NESTA PÁGINA
Configurando o período de recuperação para um fluxo de culpados
Configurando o período de tempo limite para um fluxo de culpados
Configurando como a detecção de fluxo opera em cada nível de agregação de fluxo
Configurando como o tráfego em um fluxo culpado é controlado em cada nível de agregação de fluxo
Habilitando a detecção de fluxo para todos os grupos de protocolo e tipos de pacotes
Configuração da taxa de relatórios de violação para todos os grupos de protocolo e tipos de pacotes
Desativação do registro automático de eventos de fluxo culpados para um tipo de pacote
Configurando a largura de banda de fluxo máximo em cada nível de agregação de fluxo
Configuração e uso da detecção de fluxo
A detecção de fluxos monitora os fluxos de tráfego de controle por violação da largura de banda permitida para cada fluxo e gerencia o tráfego identificado como um fluxo culpado. A supressão do tráfego é a opção de gerenciamento padrão. A detecção de fluxo é normalmente implementada como parte de uma estratégia geral de proteção contra DDoS do plano de controle, mas também é útil para solucionar problemas e entender o fluxo de tráfego em novas configurações. A detecção de fluxo é desativada por padrão.
O gerenciamento aprimorado de assinantes oferece suporte à detecção de fluxo para a proteção DDoS do plano de controle conforme o Junos OS Release 17.3R1.
Antes de começar, certifique-se de ter configurado a proteção contra DDoS do plano de controle adequadamente para sua rede. Veja configuração da proteção contra DDoS do plano de controle para obter informações detalhadas sobre a proteção contra DDoS.
Configurando o período de detecção para fluxos suspeitos
A detecção de fluxo de proteção contra DDoS considera um fluxo monitorado um fluxo suspeito sempre que o fluxo excede sua largura de banda permitida, com base em um teste bruto que elimina obviamente bons fluxos de consideração. Um exame mais aprofundado de um fluxo suspeito exige que o fluxo permaneça em violação da largura de banda por um período de tempo antes que a detecção de fluxo considere que é um fluxo culpado contra o qual deve agir. Você pode incluir a flow-detect-time declaração para configurar a duração desse período de detecção ou pode confiar no período padrão de três segundos.
O gerenciamento aprimorado de assinantes oferece suporte à detecção de fluxo para proteção contra DDoS conforme o Junos OS Release 17.3R1.
Recomendamos que você use o valor padrão para o período de detecção.
Para especificar quanto tempo um fluxo deve estar em violação antes que a detecção de fluxo declare que ele é um fluxo culpado:
Definir o período de detecção.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set flow-detect-time seconds
Por exemplo, inclua a seguinte declaração para exigir que o DHCPv4 descubra que o fluxo de pacotes esteja em violação de sua largura de banda permitida por 30 segundos antes de ser considerado um fluxo culpado:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set flow-detect-time 30
Configurando o período de recuperação para um fluxo de culpados
Depois que a detecção de fluxo de proteção contra DDoS identificou um fluxo suspeito como um fluxo culpado, ele tem que determinar quando esse fluxo não representa mais uma ameaça para o roteador. Quando a taxa de fluxo de tráfego cai de volta para dentro da largura de banda permitida, a taxa deve permanecer dentro da largura de banda por um período de recuperação. Só então a detecção de fluxo considera o fluxo normal e interrompe a ação de manuseio de tráfego decretada contra o fluxo culpado. Você pode incluir a flow-recover-time declaração para configurar a duração deste período de recuperação ou pode confiar no período padrão de 60 segundos.
Para especificar quanto tempo um fluxo deve estar dentro de sua largura de banda permitida após uma violação antes que a detecção de fluxo declare que ele é um fluxo normal:
Definir o período de recuperação.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set flow-recover-time seconds
Por exemplo, inclua a seguinte declaração para exigir que o DHCPv4 descubra que o fluxo de pacotes deve estar em recuperação por cinco minutos (300 segundos):
[edit system ddos-protection protocols dhcpv4 discover] user@host# set flow-recover-time 300
Configurando o período de tempo limite para um fluxo de culpados
Quando a detecção de fluxo de proteção contra DDoS identifica um fluxo suspeito como um fluxo culpado, por padrão ele suprime o tráfego para esse fluxo enquanto o fluxo de tráfego exceder o limite de largura de banda. A supressão para e o fluxo é removido da tabela de fluxo quando o tempo desde a última violação pelo fluxo é maior do que o período de recuperação.
