华为Anti-DDoS：二层回注

华为Anti-DDoS：二层回注
二层回注是指清洗设备通过二层方式将流量回注到防护对象，而不通过路由转发。
实现机制
本功能在AntiDDoS上配置。
如图1所示。核心交换机的E1/1接口与清洗设备的GE1/0/1接口直连，既作为引流通道，又作为回注通道。交换机上创建两个VLAN，例如：VLAN1和VLAN2，清洗设备的两个子接口GE1/0/1.1和GE1/0/1.2分别关联VLAN1和VLAN2，一个用作引流，一个用作回注。引流流量在核心交换机通过VLAN1引导至清洗设备进行清洗。清洗完成后，清洗设备发送ARP request报文请求防护对象IP的MAC地址，防护对象向清洗设备回应ARP reply报文，清洗设备通过二层将流量回注到防护对象。
图1 二层回注

二层回注通常用于核心交换设备与防护对象之间只有二层转发设备，没有三层转发设备的应用场景。
配置清洗设备
在清洗设备上配置VLAN功能，使回注流量直接通过VLAN转发。
（1）执行命令system-view，进入系统视图。
（2）执行命令interface interface-type interface-number.subinterface-number，进入子接口视图。
（3）执行命令vlan-type dot1q vlan-id，设置子接口的封装类型及关联的VLAN ID。
（4）缺省情况下，子接口上无封装，也没有与子接口关联的VLAN ID。
执行命令ip address ip-address { mask | mask-length } [ sub ]，配置子接口的IP地址。

二层回注场景中，如果使用子接口进行引流回注，则DDoS防御策略直接配置在子接口上；如果使用VlanIF接口进行引流回注，DDoS防御策略配置在对应的物理接口上。

配置核心交换机
下面以华为交换机S9300为例，介绍核心交换机的配置过程。不同版本的交换机配置不同，请根据实际交换机版本进行配置，以下配置仅供参考。
（1）执行命令system-view，进入系统视图。
（2）执行命令vlan vlan-id，创建VLAN。
（3）执行命令quit，返回系统视图。
（4）执行命令interface interface-type interface-number，进入以太网接口视图。
（5）执行命令port link-type { access | hybrid | trunk | dot1q-tunnel }，配置二层以太网端口属性。
（6）执行命令port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } & <1-10> | all }，配置Trunk端口允许通过的VLAN。
（7）执行命令quit，返回系统视图。
（8）执行命令interface vlanif vlan-id，创建VLAN接口。
（9）执行命令ip address ip-address { mask | mask-length } [ sub ]，配置VLAN接口的IP地址。