Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

フロー検出のグローバルな動作方法の設定

フロー検出は、デフォルトではすべてのプロトコル グループとパケット タイプでグローバルに無効になっています。[edit system ddos-protection global]階層レベルの flow-detection ステートメントを使用してフロー検出をグローバルにオンにした後、flow-detection-mode ステートメントを含めて、すべてのプロトコルグループとパケットタイプに対してフロー検出がグローバルにどのように動作するを設定できます。デフォルトでは、フロー検出はすべてのパケット タイプに対して自動モードで動作します。つまり、DDoS ポリサーに違反した後にのみ、制御トラフィックの不審なフローを監視します。また、フローを検出し、フローを監視しないように、または常にフローを監視するように設定することもできます。

フロー検出をオンにすると、すべてのプロトコル グループとパケット タイプについて、デフォルトでトラフィック フローがモニタされます。[edit system ddos-protection protocols protocol-group packet-type]階層レベルで flow-detection-mode ステートメントを含め、プロトコルグループまたはパケットタイプに対するフロー検出の動作を設定することで、グローバル設定を上書きできます。また、flow-level-detection ステートメントを使用して、1 つ以上のトラフィック フロー集約レベル(加入者、論理インターフェイス、または物理インターフェイス)の動作を指定することもできます。

注意:

バーチャル シャーシ構成では、すべてのバーチャル シャーシ制御パケットのフロー検出を上書きすることをお勧めします。フローは、FPC スロット内のモジュールの MAC アドレスに基づきます。 virtual-chassis control-low フローに違反している場合、すべての制御トラフィックが失われ、予期しない動作が発生します。この動作には、DHCP および PPPoE 制御トラフィックの損失、ARP 要求の損失、ルーティング プロトコル フラップなどが含まれます。

グローバル フロー検出を有効にしている場合に、バーチャル シャーシ制御パケットのフロー検出を上書きするには:

  • 各パケット タイプのフロー検出を無効にします。

フロー検出は、次の 3 つのモードをサポートしています。

  • 自動:コントロール プレーンの DDoS 保護ポリサーが侵害されると、違反が発生したトラフィック フローの不審な動作が監視されます。不審なフローがそれぞれ調べられ、違反の原因となったのが原因フローであるかどうかが判断されます。

  • off:プロトコル グループやパケット タイプを問わず、トラフィック フローがモニタされることはありません。

  • on:現在DDoS保護ポリサーに違反していない場合でも、すべてのプロトコルグループとパケットタイプのトラフィックフローの不審なフローを監視します。

手記:

検出モードはデフォルトで automatic に設定されています。つまり、グローバル フロー検出を有効にし、モードを指定しない場合、ポリサーが違反している場合にのみフローが検出されます。

各フロー集約レベルでのフロー検出の動作を設定するには:

  • 検出モードを指定します。

たとえば、すべてのフロー アグリゲーション レベルで、すべてのプロトコル グループとパケット タイプのフローを常に監視および検出するようにフロー検出を設定するには、次のようにします。