- play_arrow Seguridad portuaria
- play_arrow Descripción general de la seguridad portuaria
-
- play_arrow IPSec
- play_arrow Descripción de IPsec y las asociaciones de seguridad
- play_arrow Configuraciones y ejemplos de IPsec
- Consideración de problemas generales de IPsec
- Descripción general de la configuración de IPsec para una PIC de ES
- Configuración de asociaciones de seguridad para IPsec en una PIC de ES
- Configuración de asociaciones de seguridad IPsec
- Configuración de una política de IKE
- Configuración de una propuesta IPsec para una PIC de ES
- Configuración de una directiva IPsec
- play_arrow Configuración de asociaciones de seguridad IPsec
- play_arrow Uso de certificados digitales para IPsec
- play_arrow Opciones adicionales de IPsec
- play_arrow Configuración de extremos dinámicos IPsec
- Configuración de un perfil de acceso IKE para túneles de punto de conexión dinámico IPsec
- Configuración del conjunto de servicios para túneles de extremo dinámico IPsec
- Configuración del identificador de interfaz para túneles de extremo dinámico IPsec
- Configuración de un perfil de acceso IKE para túneles de punto de conexión dinámico IPsec
- play_arrow Ejemplos adicionales de configuración de PIC de ES y AS
- Ejemplo: configuración manual de SA de ES PIC
- Ejemplo: Configuración manual de SA de AS PIC
- Ejemplo: configuración SA dinámica de IKE de PIC
- Ejemplo: configuración SA dinámica de IKE como PIC
- Ejemplo: SA dinámica IKE entre una configuración de PIC de AS y PIC de ES
- Ejemplo: AS PIC IKE Dynamic SA con configuración de certificados digitales
- Ejemplo: configuración de tunelización dinámica de punto de conexión
-
- play_arrow Certificados digitales
- play_arrow Configuración de certificados digitales
- Criptografía de clave pública
- Configuración de certificados digitales
- Configuración de certificados digitales para una PIC de ES
- Política de IKE para certificados digitales en un PIC de ES
- Configuración de certificados digitales para interfaces de servicios adaptables
- Configuración de la reinscripción automática de un certificado de enrutador
- Configuración del tráfico de túnel IPsec
- Operaciones de rastreo para servicios de seguridad
- play_arrow Configuración del acceso al enrutador SSH y SSL
-
- play_arrow Módulo de plataforma segura
- play_arrow MACsec
- play_arrow Descripción de MACsec
- play_arrow Ejemplos de MACsec
-
- play_arrow Limitación de MAC y limitación de movimiento
- play_arrow Configuraciones y ejemplos de limitación de MAC y limitación de movimiento
- Descripción de la limitación de MAC y la limitación de movimiento de MAC
- Descripción de la limitación de MAC en interfaces de enrutamiento de capa 3
- Descripción y uso del aprendizaje persistente de MAC
- Configuración de la limitación de MAC
- Ejemplo: configuración de la limitación de MAC
- Comprobación de que la limitación de MAC funciona correctamente
- Anular un límite de MAC aplicado a todas las interfaces
- Configuración de la limitación de movimiento de MAC (ELS)
- Comprobación de que la limitación de movimiento de MAC funciona correctamente
- Comprobar que la configuración de deshabilitación de errores de puerto funciona correctamente
-
- play_arrow Protección DHCP
- play_arrow DHCPv4 y DHCPv6
- Descripción y uso de servidores DHCP de confianza
- Ejemplo: protección contra ataques no autorizados al servidor DHCP
- Confirmación rápida de DHCPv6
- Uso del agente de relé DHCPv6 ligero (LDRA)
- Configuración de enlaces persistentes en DHCP o DHCPv6 (ELS)
- Configuración de enlaces persistentes en DHCP o DHCPv6 (no ELS)
- play_arrow Espionaje DHCP
- Descripción de la supervisión de DHCP (ELS)
- Descripción de la supervisión de DHCP (no ELS)
- Descripción de la configuración de confianza de espionaje DHCP
- Habilitación de la supervisión de DHCP (no ELS)
- Configuración de direcciones IP DHCP estáticas
- Ejemplo: protección contra la suplantación de direcciones y los ataques DoS de capa 2
- Ejemplo: protección contra ataques de base de datos DHCP snooping
- Ejemplo: protección contra ataques de suplantación de ARP
- Ejemplo: priorizar paquetes espiados e inspeccionados
- Configuración de la seguridad DHCP con tunelización Q-in-Q al estilo del proveedor de servicios
- play_arrow Opción 82 de DHCP
- play_arrow Inspección ARP dinámica (DAI)
-
- play_arrow Protección de origen IP
- play_arrow Descripción de IP Source Guard
- play_arrow Ejemplos de protección de origen IP
- Ejemplo: configuración de IP source Guard en una VLAN de datos que comparte una interfaz con una VLAN de voz
