手册下载
H3C SecPath 异常流量清洗系统 典型配置举例-6W102-整本手册.pdf (1002.26 KB)
H3C SecPath异常流量清洗系统
典型配置举例
资料版本:6W102-20211011
Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍H3C SecPath异常流量清洗系统典型配置举例。
异常流量清洗系统是为应对DDoS攻击威胁专门打造的综合解决方案,包含管理中心(Management Center)、检测设备(Abnormal flow detector,AFD)和清洗设备(Abnormal flow cleaner,AFC)三大组件,三者联动执行DDoS攻击检测与防范任务。
异常流量清洗系统有如下两种部署模式:
如图1所示,清洗设备作为网关设备直接部署在内部网络的出口处,由管理中心对其进行配置、管理和监控。该模式下无需部署检测设备。
该部署模式下的DDoS攻击检测与防范流程如下:
(1) 清洗设备对流量进行DDoS攻击检测,发现DDoS攻击时向管理中心上报攻击告警日志。
(2) 管理中心对攻击告警日志进行分析,随即向清洗设备下发(或经由用户手工确认下发)启动防御指令,启动清洗设备上配置的相应DDoS攻击清洗流程。
(3) 清洗设备对DDoS攻击流量执行丢弃、限速等操作。
(4) 清洗设备对清洗后的正常流量进行转发。
串接部署模式适用于仅需应对中小流量DDoS攻击的场景,如中小企业网防护。
如图2所示,检测设备与清洗设备均旁路部署于网络出口处的核心设备旁,由管理中心统一进行配置、管理和监控。该模式下需要部署检测设备与清洗设备。
该部署模式下的DDoS攻击检测与防范流程如下:
(1) 核心设备(Device A)将外部网络访问内部网络的流量利用端口镜像方式复制或利用流量统计技术采集至检测设备,由检测设备对流量进行DDoS攻击检测。
(2) 检测设备监测到DDoS攻击时向管理中心上报攻击告警日志。
(3) 管理中心对攻击告警日志进行分析,随即向清洗设备下发(或经由用户手工确认下发)启动防御指令和引流策略。
(4) 根据引流策略,DDoS攻击相关流量被牵引至清洗设备进行DDoS攻击清洗,清洗设备对DDoS攻击流量执行丢弃、限速等操作。
(5) 清洗设备将清洗过后的正常流量回注至核心设备或汇聚设备(Device B)。
(6) 核心设备对正常流量进行转发。
旁路部署模式适用于需要应对大流量DDoS攻击的场景,如数据中心防护。
旁路模式下,清洗设备通过BGP向核心设备发布引流路由,将DDoS攻击相关流量由核心设备牵引至清洗设备处进行DDoS攻击清洗。
BGP引流需要在核心设备和清洗设备上均配置BGP功能。
旁路模式下,由于核心设备提前学习到了引流路由,可能造成回注流量被重复引流至清洗设备,形成路由环路。为避免此现象,清洗设备可通过如下多种方式,将正常流量回注至原网络中,继续转发至被保护网络。
清洗设备通过二层转发将流量直接发送至被保护网络。
二层回注适用于抗DDoS系统与被保护网络间只有二层转发设备,而没有三层转发设备的场景。
在核心设备与清洗设备互联的回注接口上配置策略路由,配置策略路由的下一跳为汇聚设备的接口地址。由于策略路由的优先级高于引流路由,正常流量会被正常转发至汇聚设备,再由其传递至报文原目的地。
策略路由回注需要用户针对目标网段手工配置策略路由,因而适用于网段地址较少且下游汇聚设备较少的场景。
清洗设备通过GRE隧道将流量直接回送至汇聚设备,再由其传递至被保护网络。
GRE回注需要用户在清洗设备和汇聚设备间手工建立一对一的GRE隧道,因而适用于汇聚设备较少的场景。
清洗设备向核心设备回注携带MPLS标签的正常流量,核心设备基于MPLS标签进行转发,转发的优先级高于引流路由的优先级,从而使报文转发至汇聚设备,再由其传递至报文原目的地。
MPLS LSP回注对网络拓扑变化不敏感,可拓展性强,便于维护,适用于汇聚设备较多,被保护网段比较分散的场景。
MPLS LSP回注需要核心设备和汇聚设备均支持MPLS功能。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、策略路由、GRE、BGP和DDoS攻击检测与防范特性。
本举例是在AFC2120-G的R9201P04版本、AFC2120-D-G的R9201P04版本和管理中心的R9201P03版本上进行配置和验证的。
Host所在网络出口带宽较小(约为1~2G),且网络出口的核心设备不接受旁路部署其他设备。如图3所示,通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。具体要求如下:
· 在Host所在网络出口以串接方式部署清洗设备,对双向流量进行实时DDoS攻击防护。
· 通过配置防护策略,防止192.168.1.0/24网段业务遭受DDoS攻击。
· 将清洗设备的上下游接口统一配置为二层模式,不改变三层网络拓扑。
(1) 配置接口所属VLAN。
# 创建VLAN 100。
<AFC> system-view
[AFC] vlan 100
[AFC-vlan100] quit
# 将内外网侧接口Ten-GigabitEthernet1/2/4、Ten-GigabitEthernet1/2/5加入VLAN 100。
[AFC] interface ten-gigabitethernet 1/2/4
[AFC-Ten-GigabitEthernet1/2/4] port link-mode bridge
[AFC-Ten-GigabitEthernet1/2/4] port link-type access
[AFC-Ten-GigabitEthernet1/2/4] port access vlan 100
[AFC] interface Ten-GigabitEthernet 1/2/5
[AFC-Ten-GigabitEthernet1/2/5] port link-mode bridge
[AFC-Ten-GigabitEthernet1/2/5] port link-type access
[AFC-Ten-GigabitEthernet1/2/5] port access vlan 100
[AFC-Ten-GigabitEthernet1/2/5] quit
(2) 配置接口IP地址。
# 将接口GigabitEthernet1/0/0的IP地址设为10.0.0.2/24。
[AFC] interface gigabitethernet 1/0/0
[AFC-GigabitEthernet1/0/0] ip address 10.0.0.2 24
[AFC-GigabitEthernet1/0/0] quit
(3) 配置管理中心相关信息。
# 将设备向管理中心发送日志时使用的IP地址配置为10.0.0.2。
[AFC] anti-ddos log-local-ip ip 10.0.0.2
# 配置管理中心的IP地址10.0.0.3和服务端口号10083。
[AFC] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(4) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFC] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFC] line class vty
[AFC-line-class-vty] authentication-mode scheme
[AFC-line-class-vty] quit
(5) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFC] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFC-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFC-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFC-luser-manage-admin] authorization-attribute user-role network-admin
