de control para un tipo de paquete determinado en un grupo de protocolos determinado:

  • Para mostrar solo el número de infracciones de la policía de protección DDoS del plano de control para todos los grupos de protocolos:

  • Para mostrar una tabla de la configuración de protección DDoS del plano de control para todos los tipos de paquetes de todos los grupos de protocolos:

  • Para mostrar una lista completa de estadísticas de paquetes y estadísticas de infracción de protección DDoS del plano de control para todos los tipos de paquetes en todos los grupos de protocolos:

  • Para mostrar estadísticas de infracción de protección DDoS del plano de control global:

  • Para mostrar el número de versión de protección DDoS del plano de control:

  • Para borrar las estadísticas de protección DDoS del plano de control para todos los tipos de paquetes de todos los grupos de protocolos:

  • Para borrar las estadísticas de protección DDoS del plano de control para todos los tipos de paquetes de un grupo de protocolos determinado:

  • Para borrar las estadísticas de protección DDoS del plano de control para un tipo de paquete concreto de un grupo de protocolos determinado:

  • Para borrar los estados de infracción de protección DDoS del plano de control para todos los tipos de paquetes en todos los grupos de protocolos:

  • Para borrar los estados de infracción de protección DDoS del plano de control para todos los tipos de paquetes de un grupo de protocolos determinado:

  • Para borrar los estados de infracción de protección DDoS del plano de control para un tipo de paquete determinado en un grupo de protocolos determinado: