华为Anti-DDoS:二层回注

华为Anti-DDoS:二层回注
二层回注是指清洗设备通过二层方式将流量回注到防护对象,而不通过路由转发。
实现机制
本功能在AntiDDoS上配置。
如图1所示。核心交换机的E1/1接口与清洗设备的GE1/0/1接口直连,既作为引流通道,又作为回注通道。交换机上创建两个VLAN,例如:VLAN1和VLAN2,清洗设备的两个子接口GE1/0/1.1和GE1/0/1.2分别关联VLAN1和VLAN2,一个用作引流,一个用作回注。引流流量在核心交换机通过VLAN1引导至清洗设备进行清洗。清洗完成后,清洗设备发送ARP request报文请求防护对象IP的MAC地址,防护对象向清洗设备回应ARP reply报文,清洗设备通过二层将流量回注到防护对象。
图1 二层回注

图片.png

二层回注通常用于核心交换设备与防护对象之间只有二层转发设备,没有三层转发设备的应用场景。
配置清洗设备
在清洗设备上配置VLAN功能,使回注流量直接通过VLAN转发。
(1)执行命令system-view,进入系统视图。
(2)执行命令interface interface-type interface-number.subinterface-number,进入子接口视图。
(3)执行命令vlan-type dot1q vlan-id,设置子接口的封装类型及关联的VLAN ID。
(4)缺省情况下,子接口上无封装,也没有与子接口关联的VLAN ID。
执行命令ip address ip-address { mask | mask-length } [ sub ],配置子接口的IP地址。

二层回注场景中,如果使用子接口进行引流回注,则DDoS防御策略直接配置在子接口上;如果使用VlanIF接口进行引流回注,DDoS防御策略配置在对应的物理接口上。

配置核心交换机
下面以华为交换机S9300为例,介绍核心交换机的配置过程。不同版本的交换机配置不同,请根据实际交换机版本进行配置,以下配置仅供参考。
(1)执行命令system-view,进入系统视图。
(2)执行命令vlan vlan-id,创建VLAN。
(3)执行命令quit,返回系统视图。
(4)执行命令interface interface-type interface-number,进入以太网接口视图。
(5)执行命令port link-type { access | hybrid | trunk | dot1q-tunnel },配置二层以太网端口属性。
(6)执行命令port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } & <1-10> | all },配置Trunk端口允许通过的VLAN。
(7)执行命令quit,返回系统视图。
(8)执行命令interface vlanif vlan-id,创建VLAN接口。
(9)执行命令ip address ip-address { mask | mask-length } [ sub ],配置VLAN接口的IP地址。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为Anti-DDoS:二层回注

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!