华为Anti-DDoS:配置静态路由回注

华为Anti-DDoS:配置静态路由回注
静态路由回注是指通过在清洗设备上配置静态路由,将清洗后的流量回注到路由器上,最后送到防护对象。
实现机制
本功能在AntiDDoS上配置。
如图1所示。Router1为引流路由器。Router1的GE1/0/1接口与清洗设备的GE2/0/1接口之间的通道为引流通道。引流流量通过Router1的GE1/0/1接口引导至清洗设备的GE2/0/1接口进行清洗。清洗完成后,清洗设备通过静态路由,将流量回注到路由器Router1的GE1/0/2接口上,由Router1继续转发,最后送到防护对象。
实际应用中,回注路由器可以是Router1,也可以是其他下行路由器(如Router2)。
图1 静态路由回注

图片.png

Router1可以学习到清洗设备发布的UNR路由,将到达防护对象的路由下一跳指向清洗设备。这样,清洗后流量再回注到Router1时,Router1根据路由表转发还会将流量送回清洗设备,从而形成路由环路。为了避免路由环路的发生,应该在Router1的回注入接口GE1/0/2上配置策略路由,将回注流量送到下行路由器Router2,继续转发。
静态路由回注是最简单的回注方式,一般用于只有一条回注链路的情况。

配置清洗设备
执行命令ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] } [ preference preference ] [ description text ],配置静态路由。
ip-address为静态路由的目的IP地址,即为待引流流量的防护对象IP地址。
mask为IP地址的掩码,点分十进制格式;mask-length为掩码的长度。
preference为指定静态路由协议的优先级,取值范围是1~255。缺省值为60。
nexthop-address为静态路由的下一跳IP地址,即与清洗设备回注口直连的Router1接口GE1/0/2。

配置路由器
以华为NE80E路由器为例,介绍回注路由器上的策略路由配置。不同版本的路由器配置不同,请根据实际路由器版本进行配置,以下配置仅供参考。
(1)执行命令system-view,进入系统视图。
(2)配置ACL,定义匹配策略路由的数据流。
(3)执行以下命令,定义流分类。
a、系统视图下,执行命令traffic classifier classifier-name,定义流分类并进入流分类视图。
classifier-name指定流分类的名称,字符串形式,区分大小写,长度范围是1~31。
b、执行命令if-match [ ipv6 ] acl { acl-number | name acl-name },定义ACL匹配规则。
acl-number指定访问控制列表的编号,整数形式。
对于IPv4报文,取值范围是2000~4099。其中:
    2000~3999表示基本或高级的访问控制列表。
    4000~4099表示基于二层以太网帧头信息的访问控制列表。
对于IPv6报文,取值范围是2000~3999。其中:
    2000~2999表示IPv6的基本访问控制列表。
    3000~3999表示IPv6的高级访问控制列表。
acl-name指命名型访问控制列表的名字。字符串形式,不支持空格,区分大小写,长度范围是1~32。以英文字母a~z或A~Z开始,可以是英文字母、数字、连字符“-”或下划线“_”的组合。
(4)执行以下命令,定义流行为并配置动作。
a、系统视图下,执行命令traffic behavior behavior-name,定义行为进入流行为视图。
behavior-name指定流行为名,字符串形式,长度范围是1~31。
b、执行命令redirect ip-nexthop ip-address [ interface interface-type interface-number ],配置重定向到下一跳。
ip-address指定重定向到下一跳的IP地址。
interface-type interface-number指定出接口的类型和编号,编号由槽位号/卡号/端口号组成。
(5)执行以下命令,定义流量策略并在策略中为类指定行为。
a、系统视图下,执行命令traffic policy policy-name,定义流量策略并进入策略视图。
policy-name指定流量策略名,字符串形式,长度范围是1~31。
b、执行命令classifier classifier-name behavior behavior-name [ precedence precedence ],在流量策略中为流分类指定采用的行为。
classifier-name指定流分类名称,必须是已定义的流分类名。
behavior-name指定流行为名称,必须是已定义的流行为名。
precedence表示关联起来的流分类和流行为的优先级,整数形式,取值范围为1~255。precedence的取值越小优先级越高,该流分类与流行为的关联优先被处理。如果没有设置precedence,将会按照配置的先后顺序查找流分类与流行为的关联。
(6)执行以下命令,在接口上应用策略路由。
a、系统视图下,执行命令interface interface-type interface-number,进入接口视图。
此接口为图1中Router1回注流量的入接口GE1/0/2。
b、执行命令traffic-policy policy-name inbound,应用策略路由。
inbound指在入方向应用流量策略。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为Anti-DDoS:配置静态路由回注

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!