Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

protocols (DDoS) (ACX Series, PTX Series, and QFX Series)

语法(ACX 系列路由器)

语法(PTX 系列路由器和 QFX 系列交换机)

语法(PTX 系列和 ACX7100-48L,适用于 Junos OS 演化版)

层次结构级别

描述

更改协议组内所有数据包类型或协议组中特定数据包类型的默认可配置控制平面 DDoS 防护监管器参数。

注意:

PTX10003路由器 priority 不支持更改聚合或单个数据包类型监管器的默认优先级值的选项。 QFX10002-60C 交换机和 PTX 系列路由器不支持该 bypass-aggregate 选项。

注意:

虽然术语“带宽”通常是指每秒比特数 (bps),但此功能的选项 bandwidth 表示每秒数据包数 (pps) 值, burst 选项表示突发中的数据包数。这些选项将单独说明。

并非所有设备都支持表 1表 2 中列出的所有协议组和数据包类型。例外情况包括:

  • ACX 系列路由器仅支持以下协议组选项:arp、 、(未知组播数据包)、 、 igmpriplacpldpipmcast-miss esmcndpv6pimpvstpospfoam-lfmrsvpstplldpdhcpv4v6bfdbfdv6bgpeoamvrrpisis

  • PTX10003 和 PTX10008 路由器不支持以下监管器协议组选项:all-fiber-channel-enodel2ptbridge-controlgarp-replyptpdiameterradius和 。tacacs

  • 其他 PTX 系列路由器不支持以下监管器协议组选项:all-fiber-channel-enode、(但arp支持协议组)、、 proto-802-1xdiametermartian-addressstpgarp-replyptppvstpradiusbridge-controltacacs

  • QFX10002-60C 交换机不支持以下监管器协议组选项:all-fiber-channel-enode、(但arp支持协议组)、bridge-controlproto-802-1xdiameterradiusgarp-replymartian-addressptptacacs

  • QFX10002、QFX10008 和 QFX10016 交换机 ttl 不支持协议组选项。

选项

aggregate

配置监管器的参数,以组合组的形式监管属于指定协议的所有控制数据包。所有协议组都存在聚合监管器。

注意:

ACX 系列路由器仅支持所支持协议组的聚合监管器。

packet-type

为协议组中指定的单个控制数据包类型配置监管器值。在某些设备上,您可以在 表 1 中列出的协议组中配置数据包类型监管器。对于 表 1 中未列出的所有其他协议组,只有聚合监管器可用。

表 1 列出了协议组,其中某些设备上提供了数据包类型监管器,以及默认配置参数的常用值。默认值可能因支持设备和不同 Junos OS 版本而异;您可以在修改任何可配置值之前运行 show ddos-protection protocols or show ddos-protection protocols parameters CLI 命令,以查看所有受支持的协议组和数据包类型的默认监管器值。您还可以在这些命令中包含特定的协议组和数据包类型(或聚合)。

表 1 中的每个协议组还支持聚合监管器。有关所有协议组的默认聚合监管器值,请参阅表 2

表 1: PTX 系列路由器和 QFX 系列交换机上的控制平面 DDoS 保护支持的数据包类型

协议组

数据包类型

描述

默认带宽 (pps)

默认突发(数据包数)

默认优先级

arp

arp-snooparp

注意:

从 Junos OS 20.3R1 版以及 PTX 和 QFX 系列交换机上的其他几个维护版本开始,选项名称 arp-snoop 将简单地 arp重命名为 。

ARP 流量

10000

1024 或 2048

unclassified

未分类的 ARP 数据包

500

1024

bfd

bundle-bfd

(仅限 PTX 10003)链路束 BFD 流量

10000

10000

multihop-bfd

多跳 BFD 流量

 5000 或 10000

2048 或 10000

unclassified

未分类的 BFD 数据包

10000

2048

dhcpv4

(仅限 PTX10003 和 PTX10008 路由器;用于线卡和 RE 级别的速率限制)

ack

DHCPACK 数据包

500

500

bad-packets

格式错误的 DHCPv4 数据包

0

0

bootp

DHCPBOOTP 数据包

300

300

decline

DHCPREJECT 数据包

500

500

discover

DHCP 发现数据包

500

500

force-renew

DHCPFORCERE-NEW 数据包

2000

2000

inform

DHCPINFORM 数据包

500

500

lease-active

DHCPLEASEACT-IVE 数据包

2000

2000

lease-query

DHCPLEASE-查询数据包

2000

2000

lease-unassigned

DHCPLEASEUN 分配的数据包

2000

2000

lease-unknown

DHCPLEASEUN 已知数据包

2000

2000

nak

DHCPNAK 数据包

500

500

no-message-type

缺少消息类型的 DHCP 数据包

1000

1000

offer

DHCPOFFER 数据包

1000

1000

rebind

DHCPv4 重新绑定数据包

2000

2000

release

DHCP 发布数据包

2000

2000

renew

DHCPRENEW 数据包

2000

2000

request

DHCPREQUEST 数据包

1000

1000

unclassified

所有未分类的 DHCPv4 数据包

300

150

dhcpv6

(仅限 PTX10003 和 PTX10008 路由器;用于线卡和 RE 级别的速率限制)