- Ejemplo: configuración de IP Source Guard con otras funciones del conmutador de la serie EX para mitigar los ataques de suplantación de direcciones en interfaces de acceso que no son de confianza
- Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica para proteger el conmutador de la suplantación de IP y la suplantación de ARP
- Ejemplo: configuración de la inspección de detección de vecinos y protección de origen IPv6 para proteger un conmutador de la suplantación de direcciones IPv6
- Configuración de IP Source Guard para mitigar los efectos de la suplantación de direcciones IP de origen y la suplantación de direcciones MAC de origen
- Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica en un dominio de puente especificado para proteger los dispositivos contra ataques
- Ejemplo: configuración de la inspección de detección de vecinos y protección de origen IPv6 para proteger un conmutador de la suplantación de direcciones IPv6
-
- play_arrow Seguridad de acceso IPv6
- play_arrow Protocolo de descubrimiento de vecinos
- play_arrow Espionaje SLAAC
- play_arrow Protección publicitaria del enrutador
-
- play_arrow Reenvío de unidifusión
- play_arrow Reenvío de ruta inversa de unidifusión
- play_arrow Reenvío de unidifusión desconocido
-
- play_arrow Control de tormentas
- play_arrow Comprender y usar el control de tormentas
-
- play_arrow Protección contra malware
- play_arrow Herramienta de eliminación de malware de Juniper
-
- play_arrow Instrucciones de configuración y comandos operativos
EN ESTA PÁGINA
Ejemplo: configuración de la protección DDoS del plano de control en conmutadores de la serie QFX
En este ejemplo se muestra cómo configurar la protección DDoS del plano de control para que un conmutador pueda identificar rápidamente un ataque y evitar que una avalancha de paquetes de control malintencionados agote los recursos del sistema.
Requisitos
La protección DDoS del plano de control requiere el siguiente hardware y software:
Conmutador de la serie QFX compatible con la protección DDoS del plano de control
Junos OS versión 15.1X53-D10 o posterior
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Visión general
Los ataques de denegación de servicio distribuido (DDoS) utilizan múltiples fuentes para inundar una red con paquetes de control de protocolo. Este tráfico malicioso desencadena un gran número de excepciones en la red e intenta agotar los recursos del sistema para denegar a los usuarios válidos el acceso a la red o al servidor.
La protección DDoS del plano de control está habilitada de forma predeterminada en un conmutador serie QFX compatible. En este ejemplo se describe cómo modificar la configuración predeterminada de los aplicadores de limitación de velocidad que identifican el tráfico de control excesivo y descartan los paquetes antes de que el conmutador se vea afectado negativamente. Entre las tareas de ejemplo se incluyen la configuración de un aplicador de políticas agregado para un grupo de protocolos, la configuración de políticas para tipos de paquetes de control concretos dentro de un grupo de protocolos y la especificación de opciones de seguimiento para las operaciones de protección DDoS del plano de control.
En este ejemplo se muestra cómo cambiar algunos de los parámetros y el comportamiento predeterminados de la policía para el grupo de radius protocolos y el tipo de paquete Radius accounting . Puede usar los mismos comandos para cambiar los límites de la aplicación de políticas para otros grupos de protocolos y tipos de paquetes admitidos. Consulte la instrucción de configuración de protección DDoS en el nivel de [edit system] jerarquía para conocer todas las opciones de configuración disponibles.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección DDoS del plano de control para grupos de protocolos y tipos de paquetes de control concretos, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
[edit] edit system set ddos-protection protocols radius aggregate bandwidth 150 set ddos-protection protocols radius aggregate burst 2000 set ddos-protection protocols radius accounting bandwidth 100 burst 150 set ddos-protection protocols radius accounting priority low set ddos-protection protocols radius server bypass-aggregate set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar la protección DDoS del plano de control:
Especifique un grupo de protocolos.
content_copy zoom_out_map[edit system ddos-protection protocols] user@host# edit radius
Configure la tasa de tráfico máxima para el aplicador de agregados RADIUS; es decir, para la combinación de todos los paquetes RADIUS.
