华为Anti-DDoS：配置静态路由回注

华为Anti-DDoS：配置静态路由回注
静态路由回注是指通过在清洗设备上配置静态路由，将清洗后的流量回注到路由器上，最后送到防护对象。
实现机制
本功能在AntiDDoS上配置。
如图1所示。Router1为引流路由器。Router1的GE1/0/1接口与清洗设备的GE2/0/1接口之间的通道为引流通道。引流流量通过Router1的GE1/0/1接口引导至清洗设备的GE2/0/1接口进行清洗。清洗完成后，清洗设备通过静态路由，将流量回注到路由器Router1的GE1/0/2接口上，由Router1继续转发，最后送到防护对象。
实际应用中，回注路由器可以是Router1，也可以是其他下行路由器（如Router2）。
图1 静态路由回注

Router1可以学习到清洗设备发布的UNR路由，将到达防护对象的路由下一跳指向清洗设备。这样，清洗后流量再回注到Router1时，Router1根据路由表转发还会将流量送回清洗设备，从而形成路由环路。为了避免路由环路的发生，应该在Router1的回注入接口GE1/0/2上配置策略路由，将回注流量送到下行路由器Router2，继续转发。
静态路由回注是最简单的回注方式，一般用于只有一条回注链路的情况。

配置清洗设备
执行命令ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] } [ preference preference ] [ description text ]，配置静态路由。
ip-address为静态路由的目的IP地址，即为待引流流量的防护对象IP地址。
mask为IP地址的掩码，点分十进制格式；mask-length为掩码的长度。
preference为指定静态路由协议的优先级，取值范围是1～255。缺省值为60。
nexthop-address为静态路由的下一跳IP地址，即与清洗设备回注口直连的Router1接口GE1/0/2。

配置路由器
以华为NE80E路由器为例，介绍回注路由器上的策略路由配置。不同版本的路由器配置不同，请根据实际路由器版本进行配置，以下配置仅供参考。
（1）执行命令system-view，进入系统视图。
（2）配置ACL，定义匹配策略路由的数据流。
（3）执行以下命令，定义流分类。
a、系统视图下，执行命令traffic classifier classifier-name，定义流分类并进入流分类视图。
classifier-name指定流分类的名称，字符串形式，区分大小写，长度范围是1～31。
b、执行命令if-match [ ipv6 ] acl { acl-number | name acl-name }，定义ACL匹配规则。
acl-number指定访问控制列表的编号，整数形式。
对于IPv4报文，取值范围是2000～4099。其中：
    2000～3999表示基本或高级的访问控制列表。
    4000～4099表示基于二层以太网帧头信息的访问控制列表。
对于IPv6报文，取值范围是2000～3999。其中：
    2000～2999表示IPv6的基本访问控制列表。
    3000～3999表示IPv6的高级访问控制列表。
acl-name指命名型访问控制列表的名字。字符串形式，不支持空格，区分大小写，长度范围是1～32。以英文字母a～z或A～Z开始，可以是英文字母、数字、连字符“-”或下划线“_”的组合。
（4）执行以下命令，定义流行为并配置动作。
a、系统视图下，执行命令traffic behavior behavior-name，定义行为进入流行为视图。
behavior-name指定流行为名，字符串形式，长度范围是1～31。
b、执行命令redirect ip-nexthop ip-address [ interface interface-type interface-number ]，配置重定向到下一跳。
ip-address指定重定向到下一跳的IP地址。
interface-type interface-number指定出接口的类型和编号，编号由槽位号/卡号/端口号组成。
（5）执行以下命令，定义流量策略并在策略中为类指定行为。
a、系统视图下，执行命令traffic policy policy-name，定义流量策略并进入策略视图。
policy-name指定流量策略名，字符串形式，长度范围是1～31。
b、执行命令classifier classifier-name behavior behavior-name [ precedence precedence ]，在流量策略中为流分类指定采用的行为。
classifier-name指定流分类名称，必须是已定义的流分类名。
behavior-name指定流行为名称，必须是已定义的流行为名。
precedence表示关联起来的流分类和流行为的优先级，整数形式，取值范围为1～255。precedence的取值越小优先级越高，该流分类与流行为的关联优先被处理。如果没有设置precedence，将会按照配置的先后顺序查找流分类与流行为的关联。
（6）执行以下命令，在接口上应用策略路由。
a、系统视图下，执行命令interface interface-type interface-number，进入接口视图。
此接口为图1中Router1回注流量的入接口GE1/0/2。
b、执行命令traffic-policy policy-name inbound，应用策略路由。
inbound指在入方向应用流量策略。