配置如何全局控制罪魁祸首流中的流量
启用流检测后,默认情况下,对于所有协议组和数据包类型以及所有流聚合级别,都会丢弃罪魁祸首流中的所有流量。您可以包含该语句来flow-level-control配置流检测如何针对所有协议组和数据包类型全局控制所有流量流聚合级别的流量。您无法为特定流聚合级别(订阅者、逻辑接口或物理接口)全局指定控制行为。为此,您必须在层次结构级别使用[edit system ddos-protection protocols protocol-group packet-type]语句覆盖flow-level-control全局配置。
您可以将流检测流控制配置为采用以下模式之一:
丢弃所有流量 - 将流控制配置为在您认为违反带宽限制的流量是恶意流量时丢弃所有流量。此行为是所有协议组和数据包类型的所有流聚合级别的默认设置。
监管流量 — 配置流控制以监管违反带宽的流量,强制速率低于带宽限制。在这种情况量控制充当简单的监管器。
保留所有流量 - 配置流量控制以保留所有流量,无论流量是违反带宽限制还是低于带宽限制。当您需要调试网络的流量时,此模式非常有用。
要配置流检测如何控制所有协议组和数据包类型的所有流聚合级别的罪魁祸首流中的流量:
指定控制模式。
[edit system ddos-protection global] user@host# set flow-level-control flow-control-mode
流量控制模式使您在管理网络中的控制流量方面具有极大的灵活性。例如,如果您只想确保所有聚合级别上所有数据包类型的控制流在其限制范围内,则可以全局配置流控制来监管流量。
[edit system ddos-protection global] user@host# set flow-level-control police
或者,假设您要检测罪魁祸首流并抑制它们,以便在物理接口流聚合级别进行 DHCP 发现数据包,但仅在其他级别将所有流量限制为允许的带宽。您可以全局配置警察操作,然后通过配置该级别以丢弃所有流量来覆盖数据包类型和物理级别。
[edit system ddos-protection global] user@host# set flow-level-control police [edit system ddos-protection protocols dhcpv4 discover ] user@host# set flow-level-control physical-interface drop