advertise

DHCPv6 通告数据包

500

500

confirm

DHCPv6 确认数据包

1000

1000

decline

DHCPv6 拒绝数据包

1000

1000

information-request

DHCPv6 信息请求数据包

1000

1000

leasequery

DHCPv6 租赁查询数据包

1000

1000

leasequery-data

DHCPv6 租赁查询-数据包

1000

1000

leasequery-done

租赁查询完成数据包

1000

1000

leasequery-reply

DHCPv6 租赁查询-回复数据包

1000

1000

rebind

DHCPv6 重新绑定数据包

2000

2000

reconfigure

DHCPv6 重新配置数据包

1000

1000

relay-forward

DHCPv6 中继转发数据包

1000

1000

relay-reply

DHCPv6 中继-回复数据包

1000

1000

release

DHCPv6 释放数据包

2000

2000

renew

DHCPv6 续订数据包

2000

2000

reply

DHCPv6 回复数据包

1000

1000

request

DHCPv6 请求数据包

1000

1000

solicit

DHCPv6 请求数据包

500

500

unclassified

所有未分类的 DHCPv6 数据包

3000

3000

eoam

oam-cfm

以太网 OAM CFM 流量

1000

1024 或 2048

unclassified

未分类以太网 OAM 流量

100000

1024 或 2048

igmpv6

mld

MLD 流量

1000 或 5000

1024 或 2048

unclassified

未分类的 IGMPv6 数据包

1000 或 90000

1024 或 2048

ldp

ldp-hello

某些设备具有 ldp-hello 聚合监管器。只有以下设备支持此数据包类型监管器:

  • PTX10003 和 PTX10008 路由器

  • QFX10002、QFX10008和QFX10016交换机

LDP hello 流量

1000

1024

unclassified

LDP 未分类数据包

1000

1024

mcast-snoop

igmp

控制用于 IGMP 侦听的数据包

500、5000 或 20000

2048 或 5000

mld

用于 MLD 侦听的控制数据包

500、2000 或 5000

2048

pim

用于 PIM 侦听的控制数据包

 500、2000 或 5000

2048

unclassified

未分类组播侦听控制数据包

500

2048

radius

accounting

RADIUS 记帐数据包

200

2048

authorization

RADIUS 授权数据包

200

2048

server

RADIUS 服务器流量

200

2048

unclassified

未分类的 RADIUS 流量

200

2048

tcc

ethernet-tcc

TCC 封装的以太网流量

100

票价:100、1024 或 2048

iso-tcc

TCC 封装的 ISO 流量

100

票价:100、1024 或 2048

unclassified

未分类的 TCC 封装流量

100

1024 或 2048

protocol-group

为指定的协议组配置监管器值。您可以为 表 2 中列出的以下任何协议组配置聚合监管器。下表显示了每个协议组的聚合监管器默认配置参数。默认值可能因支持设备和不同 Junos OS 版本而异;您可以在修改任何可配置值之前运行 show ddos-protection protocols or show ddos-protection protocols parameters CLI 命令,以查看所有受支持的协议组的默认监管器值。您还可以在命令中包含带或不带 aggregate 选项的特定协议组,以查看聚合监管器参数。

2 中的协议组还支持 表 1 中列出的任何相应的单个数据包类型监管器。
表 2: ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机上的控制平面 DDoS 保护支持的协议组

协议组

描述

默认带宽 (pps)

默认突发(数据包数)

默认带宽和突发值因平台类型和底层 DDoS 基础结构设置而异。

all-fiber-channel-enode

光纤通道网络流量

10

1024 或 2048

arparp-snoop

(不同的平台支持名为或arp-snooparp ARP 流量的聚合监管器协议组选项。

ARP 流量

注意:

在某些平台上, arp 协议组包含 arp-snoop 为数据包类型。参见 表1。从 Junos OS 20.3R1 版以及 PTX 和 QFX 系列交换机上的其他维护版本开始, arp-snoop 协议组中的 arp 数据包类型选项将重命名 arp

1000、2000 或 10000

512、1024、2000 或 2048

bfd

单跳 BFD 流量

1000、6200、10000、20000 或 250000

512、2048 或 20000

bfdv6

BFDv6 流量

512、3000、10000、20000 或 250000

512、2048 或 20000

bgp

BGP 流量

1200、1500、3000、5000、10000、20000 或 250000

512、2048、4096 或 20000

bridge-control

网桥控制流量

10

2048

dhcpv4

(仅限 PTX10003 和 PTX10008 路由器)

