Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration et utilisation de la détection de flux

La détection de flux surveille les flux de trafic de contrôle pour détecter toute violation de la bande passante autorisée pour chaque flux et gère le trafic identifié comme un flux coupable. La suppression du trafic est l’option de gestion par défaut. La détection de flux est généralement implémentée dans le cadre d’une stratégie globale de protection DDoS sur le plan de contrôle, mais elle est également utile pour dépanner et comprendre le flux de trafic dans les nouvelles configurations. La détection de flux est désactivée par défaut.

La Gestion améliorée des abonnés prend en charge la détection de flux pour la protection DDoS du plan de contrôle à partir de Junos OS version 17.3R1.

Avant de commencer, assurez-vous d’avoir configuré la protection DDoS du plan de contrôle de manière appropriée pour votre réseau. Reportez-vous à la section Configuration de la protection DDoS du plan de contrôle pour obtenir des informations détaillées sur la protection DDoS.

Configuration de la période de détection des flux suspects

La détection de flux de protection DDoS considère qu’un flux surveillé est un flux suspect chaque fois que le flux dépasse sa bande passante autorisée, sur la base d’un test rudimentaire qui élimine les flux manifestement bons. Un examen plus approfondi d’un flux suspect nécessite que le flux reste en violation de la bande passante pendant un certain temps avant que la détection de flux ne considère qu’il s’agit d’un flux coupable contre lequel elle doit prendre des mesures. Vous pouvez inclure l’instruction flow-detect-time pour configurer la durée de cette période de détection ou vous pouvez vous fier à la période par défaut de trois secondes.

La Gestion améliorée des abonnés prend en charge la détection de flux pour la protection DDoS à partir de Junos OS version 17.3R1.

Bonne pratique :

Nous vous recommandons d’utiliser la valeur par défaut pour la période de détection.

Pour spécifier la durée pendant laquelle un flux doit être en violation avant que la détection de flux ne le déclare coupable :

  • Définissez la période de détection.

    Par exemple, incluez l’instruction suivante pour exiger que le flux de paquets de découverte DHCPv4 soit en violation de sa bande passante autorisée pendant 30 secondes avant qu’il ne soit considéré comme un flux coupable :

Configuration de la période de récupération d’un flux coupable

Une fois que la détection de flux de protection DDoS a identifié un flux suspect comme étant un flux coupable, elle doit déterminer à quel moment ce flux ne représente plus une menace pour le routeur. Lorsque le débit de trafic retombe dans la bande passante autorisée, le débit doit rester dans la bande passante pendant une période de récupération. Ce n’est qu’à ce moment-là que la détection de flux considère que le flux est normal et arrête l’action de gestion du trafic mise en œuvre contre le flux coupable. Vous pouvez inclure l’instruction flow-recover-time pour configurer la durée de cette période de récupération ou vous pouvez vous fier à la période par défaut de 60 secondes.

Pour spécifier la durée pendant laquelle un flux doit respecter sa bande passante autorisée après une violation avant que la détection de flux ne déclare qu’il s’agit d’un flux normal :

  • Définissez la période de récupération.

    Par exemple, incluez l’instruction suivante pour exiger que le flux de paquets de découverte DHCPv4 soit en récupération pendant cinq minutes (300 secondes) :

Configuration du délai d’expiration d’un flux coupable

Lorsque la détection de flux de protection DDoS identifie un flux suspect comme étant un flux coupable, elle supprime par défaut le trafic de ce flux tant que le flux de trafic dépasse la limite de bande passante. La suppression s’arrête et le flux est supprimé de la table de flux lorsque le temps écoulé depuis la dernière violation par le flux est supérieur à la période de récupération.

Vous pouvez également inclure l’instruction pour activer la timeout-active-flows détection de flux afin de supprimer un flux coupable pendant un délai d’expiration configurable. À l’expiration du délai d’expiration, la suppression s’arrête et le flux est supprimé de la table de flux. Vous pouvez soit inclure l’instruction flow-timeout-time pour configurer la durée du délai d’expiration, soit vous fier au délai d’expiration par défaut de 300 secondes.

