Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

设置和使用流检测

流检测可监控控制信息流以违反允许的每个流量的带宽,并管理识别为万能流量的流量。对信息流进行抑制是默认管理选项。流检测通常作为整体控制平面的一DDoS保护策略的一部分实施,但它对于故障排除和了解新配置中的流量也非常有用。默认情况下,流检测处于禁用状态。

增强型订阅者管理支持控制平面流检测DDoS版本保护Junos OS保护17.3R1。

开始之前,请确保已配置了适用于DDoS网络的控制平面保护。有关 安全保护DDoS, 请参阅 配置控制平面DDoS保护 。

配置可疑流的检测期

DDoS流量检测基于的一项测试表明,只要流量超过允许的带宽,受监控的流量就会成为可疑流,而该测试显然不会考虑好流量。如果仔细观察可疑流,则信息流需要违反带宽一段时间才能检测到它成为必须采取行动的万能流。您可以包括 flow-detect-time 语句来配置此检测期的持续时间,也可以依靠默认的三秒时间。

增强的订阅者管理支持流量检测,DDoS版本Junos OS保护17.3R1。

最佳做法:

我们建议您为检测期使用默认值。

要指定流在被检测为万能流之前必须违反该流量的有多长:

  • 设置检测期。

    例如,包括以下语句,要求 DHCPv4 发现数据包流违反其允许的带宽 30 秒,然后才能被视为罪魁祸首流:

为万能流配置恢复期

在DDoS保护流检测将可疑流识别为万能流之后,必须确定该流量何时不再代表对路由器的威胁。当信息流速率降到允许的带宽内时,速率必须保留在带宽内才能恢复。只有到时,流量检测才认为流量正常,并阻止针对万能流量实施的流量处理操作。您可包含 语句来配置此恢复期的持续时间,也可以 flow-recover-time 依赖 60 秒的默认期。

要指定流在违反之后必须在其允许的带宽内多久,流检测声明其为正常流:

  • 设置恢复期。

    例如,包括以下语句,要求 DHCPv4 发现数据包流恢复 5 分钟(300 秒):

为万能流配置超时时间

当DDoS保护流检测将可疑流识别为万能流时,默认情况下它会抑制该流量的流量,只要信息流超过带宽限制。当流上次违反行为的时间超过恢复期时,抑制停止,流将从流表中移除。

或者,您可包含 timeout-active-flows 该语句以启用流检测以在可配置的超时期间抑制万能流。超时期到期时,抑制停止,流从流表中移除。您可包含 flow-timeout-time 语句来配置超时期的持续时间,或者依靠 300 秒的默认超时。

要启用流检测以在超时期间抑制万能流:

  1. 启用超时。
  2. 指定超时时间。

例如,包括以下语句以抑制 DHCPv4 发现数据包流 10 分钟(600 秒):

配置流量检测在每个流聚合级别如何运行

打开流量检测后,默认情况下会监控所有协议组和数据包类型的信息流。发生管理程序违规时,将检查每个可疑流,以确定导致该违规的罪魁祸首流。您可包含该语句,以配置流量检测在每个流聚合级别中如何针对数据包类型(订阅者、逻辑接口或物理接口) flow-level-detection 工作。

注意:

数据包级别的流检测模式必须是 ,或流检测模式可在 automatic on 单个流聚合级别运行。

与协议组和数据包级别的流检测类似,流聚合级别的流量检测支持三种模式:

  • 自动— 当违反控制平面 DDoS 保护监管器时,此流聚合级别的流量仅会受可疑行为监控,直到流检测确定可疑流量未达到此聚合级别,而是必须处于更粗的聚合级别。此级别的流随后不会再次搜索,直到策略程序不再违反最粗级别。

  • 关闭 — 流量永远不会在这个流聚合级别受到监控。

  • 上的 — 如果数据包级别的流量检测配置为 ,则即使当前没有违反 DDoS 保护策略,此流聚合级别的流量也将受监控以检测可疑流量 on 。无论可疑流量是否标识在此级别,都将继续此级别进行监控。但是,如果数据包级别模式为 ,则管制器必须违反要在此级别检查 automatic 的信息流。

首先,在最精细的(最低带宽)流聚合级别(用户)检查流。如果在订阅者级别未找到可疑流,则检查逻辑接口级别的流量。最后,如果未找到可疑点,则物理接口级别会检查流量;出现某些配置错误时,必须找到此级别的罪魁祸首流。

要配置流检测在每个流聚合级别如何运行:

  1. (可选)指定用户级别的检测模式。
  2. (可选)指定逻辑接口级别的检测模式。
  3. (可选)指定物理接口级别的检测模式。

例如,包括以下语句来配置流检测以检查用户级别的可疑流(仅在违反策略程序时)、从不在逻辑接口级别检查,以及始终检查在物理接口级别:

配置如何在每个流聚合级别控制万能流中的流量

启用流检测时,所有协议组和数据包类型以及所有流聚合级别中的人流中默认丢弃所有流量。您可包含 flow-level-control 语句以配置流检测,以对个别数据包类型不同控制流量。您必须指定特定流聚合级别的控制行为:用户、逻辑接口或物理接口。

您可以配置流检测流控制,以对数据包类型采用以下模式之一:

