Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

플로우 감지가 전역적으로 작동하는 방식 구성

플로우 감지는 기본적으로 모든 프로토콜 그룹 및 패킷 유형에 대해 전역적으로 비활성화됩니다. 계층 수준에서 문을 사용하여 플로우 감지를 flow-detection 전역적으로 [edit system ddos-protection global] 활성화한 후, 문을 포함하여 flow-detection-mode 모든 프로토콜 그룹 및 패킷 유형에 대해 플로우 감지가 전역적으로 작동하는 방식을 구성할 수 있습니다. 기본적으로 플로우 탐지는 모든 패킷 유형에 대해 자동 모드로 작동하므로 디도스(DDoS) 폴리서를 위반한 후에만 의심스러운 플로우에 대한 제어 트래픽을 모니터링합니다. 또한 플로우를 모니터링하지 않거나 항상 플로우를 모니터링하도록 플로우 감지를 구성할 수 있습니다.

플로우 감지가 켜지면 트래픽 플로우는 기본적으로 모든 프로토콜 그룹 및 패킷 유형에 대해 모니터링됩니다. 프로토콜 그룹 또는 패킷 유형에 대한 플로우 감지의 flow-detection-mode 작동 방식을 구성하기 위해 계층 수준에서 문을 [edit system ddos-protection protocols protocol-group packet-type] 포함함으로써 글로벌 구성을 재정의할 수 있습니다. 또한 명령문을 사용하여 flow-level-detection 하나 이상의 트래픽 플로우 어그리게이션 수준(가입자, 논리적 인터페이스 또는 물리적 인터페이스)에 대한 동작을 지정할 수 있습니다.

주의:

Virtual Chassis 구성에서는 모든 Virtual Chassis 제어 패킷에 대한 플로우 감지를 재정의하는 것이 좋습니다. 플로우는 FPC 슬롯에 있는 모듈의 MAC 주소를 기반으로 합니다. 플로우가 virtual-chassis control-low 위반되면 모든 제어 트래픽이 손실되어 예기치 않은 동작이 발생합니다. 이 동작에는 DHCP 및 PPPoE 제어 트래픽 손실, ARP 요청 손실, 라우팅 프로토콜 플랩 등이 포함될 수 있습니다.

글로벌 플로우 감지를 활성화한 경우 Virtual Chassis 제어 패킷에 대한 플로우 감지를 재정의하려면:

  • 각 패킷 유형에 대해 플로우 감지를 비활성화합니다.

플로우 감지는 다음 세 가지 모드를 지원합니다.

  • automatic—컨트롤 플레인 DDoS 보호 폴리서가 위반되면 위반이 발생한 트래픽 플로우에서 의심스러운 동작이 있는지 모니터링됩니다. 각 의심스러운 흐름을 검사하여 위반을 일으킨 범인 흐름인지 여부를 확인합니다.

  • off - 프로토콜 그룹 또는 패킷 유형에 대해 트래픽 플로우가 모니터링되지 않습니다.

  • on—현재 DDoS 보호 폴리서를 위반하고 있지 않은 경우에도 모든 프로토콜 그룹 및 패킷 유형에 대한 트래픽 플로우는 의심스러운 플로우에 대해 모니터링됩니다.

메모:

감지 모드는 기본적으로 로 설정되어 있습니다 automatic . 즉, 글로벌 플로우 감지를 활성화하고 모드를 지정하지 않으면 폴리서가 위반될 때만 플로우가 감지됩니다.

각 플로우 어그리게이션 수준에서 플로우 감지의 작동 방식을 구성하려면:

  • 감지 모드를 지정합니다.

예를 들어, 모든 플로우 어그리게이션 수준에서 모든 프로토콜 그룹 및 패킷 유형에 대한 플로우를 항상 모니터링하고 감지하도록 플로우 감지를 구성하려면: