Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration globale du fonctionnement global de la détection de flux

Par défaut, la détection de flux est désactivée globalement pour tous les groupes de protocoles et tous les types de paquets. Une fois que vous avez activé la détection de flux globalement avec l’instruction flow-detection au niveau de la [edit system ddos-protection global] hiérarchie, vous pouvez inclure l’instruction pour configurer le flow-detection-mode fonctionnement global de la détection de flux pour tous les groupes de protocoles et types de paquets. Par défaut, la détection de flux fonctionne en mode automatique pour tous les types de paquets, ce qui signifie qu’elle surveille le trafic de contrôle à la recherche de flux suspects uniquement après qu’un mécanisme de contrôle DDoS a été violé. Vous pouvez également configurer la détection de flux pour qu’elle ne surveille jamais les flux ou qu’elle surveille toujours les flux.

Lorsque la détection de flux est activée, les flux de trafic sont surveillés par défaut pour tous les groupes de protocoles et types de paquets. Vous pouvez remplacer la configuration globale en incluant l’instruction au niveau de la hiérarchie pour configurer le flow-detection-mode [edit system ddos-protection protocols protocol-group packet-type] fonctionnement de la détection de flux pour un groupe de protocoles ou un type de paquet. Vous pouvez également utiliser l’instruction flow-level-detection pour spécifier le comportement d’un ou de plusieurs niveaux d’agrégation de flux de trafic (abonné, interface logique ou interface physique).

PRUDENCE:

Dans une configuration Virtual Chassis, nous vous recommandons de remplacer la détection de flux pour tous les paquets de contrôle Virtual Chassis. Le flux est basé sur l’adresse MAC du module dans l’emplacement FPC. Si le virtual-chassis control-low flux est en infraction, tout le trafic de contrôle est perdu, ce qui entraîne un comportement inattendu. Ce comportement peut inclure la perte de trafic de contrôle DHCP et PPPoE, la perte de requêtes ARP, les fluctuations du protocole de routage, etc.

Pour remplacer la détection de flux pour les paquets de contrôle Virtual Chassis lorsque vous avez activé la détection de flux global :

  • Désactivez la détection de flux pour chaque type de paquet.

La détection de flux prend en charge les trois modes suivants :

  • automatic : lorsqu’un mécanisme de contrôle de protection DDoS du plan de contrôle n’est pas respecté, les flux de trafic à l’endroit où la violation s’est produite sont surveillés pour détecter tout comportement suspect. Chaque flux suspect est examiné afin de déterminer s’il s’agit du flux responsable à l’origine de l’infraction.

  • off : les flux de trafic ne sont jamais surveillés pour aucun groupe de protocole ou type de paquet.

  • on : les flux de trafic de tous les groupes de protocoles et types de paquets sont surveillés pour détecter les flux suspects, même lorsqu’aucun mécanisme de contrôle de la protection DDoS n’est actuellement violé.

Note:

Le mode de détection est défini sur automatic par défaut. Cela signifie que si vous activez la détection de flux globale et que vous ne spécifiez pas de mode, les flux ne sont détectés que lorsque le mécanisme de contrôle est enfreint.

Pour configurer le fonctionnement de la détection de flux à chaque niveau d’agrégation de flux :

  • Spécifiez le mode de détection.

Par exemple, pour configurer la détection de flux afin de toujours surveiller et détecter les flux pour tous les groupes de protocoles et types de paquets à tous les niveaux d’agrégation de flux :