protocols (DDoS) (ACX Series, PTX Series, and QFX Series)
構文(ACXシリーズルーター)
protocols protocol-group aggregate { bandwidth packets-per-second; burst size; disable-logging; disable-routing-engine; priority level; }
構文(PTXシリーズルーターとQFXシリーズスイッチ)
protocols protocol-group (aggregate | packet-type) { bandwidth packets-per-second; burst size; bypass-aggregate; disable-fpc; disable-logging; fpc slot-number { bandwidth-scale percentage; burst-scale percentage; disable-fpc; } priority level; }
構文(Junos OS Evolved用PTXシリーズおよびACX7100-48L)
protocols{ arp; bfd; bfdv6; bgp; custom; sample; dhcpv4; dhcpv6; dhcpv4v6; l2tp; ppp; pppoe; }
階層レベル
[edit system ddos-protection]
説明
プロトコルグループ内のすべてのパケットタイプ、またはプロトコルグループ内の特定のパケットタイプについて、デフォルトの設定可能なコントロールプレーンDDoS保護ポリサーパラメータを変更します。
ルーター PTX10003 priority
、集約型または個別のパケットタイプポリサーのデフォルトの優先度値を変更するオプションをサポートしていません。 QFX10002-60CスイッチおよびPTXシリーズルーターは、このオプション bypass-aggregate
をサポートしていません。
帯域幅という用語は通常、ビット/秒(bps)を指しますが、この機能は bandwidth
パケット/秒(pps)値を表し、 burst
オプションはバースト内のパケット数を表します。これらのオプションについては、個別に説明します。
表 1 または 表2 に記載されているすべてのプロトコルグループとパケットタイプが、すべてのデバイスでサポートされているわけではありません。例外は次のとおりです。
ACX シリーズ ルーターは、次のプロトコル グループ オプションのみをサポートします:
arp
、 、 、bgp
eoam
dhcpv4v6
igmp
esmc
ipmcast-miss
(不明なマルチキャスト パケット)、 、ndpv6
pvstp
pim
rip
ospf
rsvp
stp
bfd
lacp
vrrp
bfdv6
ldp
lldp
oam-lfm
isis
PTX10003 ルーターと PTX10008 ルーターは、 、
bridge-control
、radius
diameter
tacacs
garp-reply
ptp
l2pt
などのポリサー プロトコル グループ オプションall-fiber-channel-enode
をサポートしていません。その他のPTXシリーズルーターは、次のポリサープロトコルグループオプションをサポートしていません:
all-fiber-channel-enode
、(ただし、プロトコルグループはサポートされています)、bridge-control
、diameter
、 、garp-reply
arp
pvstp
martian-address
stp
proto-802-1x
ptp
radius
およびtacacs
QFX10002-60Cスイッチは、次のポリサープロトコルグループオプションをサポートしていません:
all-fiber-channel-enode
、(ただし、arp
プロトコルグループはサポートされています)、bridge-control
、diameter
、garp-reply
、martian-address
proto-802-1x
ptp
radius
およびtacacs
QFX10002、QFX10008、およびQFX10016スイッチは、プロトコルグループオプションをサポートし
ttl
ていません。
オプション
aggregate |
指定されたプロトコルに属するすべての制御パケットを結合グループとしてポリシングするポリサーのパラメーターを設定します。すべてのプロトコルグループに対して集約ポリサーが存在します。
メモ:
ACX シリーズルーターは、サポートされているプロトコルグループの集合型ポリサーのみをサポートします。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
packet-type |
プロトコル グループ内の指定された個々の制御パケット タイプのポリサー値を設定します。一部のデバイスでは、 表 1 にリストされているプロトコル グループでパケット タイプ ポリサーを設定できます。 表 1 に記載されていない他のすべてのプロトコル グループでは、集約ポリサーのみを使用できます。 表 1 に、一部のデバイスで使用可能なパケットタイプポリサーを持つプロトコルグループと、デフォルト構成パラメーターの一般的な値を示します。デフォルト値は、サポートするデバイス間やJunos OSリリースによって異なる場合があります。設定可能な値を変更する前に または 表1の各プロトコルグループは、集約ポリサーもサポートしています。すべてのプロトコルグループのデフォルトの集約ポリサー値については、表2を参照してください。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol-group |
指定されたプロトコル グループのポリサー値を設定します。表 2 にリストされている以下のいずれかのプロトコル グループに対して集約ポリサーを設定できます。この表は、各プロトコル グループのポリサーのデフォルト設定パラメータを示しています。デフォルト値は、サポートするデバイス間やJunos OSリリースによって異なる場合があります。設定可能な値を変更する前に または |
