设置和使用流检测
流量检测会监控控制信息流的流量,以防违反每个流量允许的带宽,并管理识别为犯罪流量的流量。抑制流量是默认管理选项。流检测通常作为整体控制平面 DDoS 保护策略的一部分实施,但对于新配置中的流量故障排除和了解也很有用。默认情况下,流检测禁用。
增强型订阅者管理支持流检测,以实现截至 Junos OS 版本 17.3R1 的控制平面 DDoS 保护。
开始之前,请确保已为网络适当配置了控制平面 DDoS 保护。有关 DDoS 保护的详细信息,请参阅 配置控制平面 DDoS 防御 。
配置可疑流量的检测周期
DDoS 保护流检测认为,只要流量超过其允许的带宽,受监控的流量就会成为可疑流。仔细检查可疑流量时,信息流必须保持违反带宽一段时间,然后才能检测到该流量是必须对其采取相应措施的罪魁祸首。您可以使用语 flow-detect-time 句来配置此检测期间的持续时间,或者可以依靠三秒钟的默认周期。
截至 Junos OS 版本 17.3R1,增强型订阅者管理支持流检测来保护 DDoS。
建议您在检测期间使用默认值。
要指定流量在流量检测声明为犯罪流之前必须违反的时长:
设置检测周期。
[edit system ddos-protection protocols protocol-group packet-type] user@host# set flow-detect-time seconds
例如,包括以下语句,要求 DHCPv4 发现数据包流违反其允许的带宽 30 秒,然后才被视为犯罪流:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set flow-detect-time 30
为犯罪流配置恢复期
在 DDoS 保护流检测已将可疑流量识别为罪魁祸首流后,必须确定该流量何时不再对路由器构成威胁。当信息流速率回落至允许的带宽内时,该速率必须保持在带宽内才能恢复。只有这样,流量检测才认为流量正常,并停止针对犯罪流量制定的流量处理措施。您可以使用 语 flow-recover-time 句来配置此恢复期间的持续时间,或者可以依赖 60 秒的默认周期。
要在违反信息流检测声明为正常流之前,指定流在其允许的带宽内必须有多长:
设置恢复期。
[edit system ddos-protection protocols protocol-group packet-type] user@host# set flow-recover-time seconds
例如,包括以下语句,要求 DHCPv4 发现数据包流正在恢复中 5 分钟(300 秒):
[edit system ddos-protection protocols dhcpv4 discover] user@host# set flow-recover-time 300
为犯罪流配置超时周期
当 DDoS 保护流检测将可疑流量识别为罪魁祸首流时,默认情况下,只要信息流超过带宽限制,就会抑制该流量的流量。当流量上次违反规定的时间大于恢复期时,抑制停止,流将从流表中移除。
或者,您可以使用 语 timeout-active-flows 句来启用流检测,以抑制可配置超时期间的犯罪流。超时期到期时,抑制停止,流将从流表中移除。您可以使用 语 flow-timeout-time 句来配置超时周期的持续时间,也可以使用 300 秒的默认超时。
要启用流检测,可在超时期间抑制犯罪流量:
例如,包括以下语句以抑制 DHCPv4 发现 10 分钟(600 秒)的数据包流:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set timeout-active-flows user@host# setflow-timeout-time 600
配置流检测如何在每个流聚合级别上运行
当流检测打开时,默认情况下会监控所有协议组和数据包类型的信息流。发生监管器违例时,会检查每个可疑流量,以确定是否是造成违反的罪魁祸首流。您可以使用 该 flow-level-detection 语句来配置流检测在数据包类型(订阅者、逻辑接口或物理接口)的每个流聚合级别上的工作原理。
数据包级别的流检测模式必须为 automatic 或 on 流检测,才能在单个流聚合级别上运行。
与协议组和数据包级别的流检测类似,流聚合级别的流检测支持三种模式:
自动 — 违反控制平面 DDoS 保护策略时,此流聚合级别上的流量仅会受到可疑行为的监控,直至流量检测确定可疑流量不在此聚合级别,而必须处于更粗糙的聚合级别。随后,此级别的流量不会再次被搜查,直到粗体级别上的监管器不再受到侵犯。
关闭 — 此流聚合级别从不监控流量。
开启 — 即使当前没有违反 DDoS 保护策略,如果数据包级别的流量检测配置
on为 , 也会监控此流聚合级别上的流量。无论是否在此级别识别可疑流量,此级别的监控都将继续。但是,如果数据包级别模式为automatic,则监管器必须违反此级别的流量检查。
首先在最佳粒度(最低带宽)流聚合级别(订阅者)检查流。如果在订阅者级别未找到可疑流,则在逻辑接口级别检查流。最后,如果未发现可疑信息,则在物理接口级别检查流量:除非配置不当,否则必须在此级别找到罪魁祸首流。
要配置流检测在每个流聚合级别的操作方式:
例如,包括以下语句以配置流量检测,以便仅在违反监管器时才在订阅者级别检查可疑流量,从不在逻辑接口级别检查,并且始终在物理接口级别检查:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-detection user@host# set subscriber automatic user@host# set logical-interface off user@host# set physical-interface on
配置在每个流聚合级别控制犯罪流量的方式
启用流检测后,默认情况下,所有协议组和数据包类型以及所有流聚合级别都会丢弃犯罪流中的所有流量。您可以使用 该 flow-level-control 语句来配置流检测,以不同方式控制单个数据包类型的流量。您必须在特定流聚合级别指定控制行为:订阅者、逻辑接口或物理接口。
您可以配置流检测流控制,以便为数据包类型采用以下模式之一:
丢弃所有流量 — 当您认为违反带宽限制的流量是恶意流量时,请配置流控制以丢弃所有流量。此行为在所有流聚合级别上都是默认行为。
监管流量 — 配置流控制以监管违反带宽的流量,强制速率低于带宽限制。在这种情况下,流控制可以充当简单的监管器。
保留所有流量 — 配置流控制以保留所有流量,无论流量是否违反或低于带宽限制。当您需要调试网络的流量时,这种模式会很有帮助。