Como alternativa, você pode incluir a timeout-active-flows declaração para permitir a detecção de fluxo para suprimir um fluxo culpado por um período de tempo limite configurável. Quando o período de intervalo expira, a supressão para e o fluxo é removido da tabela de fluxo. Você pode incluir a flow-timeout-time declaração para configurar a duração do período de intervalo ou confiar no tempo limite padrão de 300 segundos.
Para permitir que a detecção de fluxo suprime um fluxo culpado por um período de tempo limite:
Por exemplo, inclua as seguintes declarações para suprimir o DHCPv4 para descobrir o fluxo de pacotes por 10 minutos (600 segundos):
[edit system ddos-protection protocols dhcpv4 discover] user@host# set timeout-active-flows user@host# setflow-timeout-time 600
Configurando como a detecção de fluxo opera em cada nível de agregação de fluxo
Quando a detecção de fluxo é ativada, os fluxos de tráfego são monitorados por padrão para todos os grupos de protocolo e tipos de pacotes. Quando uma violação do policial ocorre, cada fluxo suspeito é analisado para determinar se foi o fluxo culpado que causou a violação. Você pode incluir a flow-level-detection declaração para configurar como a detecção de fluxo funciona em cada nível de agregação de fluxo para um tipo de pacote: assinante, interface lógica ou interface física.
O modo de detecção de fluxo no nível de pacote deve ser automatic ou on para que a detecção de fluxo opere em níveis individuais de agregação de fluxo.
Como a detecção de fluxo no grupo de protocolo e no nível de pacote, a detecção de fluxo no nível de agregação de fluxo oferece suporte a três modos:
automático — Quando um policial de proteção contra DDoS de plano de controle é violado, os fluxos de tráfego neste nível de agregação de fluxo são monitorados por comportamento suspeito apenas até que a detecção de fluxo determine que o fluxo suspeito não está neste nível de agregação e, em vez disso, deve estar em um nível mais grosseiro de agregação. Os fluxos neste nível não são posteriormente revistados novamente até que o policial não seja mais violado no nível mais grosseiro.
off — os fluxos de tráfego nunca são monitorados nesse nível de agregação de fluxo.
on — Os fluxos de tráfego neste nível de agregação de fluxo são monitorados para fluxos suspeitos, mesmo quando nenhum policial de proteção contra DDoS está sendo violado no momento, se a detecção de fluxo no nível de pacote estiver configurada para
on. O monitoramento continua neste nível, independentemente de um fluxo suspeito ser identificado neste nível. No entanto, se o modo de nível de pacote forautomatic, o policial deve estar em violação para que os fluxos de tráfego sejam verificados neste nível.
Os fluxos são analisados primeiro no nível de agregação de fluxo de melhor granulado (menor largura de banda), assinante. Se o fluxo suspeito não for encontrado no nível do assinante, os fluxos serão verificados no nível de interface lógica. Por fim, se o suspeito não for encontrado lá, os fluxos serão verificados no nível da interface física; com exceção de alguma configuração incorreta, o fluxo culpado deve ser encontrado neste nível.
Para configurar como a detecção de fluxo opera em cada nível de agregação de fluxo:
Por exemplo, inclua as seguintes declarações para configurar a detecção de fluxo para verificar se há fluxos suspeitos no nível do assinante apenas quando o policial está sendo violado, para nunca verificar no nível de interface lógica e verificar sempre no nível de interface física:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-detection user@host# set subscriber automatic user@host# set logical-interface off user@host# set physical-interface on
Configurando como o tráfego em um fluxo culpado é controlado em cada nível de agregação de fluxo
Quando a detecção de fluxo é habilitada, todo o tráfego em um fluxo culpado é descartado por padrão para todos os grupos de protocolo e tipos de pacotes e em todos os níveis de agregação de fluxo. Você pode incluir a flow-level-control declaração para configurar a detecção de fluxo para controlar o tráfego de forma diferente para tipos de pacotes individuais. Você precisa especificar o comportamento de controle em um determinado nível de agregação de fluxo: assinante, interface lógica ou interface física.
