関連フロー内のトラフィックをグローバルに制御する方法の設定
フロー検出が有効になっている場合、すべてのプロトコル グループとパケット タイプ、およびすべてのフロー アグリゲーション レベルで、原因となるフロー内のすべてのトラフィックがデフォルトでドロップされます。flow-level-control
ステートメントを含めることで、フロー検出がすべてのプロトコルグループとパケットタイプに対してグローバルにすべてのトラフィックフローアグリゲーションレベルのトラフィックを制御する方法を設定することができます。特定のフロー集約レベル(加入者、論理インターフェイス、物理インターフェイス)に対して、制御動作をグローバルに指定することはできません。そのためには、[edit system ddos-protection protocols protocol-group packet-type]
階層レベルで flow-level-control
ステートメントでグローバル設定を上書きする必要があります。
フロー検出フロー制御は、次のいずれかのモードを使用するように設定できます。
すべてのトラフィックをドロップする - 帯域幅制限に違反しているフローが悪意のあるものであると考えられる場合に、すべてのトラフィックをドロップするようにフロー制御を設定します。この動作は、すべてのプロトコル グループとパケット タイプのすべてのフロー アグリゲーション レベルでデフォルトです。
トラフィックのポリシング - フロー制御を設定して、帯域幅を侵害しているフローをポリシングし、レートを帯域幅制限以下に強制します。この場合、フロー制御は単純なポリサーとして機能します。
すべてのトラフィックを保持 - フローが帯域幅制限に違反しているか、それ以下であるかにかかわらず、すべてのトラフィックを保持するようにフロー制御を設定します。このモードは、ネットワークのトラフィックフローをデバッグする必要がある場合に役立ちます。
すべてのプロトコルグループとパケットタイプのすべてのフローアグリゲーションレベルに対して、フロー検出が原因フロー内のトラフィックを制御する方法を設定するには:
制御モードを指定します。
[edit system ddos-protection global] user@host# set flow-level-control flow-control-mode
フロー制御モードにより、ネットワーク内の制御トラフィックの管理方法を非常に柔軟に行うことができます。例えば、すべての集約レベルのすべてのパケット タイプの制御フローが制限内に収まるようにのみしたい場合は、フロー制御をグローバルに設定してトラフィックを規制できます。
[edit system ddos-protection global] user@host# set flow-level-control police
または、物理インターフェイスのフローアグリゲーション レベルでは、DHCP ディスカバー パケットに対して原因フローを検出し、抑制し、他のレベルではすべてのトラフィックを許容帯域幅に制限するとします。ポリシング アクションをグローバルに設定し、すべてのトラフィックをドロップするようにそのレベルを設定することで、パケット タイプと物理レベルに合わせて上書きできます。
[edit system ddos-protection global] user@host# set flow-level-control police [edit system ddos-protection protocols dhcpv4 discover ] user@host# set flow-level-control physical-interface drop