大家好,
需要知道 Juniper MX 中 RE 保护和 DDOS 保护之间的明显区别。两者都用于避免路由引擎耗尽资源。正如瞻博网络 MX 系列书籍中所述,从环回接口上的输入过滤器调用的监管器被下载到 Trio PFE,在任何 DDoS 监管器功能之前执行。
话虽如此,我们可以仅使用过滤器和策略器在回送接口的入站方向上应用保护重新过滤器,从而避免耗尽(例如由于 icmp 泛洪攻击、snmp 查询泛洪、IP 片段等而发生)的路由引擎资源, 那么why in addition to RE filter DDOS protection comes into picture when protecting the routing engine?
是否有任何问题不是由 RE 过滤器处理,而是由 DDOS 保护很好地处理或以其他方式处理
Whats the main reason behind using DDOS protection in addition to protect RE filter
如果可能,请分享详细的答案。
非常感谢
在控制平面DDoS防护功能是一套精密的控制平面分类和监察器。这是一个很棒的功能,除了普通的控制平面过滤器之外,您绝对应该使用它来确保安全。
可以在每个 IFL 的基础上允许(或不允许)流量,因此来自一个接口(端口/VLAN/订阅者)的恶意流量不必影响来自不同接口的流量——每个接口都可以有自己的监管器,并且有默认配置中也有许多不同的流量类。
此功能是应使用 MX 系列作为 BRAS 的宽带 ISP 的要求实现的。可以理解,他们不仅担心常见的 Internet 攻击(如针对 TCP/UDP 连接的服务端口的洪水泛滥),还担心以太网 BPDU 流量、ARP/ND 等。ddos 保护功能尝试通过对 CPU 绑定流量启用每个接口/订阅者的限制来减轻许多可能的攻击向量。
除了保护 RE 过滤器外,还使用 DDOS 保护的主要原因是什么?
您已经提到了有关 lo0 过滤器和 DDoS 保护的关键点之一,即首先检查 lo0 过滤器。在lo0的过滤器的目的是拒绝控制平面的流量,你知道是不是没有需要你的设备,但什么有关交通的预期?
DDoS 保护可以保护您免受涉及合法控制流量的攻击向量,例如 ARP 泛洪。它查找超过特定阈值的流量突发,为了清除违规行为,必须在设定的时间段内降至该阈值以下。
此外,DDoS 保护在系统的各个级别实施:
对于订户管理部署,有一个称为SCFD(可疑控制流检测)的附加功能,与上面提到的 DDoS 保护机制不同,默认情况下不启用此功能。这类似于 DDoS 保护,因为它可以在多个级别工作。您可以将事物配置为在任意数量的级别上工作:
当违规发生在任何级别时,您可以采取 3 项操作(您也可以按级别设置):