配置犯罪流量在全球范围内如何控制流量
启用流检测后,默认情况下,所有协议组和数据包类型以及所有流聚合级别都会丢弃犯罪流中的所有流量。您可以使用 该flow-level-control语句来配置流量检测如何控制全局所有协议组和数据包类型的信息流聚合级别的流量。对于特定流聚合级别,您无法全局指定控制行为:订阅者、逻辑接口或物理接口。为此,您必须使用层级语句[edit system ddos-protection protocols protocol-group packet-type]覆盖全局配置flow-level-control。
您可以配置流检测流控制以采用以下模式之一:
丢弃所有流量 — 当您认为违反带宽限制的流量是恶意流量时,请配置流控制以丢弃所有流量。对于所有协议组和数据包类型,此行为在所有流聚合级别上都是默认行为。
监管流量 — 配置流控制以监管违反带宽的流量,强制速率低于带宽限制。在这种情况下,流控制可以充当简单的监管器。
保留所有流量 — 配置流控制以保留所有流量,无论流量是否违反或低于带宽限制。当您需要调试网络的流量时,这种模式会很有帮助。
要配置流检测如何控制所有协议组和数据包类型中所有流聚合级别的犯罪流量:
指定控制模式。
[edit system ddos-protection global] user@host# set flow-level-control flow-control-mode
流控制模式使您能够灵活地管理网络中的控制流量。例如,如果您只想确保所有聚合级别上所有数据包类型的控制流都在其限制范围内,则可以全局配置流控制以监管流量。
[edit system ddos-protection global] user@host# set flow-level-control police
或者,假设您想要检测到罪魁祸首流并抑制它们,以便 DHCP 在物理接口流聚合级别发现数据包,但仅限制其他级别上允许带宽的所有流量。您可以在全球范围内配置策略,然后将该级别配置为丢弃所有流量,以替代数据包类型和物理级别。
[edit system ddos-protection global] user@host# set flow-level-control police [edit system ddos-protection protocols dhcpv4 discover ] user@host# set flow-level-control physical-interface drop