(1) 登录Web管理中心。
# 在浏览器地址栏中输入管理中心的Web登录地址:https://10.0.0.3,回车进入管理中心登录界面。
# 依次输入用户名、密码和验证码。(部署管理中心时会要求设置用户名和密码)
# 单击<登录>按钮进入管理中心配置页面。
(2) 添加清洗设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图4 添加清洗设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成清洗设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(3) 配置防护对象。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图5 新建防护对象组
# 单击防护对象中的<新建>按钮,配置如下。
图6 新建防护对象
# 选择适合防护业务的对应模板,配置如下。
图7 配置防护策略
# 单击<确定>按钮,完成防护对象配置。
# 单击<确定>按钮,完成防护对象组配置,如下图所示。
图8 防护对象组列表
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 查看新建防护对象组的部署状态,若部署状态显示为,说明清洗设备就绪,串接部署成功。
图9 防护对象组列表
清洗设备的配置文件如下:
#
vlan 100
#
interface Ten-GigabitEthernet1/2/4
port link-mode bridge
port access vlan 100
#
interface Ten-GigabitEthernet1/2/5
port link-mode bridge
port access vlan 100
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
anti-ddos log-local-ip ip 10.0.0.2
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
本举例是在AFC2120-G的R9201P04版本、AFC2120-D-G的R9201P04版本和管理中心的R9201P03版本上进行配置和验证的。
如图10所示,核心设备Switch A与汇聚设备Switch B均为交换机,网络下游为二层部署。通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止192.168.1.0/24网段业务遭受DDoS攻击。
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
AFD |
GE1/0/0 |
10.0.0.1/24 |
Switch A |
Vlan-int100 |
2.0.0.1/24 |
|
Vlan-int300 |
1.0.0.2/24 |
|
Vlan-int300 |
1.0.0.1/24 |
AFC |
GE1/0/0 |
10.0.0.2/24 |
|
Loop0 |
1.1.1.1/32 |
|
Vlan-int100 |
2.0.0.2/24 |
Switch B |
Vlan-int200 |
192.168.1.1/24 |
|
Vlan-int200 |
192.168.1.254/24 |
Management Center |
GE1/0/0 |
10.0.0.3/24 |
|
Loop0 |
2.2.2.2/32 |
|
|
|
在大流量网络环境下部署检测设备,通常采用Netflow、Netstream或sFlow方式进行深度流检测。
根据网络特点,可为异常流量清洗系统部署BGP引流和二层回注:
· 在核心设备上利用VLAN 100将流量牵引至清洗设备进行DDoS攻击清洗。
· 清洗设备利用VLAN 200将流量转发至被保护网络,为此需要将核心设备的Ten-GigabitEthernet1/0/2接口配置为允许VLAN 200通过。
(1) 配置接口所属VLAN。
# 创建VLAN 300。
<AFD> system-view
[AFD] vlan 300
[AFD-vlan300] quit
# 将接口Ten-GigabitEthernet1/0/25配置为二层模式,允许VLAN 300报文通过。
[AFD] interface ten-gigabitethernet 1/0/25
[AFD-Ten-GigabitEthernet1/0/25] port link-mode bridge
[AFD-Ten-GigabitEthernet1/0/25] port link-type trunk
[AFD-Ten-GigabitEthernet1/0/25] port trunk permit vlan 300
(2) 配置接口IP地址。
# 配置接口Vlan-interface300的IP地址为1.0.0.2/24。
[AFD] interface vlan-interface 300
[AFD-Vlan-interface300] ip address 1.0.0.2 24
[AFD-Vlan-interface300] quit
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.1/24。
[AFD] interface gigabitethernet 1/0/0
[AFD-GigabitEthernet1/0/0] ip address 10.0.0.1 24
[AFD-GigabitEthernet1/0/0] quit
(3) 配置检测模式。
# 配置检测模式为深度流检测。
[AFD] anti-ddos detection-mode flow
(4) 配置流量统计报文输出器参数。
# 配置流量统计报文输出器的IP地址为1.1.1.1,检测设备接收流量统计报文的端口号为9999,流统计报文格式为NetFlow,采样率为1000。
[AFD] anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
(5) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.1。
[AFD] anti-ddos log-local-ip ip 10.0.0.1
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFD] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(6) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFD] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFD] line class vty
[AFD-line-class-vty] authentication-mode scheme
[AFD-line-class-vty] quit
(7) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFD] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFD-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFD-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFD-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置接口所属VLAN。
