EN ESTA PÁGINA
Configuración del período de detección de flujos sospechosos
Configuración del período de recuperación para un flujo culpable
Configuración del período de tiempo de espera para un flujo culpable
Configuración del funcionamiento de la detección de flujo en cada nivel de agregación de flujo
Habilitación de la detección de flujo para todos los grupos de protocolos y tipos de paquetes
Deshabilitar el registro automático de eventos de flujo culpables para un tipo de paquete
Configuración del ancho de banda de flujo máximo en cada nivel de agregación de flujo
Configuración y uso de la detección de flujo
La detección de flujo supervisa los flujos del tráfico de control para detectar infracciones del ancho de banda permitido para cada flujo y gestiona el tráfico identificado como flujo culpable. La supresión del tráfico es la opción de administración predeterminada. La detección de flujo se implementa normalmente como parte de una estrategia general de protección DDoS del plano de control, pero también es útil para solucionar problemas y comprender el flujo de tráfico en nuevas configuraciones. La detección de flujo está deshabilitada de forma predeterminada.
La administración mejorada de suscriptores admite la detección de flujo para la protección DDoS del plano de control a partir de la versión 17.3R1 de Junos OS.
Antes de comenzar, asegúrese de haber configurado la protección DDoS del plano de control de forma adecuada para su red. Consulte Configuración de la protección DDoS del plano de control para obtener información detallada acerca de la protección DDoS.
Configuración del período de detección de flujos sospechosos
La detección de flujo de protección DDoS considera que un flujo monitoreado es un flujo sospechoso cada vez que el flujo excede su ancho de banda permitido, basado en una prueba cruda que elimina obviamente los flujos buenos de la consideración. Un examen más detallado de un flujo sospechoso requiere que el flujo permanezca en violación del ancho de banda durante un período de tiempo antes de que la detección de flujo lo considere un flujo culpable contra el cual debe tomar medidas. Puede incluir la flow-detect-time
instrucción para configurar la duración de este período de detección o puede confiar en el período predeterminado de tres segundos.
La administración mejorada de suscriptores admite la detección de flujo para la protección DDoS a partir de Junos OS versión 17.3R1.
Se recomienda utilizar el valor predeterminado para el período de detección.
Para especificar cuánto tiempo debe estar infringido un flujo antes de que la detección de flujo declare que es un flujo culpable:
Establezca el período de detección.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set flow-detect-time seconds
Por ejemplo, incluya la siguiente instrucción para exigir que el flujo de paquetes de detección DHCPv4 infrinja su ancho de banda permitido durante 30 segundos antes de que se considere un flujo culpable:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set flow-detect-time 30
Configuración del período de recuperación para un flujo culpable
Después de que la detección del flujo de protección DDoS ha identificado un flujo sospechoso como un flujo culpable, tiene que determinar cuándo ese flujo ya no representa una amenaza para el enrutador. Cuando la velocidad de flujo de tráfico vuelve a caer dentro del ancho de banda permitido, la velocidad debe permanecer dentro del ancho de banda durante un período de recuperación. Solo entonces la detección de flujo considera que el flujo es normal y detiene la acción de manejo de tráfico promulgada contra el flujo culpable. Puede incluir la flow-recover-time
instrucción para configurar la duración de este período de recuperación o puede confiar en el período predeterminado de 60 segundos.
Para especificar cuánto tiempo debe estar un flujo dentro de su ancho de banda permitido después de una infracción antes de que la detección de flujo declare que es un flujo normal:
Establezca el período de recuperación.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set flow-recover-time seconds
Por ejemplo, incluya la instrucción siguiente para requerir que el flujo de paquetes de detección DHCPv4 esté en recuperación durante cinco minutos (300 segundos):
[edit system ddos-protection protocols dhcpv4 discover] user@host# set flow-recover-time 300
Configuración del período de tiempo de espera para un flujo culpable
Cuando la detección de flujo de protección DDoS identifica un flujo sospechoso como flujo culpable, de forma predeterminada suprime el tráfico para ese flujo mientras el flujo de tráfico supere el límite de ancho de banda. La supresión se detiene y el flujo se elimina de la tabla de flujo cuando el tiempo transcurrido desde la última infracción por parte del flujo es mayor que el período de recuperación.
