Cuando se implementa un dispositivo de detección independiente o un dispositivo mezclado, configure una interfaz de detección.
Requisito previo
Se ha completado la especificación de la tarjeta secundaria SPU como tarjeta de detección o limpieza.
Contexto
El procedimiento para configurar una interfaz de detección es el mismo independientemente de si se implementa un dispositivo de
detección independiente o un dispositivo mezclado. No es necesario especificar una dirección IP.
Procedimiento
En la vista de usuario, ejecute el comando de vista del sistema para acceder a la vista del sistema.
Configurar una interfaz de detección.
Opcional: para aumentar el ancho de banda de la interfaz de detección, puede unir las interfaces Ethernet en una inerfaz troncal
interface eth-trunk trunk-id [ .subnumber ]
quit
interface { ethernet | gigabitethernet } interface-number
eth-trunk trunk-id
shutdown
undo shutdown
quit
Cree una zona de seguridad y agregue la interfaz de detección a la zona de seguridad.
Debe configurar una prioridad solo para una nueva zona de seguridad.
firewall zone [ name ] zone-name
set priority security-priority
add interface interface-type { interface-number | interface-number.subinterface-number }
Ejecute el comando quit para volver a la vista del sistema.
Especifique la interfaz de detección.
Ejecute la interfaz tipo de interfaz { interface-number | interface-number.subinterface-number } para acceder a la vista de interfaz.
La interfaz puede ser una interfaz 10GE, GigabitEthernet, POS, Eth-Trunk o IP-Trunk, o una sub-interfaz 10GE, GigabitEthernet o Eth-Trunk. La interfaz no puede ser GigabitEthernet 0/0/0 en la MPU.
La interfaz puede ser una interfaz 10GE, GigabitEthernet, POS, Eth-Trunk o IP-Trunk, o una sub-interfaz 10GE, GigabitEthernet o Eth-Trunk. La interfaz no puede ser GigabitEthernet 0/0/0 en la MPU.
Ejecute el comando anti-ddos detect enable para configurar la interfaz como una interfaz de detección.
El tráfico entrante de la interfaz se envía directamente a la SPU de detección para su procesamiento.
Ejecute el comando de anti-ddos flow-statistic enable para habilitar la función de estadísticas de tráfico.
NOTA:
Debe habilitar esta función en la interfaz de detección; de lo contrario, la función de detección no tendrá efecto.
Configurar políticas de seguridad entre zonas. (omitido)
NOTA:
Habilite las políticas de seguridad entre todas las zonas para garantizar que todos los paquetes intercambiados estén permitidos.