Você pode configurar o controle de fluxo de detecção de fluxo para empregar um dos seguintes modos para um tipo de pacote:
Solte todo o tráfego — Configure o controle de fluxo para soltar todo o tráfego quando você acha que o fluxo que está violando um limite de largura de banda é malicioso. Esse comportamento é o padrão em todos os níveis de agregação de fluxo.
Tráfego policial — Configure o controle de fluxo para policiar um fluxo que está violando a largura de banda, forçando a taxa abaixo do limite de largura de banda. O controle de fluxo funciona como um simples policiador neste caso.
Mantenha todo o tráfego — Configure o controle de fluxo para manter todo o tráfego, independentemente de o fluxo estar em violação ou abaixo do limite de largura de banda. Esse modo é útil quando você precisa depurar o fluxo de tráfego para sua rede.
O modo de controle de fluxo permite uma grande flexibilidade na forma como você gerencia o tráfego de controle em sua rede. Por exemplo, se você só quiser garantir que os fluxos de controle para um tipo de pacote em todos os níveis de agregação estejam dentro de seus limites, você pode configurar o controle de fluxo para policiar o tráfego em cada nível. Ou se você quiser detectar fluxos culpados e suprimi-los em um nível, mas apenas restringir o tráfego para a largura de banda permitida em outro nível, você pode configurar um nível para derrubar todo o tráfego e o outro para o tráfego policial.
Para configurar como a detecção de fluxo controla o tráfego em um fluxo culpado:
Por exemplo, configurar a detecção de fluxo para manter todo o tráfego para uma interface física sob a largura de banda configurada, mas detectar e suprimir fluxos culpados no nível do assinante:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-control user@host# set subscriber drop user@host# set physical-interface police user@host# edit flow-level-detection user@host# set logical-interface off
Neste exemplo, você não se importa com a interface lógica, então a detecção de fluxo é desativada para esse nível. Como a detecção de fluxo é desativada, o estado de controle de fluxo para esse nível não importa.
Habilitando a detecção de fluxo para todos os grupos de protocolo e tipos de pacotes
Por padrão, a detecção de fluxo é desativada para todos os grupos de protocolo e tipos de pacotes. Você deve habilitar a detecção de fluxo globalmente, incluindo a flow-detection declaração. Se posteriormente desabilitar a detecção de fluxo para tipos de pacotes individuais, não poderá usar essa declaração global para substituir todas essas configurações individuais; você deve habilitar novamente a detecção no nível de configuração de pacotes.
Para permitir a detecção de fluxos globalmente:
Definir a detecção de fluxo.
[edit system ddos-protection global] user@host# set flow-detection
Você não pode permitir a detecção de fluxo globalmente para os seguintes grupos e tipos de pacotes porque eles não têm cabeçalhos típicos de Ethernet, IP ou IPv6:
Grupos de protocolo:
fab-probe, ,frame-relay,inline-ka,isis,jfm,mlp,pfe-alive, eposservices.Tipo de pacote:
unclassifiedno grupo deip-optionsprotocolo.
Configuração da taxa de relatórios de fluxo culpado para todos os grupos de protocolo e tipos de pacotes
Quando a detecção de fluxo confirma que um fluxo suspeito que está rastreando em uma placa de linha é de fato um fluxo culpado, ele envia um relatório para o Mecanismo de Roteamento. A detecção de fluxo também relata cada fluxo culpado que, posteriormente, se recupera dentro da largura de banda permitida ou é liberada. Você pode incluir a flow-report-rate declaração para limitar quantos fluxos por segundo em cada placa de linha podem ser relatados. Os eventos de fluxo culpados são relatados para todos os grupos de protocolo e tipos de pacotes por padrão. Quando muitos fluxos são relatados, o congestionamento pode ocorrer no caminho de host para o fluxo do Mecanismo de Roteamento.