所有 DHCPv4 流量的聚合(优先级为中)

注意:

在 PTX10003 和 PTX10008 路由器上,使用此选项在 PFE 线卡和 RE 级别进行速率限制。使用聚合选项 dhcpv4v6 在 PFE 芯片级别进行速率限制。

5000

5000

dhcpv6

(仅限 PTX10003 和 PTX10008 路由器)

所有 DHCPv6 流量的聚合(优先级低)

注意:

在 PTX10003 和 PTX10008 路由器上,使用此选项在 PFE 线卡和 RE 级别进行速率限制。使用聚合选项 dhcpv4v6 在 PFE 芯片级别进行速率限制。

5000

5000

dhcpv4v6

DHCPv4 和 DHCPv6 流量(限制适用于组合流量)

注意:

在 PTX10003 和 PTX10008 路由器上,仅将此聚合选项用于 PFE 芯片级别的速率限制(优先级为低)。dhcpv6用于dhcpv4线卡和 RE 级别速率限制的协议组和单个数据包类型选项。

600 或 5000

512、2048 或 5000

diameter

直径和 Gx-Plus 流量

200

2048

dns

DNS 流量

200

200 或 2048

dtcp

DTCP 流量

200

200 或 2048

egpv6

EGPv6 流量

10

10 或 2048

eoam

以太网 OAM 流量

注意:

在 PTX10003 和 PTX10008 路由器上,聚合 eoam 协议组选项包括 OAM-CFM 数据包(无 oam-cfm 单个数据包类型选项)。

1000、6200 或 100000

102、512、2048 或 10000

esmc

ESMC 流量

200

512

ethernet-tcc

TCC 封装的以太网流量

注意:

tcc协议组选项在某些设备上将其作为数据包类型选项包含在内。

100

100 或 2048

exception

  • MTU 流量

  • 组播流量

  • TTL 流量(仅限 QFX10002、QFX10008 和 QFX10016 交换机)

100

2048

ftp

FTP 流量

500 或 1500

1500 或 2048

garp-reply

免费 ARP 回复流量

100

2048

gre

GRE 流量

500

500 或 2048

icmp

ICMP 流量

500、1000 或 20000

500、2048 或 20000

igmp

IGMPv4 和 IGMPv6 流量

注意:

在 PTX 系列和 QFX10002-60C 设备上,此选项仅用于 igmpv6 IGMPv4 流量,而将选项用于 IGMPv6 流量。在 PTX10003 和 PTX10008 路由器上,此选项包括聚合的 IGMP 和 MLD 流量。

1000、1600、5000 或 90000

512、2048 或 5000

igmpv6

IGMPv6 流量

20000 或 90000

2048 或 5000

ip-options

具有 IP 数据包标头选项的 IP 流量

100

100 或 2048

ipmcast-miss

(仅限 ACX 系列)

未知的 IPv4 和 IPv6 组播数据包

600

512

isis

IS-IS 流量

1000、1200、5000 或 20000

512、2048、4096 或 20000
isis-data

ISIS 数据流量

5000、8000 或 10000

4096 或 8000
isis-hello

ISIS-你好流量

1000、5000 或 12000

4096 或 12000

iso-tcc

TCC 封装的 ISO 流量

注意:

tcc协议组选项在某些设备上将其作为数据包类型选项包含在内。

100

100 或 2048

l2pt

第 2 层协议隧道流量

500

2048

l2tp

第 2 层隧道协议流量

500

500 或 2048

lacp

LACP 流量

800、1000 或 2000

512、300、2000 或 2048

ldp

LDP 流量

1200、5000、10000 或 20000

200、512、2048 或 20000

ldp-hello

LDP hello 数据包

注意:

以下设备具有 ldp-hello 数据包类型监管器,但不使用此聚合监管器:

  • PTX10003 和 PTX10008 路由器

  • QFX10002、QFX10008和QFX10016交换机

1000 或 5000

2048 或 5000

lldp

LLDP 流量

100、800 或 2000

300、512、2000 或 2048

lmp

LMP 流量

100

100 或 2048

martian-address

火星地址

200

20

mcast-snoop

控制组播侦听的流量

5000、20000 或 22000

2048、6000 或 20000

mld

MLD 流量

注意:

igmpv6协议组选项在某些设备上将其作为数据包类型选项包含在内。

1000

2048

msdp

MSDP 流量

20000

20000

multihop-bfd

多跳 BFD 流量

注意:

bfd协议组选项在某些设备上将其作为数据包类型选项包含在内。

1500

2048

ndpv6

NDPv6 流量

100、1000 或 2000

512、1024 或 2000

ntp

NTP 流量

20000

20000

oam-cfm

OAM CFM 流量

注意:

eoam协议组选项在某些设备上将其作为数据包类型选项包含在内。在 PTX10003 和 PTX10008 路由器上,聚合eoam协议组选项包括 OAM-CFM 数据包(无oam-cfm单个数据包类型选项)。