# 创建VLAN 100。
<AFC> system-view
[AFC] vlan 100
[AFC-vlan100] quit
# 创建VLAN 200。
[AFC] vlan 200
[AFC-vlan200] quit
# 将接口Ten-GigabitEthernet1/1/1配置为二层模式,允许VLAN 100和VLAN 200报文通过。
[AFC] interface ten-gigabitethernet 1/1/1
[AFC-Ten-GigabitEthernet1/1/1] port link-mode bridge
[AFC-Ten-GigabitEthernet1/1/1] port link-type trunk
[AFC-Ten-GigabitEthernet1/1/1] port trunk permit vlan 100 200
(2) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.2/24。
[AFC] interface gigabitethernet 1/0/0
[AFC-GigabitEthernet1/0/0] ip address 10.0.0.2 24
[AFC-GigabitEthernet1/0/0] quit
# 配置接口Vlan-interface100的IP地址为2.0.0.2/24。
[AFC] interface vlan-interface 100
[AFC-Vlan-interface100] ip address 2.0.0.2 24
[AFC-Vlan-interface100] quit
# 将虚接口Vlan-interface200的IP地址配置为192.168.1.254/24。
[AFC] interface vlan-interface 200
[AFC-Vlan-interface200] ip address 192.168.1.254 24
# 配置接口LoopBack0的IP地址为2.2.2.2/32。
[AFC] interface loopback 0
[AFC-LoopBack0] ip address 2.2.2.2 32
[AFC-LoopBack0] quit
(3) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.2。
[AFC] anti-ddos log-local-ip ip 10.0.0.2
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFC] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(4) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFC] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFC] line class vty
[AFC-line-class-vty] authentication-mode scheme
[AFC-line-class-vty] quit
(5) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFC] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFC-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFC-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFC-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置OSPF参数。
# 配置OSPF1,用于LoopBack接口互通。
[AFC] ospf 1
[AFC-ospf-1] area 0
[AFC-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[AFC-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[AFC-ospf-1-area-0.0.0.0] quit
[AFC-ospf-1] quit
(2) 配置路由策略。
# 创建路由策略,配置BGP路由信息的团体属性为no-advertise。
[AFC] route-policy comm_no_advertise permit node 0
[AFC-route-policy-comm_no_advertise-0] apply community no-advertise
[AFC-route-policy-comm_no_advertise-0] quit
(3) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[AFC] bgp 65000
# 配置Router ID为2.2.2.2。
[AFC-bgp-default] router-id 2.2.2.2
# 创建BGP对等体1.1.1.1,指定对等体的AS号为65000。
[AFC-bgp-default] peer 1.1.1.1 as-number 65000
# 配置与对等体1.1.1.1创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[AFC-bgp-default] peer 1.1.1.1 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[AFC-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体1.1.1.1交换路由信息。
[AFC-bgp-default-ipv4] peer 1.1.1.1 enable
# 对发布给对等体1.1.1.1的路由应用路由策略comm_no_advertise。
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_advertise export
# 向对等体1.1.1.1发布团体属性。
[AFC-bgp-default-ipv4] peer 1.1.1.1 advertise-community
# 将Guard路由信息引入到BGP路由表中。
[AFC-bgp-default-ipv4] import-route guard
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
(4) 配置路由策略(可选)。
# 配置路由过滤策略,用于拒绝接收核心路由器发送的路由。
[AFC] route-policy comm_no_route deny node 0
[AFC] bgp 65000
[AFC-bgp-default] address-family ipv4 unicast
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_route import
(1) 配置接口所属VLAN。
# 创建VLAN 100。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
# 创建VLAN 200。
[SwitchA] vlan 200
[SwitchA-vlan200] quit
# 创建VLAN 300。
[SwitchA] vlan 300
[SwitchA-vlan300] quit
# 将接口Ten-GigabitEthernet1/0/25配置为二层模式,允许VLAN 300报文通过。
[SwitchA] interface ten-gigabitethernet 1/0/25
[SwitchA-Ten-GigabitEthernet1/0/25] port link-mode bridge