Pour activer la détection de flux afin de supprimer un flux coupable pendant un délai d’expiration, procédez comme suit :

  1. Activez le délai d’expiration.
  2. Spécifiez le délai d’expiration.

Par exemple, incluez les instructions suivantes pour supprimer le flux de paquets de découverte DHCPv4 pendant 10 minutes (600 secondes) :

configuration du fonctionnement de la détection de flux à chaque niveau d’agrégation de flux

Lorsque la détection de flux est activée, les flux de trafic sont surveillés par défaut pour tous les groupes de protocoles et types de paquets. Lorsqu’une infraction se produit, chaque flux suspect est examiné pour déterminer s’il s’agit du flux coupable qui a causé l’infraction. Vous pouvez inclure l’instruction permettant de configurer le flow-level-detection fonctionnement de la détection de flux à chaque niveau d’agrégation de flux pour un type de paquet : abonné, interface logique ou interface physique.

Note:

Le mode de détection de flux au niveau des paquets doit être soit automatic soit on pour que la détection de flux fonctionne aux niveaux d’agrégation de flux individuels.

À l’instar de la détection de flux au niveau du groupe de protocoles et des paquets, la détection de flux au niveau de l’agrégation de flux prend en charge trois modes :

  • automatic : lorsqu’un mécanisme de contrôle de protection DDoS du plan de contrôle n’est pas respecté, les flux de trafic à ce niveau d’agrégation de flux sont surveillés pour détecter tout comportement suspect uniquement, jusqu’à ce que la détection de flux détermine que le flux suspect n’est pas à ce niveau d’agrégation et doit plutôt se trouver à un niveau d’agrégation plus grossier. Les flux à ce niveau ne sont ensuite pas recherchés à nouveau jusqu’à ce que le mécanisme de contrôle ne soit plus violé au niveau le plus grossier.

  • off : les flux de trafic ne sont jamais surveillés à ce niveau d’agrégation de flux.

  • on : les flux de trafic à ce niveau d’agrégation de flux sont surveillés pour détecter les flux suspects, même lorsqu’aucun mécanisme de contrôle de la protection DDoS n’est actuellement violé, si la détection de flux au niveau du paquet est configurée sur on. La surveillance se poursuit à ce niveau, qu’un flux suspect soit identifié ou non à ce niveau. Toutefois, si le mode de niveau paquet est automatic, le mécanisme de contrôle doit être en violation pour que les flux de trafic soient vérifiés à ce niveau.

Les flux sont d’abord examinés au niveau d’agrégation de flux le plus précis (bande passante la plus faible), l’abonné. Si le flux suspect n’est pas trouvé au niveau de l’abonné, les flux sont vérifiés au niveau de l’interface logique. Enfin, si le suspect ne s’y trouve pas, les flux sont vérifiés au niveau de l’interface physique ; À moins d’une mauvaise configuration, le flux coupable doit être trouvé à ce niveau.

Pour configurer le fonctionnement de la détection de flux à chaque niveau d’agrégation de flux :

  1. (Facultatif) Spécifiez le mode de détection au niveau de l’abonné.
  2. (Facultatif) Spécifiez le mode de détection au niveau de l’interface logique.
  3. (Facultatif) Spécifiez le mode de détection au niveau de l’interface physique.

Par exemple, incluez les instructions suivantes pour configurer la détection de flux afin de vérifier les flux suspects au niveau de l’abonné uniquement lorsque le mécanisme de contrôle est violé, de ne jamais vérifier au niveau de l’interface logique et de toujours vérifier au niveau de l’interface physique :

Configuration du mode de contrôle du trafic d’un flux responsable à chaque niveau d’agrégation de flux

Lorsque la détection de flux est activée, tout le trafic d’un flux responsable est abandonné par défaut pour tous les groupes de protocoles et types de paquets, et à tous les niveaux d’agrégation de flux. Vous pouvez inclure l’instruction pour configurer la flow-level-control détection de flux afin de contrôler le trafic différemment pour chaque type de paquet. Vous devez spécifier le comportement de contrôle à un niveau d’agrégation de flux particulier : abonné, interface logique ou interface physique.