200

2048

oam-lfm

OAM LFM 流量

200、800、1000 或 20000

512、1000、2048 或 20000

ospf

OSPF 流量

1200、5000、10000 或 20000

票价:200、512、2048、4096 或 20000

ospf-hello

OSPF hello 数据包

1000、1500 或 10000

2048、4096 或 20000

pim

(仅限 ACX 系列)

PIM IPv4 和 IPv6 数据包

1600

512

pim-ctrl

PIM 控制数据包

1000 或 1500

200 或 2048

pim-data

PIM 数据

2000 或 3000

1024 或 2048

proto-802-1x

802.1X 流量

200

200 或 2048

ptp

PTP 流量

100

2048

pvstp

PVSTP 流量

800、2000 或 20000

512、2048 或 20000

radius

RADIUS 流量

200

2048

reject

被下一跃点转发决策拒绝的数据包

100、200 或 2000

200、2000 或 2048

resolve

由于流量请求解析操作,未分类的 IPv4 和 IPv6 解析发送到主机的数据包

100、500 或 5000

100、2048 或 5000

rip

RIP 流量

200、1200 或 20000

200、512、2048 或 20000

rsvp

回复流量

1200、5000、10000 或 20000

512、2048、10000 或 20000

snmp

SNMP 流量

1000 或 20000

1024、2048 或 20000

ssh

SSH 流量

5000 或 20000

500、2048 或 20000

stp

STP 流量

800 或 20000

512、2048 或 20000

tacacs

TACACS+ 流量

200

2048

tcc

过渡交叉连接封装流量

100 或 200

200、1024 或 2048

telnet

远程登录流量

5000 或 20000

500、2048 或 20000

ttl

生存时间数据包

100 或 2000

2048

unclassified

不能分类到其他可用协议组之一的流量

100 或 10000

2048 或 10000

vrrp

VRRP 流量

512、1000、2000 或 20000

512、1000、2048 或 20000

vxlan

VXLAN 第 2 层和第 3 层数据包

300

10
表 3: Junos OS 演化版 PTX 系列路由器上的控制平面 DDoS 保护支持的协议组

协议组

描述

arp

配置 ARP 流量

bfd

配置 BFD 流量

bfdv6

BFDv6 流量

bgp

配置 BGP 流量

custom

配置自定义流量

sample

配置采样流量

dhcpv4

配置 DHCPv4 流量

dhcpv6

配置 DHCPv6 流量
dhcpv4v6

配置 DHCPv4/v6 流量

l2tp

配置 L2TP 流量。

ppp

配置 PPP 流量。

pppoe

配置 PPPoE 流量。

从 Junos OS 演化版 23.1R1 开始,在 QFX5220、QFX5130 和 QFX5700 系列设备上,默认 DDoS localnh aggregate bandwidth 值为 1500 pps。在 Junos OS 演化版 23.1R1 之前,您可以使用 [set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200] CLI 命令配置带宽值。此配置使您能够防止 LAG 接口在本地 IP 流量繁重期间停机。

从 Junos OS 版本 23.3R1 开始,在 QFX 系列设备上,我们在 [edit ddos-protection protocols] 层次结构级别添加了ip-option协议支持。

从 Junos OS 演化版 23.4R1 开始,支持 DVLAN(单标签和双标签),可在 ACX7100-48L 设备上实现服务扩展、性能,包括:
  • DHCP(IP-DEMUX lite)和PPPoE用户(IPv4,IPV6和Dual Stack),支持CoS合法拦截和过滤器。
  • DVLAN(单标记和双标记),具有用于 BBE 协议的 L2TP (LAC) DDOS 监管器配置。启用了单独的 BBE 协议和 DDOS 协议组配置。

  • 支持协议组 DHCPv6、L2TP、PPP 和 PPPoE

  • 只有聚合 DDOS 协议组 dhcpv4v6 处于活动状态。
  • 具有第 2 层隧道协议 (L2TP) 支持等级 (CoS) 的用户规模资格,以及用于 IPV4、IPV6 和双堆栈的 L2TP 接入集中器 (LAC) 用户接口。

    其余语句将单独解释。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。

所需权限级别

admin - 在配置中查看此语句。

管理员控制 - 将此语句添加到配置中。

发布信息

Junos OS 11.2 版中引入的语句。

相关文档