[SwitchA-Ten-GigabitEthernet1/0/25] port link-type trunk
[SwitchA-Ten-GigabitEthernet1/0/25] port trunk permit vlan 300
[SwitchA-Ten-GigabitEthernet1/0/25] quit
# 将接口Ten-GigabitEthernet1/0/1配置为二层模式,允许VLAN 100和VLAN 200报文通过。
[SwitchA] interface ten-gigabitethernet 1/0/1
[SwitchA-Ten-GigabitEthernet1/0/1] port link-mode bridge
[SwitchA-Ten-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-Ten-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[SwitchA-Ten-GigabitEthernet1/0/1] quit
# 将接口Ten-GigabitEthernet1/0/2配置为二层模式,允许VLAN 200报文通过。
[SwitchA] interface ten-gigabitethernet 1/0/2
[SwitchA-Ten-GigabitEthernet1/0/2] port link-mode bridge
[SwitchA-Ten-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-Ten-GigabitEthernet1/0/2] port trunk permit vlan 200
(2) 配置接口IP地址。
# 配置接口Vlan-interface100的IP地址为2.0.0.1/24。
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ip address 2.0.0.1 24
[SwitchA-Vlan-interface100] quit
# 将虚接口Vlan-interface300的IP地址配置为1.0.0.1/24。
[SwitchA] interface vlan-interface 300
[SwitchA-Vlan-interface300] ip address 1.0.0.1 24
[SwitchA-Vlan-interface300] quit
# 配置接口LoopBack0的IP地址为1.1.1.1/32。
[SwitchA] interface loopback 0
[SwitchA-LoopBack0] ip address 1.1.1.1 32
[SwitchA-LoopBack0] quit
(1) 配置OSPF参数。
# 配置OSPF1,用于LoopBack接口互通。
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[SwitchA-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
(2) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[SwitchA] bgp 65000
# 配置Router ID为1.1.1.1。
[SwitchA-bgp-default] router-id 1.1.1.1
# 创建BGP对等体2.2.2.2,指定对等体的AS号为65000。
[SwitchA-bgp-default] peer 2.2.2.2 as-number 65000
# 配置与对等体2.2.2.2创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[SwitchA-bgp-default] peer 2.2.2.2 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[SwitchA-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体2.2.2.2交换路由信息。
[SwitchA-bgp-default-ipv4] peer 2.2.2.2 enable
(1) 配置接口所属VLAN。
# 创建VLAN 200。
<SwitchB> system-view
[SwitchB] vlan 200
[SwitchB-vlan200] quit
# 将接口Ten-GigabitEthernet2/0/1配置为二层模式,允许VLAN 200报文通过。
[SwitchB] interface ten-gigabitethernet 2/0/1
[SwitchB-Ten-GigabitEthernet2/0/1] port link-mode bridge
[SwitchB-Ten-GigabitEthernet2/0/1] port link-type trunk
[SwitchB-Ten-GigabitEthernet2/0/1] port trunk permit vlan 200
[SwitchB-Ten-GigabitEthernet2/0/1] quit
# 将接口Ten-GigabitEthernet2/0/2配置为二层模式,允许VLAN 200报文通过。
[SwitchB] interface ten-gigabitethernet 2/0/2
[SwitchB-Ten-GigabitEthernet2/0/2] port link-mode bridge
[SwitchB-Ten-GigabitEthernet2/0/2] port link-type access
[SwitchB-Ten-GigabitEthernet2/0/2] port access vlan 200
[SwitchB-Ten-GigabitEthernet2/0/2] quit
(2) 配置接口IP地址。
# 配置接口Vlan-interface200的IP地址为192.168.1.1/24。
[SwitchB] interface vlan-interface 200
[SwitchB-Vlan-interface200] ip address 192.168.1.1 24
需要确认核心设备的路由转发优先级是否高于MAC转发优先级。在部分场景中,由于下行出接口可以直接学习到MAC地址,可能会出现MAC转发优先级高于路由转发优先级,导致牵引失败。
(1) 登录Web管理中心。
# 在浏览器地址栏中输入管理中心的Web登录地址:https://10.0.0.3,回车进入管理中心登录界面。
# 依次输入用户名、密码和验证码。(部署管理中心时会要求设置用户名和密码)
# 单击<登录>按钮进入管理中心配置页面。
(2) 添加检测设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图11 添加检测设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成检测设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(3) 添加清洗设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图12 添加清洗设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成清洗设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(4) 配置检测对象。
# 选择“攻击检测 > 检测对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图13 新建检测对象组
# 单击检测对象旁的<新建>按钮,配置如下。
图14 新建检测对象
# 选择与被保护IP地址业务对应的检测策略,配置如下。
图15 配置检测策略