プロトコルグループ |
説明 |
デフォルト帯域幅(pps) |
デフォルト バースト(パケット数) |
---|---|---|---|
デフォルトの帯域幅とバースト値は、プラットフォーム タイプと基盤となる DDoS インフラ設定によって異なります。 |
|||
|
ファイバーチャネルENodeトラフィック |
10 |
1024 または 2048 |
(異なるプラットフォームでは、 または という名前の |
ARPトラフィック
メモ:
一部のプラットフォームでは、 |
1000、2000、または 10000 |
512、1024、2000、または 2048 |
|
シングル ホップ BFD トラフィック |
1000、6200、10000、20000、または 250000 |
512、2048 または 20000 |
|
BFDv6トラフィック |
512、3000、10000、20000、または 250000 |
512、2048 または 20000 |
|
BGPトラフィック |
1200、1500、3000、5000、10000、20000、または 250000 |
512、2048、4096、または 20000 |
|
ブリッジ制御トラフィック |
10 |
2048 |
(PTX10003およびPTX10008ルーターのみ) |
すべての DHCPv4 トラフィックの集約(優先度:中)
メモ:
PTX10003およびPTX10008ルーターでは、PFEラインカードおよびREレベルでのレート制限にこのオプションを使用します。PFEチップレベルでのレート制限には、アグリゲートオプション |
5000 |
5000 |
(PTX10003およびPTX10008ルーターのみ) |
すべての DHCPv6 トラフィックの集約(優先度:低)
メモ:
PTX10003およびPTX10008ルーターでは、PFEラインカードおよびREレベルでのレート制限にこのオプションを使用します。PFEチップレベルでのレート制限には、アグリゲートオプション |
5000 |
5000 |
|
DHCPv4 および DHCPv6 トラフィック(結合されたトラフィックに制限が適用されます)
メモ:
PTX10003 および PTX10008 ルーターでは、PFE チップ レベルでのみレート制限を行うためにこの集約オプションを使用します(優先度は [低])。 |
600 または 5000 |
512、2048 または 5000 |
|
Diameter および Gx-Plus トラフィック |
200 |
2048 |
|
DNSトラフィック |
200 |
200 または 2048 |
|
DTCPトラフィック |
200 |
200 または 2048 |
|
EGPv6トラフィック |
10 |
10 または 2048 |
|
イーサネットOAMトラフィック
メモ:
PTX10003ルーターとPTX10008ルーターでは、集約 |
1000、6200、または 100000 |
102、512、2048、または 10000 |
|
ESMCトラフィック |
200 |
512 |
|
TCCカプセル化されたイーサネットトラフィック
メモ:
|
100 |
100 または 2048 |
|
|
100 |
2048 |
|
FTP トラフィック |
500 または 1500 |
1500 または 2048 |
|
Gratuitous ARP 応答トラフィック |
100 |
2048 |
|
GREトラフィック |
500 |
500 または 2048 |
|
ICMPトラフィック |
500、1000、または 20000 |
500、2048、または 20000 |
|
IGMPv4およびIGMPv6トラフィック
メモ:
このオプションは、PTXシリーズおよびQFX10002-60CデバイスでIGMPv4トラフィックにのみ使用し |
1000、1600、5000、または 90000 |
512、2048 または 5000 |
|
IGMPv6 トラフィック |
20000 または 90000 |
2048 または 5000 |
|
IP パケット ヘッダー オプションを使用した IP トラフィック |
100 |
100 または 2048 |
(ACX シリーズのみ) |
不明な IPv4 および IPv6 マルチキャスト パケット |
600 |
512 |
|
IS-ISトラフィック |
1000、1200、5000、または 20000 |
512、2048、4096、または 20000 |
isis-data |
ISIS-データトラフィック |
5000、8000、または 10000 |
4096 または 8000 |
isis-hello |
ISIS-Helloトラフィック |
1000、5000、または 12000 |
4096 または 12000 |
|
TCCカプセル化ISOトラフィック
メモ:
|
100 |
100 または 2048 |
|
レイヤー 2 プロトコル トンネリング トラフィック |
500 |
2048 |
|
レイヤー 2 トンネリング プロトコル トラフィック |
500 |
500 または 2048 |
|
LACP トラフィック |
800、1000、または 2000 |
512、300、2000、または 2048 |
|
LDPトラフィック |
1200、5000、10000、または 20000 |
200、512、2048、または 20000 |
|
LDP Hello パケット
メモ:
以下のデバイスにはパケット タイプ ポリサーがあり
|
1000 または 5000 |
2048 または 5000 |
|
LLDPトラフィック |
100、800、または 2000 |
300、512、2000、または 2048 |
|
LMP トラフィック |
100 |
100 または 2048 |
|
火星の住所 |
200 |
20 |
|
マルチキャスト スヌーピングのトラフィックを制御する |
5000、20000、または 22000 |
2048、6000、または 20000 |
|
MLDトラフィック
メモ:
|
1000 |
2048 |
|
MSDP トラフィック |