Vous pouvez configurer le contrôle de flux de détection de flux pour qu’il utilise l’un des modes suivants pour un type de paquet :

  • Supprimer tout le trafic : configurez le contrôle de flux pour qu’il supprime tout le trafic lorsque vous pensez que le flux qui enfreint une limite de bande passante est malveillant. Ce comportement est le comportement par défaut à tous les niveaux d’agrégation de flux.

  • Contrôler le trafic : configurez le contrôle de flux pour contrôler un flux qui enfreint la bande passante, en forçant le débit en dessous de la limite de bande passante. Dans ce cas, le contrôle de flux agit comme un simple mécanisme de contrôle.

  • Conserver tout le trafic : configurez le contrôle de flux pour conserver tout le trafic, que le flux soit en violation ou en dessous de la limite de bande passante. Ce mode est utile lorsque vous devez déboguer le flux de trafic de votre réseau.

Le mode de contrôle de flux offre une grande flexibilité dans la façon dont vous gérez le trafic de contrôle dans votre réseau. Par exemple, si vous souhaitez uniquement vous assurer que les flux de contrôle d’un type de paquet à tous les niveaux d’agrégation respectent leurs limites, vous pouvez configurer le contrôle de flux pour contrôler le trafic à chaque niveau. Ou si vous souhaitez détecter les flux coupables et les supprimer à un certain niveau, mais limiter le trafic à la bande passante autorisée à un autre niveau, vous pouvez configurer un niveau pour supprimer tout le trafic et l’autre pour contrôler le trafic.

Pour configurer la façon dont la détection de flux contrôle le trafic d’un flux coupable :

  1. (Facultatif) Spécifiez le mode de contrôle au niveau de l’abonné.
  2. (Facultatif) Spécifiez le mode de contrôle au niveau de l’interface logique.
  3. (Facultatif) Spécifiez le mode de contrôle au niveau de l’interface physique.

Par exemple, pour configurer la détection de flux afin de conserver tout le trafic d’une interface physique sous la bande passante configurée, mais de détecter et de supprimer les flux coupables au niveau de l’abonné :

Dans cet exemple, vous ne vous souciez pas de l’interface logique, de sorte que la détection de flux est désactivée pour ce niveau. Étant donné que la détection de flux est désactivée, l’état du contrôle de flux pour ce niveau n’a pas d’importance.

Activation de la détection de flux pour tous les groupes de protocoles et types de paquets

Par défaut, la détection de flux est désactivée pour tous les groupes de protocoles et types de paquets. Vous devez activer la détection de flux globalement en incluant l’instruction flow-detection . Si vous désactivez par la suite la détection de flux pour des types de paquets individuels, vous ne pouvez pas utiliser cette instruction globale pour remplacer toutes ces configurations individuelles ; Vous devez réactiver la détection au niveau de la configuration des paquets.

Pour activer la détection de flux globalement, procédez comme suit :

  • Définissez la détection de flux.

Note:

Vous ne pouvez pas activer la détection de flux globalement pour les groupes et les types de paquets suivants, car ils n’ont pas d’en-têtes Ethernet, IP ou IPv6 typiques :

  • Groupes de protocoles : fab-probe, frame-relay, inline-ka, isispfe-aliveposjfmmlpet .services

  • Type de paquet : unclassified dans le groupe de ip-options protocoles.

Configuration du débit de signalement des flux coupables pour tous les groupes de protocoles et types de paquets

Lorsque la détection de flux confirme qu’un flux suspect suivi sur une carte de ligne est bien un flux coupable, elle envoie un rapport au moteur de routage. La détection de flux signale également chaque flux responsable qui est ensuite récupéré dans la bande passante autorisée ou qui est effacé. Vous pouvez inclure l’instruction pour limiter le flow-report-rate nombre de flux par seconde pouvant être signalés sur chaque carte de ligne. Par défaut, les événements de flux responsables sont signalés pour tous les groupes de protocoles et tous les types de paquets. Lorsqu’un trop grand nombre de flux sont signalés, un encombrement peut se produire sur le chemin de l’hôte vers le flux du moteur de routage.