# 单击<确定>按钮,完成检测对象配置。
# 单击<确定>按钮,完成检测对象组配置,如下图所示。
图16 检测对象组列表
配置检测对象后即可在“报表查询”中查看流量趋势,建议观察一周的流量,取无攻击情况下流量峰值作为基线值,配置基线值的2-3倍作为检测策略阈值。
(5) 配置防护对象。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图17 新建防护对象组
# 单击防护对象中的<新建>按钮,配置如下。
图18 新建防护对象
· 可以选择多台联动检测设备,该防护对象只接受联动检测设备发送的告警,同时告警IP匹配到该防护对象中的IP时才会触发牵引动作。
· 存在两种清洗启动方式:自动是指匹配到告警时直接触发牵引动作;手动是指匹配到告警时只产生清洗事件,需要在清洗事件中确认需要清洗后手动单击<启动按钮>启动清洗。
# 选择适合防护业务的对应模板,配置如下。
图19 配置防护策略
# 单击<确定>按钮,完成防护对象配置。
# 单击<确定>按钮,完成防护对象组配置,如下图所示。
图20 防护对象组列表
(1) 查看检测设备部署状态。
# 选择“攻击检测 > 检测对象组配置”,进入检测对象组列表页面。
# 查看新建检测对象组的部署状态,若部署状态显示为,说明检测设备就绪。
图21 检测对象组列表
(2) 查看清洗设备部署状态。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 查看新建防护对象组的部署状态,若部署状态显示为,说明清洗设备就绪,旁路部署成功。
图22 防护对象组列表
· 检测设备
#
vlan 300
#
interface Ten-GigabitEthernet1/0/25
port link-mode bridge
port link-type trunk
port trunk permit vlan 300
#
interface Vlan-interface300
ip address 1.0.0.2 255.255.255.0
#
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
#
anti-ddos detection-mode flow
#
anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
#
anti-ddos log-local-ip ip 10.0.0.1
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· 清洗设备
#
vlan 100
#
vlan 200
#
interface Ten-GigabitEthernet1/1/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 100 200
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
interface Vlan-interface100
ip address 2.0.0.2 255.255.255.0
#
interface Vlan-interface200
ip address 192.168.1.254 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
anti-ddos log-local-ip ip 10.0.0.2
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
ospf 1
area 0.0.0.0
network 2.0.0.0 0.0.0.255
network 2.2.2.2 0.0.0.0
#
bgp 65000
router-id 2.2.2.2
peer 1.1.1.1 as-number 65000
peer 1.1.1.1 connect-interface loopback 0
#
address-family ipv4 unicast
import-route guard
peer 1.1.1.1 enable
peer 1.1.1.1 route-policy comm_no_route import
peer 1.1.1.1 route-policy comm_no_advertise export
peer 1.1.1.1 advertise-community
#
route-policy comm_no_advertise permit node 0
apply community no-advertise
#
route-policy comm_no_route deny node 0
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· Switch A
#
vlan 100
#
vlan 200
#
vlan 300
#
interface Ten-GigabitEthernet1/0/25
port link-mode bridge
port link-type trunk
port trunk permit vlan 300
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 100 200
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 200
#
interface Vlan-interface100
ip address 2.0.0.1 255.255.255.0
#
interface Vlan-interface300
ip address 1.0.0.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
· Switch B
#
vlan 200
#
interface Ten-GigabitEthernet2/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 200
#
interface Ten-GigabitEthernet2/0/2
port link-mode bridge
port link-type access
port access vlan 200
#
interface Vlan-interface200
ip address 192.168.1.1 255.255.255.0
本举例是在AFC2120-G的R9201P04版本、AFC2120-D-G的R9201P04版本和管理中心的R9201P03版本上进行配置和验证的。
如图23所示,Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较少,被保护业务地址段聚合度较高。通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止192.168.1.0/24网段业务遭受DDoS攻击。
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
AFD |
GE1/0/0 |
10.0.0.1/24 |
Router A |
XGE1/0/1 |
2.0.0.1/24 |
|
XGE1/0/25 |
1.0.0.2/24 |
|
XGE1/0/2 |
3.0.0.1/24 |
AFC |
GE1/0/0 |
10.0.0.2/24 |
|
XGE1/0/25 |
1.0.0.1/24 |
|
XGE1/1/1 |
2.0.0.2/24 |
|
Loop0 |
1.1.1.1/32 |
|
Loop0 |
2.2.2.2/32 |
Router B |
XGE2/0/1 |
3.0.0.2/24 |
Management Center |
GE1/0/0 |
10.0.0.3/24 |
|
XGE2/0/2 |
192.168.1.1/24 |
