Konfigurieren, wie der Datenverkehr in einem Schuldigenfluss global gesteuert wird
Wenn die Datenstromerkennung aktiviert ist, wird der gesamte Datenverkehr in einem verantwortlichen Datenstrom standardmäßig für alle Protokollgruppen und Pakettypen und auf allen Datenstromaggregationsebenen verworfen. Sie können die Anweisung einfügen, um zu flow-level-control konfigurieren, wie die Datenstromerkennung den Datenverkehr für alle Datenverkehrsflussaggregationsebenen global für alle Protokollgruppen und Pakettypen steuert. Sie können das Steuerungsverhalten nicht global für eine bestimmte Flow-Aggregationsebene angeben: Abonnent, logische Schnittstelle oder physische Schnittstelle. Dazu müssen Sie die globale Konfiguration mit der flow-level-control Anweisung auf Hierarchieebene [edit system ddos-protection protocols protocol-group packet-type] übersteuern.
Sie können die Flusssteuerung für die Datenstromerkennung so konfigurieren, dass sie einen der folgenden Modi verwendet:
Gesamten Datenverkehr verwerfen: Konfigurieren Sie die Datenstromsteuerung so, dass der gesamte Datenverkehr verworfen wird, wenn Sie der Meinung sind, dass der Datenstrom, der gegen eine Bandbreitenbeschränkung verstößt, bösartig ist. Dieses Verhalten ist die Standardeinstellung auf allen Datenstromaggregationsebenen für alle Protokollgruppen und Pakettypen.
Überwachung des Datenverkehrs: Konfigurieren Sie die Datenstromsteuerung, um einen Datenstrom zu überwachen, der die Bandbreite verletzt und die Rate unter die Bandbreitengrenze fällt. Die Flusskontrolle fungiert in diesem Fall als einfacher Policer.
Gesamten Datenverkehr beibehalten: Konfigurieren Sie die Datenstromsteuerung, um den gesamten Datenverkehr beizubehalten, unabhängig davon, ob der Datenverkehr gegen das Bandbreitenlimit verstößt oder unter dem Bandbreitenlimit liegt. Dieser Modus ist hilfreich, wenn Sie den Datenverkehrsfluss für Ihr Netzwerk debuggen müssen.
So konfigurieren Sie, wie die Datenstromerkennung den Datenverkehr in einem Täterdatenfluss für alle Datenstromaggregationsebenen für alle Protokollgruppen und Pakettypen steuert:
Geben Sie den Steuerungsmodus an.
[edit system ddos-protection global] user@host# set flow-level-control flow-control-mode
Der Flusssteuerungsmodus ermöglicht eine große Flexibilität bei der Verwaltung des Steuerungsdatenverkehrs in Ihrem Netzwerk. Wenn Sie z. B. nur sicherstellen möchten, dass die Datenstromsteuerung für alle Pakettypen auf allen Aggregationsebenen innerhalb ihrer Grenzwerte liegt, können Sie die Datenstromsteuerung global konfigurieren, um den Datenverkehr zu überwachen.
[edit system ddos-protection global] user@host# set flow-level-control police
Oder nehmen wir an, Sie möchten schuldige Datenströme erkennen und sie für DHCP-Erkennungspakete auf der Datenstromaggregationsebene der physischen Schnittstelle unterdrücken, aber nur den gesamten Datenverkehr auf die zulässige Bandbreite auf den anderen Ebenen beschränken. Sie können die Polizeiaktion global konfigurieren und sie dann für den Pakettyp und die physische Ebene außer Kraft setzen, indem Sie diese Ebene so konfigurieren, dass der gesamte Datenverkehr verworfen wird.
[edit system ddos-protection global] user@host# set flow-level-control police [edit system ddos-protection protocols dhcpv4 discover ] user@host# set flow-level-control physical-interface drop