配置流量检测的全局运行方式
默认情况下,对所有协议组和数据包类型全局禁用流检测。在层次结构级别使用[edit system ddos-protection global]语句全局flow-detection启用流检测后,可以包含该flow-detection-mode语句以配置流检测如何针对所有协议组和数据包类型全局运行。默认情况检测对所有数据包类型都以自动模式运行,这意味着只有在违反 DDoS 监管器后,它才会监控可疑流量的控制流量。您还可以将流检测配置为从不监控流或始终监控流。
启用流检测后,默认情况下会监控所有协议组和数据包类型的流量。您可以通过在层次结构级别包含 flow-detection-mode 语句 [edit system ddos-protection protocols protocol-group packet-type] 来覆盖全局配置,以配置流检测对协议组或数据包类型的工作方式。您还可以使用该 flow-level-detection 语句指定一个或多个流量聚合级别(订阅者、逻辑接口或物理接口)的行为。
在虚拟机箱配置中,我们建议您覆盖所有虚拟机箱控制数据包的流检测。该流基于 FPC 插槽中模块的 MAC 地址。 virtual-chassis control-low 如果流量违规,则所有控制流量都将丢失,从而导致意外行为。此行为可能包括 DHCP 和 PPPoE 控制流量丢失、ARP 请求丢失、路由协议抖动等。
要在启用全局流量检测后覆盖虚拟机箱控制数据包的流检测:
禁用每种数据包类型的流检测。
[edit] user@host# set system ddos-protection protocols virtual-chassis control-low flow-detection-mode off user@host# set system ddos-protection protocols virtual-chassis control-high flow-detection-mode off user@host# set system ddos-protection protocols virtual-chassis unclassified flow-detection-mode off user@host# set system ddos-protection protocols virtual-chassis vc-packets flow-detection-mode off user@host# set system ddos-protection protocols virtual-chassis vc-ttl-errors flow-detection-mode off
流量检测支持以下三种模式:
自动 — 当违反控制平面 DDoS 保护监管器时,将监控发生违规的流量是否存在可疑行为。检查每个可疑流,以确定是否是导致冲突的罪魁祸首流。
off — 从不监控任何协议组或数据包类型的流量。
on — 即使当前没有违反 DDoS 保护监管器,也会监控所有协议组和数据包类型的流量是否存在可疑流量。
默认情况下,检测模式设置为 automatic 。这意味着,如果启用全局流量检测且未指定模式,则仅当违反监管器时,才会检测到流量。
要配置流检测在每个流聚合级别的运行方式,请执行以下操作:
指定检测模式。
[edit system ddos-protection protocols global] user@host# set flow-detection-mode flow-detection-mode
例如,要将流检测配置为始终监控和检测所有流聚合级别上所有协议组和数据包类型的流:
[edit system ddos-protection global] user@host# set flow-detection-mode on