Como alternativa, puede incluir la instrucción para habilitar la timeout-active-flows
detección de flujo para suprimir un flujo culpable durante un período de tiempo de espera configurable. Cuando expira el período de tiempo de espera, la supresión se detiene y el flujo se elimina de la tabla de flujo. Puede incluir la flow-timeout-time
instrucción para configurar la duración del período de tiempo de espera o basarse en el tiempo de espera predeterminado de 300 segundos.
Para habilitar la detección de flujo para suprimir un flujo culpable durante un período de tiempo de espera:
Por ejemplo, incluya las instrucciones siguientes para suprimir el flujo de paquetes de detección DHCPv4 durante 10 minutos (600 segundos):
[edit system ddos-protection protocols dhcpv4 discover] user@host# set timeout-active-flows user@host# setflow-timeout-time 600
Configuración del funcionamiento de la detección de flujo en cada nivel de agregación de flujo
Cuando la detección de flujo está activada, los flujos de tráfico se supervisan de forma predeterminada para todos los grupos de protocolos y tipos de paquetes. Cuando se produce una infracción policial, se examina cada flujo sospechoso para determinar si es el flujo culpable el que causó la infracción. Puede incluir la instrucción para configurar cómo funciona la flow-level-detection
detección de flujo en cada nivel de agregación de flujo para un tipo de paquete: suscriptor, interfaz lógica o interfaz física.
El modo de detección de flujo a nivel de paquete debe ser o automatic
on
para que la detección de flujo funcione en niveles de agregación de flujo individuales.
Al igual que la detección de flujo en el nivel de grupo de protocolos y paquetes, la detección de flujo en el nivel de agregación de flujo admite tres modos:
automático: cuando se infringe un aplicador de protección DDoS del plano de control, los flujos de tráfico en este nivel de agregación de flujo se supervisan para detectar comportamientos sospechosos solo hasta que la detección de flujo determina que el flujo sospechoso no se encuentra en este nivel de agregación y, en cambio, debe estar en un nivel de agregación más grueso. Los flujos en este nivel no se vuelven a registrar posteriormente hasta que el policía ya no es violado en el nivel más grueso.
desactivado: los flujos de tráfico nunca se supervisan en este nivel de agregación de flujo.
on: los flujos de tráfico en este nivel de agregación de flujo se supervisan para detectar flujos sospechosos incluso cuando no se está infringiendo ningún aplicador de protección DDoS, si la detección de flujo a nivel de paquete está configurada en
on
. El monitoreo continúa en este nivel, independientemente de si se identifica un flujo sospechoso en este nivel. Sin embargo, si el modo de nivel de paquete esautomatic
, el aplicador debe estar en infracción para que se comprueben los flujos de tráfico en este nivel.
Los flujos se examinan primero en el nivel de agregación de flujo de grano más fino (ancho de banda más bajo), el suscriptor. Si el flujo sospechoso no se encuentra en el nivel de suscriptor, los flujos se comprueban en el nivel de interfaz lógica. Finalmente, si el sospechoso no se encuentra allí, los flujos se verifican a nivel de interfaz física; Salvo alguna mala configuración, el flujo culpable debe encontrarse en este nivel.
Para configurar cómo funciona la detección de flujo en cada nivel de agregación de flujo:
Por ejemplo, incluya las siguientes instrucciones para configurar la detección de flujo para comprobar si hay flujos sospechosos en el nivel de suscriptor solo cuando se está infringiendo el aplicador de políticas, para nunca comprobar en el nivel de interfaz lógica y para comprobar siempre en el nivel de interfaz física:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-detection user@host# set subscriber automatic user@host# set logical-interface off user@host# set physical-interface on
Configuración de cómo se controla el tráfico en un flujo culpable en cada nivel de agregación de flujo
Cuando la detección de flujo está habilitada, todo el tráfico en un flujo culpable se elimina de forma predeterminada para todos los grupos de protocolos y tipos de paquetes y en todos los niveles de agregación de flujo. Puede incluir la instrucción para configurar la detección de flujo a fin de controlar el flow-level-control
tráfico de forma diferente para tipos de paquetes individuales. Debe especificar el comportamiento del control en un nivel de agregación de flujo determinado: suscriptor, interfaz lógica o interfaz física.