  • 丢弃所有流量 — 当认为违反带宽限制的流量是恶意流量时,配置流控制以丢弃所有流量。此行为是所有流聚合级别的默认设置。

  • 策略流量 — 配置流控制以监控违反带宽的流,从而强制速率低于带宽限制。在这种情况下,流控制用作简单的管理程序。

  • 保留所有流量 — 配置流控制以保留所有流量,无论流量违反还是低于带宽限制。当您需要调试网络的流量时,此模式非常有用。

流控制模式可在网络中管理控制流量方面实现很大的灵活性。例如,如果您只希望确保所有聚合级别的数据包类型的控制流处于其限制范围内,则可以通过配置流量控制来在每一个级别监控流量。或者,如果您希望检测异常流量,将其抑制在一个级别,但仅将流量占用到允许的带宽另一个级别,就可以将一个级别配置为丢弃所有流量,另一个级别则用于策略流量。

要配置流检测如何控制造成流量异常的流量:

  1. (可选)指定用户级别的控制模式。
  2. (可选)指定逻辑接口级别的控制模式。
  3. (可选)指定物理接口级别的控制模式。

例如,要配置流检测以在配置的带宽下保留物理接口的所有信息流,但在用户级别检测并抑制异常流量:

在这种情况下,您并不关心逻辑接口,因此该级别的流量检测已关闭。由于禁用流检测,因此该级别的流控制状态不重要。

支持所有协议组和数据包类型的流量检测

默认情况下,所有协议组和数据包类型均禁用流检测。必须通过包含 语句来全局启用流 flow-detection 检测。如果随后禁用单个数据包类型的流检测,则不能使用此全局语句替代所有此类单独配置;您必须在数据包配置级别重新启用检测。

要在全球启用流量检测:

  • 设置流检测。

注意:

不能为以下组和数据包类型全局启用流检测,因为它们没有典型的以太网、IP 或 IPv6 标头:

  • 协议组: fab-probe frame-relayinline-ka isis jfmmlp pfe-alive pos services

  • 数据包类型: unclassifiedip-options 协议组中。

配置所有协议组和数据包类型的流量报告速率

当流量检测确认线卡上正在跟踪的可疑流确实是一种罪魁祸首流时,它会向流量路由引擎。流检测还会报告每个造成异常的流,随后在允许的带宽内恢复或清除。您可包含 flow-report-rate 该语句以限制可以报告每个线卡上的每秒流数。默认情况下,所有协议组和数据包类型均会报告罪魁祸首流事件。如果报告的流量过多,则主机路径拥塞路由引擎流。

要全局配置造成流量故障的最大报告速率:

  • 设置报告速率。

配置所有协议组和数据包类型的违例报告速率

默认情况下,流量检测报告路由引擎所有协议组和数据包类型的 FPC 上带宽违规的情况。您可包含该语句以限制来自线卡的每秒流检测报告数,从而降低 violation-report-rate 路由器上的负载。建议配置适合您网络的报告速率,而不是依赖于默认值。

要全局配置最大带宽违例报告速率:

  • 设置报告速率。

禁用数据包类型的罪魁祸首流事件自动日志记录

默认情况下,流量检测会自动记录与任何协议组和数据包类型的可疑流(违规报告)和异常流事件(流报告)关联的策略程序违规事件。您可以包括 no-flow-logging 该语句,以防止自动记录各个数据包类型的罪魁祸首流事件。在层次结构级别使用 语句禁用可疑流违反 disable-logging 事件自动 [edit system ddos-protection global 记录。

要禁用数据包类型的自动万能流事件日志记录:

  • 禁用日志记录。

要禁用数据包类型的自动可疑流违例事件日志记录:

  • 禁用日志记录。

例如,包括以下语句以禁用 DHCPv4 自动日志记录 DISCOVER 数据包流:

配置每个流聚合级别的最大流带宽

您可包含 flow-level-bandwidth 语句,为各个数据包类型的信息流配置最大可接受的带宽。您必须指定特定流聚合级别的带宽行为:订阅者、逻辑接口或物理接口。我们建议您调整网络的带宽值,而不是依赖于默认值。

要配置每个流聚合级别的流量的最大带宽:

  1. (可选)配置订阅者级别的流的带宽。
  2. (可选)配置逻辑接口级别的流的带宽。
  3. (可选)配置物理接口级别的流的带宽。

例如,要配置为订阅者级别的流带宽为 1000 pps,在逻辑接口级别配置为 5000 pps,在物理接口级别配置为 30,000:

验证和管理流量检测

目的

查看或清除有关流检测的信息,作为控制平面的一DDoS配置。

增强型订阅者管理支持控制平面流检测DDoS版本保护Junos OS保护17.3R1。

行动

  • 要显示流检测的配置信息:

  • 要显示流检测识别的异常流的信息,包括检测和跟踪的流数量、流量源地址、到达接口和速率:

  • 要清除所有协议组内所有数据包类型的罪魁祸首流:

  • 要清除特定协议组中所有数据包类型的罪魁祸首流:

版本历史记录表
释放
描述
17.3R1
增强型订阅者管理支持控制平面流检测DDoS版本保护Junos OS保护17.3R1。
17.3R1
增强的订阅者管理支持流量检测,DDoS版本Junos OS保护17.3R1。
17.3R1
增强型订阅者管理支持控制平面流检测DDoS版本保护Junos OS保护17.3R1。