流控制模式使您能够灵活地管理网络中的控制流量。例如,如果您只想确保所有聚合级别的数据包类型的控制流都在其限制范围内,则可以配置流控制以在每个级别监管流量。或者,如果您希望检测到罪魁祸首流量并将其抑制在一个级别,但只将流量限制到另一个级别允许的带宽,则可以配置一个级别来丢弃所有流量,另一个级别用于监管流量。
要配置流量检测如何控制犯罪流量:
例如,要配置流检测以将物理接口的所有流量保留在配置的带宽下,但在订阅者级别检测并抑制罪魁祸首流:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-control user@host# set subscriber drop user@host# set physical-interface police user@host# edit flow-level-detection user@host# set logical-interface off
在此示例中,您不关心逻辑接口,因此此级别的流检测关闭。由于已禁用流检测,因此该级别的流控制状态并不重要。
支持对所有协议组和数据包类型进行流检测
默认情况下,所有协议组和数据包类型均禁用流检测。您必须通过包括 flow-detection 语句来实现全局流量检测。如果随后禁用单个数据包类型的流检测,则不能使用此全局语句替代所有此类单独配置;您必须在数据包配置级别重新启用检测。
要在全球范围内启用流量检测:
设置流检测。
[edit system ddos-protection global] user@host# set flow-detection
由于没有典型的以太网、IP 或 IPv6 标头,因此无法对以下组和数据包类型进行全局流量检测:
协议组:
fab-probe、frame-relay、inline-ka、isis、jfm、mlp、pfe-alive和posservices.数据包类型:
unclassified在协议组中ip-options。
配置所有协议组和数据包类型的犯罪流量报告速率
当流检测确认其在线卡上跟踪的可疑流量确实是犯罪流时,它会向路由引擎发送报告。流检测还会报告随后恢复到允许带宽内或被清除的每个罪魁祸首流。您可以使用 该 flow-report-rate 语句来限制可报告每个线卡上每秒有多少流。默认情况下,所有协议组和数据包类型都会报告犯罪流事件。如果报告流量过多,则会在路由引擎流的主机路径上出现拥塞。
要对犯罪流量进行全局配置最大报告速率:
设置报告速率。
[edit system ddos-protection global] user@host# set flow-report-rate rate
配置所有协议组和数据包类型的违规报告速率
默认情况下,流检测报告会向路由引擎报告所有协议组和数据包类型的 FPC 中所有带宽违例。您可以使用 该 violation-report-rate 语句来限制线卡中每秒有多少违规流量检测报告,从而减少路由器上的负载。我们建议您配置适合网络的报告速率,而不是依赖默认值。
要全局配置最大带宽违反报告速率:
设置报告速率。
[edit system ddos-protection global] user@host# set violation-report-rate rate
禁用数据包类型的犯罪流量事件自动日志记录
默认情况下,流检测会自动记录与所有协议组和数据包类型相关的与可疑流量(违反报告)和犯罪流事件(流报告)相关的监管器违规事件。您可以使用 该 no-flow-logging 语句来防止自动记录个别数据包类型的犯罪流事件。使用层次结构级别的语句禁用 disable-logging 可疑流量违规事件的 [edit system ddos-protection global 自动记录。
要禁用数据包类型的自动犯罪流事件日志记录:
禁用日志记录。
[edit system ddos-protection protocols protocol-group packet-type] user@host# set no-flow-logging
要禁用数据包类型自动可疑流量违规事件日志:
禁用日志记录。
[edit system ddos-protection protocols protocol-group packet-type] user@host# set disable-logging
例如,包括以下语句以禁用 DHCPv4 自动日志记录发现数据包流:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set no-flow-logging
在每个流聚合级别配置最大流带宽
您可以使用 该 flow-level-bandwidth 语句为单个数据包类型的信息流配置可接受的最大带宽。您必须在特定流聚合级别指定带宽行为:订阅者、逻辑接口或物理接口。我们建议您调整网络的带宽值,而不是依赖默认值。
要为每个流聚合级别的信息流配置最大带宽:
例如,要在订阅者级别将流带宽配置为 1000 pps,在逻辑接口级别配置 5000 pps,在物理接口级别配置 30,000 pps:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-bandwidth user@host# set subscriber 1000 user@host# set logical-interface 5000 user@host# set physical-interface 30000
验证和管理流量检测
目的
将流检测作为控制平面 DDoS 保护配置的一部分查看或清除信息。
增强型订阅者管理支持流检测,以实现截至 Junos OS 版本 17.3R1 的控制平面 DDoS 保护。
行动
要显示流检测的配置信息:
user@host> show ddos-protection protocols flow-detection
要显示有关通过流检测识别的异常流量的信息,包括检测和跟踪的流数量、流量的源地址、到达接口和速率:
user@host> show ddos-protection protocols culprit-flows
要清除所有协议组中所有数据包类型的犯罪流量:
user@host> clear ddos-protection protocols culprit-flows
要清除特定协议组中所有数据包类型的罪魁祸首流:
user@host> clear ddos-protection protocols protocol-group culprit-flows