Para configurar globalmente a taxa máxima de relatório para fluxos culpados:
Definir a taxa de relatórios.
[edit system ddos-protection global] user@host# set flow-report-rate rate
Configuração da taxa de relatórios de violação para todos os grupos de protocolo e tipos de pacotes
Por padrão, a detecção de fluxo relata ao Mecanismo de Roteamento todas as violações da largura de banda no FPC para todos os grupos de protocolo e tipos de pacotes. Você pode incluir a violation-report-rate declaração para limitar quantas violações por segundo os relatórios de detecção de fluxo das placas de linha, reduzindo assim a carga no roteador. Recomendamos que você configure uma taxa de relatório adequada para sua rede em vez de depender do valor padrão.
Para configurar globalmente a taxa máxima de relatórios de violação de largura de banda:
Definir a taxa de relatórios.
[edit system ddos-protection global] user@host# set violation-report-rate rate
Desativação do registro automático de eventos de fluxo culpados para um tipo de pacote
Por padrão, a detecção de fluxo registra automaticamente eventos de violação do policiamento associados a fluxos suspeitos (relatórios de violação) e eventos de fluxo culpados (relatórios de fluxo) para todos os grupos de protocolo e tipos de pacotes. Você pode incluir a declaração para evitar o no-flow-logging registro automático de eventos de fluxo culpados para tipos de pacotes individuais. O registro automático de eventos suspeitos de violação de fluxo é desativado com a disable-logging declaração no nível de [edit system ddos-protection global hierarquia.
Para desativar o registro automático de eventos de fluxo culpado para um tipo de pacote:
Desabilitar o registro.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set no-flow-logging
Para desativar o registro automático de eventos de violação de fluxo suspeito para um tipo de pacote:
Desabilitar o registro.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set disable-logging
Por exemplo, inclua a seguinte declaração para desabilitar o registro automático para fluxos de pacotes DISCOVER DHCPv4:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set no-flow-logging
Configurando a largura de banda de fluxo máximo em cada nível de agregação de fluxo
Você pode incluir a flow-level-bandwidth declaração para configurar a largura de banda máxima aceitável para fluxos de tráfego para tipos de pacotes individuais. Você precisa especificar o comportamento da largura de banda em um determinado nível de agregação de fluxo: assinante, interface lógica ou interface física. Recomendamos que você ajuste os valores de largura de banda para sua rede em vez de confiar nos padrões.
Para configurar a largura de banda máxima para fluxos de tráfego em cada nível de agregação de fluxo:
Por exemplo, para configurar a largura de banda de fluxo a 1000 pps no nível de assinante, 5000 pps no nível de interface lógica e 30.000 no nível de interface física:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-bandwidth user@host# set subscriber 1000 user@host# set logical-interface 5000 user@host# set physical-interface 30000
Verificação e gerenciamento da detecção de fluxo
Propósito
Visualize ou informações claras sobre a detecção de fluxo como parte de uma configuração de proteção contra DDoS de plano de controle.
O gerenciamento aprimorado de assinantes oferece suporte à detecção de fluxo para a proteção DDoS do plano de controle conforme o Junos OS Release 17.3R1.
Ação
Para exibir informações de configuração para detecção de fluxo:
user@host> show ddos-protection protocols flow-detection
Para exibir informações sobre fluxos culpados identificados pela detecção de fluxos, incluindo o número de fluxos detectados e rastreados, endereço fonte do fluxo, interface de chegada e taxas:
user@host> show ddos-protection protocols culprit-flows
Limpar fluxos culpados para todos os tipos de pacotes em todos os grupos de protocolo:
user@host> clear ddos-protection protocols culprit-flows
Limpar fluxos culpados para todos os tipos de pacotes em um determinado grupo de protocolo:
user@host> clear ddos-protection protocols protocol-group culprit-flows
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.