Pour configurer globalement le taux de signalement maximal des flux coupables :

  • Définissez le taux de rapport.

Configuration du taux de signalement des violations pour tous les groupes de protocoles et types de paquets

Par défaut, la détection de flux signale au moteur de routage toutes les violations de bande passante au niveau du FPC pour tous les groupes de protocoles et types de paquets. Vous pouvez inclure l’instruction pour limiter le violation-report-rate nombre de violations par seconde des rapports de détection de flux à partir des cartes de ligne, réduisant ainsi la charge sur le routeur. Nous vous recommandons de configurer un taux de rapport adapté à votre réseau plutôt que de vous fier à la valeur par défaut.

Pour configurer globalement le taux maximal de signalement des violations de bande passante :

  • Définissez le taux de rapport.

Désactivation de la journalisation automatique des événements de flux coupables pour un type de paquet

Par défaut, la détection de flux consigne automatiquement les événements de violation du mécanisme de contrôle associés aux flux suspects (rapports de violation) et aux événements de flux coupables (rapports de flux) pour tous les groupes de protocoles et types de paquets. Vous pouvez inclure l’instruction pour empêcher la no-flow-logging journalisation automatique des événements de flux coupables pour des types de paquets individuels. La journalisation automatique des événements suspects de violation de flux est désactivée avec l’instruction disable-logging au niveau de la [edit system ddos-protection global hiérarchie.

Pour désactiver la journalisation automatique des événements de flux coupable pour un type de paquet :

  • Désactivez la journalisation.

Pour désactiver la journalisation automatique des événements de violation de flux suspect pour un type de paquet :

  • Désactivez la journalisation.

Par exemple, incluez l’instruction suivante pour désactiver la journalisation automatique des flux de paquets DHCPv4 DISCOVER :

Configuration de la bande passante de flux maximale à chaque niveau d’agrégation de flux

Vous pouvez inclure l’instruction flow-level-bandwidth pour configurer la bande passante maximale acceptable pour les flux de trafic pour les types de paquets individuels. Vous devez spécifier le comportement de la bande passante à un niveau d’agrégation de flux particulier : abonné, interface logique ou interface physique. Nous vous recommandons d’ajuster les valeurs de bande passante de votre réseau plutôt que de vous fier aux valeurs par défaut.

Pour configurer la bande passante maximale pour chaque niveau d’agrégation de flux de flux :

  1. (Facultatif) Configurez la bande passante pour les flux au niveau de l’abonné.
  2. (Facultatif) Configurez la bande passante des flux au niveau de l’interface logique.
  3. (Facultatif) Configurez la bande passante des flux au niveau de l’interface physique.

Par exemple, pour configurer la bande passante de flux à 1 000 pps au niveau de l’abonné, 5 000 pps au niveau de l’interface logique et 30 000 au niveau de l’interface physique :

Vérification et gestion de la détection de flux

But

Affichez ou effacez les informations sur la détection de flux dans le cadre de la configuration de la protection DDoS d’un plan de contrôle.

La Gestion améliorée des abonnés prend en charge la détection de flux pour la protection DDoS du plan de contrôle à partir de Junos OS version 17.3R1.

Action

  • Pour afficher les informations de configuration de la détection de flux :

  • Pour afficher des informations sur les flux coupables identifiés par la détection de flux, y compris le nombre de flux détectés et suivis, l’adresse source du flux, l’interface d’arrivée et les débits :

  • Pour effacer les flux coupables pour tous les types de paquets dans tous les groupes de protocoles :

  • Pour effacer les flux coupables pour tous les types de paquets d’un groupe de protocoles particulier :

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
17.3R1
La Gestion améliorée des abonnés prend en charge la détection de flux pour la protection DDoS du plan de contrôle à partir de Junos OS version 17.3R1.
17.3R1
La Gestion améliorée des abonnés prend en charge la détection de flux pour la protection DDoS à partir de Junos OS version 17.3R1.
17.3R1
La Gestion améliorée des abonnés prend en charge la détection de flux pour la protection DDoS du plan de contrôle à partir de Junos OS version 17.3R1.