ddos-protection (DDoS)
構文(ACXシリーズルーター、ACX7100、ACX7900デバイス)
ddos-protection global { disable-routing-engine; disable-logging; } protocols protocol-group aggregate { fpc fpc-number; bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
構文(PTXシリーズルーターとQFXシリーズスイッチ)
ddos-protection global { disable-fpc; disable-logging; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; } traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
構文(他のルーター、ACX7100-48L、およびEX9200スイッチ)
ddos-protection global { disable-fpc; disable-logging; disable-routing-engine; flow-detection; flow-level-control; flow-detection-mode; flow-report-rate; violation-report-rate; } protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; disable-routing-engine; flow-detection-mode (automatic | off | on); flow-detect-time seconds; flow-level-bandwidth { logical-interface flow-bandwidth; physical-interface flow-bandwidth; subscriber flow-bandwidth; } flow-level-control { logical-interface flow-control-mode; physical-interface flow-control-mode; subscriber flow-control-mode; } flow-level-detection { logical-interface flow-detection-mode; physical-interface flow-detection-mode; subscriber flow-detection-mode; } flow-recover-time seconds; flow-timeout-time seconds; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } no-flow-logging priority level; recover-time seconds; timeout-active-flows; } traceoptions{ file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
階層レベル
[edit system]
説明
コントロールプレーンのDDoS保護用にDDoS保護ポリシーを設定します。
DDoS攻撃は通常、ネットワーク制御パケットを使用して、デバイスのコントロールプレーンに対して多数の例外をトリガーし、通常のネットワーク操作を妨害します。DDoS 保護はトラフィックをポリシングして、DDoS 攻撃の下でデバイスが機能し続けるようにします。
DDoS 防御は、デバイスで使用可能なプロトコル グループとパケット タイプのサポート デバイスで既定で有効になっています。特定のポリサーを無効にしたり、以下のようなデフォルトのポリサー パラメーターを変更することができます。
-
最大許容トラフィック レート、最大バースト サイズ、およびトラフィック優先度を設定します。
-
(一部のデバイスの場合)トラフィックフローが攻撃から回復したと見なされるまでに、最後の違反から経過する必要がある時間を定義します。
-
(一部のデバイスの場合)個々のラインカードの帯域幅とバースト値をスケーリングして、このレベルのポリサーがプロトコル全体のしきい値またはパケットしきい値よりも低いしきい値でトリガーするようにします。
一部のEXシリーズスイッチにはコントロールプレーンDDoS保護が搭載されている場合がありますが、デフォルトのポリサーパラメーターを表示または変更するCLIオプションをサポートしていません。
DDoS 保護は、多くのプロトコル グループのポリサーをサポートします。一部のデバイスでは、一部のプロトコル グループ内の特定のパケット タイプのポリサー パラメーターを変更できます。プロトコル グループとパケット タイプのサポートは、プラットフォームや Junos OS リリースによって異なります。主な相違点の詳細については、以下のとおり、 protocols
のステートメントを参照してください。
-
ACXシリーズルーター、PTXシリーズルーター、QFXシリーズスイッチについては、 プロトコル(DDoS)(ACXシリーズ、PTXシリーズ、QFXシリーズ)を参照してください。
-
その他のルーティング デバイスおよび EX9200 スイッチについては、 プロトコル (DDoS) を参照してください。
この設定ステートメント階層の残りのステートメントについては、別途説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。
ACX7900デバイスは、疑わしい制御フロー検知(SCFD)設定をサポートしていません。
FPCレベルの設定は、ACX7900デバイスでのみサポートされています。
PTXシリーズルーターとQFX10002-60Cスイッチは、このオプション bypass-aggregate
をサポートしていません。
必要な権限レベル
admin:設定でこのステートメントを表示します。
admin-control—このステートメントを設定に追加します。
リリース情報
Junos OSリリース11.2で導入されたステートメント。
Junos OSリリース17.3R1で追加された拡張加入者管理のサポート。