범인 플로우의 트래픽이 전역적으로 제어되는 방법 구성
플로우 감지가 활성화되면 모든 프로토콜 그룹 및 패킷 유형과 모든 플로우 어그리게이션 수준에서 기본적으로 범인 플로우의 모든 트래픽이 삭제됩니다. 명령문을 포함하여 flow-level-control 플로우 감지가 모든 프로토콜 그룹 및 패킷 유형에 대해 전 세계적으로 모든 트래픽 플로우 어그리게이션 레벨에 대한 트래픽을 제어하는 방법을 구성할 수 있습니다. 특정 플로우 어그리게이션 수준(가입자, 논리적 인터페이스 또는 물리적 인터페이스)에 대해 제어 동작을 전역적으로 지정할 수 없습니다. 그러기 위해서는 계층 수준에서 글로벌 구성을 문으로 flow-level-control [edit system ddos-protection protocols protocol-group packet-type] 재정의해야 합니다.
다음 모드 중 하나를 사용하도록 플로우 감지 플로우 제어를 구성할 수 있습니다.
Drop all traffic(모든 트래픽 삭제) - 대역폭 제한을 위반하는 플로우가 악의적이라고 판단될 때 모든 트래픽을 삭제하도록 flow control을 구성합니다. 이 동작은 모든 프로토콜 그룹 및 패킷 유형에 대한 모든 플로우 어그리게이션 수준에서 기본값입니다.
트래픽 감시—대역폭을 위반하는 플로우를 감시하도록 플로우 제어를 구성하여 속도를 대역폭 제한 미만으로 강제합니다. 이 경우 플로우 제어는 간단한 폴리서 역할을 합니다.
Keep all traffic(모든 트래픽 유지) - 플로우가 대역폭 제한을 위반하거나 대역폭 제한 미만인지 여부에 관계없이 모든 트래픽을 유지하도록 플로우 제어를 구성합니다. 이 모드는 네트워크의 트래픽 흐름을 디버깅해야 할 때 유용합니다.
플로우 감지가 모든 프로토콜 그룹 및 패킷 유형에 대한 모든 플로우 어그리게이션 수준에 대해 범인 플로우의 트래픽을 제어하는 방법을 구성하려면:
제어 모드를 지정합니다.
[edit system ddos-protection global] user@host# set flow-level-control flow-control-mode
플로우 제어 모드를 사용하면 네트워크에서 제어 트래픽을 관리하는 방법에 큰 유연성을 제공합니다. 예를 들어, 모든 어그리게이션 수준에서 모든 패킷 유형에 대한 제어 플로우가 제한 범위 내에 있는지 확인하려면, 트래픽 감시를 위해 플로우 제어를 전역적으로 구성할 수 있습니다.
[edit system ddos-protection global] user@host# set flow-level-control police
또는 DHCP가 물리적 인터페이스 플로우 어그리게이션 수준에서 패킷을 검색하도록 범인 플로우를 감지하고 이를 억제하지만 다른 레벨에서는 모든 트래픽을 허용된 대역폭으로 제한할 수 있다고 가정해 보겠습니다. 경찰 작업을 전역으로 구성한 다음 모든 트래픽을 삭제하도록 해당 수준을 구성하여 패킷 유형 및 물리적 수준에 대해 재정의할 수 있습니다.
[edit system ddos-protection global] user@host# set flow-level-control police [edit system ddos-protection protocols dhcpv4 discover ] user@host# set flow-level-control physical-interface drop