在大流量网络环境下部署检测设备,通常采用Netflow、Netstream或sFlow方式进行深度流检测。
根据网络特点,可为异常流量清洗系统部署BGP引流和策略路由回注(需在核心设备上配置策略路由,将回注流量转发至汇聚设备)。
(1) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.1/24。
<AFD> system-view
[AFD] interface gigabitethernet 1/0/0
[AFD-GigabitEthernet1/0/0] ip address 10.0.0.1 24
[AFD-GigabitEthernet1/0/0] quit
# 配置接口Ten-GigabitEthernet1/0/25的IP地址为1.0.0.2/24。
[AFD] interface ten-gigabitethernet 1/0/25
[AFD-Ten-GigabitEthernet1/0/25] ip address 1.0.0.2 24
[AFD-Ten-GigabitEthernet1/0/25] quit
(2) 配置检测模式。
# 配置检测模式为深度流检测。
[AFD] anti-ddos detection-mode flow
(3) 配置流量统计报文输出器参数。
# 配置流量统计报文输出器的IP地址为1.1.1.1,检测设备接收流量统计报文的端口号为9999,流统计报文格式为NetFlow,采样率为1000。
[AFD] anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
(4) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.1。
[AFD] anti-ddos log-local-ip ip 10.0.0.1
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFD] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(5) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFD] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFD] line class vty
[AFD-line-class-vty] authentication-mode scheme
[AFD-line-class-vty] quit
(6) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFD] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFD-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFD-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFD-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.2/24。
<AFC> system-view
[AFC] interface gigabitethernet 1/0/0
[AFC-GigabitEthernet1/0/0] ip address 10.0.0.2 24
[AFC-GigabitEthernet1/0/0] quit
# 配置接口Ten-GigabitEthernet1/1/1的IP地址为2.0.0.2/24。
[AFC] interface ten-gigabitethernet 1/1/1
[AFC-Ten-GigabitEthernet1/1/1] ip address 2.0.0.2 24
[AFC-Ten-GigabitEthernet1/1/1] quit
# 配置接口LoopBack0的IP地址为2.2.2.2/32。
[AFC] interface loopback 0
[AFC-LoopBack0] ip address 2.2.2.2 32
[AFC-LoopBack0] quit
(2) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.2。
[AFC] anti-ddos log-local-ip ip 10.0.0.2
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFC] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(3) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFC] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFC] line class vty
[AFC-line-class-vty] authentication-mode scheme
[AFC-line-class-vty] quit
(4) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFC] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFC-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFC-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFC-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置OSPF参数。
# 配置OSPF1,用于LoopBack接口互通。
[AFC] ospf 1
[AFC-ospf-1] area 0
[AFC-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[AFC-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[AFC-ospf-1-area-0.0.0.0] quit
[AFC-ospf-1] quit
(2) 配置路由策略。
# 创建路由策略,配置BGP路由信息的团体属性为no-advertise。
[AFC] route-policy comm_no_advertise permit node 0
[AFC-route-policy-comm_no_advertise-0] apply community no-advertise
[AFC-route-policy-comm_no_advertise-0] quit
(3) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[AFC] bgp 65000
# 配置Router ID为2.2.2.2。
[AFC-bgp-default] router-id 2.2.2.2
# 创建BGP对等体1.1.1.1,指定对等体的AS号为65000。
[AFC-bgp-default] peer 1.1.1.1 as-number 65000
# 配置与对等体1.1.1.1创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[AFC-bgp-default] peer 1.1.1.1 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[AFC-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体1.1.1.1交换路由信息。
[AFC-bgp-default-ipv4] peer 1.1.1.1 enable