Puede configurar el control de flujo de detección de flujo para emplear uno de los siguientes modos para un tipo de paquete:
Eliminar todo el tráfico: configure el control de flujo para eliminar todo el tráfico cuando considere que el flujo que infringe un límite de ancho de banda es malicioso. Este comportamiento es el predeterminado en todos los niveles de agregación de flujo.
Tráfico de policía: configure el control de flujo para vigilar un flujo que está infringiendo el ancho de banda, forzando la velocidad por debajo del límite de ancho de banda. El control de flujo actúa como un simple policía en este caso.
Mantener todo el tráfico: configure el control de flujo para mantener todo el tráfico, independientemente de que el flujo esté en infracción o por debajo del límite de ancho de banda. Este modo es útil cuando necesita depurar el flujo de tráfico para su red.
El modo de control de flujo permite una gran flexibilidad en la forma de administrar el tráfico de control en su red. Por ejemplo, si solo desea asegurarse de que los flujos de control para un tipo de paquete en todos los niveles de agregación estén dentro de sus límites, puede configurar el control de flujo para vigilar el tráfico en cada nivel. O bien, si desea detectar flujos culpables y suprimirlos en un nivel, pero solo restringir el tráfico al ancho de banda permitido en otro nivel, puede configurar un nivel para eliminar todo el tráfico y el otro para vigilar el tráfico.
Para configurar cómo la detección de flujo controla el tráfico en un flujo culpable:
Por ejemplo, para configurar la detección de flujo para mantener todo el tráfico de una interfaz física por debajo del ancho de banda configurado, pero detectar y suprimir flujos culpables en el nivel de suscriptor:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-control user@host# set subscriber drop user@host# set physical-interface police user@host# edit flow-level-detection user@host# set logical-interface off
En este ejemplo, no le importa la interfaz lógica, por lo que la detección de flujo está desactivada para ese nivel. Debido a que la detección de flujo está deshabilitada, el estado del control de flujo para ese nivel no importa.
Habilitación de la detección de flujo para todos los grupos de protocolos y tipos de paquetes
De forma predeterminada, la detección de flujo está deshabilitada para todos los grupos de protocolos y tipos de paquetes. Debe habilitar la detección de flujo globalmente incluyendo la flow-detection
instrucción. Si posteriormente deshabilita la detección de flujo para tipos de paquetes individuales, no puede utilizar esta instrucción global para anular todas esas configuraciones individuales; Debe volver a habilitar la detección en el nivel de configuración de paquetes.
Para habilitar la detección de flujo globalmente:
Establezca la detección de flujo.
[edit system ddos-protection global] user@host# set flow-detection
No puede habilitar la detección de flujo globalmente para los siguientes grupos y tipos de paquetes porque no tienen encabezados típicos de Ethernet, IP o IPv6:
Grupos de protocolo:
fab-probe
,frame-relay
, ,inline-ka
isis
,jfm
,pfe-alive
mlp
pos
yservices
.Tipo de paquete:
unclassified
en el grupo deip-options
protocolos.
Configuración de la tasa de notificación del flujo culpable para todos los grupos de protocolos y tipos de paquetes
Cuando la detección de flujo confirma que un flujo sospechoso que está rastreando en una tarjeta de línea es realmente un flujo culpable, envía un informe al motor de enrutamiento. La detección de flujo también informa de cada flujo culpable que posteriormente se recupera dentro del ancho de banda permitido o se borra. Puede incluir la flow-report-rate
instrucción para limitar cuántos flujos por segundo en cada tarjeta de línea se pueden notificar. De forma predeterminada, los eventos de flujo culpables se notifican para todos los grupos de protocolos y tipos de paquetes. Cuando se notifican demasiados flujos, puede producirse congestión en la ruta del host al flujo del motor de enrutamiento.
