Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

플로우 감지가 전 세계적으로 작동하는 방법 구성

플로우 감지는 기본적으로 모든 프로토콜 그룹 및 패킷 유형에 대해 전 세계적으로 비활성화됩니다. 계층 수준의 명령문을 사용하여 전역적으로 flow-detection 플로우 감지를 설정하면 모든 프로토콜 그룹 및 패킷 유형에 [edit system ddos-protection global] 대해 플로우 감지가 전역적으로 작동하는 방법을 구성하는 명령문을 포함 flow-detection-mode 할 수 있습니다. 기본적으로 플로우 감지는 모든 패킷 유형에 대해 자동 모드로 작동하며, 이는 DDoS 폴리서가 위반된 후에만 의심스러운 플로우에 대한 제어 트래픽을 모니터링한다는 것을 의미합니다. 또한 플로우 감지를 구성하여 플로우를 모니터링하거나 항상 플로우를 모니터링할 수 있습니다.

플로우 감지가 설정되면 모든 프로토콜 그룹 및 패킷 유형에 대해 트래픽 플로우가 기본적으로 모니터링됩니다. 계층 수준에서 명령문을 [edit system ddos-protection protocols protocol-group packet-type] 포함 flow-detection-mode 함으로써 글로벌 구성을 재정의하여 프로토콜 그룹 또는 패킷 유형에 대한 플로우 감지 작동 방식을 구성할 수 있습니다. 또한 이 명령문을 사용하여 flow-level-detection 하나 이상의 트래픽 흐름 어그리게이션 수준(가입자, 논리적 인터페이스 또는 물리적 인터페이스)에 대한 동작을 지정할 수도 있습니다.

주의:

버추얼 섀시 구성에서는 모든 버추얼 섀시 컨트롤 패킷에 대한 플로우 감지를 무시하는 것이 좋습니다. 플로우는 FPC 슬롯에 있는 모듈의 MAC 주소를 기반으로 합니다. 플로우가 virtual-chassis control-low 위반되면 모든 제어 트래픽이 손실되어 예기치 못한 동작이 발생합니다. 이러한 동작에는 DHCP 및 PPPoE 제어 트래픽 손실, ARP 요청 손실, 라우팅 프로토콜 플랩 등이 포함될 수 있습니다.

글로벌 플로우 감지를 활성화했을 때 Virtual Chassis 컨트롤 패킷에 대한 플로우 감지를 무시하려면 다음을 수행합니다.

  • 각 패킷 유형에 대한 플로우 감지를 비활성화합니다.

플로우 감지는 다음과 같은 3가지 모드를 지원합니다.

  • 자동—컨트롤 플레인 DDoS 보호 폴리서가 위반되면 위반이 발생한 트래픽 흐름이 의심스러운 동작으로 모니터링됩니다. 위반을 일으킨 원인 플로우인지 확인하기 위해 각 의심스러운 플로우를 검사합니다.

  • off—트래픽 플로우는 프로토콜 그룹 또는 패킷 유형에 대해 모니터링되지 않습니다.

  • on—모든 프로토콜 그룹 및 패킷 유형에 대한 트래픽 플로우는 현재 DDoS 보호 폴리서가 위반되지 않는 경우에도 의심스러운 플로우에 대해 모니터링됩니다.

참고:

탐지 모드는 기본적으로 설정 automatic 됩니다. 즉, 전역 플로우 감지를 활성화하고 모드를 지정하지 않으면 폴리서가 위반된 경우에만 플로우가 감지됩니다.

각 플로우 어그리게이션 수준에서 플로우 감지가 작동하는 방법을 구성하려면 다음을 수행합니다.

  • 탐지 모드를 지정합니다.

예를 들어, 모든 플로우 어그리게이션 수준에서 모든 프로토콜 그룹 및 패킷 유형에 대한 플로우를 항상 모니터링하고 감지하도록 플로우 감지를 구성하려면 다음을 수행합니다.