# 对发布给对等体1.1.1.1的路由应用路由策略comm_no_advertise。
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_advertise export
# 向对等体1.1.1.1发布团体属性。
[AFC-bgp-default-ipv4] peer 1.1.1.1 advertise-community
# 将Guard路由信息引入到BGP路由表中。
[AFC-bgp-default-ipv4] import-route guard
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
(4) 配置路由策略(可选)。
# 配置路由过滤策略,用于拒绝接收核心路由器发送的路由。
[AFC] route-policy comm_no_route deny node 0
[AFC] bgp 65000
[AFC-bgp-default] address-family ipv4 unicast
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_route import
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
# 创建目的为192.168.1.0/24网段,下一跳为2.0.0.1的静态路由。
[AFC] ip route-static 192.168.1.0 24 2.0.0.1
# 配置接口Ten-GigabitEthernet1/0/1的IP地址为2.0.0.1/24。
<RouterA> system-view
[RouterA] interface ten-gigabitethernet 1/0/1
[RouterA-Ten-GigabitEthernet1/0/1] ip address 2.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/1] quit
# 配置接口Ten-GigabitEthernet1/0/2的IP地址为3.0.0.1/24。
[RouterA] interface ten-gigabitethernet 1/0/2
[RouterA-Ten-GigabitEthernet1/0/2] ip address 3.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/2] quit
# 配置接口Ten-GigabitEthernet1/0/25的IP地址为1.0.0.1/24。
[RouterA] interface ten-gigabitethernet 1/0/25
[RouterA-Ten-GigabitEthernet1/0/25] ip address 1.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/25] quit
# 配置接口LoopBack0的IP地址为1.1.1.1/32。
[RouterA] interface loopback 0
[RouterA-LoopBack0] ip address 1.1.1.1 32
[RouterA-LoopBack0] quit
(1) 配置OSPF参数。
# 配置OSPF1,用于LoopBack接口互通。
[RouterA] ospf 1
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[RouterA-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] quit
(2) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[RouterA] bgp 65000
# 配置Router ID为1.1.1.1。
[RouterA-bgp-default] router-id 1.1.1.1
# 创建BGP对等体2.2.2.2,指定对等体的AS号为65000。
[RouterA-bgp-default] peer 2.2.2.2 as-number 65000
# 配置与对等体2.2.2.2创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[RouterA-bgp-default] peer 2.2.2.2 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[RouterA-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体2.2.2.2交换路由信息。
[RouterA-bgp-default-ipv4] peer 2.2.2.2 enable
(1) 配置访问控制列表。
# 创建访问控制列表,用来匹配目的地址为192.168.1.0/24网段的报文。
[RouterA] acl advanced 3000
[RouterA-acl-ipv4-adv-3000] rule 1 permit ip destination 192.168.1.0 0.0.0.255
[RouterA-acl-ipv4-adv-3000] quit
(2) 配置策略路由。
# 配置策略路由,定义0号节点,指定所有目的IP地址在192.168.1.0/24网段内的报文的下一跳为3.0.0.2。
[RouterA] policy-based-route pbr permit node 0
[RouterA-pbr-pbr-0] if-match acl 3000
[RouterA-pbr-pbr-0] apply next-hop 3.0.0.2
(3) 应用策略路由。
# 在接口Ten-GigabitEthernet1/0/1上应用策略路由pbr。
[RouterA] interface ten-gigabitethernet 1/0/1
[RouterA-Ten-GigabitEthernet1/0/1] ip policy-based-route pbr
(1) 配置接口IP地址。
# 配置接口Ten-GigabitEthernet2/0/1的IP地址为3.0.0.2/24。
<RouterB> system-view
[RouterB] interface ten-gigabitethernet 2/0/1
[RouterB-Ten-GigabitEthernet2/0/1] ip address 3.0.0.2 24
[RouterB-Ten-GigabitEthernet2/0/1] quit
# 配置接口Ten-GigabitEthernet2/0/2的IP地址为192.168.1.1/24。
[RouterB] interface ten-gigabitethernet 2/0/2
[RouterB-Ten-GigabitEthernet2/0/2] ip address 192.168.1.1 24
(1) 登录Web管理中心。
# 在浏览器地址栏中输入管理中心的Web登录地址:https://10.0.0.3,回车进入管理中心登录界面。
# 依次输入用户名、密码和验证码。(部署管理中心时会要求设置用户名和密码)
# 单击<登录>按钮进入管理中心配置页面。
(2) 添加检测设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图24 添加检测设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成检测设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(3) 添加清洗设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图25 添加清洗设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成清洗设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(4) 配置检测对象。
