华为Anti-DDoS：分光与镜像

 华为Anti-DDoS：分光与镜像

Anti-DDoS解决方案中，在流量清洗之前，我们都知道还有一个很重要的环节——检测，网络部署中，如果检测设备独立旁路部署，也需要将网络中的流量引导到检测设备上来。分光和镜像就是为检测设备引流的手段，不过我们引入的不是真实的流量，而是复制后的流量。这是因为检测设备只需要检测出流量中是否有威胁即可，至于检测的流量是真实的还是复制的是无所谓的，而且使用复制的流量不会影响正常业务的转发。

分光和镜像都是将流量复制一份到检测设备，但处理方式又不相同：
分光
分光是通过分光器来完成的，它是一个独立的硬件，数据通过分光器后会将数据复制一份供检测设备使用，即原来的流量正常通行，同时分一股出来供检测设备分析。通过分光器复制流量时，不需要配置任何命令，也不需要外部能量，只要有输入光即可。但是，这也带来了一个缺点，那就是引入了一个故障点，同时也正是因为它是一个在线设备，所以在部署时，需要中断当前网络，对业务有一定的影响。

镜像
镜像分为端口镜像和流镜像，端口镜像是指将流经被监控端口的某个方向（入、出、双向）的所有报文复制到指定的目标端口进行分析。流镜像是在端口镜像的基础上增加了流分类条件，只复制满足特定条件的报文，过滤不关心的报文，提高报文分析设备的工作效率。对于Anti-DDoS检测设备来说，我们要分析所有进入网络的流量是否存在异常，所以我们一般都是通过端口镜像功能来复制流量。在端口镜像中：
被监控的端口称为：镜像端口
指定的目标端口称为：观察端口
端口镜像需要配置相关命令，如下图所示的Router1上我们需要配置如下命令，这里Router1以华为NE80E路由器为例，检测设备以华为AntiDDoS8000系列为例讲解相关配置。

#NE80E路由器
#1.配置GE1/0/1为观测端口
interface gigabitethernet1/0/1
port-observing observe-index 1
#2.配置整板镜像的观测端口
slot 3
mirror to observe-index 1
#3.在GE3/0/0上使能上行端口镜像功能
interface gigabitethernet3/0/0
port-mirroring inbound
#AntiDDoS8000系列
#1.指定业务板子卡的检测功能
firewall ddos detect-spu slot 1 card 1
#2.配置检测设备的接口功能
interface gigabitethernet0/0/1
anti-ddos detect enable
anti-ddos flow-statistic enable

配置中，Router1上配置观测端口的索引号必须与该接口所在的接口板的槽位号一致。在slot 3上配置令mirror to observe-index 1命令后，此观测索引对应的观测端口将作为整个3接口板的观测端口，当此接口板上有接口进行镜像时，报文就会被镜像到这个整板镜像的观测端口上。完成上述配置后，端口GE3/0/0上接收的所有报文将被镜像到端口GE1/0/0上发往AntiDDoS8000系列检测设备。AntiDDoS8000系列检测设备需设置相应的检测板，以及在接口配置检测功能和开启流量统计功能。完成这些配置后，就可以对接收的流量进行分析检测了。

对比分光和镜像，它们各有优劣，具体对比如下表所示。

网络部署中，请根据网络实际情况进行合理选择。
华为Anti-DDoS解决方案支持多种类型的检测设备，其中AntiDDoS8000系列、AntiDDoS1600系列检测设备是采用逐包检测的方法对流量进行检测，即对流量中的所有报文进行检测，所以通过分光和镜像功能将流量全部复制到检测设备上来。还有一些其他的检测设备，如华为NFA2000V，威睿GenieATM等，这类检测设备是逐流检测方式，它们的检测流量来源是通过各种流采集分析协议来完成的，比如Cisco的Netflow协议，华为的NetStream协议等。这类流采集分析协议是对网络中不同的流进行提取，然后分类统计，最后将统计信息输出给检测设备进行分析检测，而不是像分光和镜像那样直接复制流量。