Nota:La tasa de tráfico se cambia mediante la
bandwidthopción. Aunque el término ancho de banda suele referirse a bits por segundo (bps), la opción debandwidthesta característica representa un valor de paquetes por segundo (pps).content_copy zoom_out_map[edit system ddos-protection protocols radius] user@host# set aggregate bandwidth 150
Configure el tamaño máximo de ráfaga (número de paquetes) para el aplicador de agregados RADIUS.
content_copy zoom_out_map[edit system ddos-protection protocols radius] user@host# set aggregate burst 2000
Configure una velocidad máxima de tráfico (pps) y un tamaño de ráfaga (paquetes) diferentes para los paquetes de contabilidad RADIUS.
content_copy zoom_out_map[edit system ddos-protection protocols radius] user@host# set accounting bandwidth 100 burst 1500
Disminuya la prioridad de los paquetes de contabilidad RADIUS.
content_copy zoom_out_map[edit system ddos-protection protocols radius] user@host# set accounting priority low
Impedir que los paquetes de control de servidor RADIUS se incluyan en el ancho de banda agregado (pps); es decir, los paquetes de servidor no contribuyen al tráfico RADIUS combinado para determinar si se supera el ancho de banda agregado. Sin embargo, los paquetes del servidor todavía se incluyen en las estadísticas de velocidad de tráfico.
content_copy zoom_out_map[edit system ddos-protection protocol radius] user@host# set server bypass-aggregate
(Solo en conmutadores con varias tarjetas de línea) Reduzca el ancho de banda (pps) y el tamaño de ráfaga (paquetes) permitidos antes de que se declare una infracción para el controlador RADIUS en la FPC en la ranura 1.
content_copy zoom_out_map[edit system ddos-protection protocols radius] user@host# set aggregate fpc 1 bandwidth-scale 80 user@host# set aggregate fpc 1 burst-scale 75
Configure el seguimiento para todos los eventos de procesamiento del protocolo de protección DDoS del plano de control.
content_copy zoom_out_map[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show ddos-protection comando en el nivel de system jerarquía.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-log size 10m;
flag all;
}
protocols {
radius {
aggregate {
bandwidth 150;
burst 2000;
}
server {
bypass-aggregate;
}
accounting {
bandwidth 100;
burst 1500;
priority low;
}
}
} Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración de protección DDoS del plano de control funciona correctamente, realice estas tareas:
Verificación de la configuración de protección DDoS del plano de control
Propósito
Compruebe que los valores del aplicador RADIUS han cambiado con respecto al valor predeterminado.
Acción
Desde el modo operativo, ingrese el show ddos-protection protocols radius parameters comando.
user@host> show ddos-protection protocols radius parameters
Packet types: 5, Modified: 3
* = User configured value
Protocol Group: Radius
Packet type: aggregate (Aggregate for all Radius traffic)
Aggregate policer configuration:
Bandwidth: 150 pps*
Burst: 2000 packets*
Recover time: 300 seconds
Enabled: Yes
Routing Engine information:
Bandwidth: 150 pps, Burst: 2000 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (150 pps), Burst: 100% (2000 packets), enabled
Packet type: server (Radius server traffic)
Individual policer configuration:
Bandwidth: 200 pps
Burst: 2048 packets
Priority: High
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes*
Routing Engine information:
Bandwidth: 200 pps, Burst: 2048 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
Packet type: accounting (Radius accounting traffic)
Individual policer configuration:
Bandwidth: 100 pps*
Burst: 1500 packets*
Priority: Low*
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
Routing Engine information:
Bandwidth: 100 pps, Burst: 1500 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (100 pps), Burst: 100% (1500 packets), enabled
Packet type: authorization (Radius authorization traffic)
Individual policer configuration:
Bandwidth: 200 pps
Burst: 2048 packets
Priority: High
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
Routing Engine information:
Bandwidth: 200 pps, Burst: 2048 packets, enabled
FPC slot 0 information:
Bandwidth: 100% (200 pps), Burst: 100% (2048 packets), enabled
Significado
El resultado del comando muestra la configuración actual del aplicador de agregados RADIUS y de los aplicadores de paquetes de control de autorización, servidor y contabilidad RADIUS. Los valores de Policer que se han modificado a partir de los valores predeterminados se marcan con un asterisco. El resultado muestra que la configuración del controlador de policía RADIUS se ha modificado correctamente.