20000 |
20000 |
|
マルチホップ BFD トラフィック
メモ:
|
1500 |
2048 |
|
NDPv6トラフィック |
100、1000、または 2000 |
512、1024、または 2000 |
|
NTPトラフィック |
20000 |
20000 |
|
OAM CFM トラフィック
メモ:
|
200 |
2048 |
|
OAM LFM トラフィック |
200、800、1000、または 20000 |
512、1000、2048、または 20000 |
|
OSPF トラフィック |
1200、5000、10000、または 20000 |
200、512、2048、4096、または 20000 |
|
OSPF hello パケット |
1000、1500、または 10000 |
2048、4096、または 20000 |
(ACX シリーズのみ) |
PIM IPv4 および IPv6 パケット |
1600 |
512 |
|
PIM 制御パケット |
1000 または 1500 |
200 または 2048 |
|
PIM データ |
2000 または 3000 |
1024 または 2048 |
|
802.1X トラフィック |
200 |
200 または 2048 |
|
PTPトラフィック |
100 |
2048 |
|
PVSTPトラフィック |
800、2000、または 20000 |
512、2048、または 20000 |
|
RADIUS トラフィック |
200 |
2048 |
|
ネクストホップ転送決定により拒否されたパケット |
100、200、または 2000 |
200、2000、または2048 |
|
トラフィック要求解決アクションのためにホストに送信された未分類の IPv4 および IPv6 解決パケット |
100、500、または 5000 |
100、2048、または 5000 |
|
RIPトラフィック |
200、1200、または 20000 |
200、512、2048、または 20000 |
|
RSVPトラフィック |
1200、5000、10000、または 20000 |
512、2048、10000、または 20000 |
|
SNMPトラフィック |
1000 または 20000 |
1024、2048、または 20000 |
|
SSHトラフィック |
5000 または 20000 |
500、2048、または 20000 |
|
STPトラフィック |
800 または 20000 |
512、2048、または 20000 |
|
TACACS+ トラフィック |
200 |
2048 |
|
移行型クロスコネクト カプセル化トラフィック |
100 または 200 |
200、1024、または 2048 |
|
Telnet トラフィック |
5000 または 20000 |
500、2048、または 20000 |
|
有効期限パケット |
100 または 2000 |
2048 |
|
他の使用可能なプロトコル グループに分類できないトラフィック |
100 または 10000 |
2048 または 10000 |
|
VRRP トラフィック |
512、1000、2000、または 20000 |
512、1000、2048、または 20000 |
|
VXLAN レイヤー 2 およびレイヤー 3 パケット |
300 |
10 |
プロトコルグループ |
説明 |
---|---|
|
ARP トラフィックの設定 |
|
BFD トラフィックの設定 |
|
BFDv6トラフィック |
|
BGP トラフィックを構成する |
|
カスタムトラフィックの設定 |
sample |
サンプリングトラフィックの設定 |
|
DHCPv4トラフィックを設定する |
|
DHCPv6トラフィックを設定する |
dhcpv4v6 |
DHCPv4/v6トラフィックの設定 |
|
L2TPトラフィックを設定します。 |
|
PPPトラフィックを設定します。 |
|
PPPoE トラフィックを設定します。 |
Junos OS Evolvedリリース23.1R1以降、QFX5220、QFX5130、およびQFX5700シリーズデバイスでは、デフォルトのDDoS localnh aggregate bandwidth
値は1500ppsです。Junos OS Evolvedリリース23.1R1以前では、[] CLIコマンドを使用して帯域幅値set system ddos-protection protocols localnh aggregate bandwidth 1500 burst 200
を設定できます。この設定により、ローカルIPトラフィック量の多い際のLAGインターフェイスのダウンタイムを防ぐことができます。
Junos OSリリース23.3R1以降、QFXシリーズデバイスで、[]階層レベルでプロトコルサポートedit ddos-protection protocols
が追加されましたip-option
。
- DHCP(IP-DEMUX lite)およびPPPoE加入者(IPv4、IPV6、およびデュアルスタック)とCoS合法的傍受およびフィルターのサポート。
- BBEプロトコル用のL2TP(LAC)DDOSポリサー設定によるDVLAN(シングルおよびデュアルタグ)。個々の BBE プロトコルおよび DDOS プロトコル グループ設定が有効になります。
プロトコルグループDHCPv6、L2TP、PPP、PPPoEのサポート
- 集合型DDOSプロトコルグループ
dhcpv4v6
のみがアクティブです。 - レイヤー2トンネリングプロトコル(L2TP)、IPV4、IPV6、デュアルスタック用のL2TPアクセスコンセントレータ(LAC)加入者インターフェイスのサポートクラス(CoS)による加入者拡張認定。
残りのステートメントについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。
必要な権限レベル
admin:設定でこのステートメントを表示します。
admin-control—このステートメントを設定に追加します。
リリース情報
Junos OSリリース11.2で導入されたステートメント。