Para configurar globalmente la tasa máxima de informes para los flujos culpables:
Establezca la tasa de informes.
[edit system ddos-protection global] user@host# set flow-report-rate rate
Configuración de la tasa de notificación de infracciones para todos los grupos de protocolos y tipos de paquetes
De forma predeterminada, la detección de flujo notifica al motor de enrutamiento todas las infracciones del ancho de banda en la FPC para todos los grupos de protocolos y tipos de paquetes. Puede incluir la instrucción para limitar el violation-report-rate
número de infracciones por segundo que informan de detección de flujo desde las tarjetas de línea, reduciendo así la carga en el enrutador. Se recomienda configurar una tasa de informe que sea adecuada para su red en lugar de depender del valor predeterminado.
Para configurar globalmente la tasa máxima de notificación de infracciones de ancho de banda:
Establezca la tasa de informes.
[edit system ddos-protection global] user@host# set violation-report-rate rate
Deshabilitar el registro automático de eventos de flujo culpables para un tipo de paquete
De forma predeterminada, la detección de flujo registra automáticamente los eventos de infracción del policía asociados con flujos sospechosos (informes de infracción) y eventos de flujo culpables (informes de flujo) para todos los grupos de protocolos y tipos de paquetes. Puede incluir la instrucción para evitar el no-flow-logging
registro automático de eventos de flujo culpables para tipos de paquetes individuales. El registro automático de eventos sospechosos de infracción de flujo se deshabilita con la disable-logging
instrucción en el [edit system ddos-protection global
nivel jerárquico.
Para deshabilitar el registro automático de eventos de flujo culpable para un tipo de paquete:
Deshabilite el registro.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set no-flow-logging
Para deshabilitar el registro automático de eventos de infracción de flujo sospechoso para un tipo de paquete:
Deshabilite el registro.
[edit system ddos-protection protocols protocol-group packet-type] user@host# set disable-logging
Por ejemplo, incluya la instrucción siguiente para deshabilitar el registro automático para los flujos de paquetes DISCOVER de DHCPv4:
[edit system ddos-protection protocols dhcpv4 discover] user@host# set no-flow-logging
Configuración del ancho de banda de flujo máximo en cada nivel de agregación de flujo
Puede incluir la instrucción para configurar el ancho de banda máximo aceptable para los flujos de flow-level-bandwidth
tráfico para tipos de paquetes individuales. Debe especificar el comportamiento del ancho de banda en un nivel de agregación de flujo determinado: suscriptor, interfaz lógica o interfaz física. Le recomendamos que ajuste los valores de ancho de banda de su red en lugar de confiar en los valores predeterminados.
Para configurar el ancho de banda máximo para los flujos de tráfico de cada nivel de agregación de flujo:
Por ejemplo, para configurar el ancho de banda de flujo a 1000 pps en el nivel de suscriptor, 5000 pps en el nivel de interfaz lógica y 30.000 en el nivel de interfaz física:
[edit system ddos-protection protocols dhcpv4 discover] user@host# edit flow-level-bandwidth user@host# set subscriber 1000 user@host# set logical-interface 5000 user@host# set physical-interface 30000
Verificación y gestión de la detección de flujo
Propósito
Vea o borre información sobre la detección de flujo como parte de una configuración de protección DDoS del plano de control.
La administración mejorada de suscriptores admite la detección de flujo para la protección DDoS del plano de control a partir de la versión 17.3R1 de Junos OS.
Acción
Para mostrar información de configuración para la detección de flujo:
user@host> show ddos-protection protocols flow-detection
Para mostrar información sobre los flujos culpables identificados por la detección de flujo, incluido el número de flujos detectados y rastreados, la dirección de origen del flujo, la interfaz que llega y las tasas:
user@host> show ddos-protection protocols culprit-flows
Para eliminar los flujos culpables de todos los tipos de paquetes en todos los grupos de protocolos:
user@host> clear ddos-protection protocols culprit-flows
Para eliminar los flujos culpables de todos los tipos de paquetes de un grupo de protocolos determinado:
user@host> clear ddos-protection protocols protocol-group culprit-flows
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.