Juniper MX系列路由器的再保护与DDOS保护

Question

大家好，

需要了解在Juniper中RE保护和DDOS保护之间的明显区别。这两种方法都用于避免路由引擎耗尽资源。正如Juniper系列书中所提到的，从环回接口上的输入过滤器调用的警察被下载到Trio，在任何DDoS策略功能之前都会在那里执行。

这样，我们就可以节省路由引擎的资源(例如，由于icmp洪水攻击、snmp查询泛滥、IP片段等原因而出现的资源耗尽)，只需使用过滤器和策略器保护在入站方向上应用于入站方向的重新筛选器，然后使用why in addition to RE filter DDOS protection comes into picture when protecting the routing engine?。

是否有任何问题不是由RE处理，而是由DDOS保护很好地处理，还是以另一种方式处理？

Whats the main reason behind using DDOS protection in addition to protect RE filter

如有可能，请分享详细的答案。

非常感谢

Answer 1

除了保护RE过滤器之外，使用DDOS保护的主要原因是什么？

您已经提到了有关lo0过滤器和DDoS保护的关键之一，即首先检查lo0筛选器。lo0过滤器的目标是拒绝您知道不需要设备的控制平面流量，但是期望的流量怎么办？

DDoS保护可以保护您免受涉及合法控制通信量(如ARP洪水)的攻击。它寻找超过某一阈值的突发交通，为了清除违规行为，必须在一定时间内降至该阈值以下。

此外，DDoS保护在系统的各级实施：

• 首先，它在PFE一级检查违规情况。
• 其次，它在FPC级别(多个PFE的总和)检查违规情况。
• 第三，它在RE级别检查违规行为，如果违规流量分布得如此均匀，而不被PFE或FPC警察捕获的话。

对于订阅者管理部署，还有一个名为可疑控制流检测的附加特性，与上面提到的DDoS保护机制不同，默认情况下不会打开它。这与DDoS保护类似，因为它可以在多个级别上工作。您可以将事物配置为在任意数量的级别上工作：

• 每个用户(流程)：在每个用户接口上进行检测。
• 每个IFL (逻辑接口)：根据终止在IFL上的任何订阅者的总流量进行检测。
• 每个IFD (物理接口)：检测是根据物理接口上所有终止IFL的用户的总流量进行的。

在任何级别发生违规行为时，您可以采取3项操作(也可以将此设置为每个级别)：

• 删除所有通信量(默认)
• 警察交通(类似于DDoS)
• 保持所有流量(基本上只检测到)

Answer 2

控制面DDOS保护特性是一组复杂的控制平面分类器和警察。这是一个伟大的功能，你绝对应该使用它，除了一个普通的控制平面过滤器的安全。

流量可以在每个IFL的基础上被接纳(或不允许)，这样来自一个接口(端口/VLAN/订户)的恶意通信不必影响来自不同接口的流量--每个接口都可以有自己的策略，默认配置中也有许多不同的流量类。

这一特性是在宽带ISP的要求下实现的，采用MX系列作为BRAS。可以理解的是，他们担心的不仅仅是常见的互联网攻击，比如向TCP/UDP连接的服务端口泛滥，还担心以太网BPDU流量、ARP/ND等。ddos保护功能试图通过启用每个接口/用户对CPU绑定通信量的限制来减少许多可能的攻击矢量。