# 选择“攻击检测 > 检测对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图26 新建检测对象组
# 单击检测对象旁的<新建>按钮,配置如下。
图27 新建检测对象
# 选择与被保护IP地址业务对应的检测策略,配置如下。
图28 配置检测策略
# 单击<确定>按钮,完成检测对象配置。
# 单击<确定>按钮,完成检测对象组配置,如下图所示。
图29 检测对象组列表
配置检测对象后即可在“报表查询”中查看流量趋势,建议观察一周的流量,取无攻击情况下流量峰值作为基线值,配置基线值的2-3倍作为检测策略阈值。
(5) 配置防护对象。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图30 新建防护对象组
# 单击防护对象中的<新建>按钮,配置如下。
图31 新建防护对象
· 可以选择多台联动检测设备,该防护对象只接受联动检测设备发送的告警,同时告警IP匹配到该防护对象中的IP时才会触发牵引动作。
· 存在两种清洗启动方式:自动是指匹配到告警时直接触发牵引动作;手动是指匹配到告警时只产生清洗事件,需要在清洗事件中确认需要清洗后手动单击<启动按钮>启动清洗。
# 选择适合防护业务的对应模板,配置如下。
图32 配置防护策略
# 单击<确定>按钮,完成防护对象配置。
# 单击<确定>按钮,完成防护对象组配置,如下图所示。
图33 防护对象组列表
(1) 查看检测设备部署状态。
# 选择“攻击检测 > 检测对象组配置”,进入检测对象组列表页面。
# 查看新建检测对象组的部署状态,若部署状态显示为,说明检测设备就绪。
图34 检测对象组列表
(2) 查看清洗设备部署状态。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 查看新建防护对象组的部署状态,若部署状态显示为,说明清洗设备就绪,旁路部署成功。
图35 防护对象组列表
· 检测设备
#
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/25
ip address 1.0.0.2 255.255.255.0
#
anti-ddos detection-mode flow
#
anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
#
anti-ddos log-local-ip ip 10.0.0.1
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· 清洗设备
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
interface Ten-GigabitEthernet1/1/1
ip address 2.0.0.2 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
anti-ddos log-local-ip ip 10.0.0.2
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
ospf 1
area 0.0.0.0
network 2.0.0.0 0.0.0.255
network 2.2.2.2 0.0.0.0
#
bgp 65000
router-id 2.2.2.2
peer 1.1.1.1 as-number 65000
peer 1.1.1.1 connect-interface loopback 0
#
address-family ipv4 unicast
import-route guard
peer 1.1.1.1 enable
peer 1.1.1.1 route-policy comm_no_route import
peer 1.1.1.1 route-policy comm_no_advertise export
peer 1.1.1.1 advertise-community
#
route-policy comm_no_advertise permit node 0
apply community no-advertise
#
route-policy comm_no_route deny node 0
#
ip route-static 192.168.1.0 24 2.0.0.1
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· Router A
#
interface Ten-GigabitEthernet1/0/1
ip address 2.0.0.1 255.255.255.0
ip policy-based-route pbr
#
interface Ten-GigabitEthernet1/0/2
ip address 3.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/25
ip address 1.0.0.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
policy-based-route pbr permit node 0
if-match acl 3000
apply next-hop 3.0.0.2
#
acl advanced 3000
rule 1 permit ip destination 192.168.1.0 0.0.0.255
· Router B
#
interface Ten-GigabitEthernet2/0/1
ip address 3.0.0.2 255.255.255.0
ip policy-based-route pbr
#
interface Ten-GigabitEthernet2/0/2
ip address 192.168.1.1 255.255.255.0
本举例是在AFC2120-G的R9201P04版本、AFC2120-D-G的R9201P04版本和管理中心的R9201P03版本上进行配置和验证的。
如图36所示,Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较少,且设备不支持MPLS功能。具体要求如下:
· 通过配置防护策略,防止192.168.1.0/24网段业务遭受DDoS攻击。
图36 清洗设备旁路模式GRE回注配置组网图
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
AFD |
GE1/0/0 |
10.0.0.1/24 |
Router A |
XGE1/0/1 |
2.0.0.1/24 |
|
XGE1/0/25 |
1.0.0.2/24 |
|
XGE1/0/2 |
3.0.0.1/24 |
AFC |
GE1/0/0 |
10.0.0.2/24 |
|
XGE1/0/25 |
1.0.0.1/24 |
|
XGE1/1/1 |
2.0.0.2/24 |
|
Loop0 |
1.1.1.1/32 |
|
Loop0 |
2.2.2.2/32 |
Router B |
XGE2/0/1 |
3.0.0.2/24 |
|
Tunnel0 |
10.1.0.2/24 |
|
XGE2/0/2 |
192.168.1.1/24 |
Management Center |
GE1/0/0 |
10.0.0.3/24 |
|
Tunnel0 |
10.1.0.1/24 |
在大流量网络环境下部署检测设备,通常采用Netflow、Netstream或sFlow方式进行深度流检测。
根据网络特点,可为异常流量清洗系统部署BGP引流和GRE回注(需在清洗设备和汇聚设备间建立GRE隧道,清洗设备通过该隧道将回注流量送至汇聚设备)。
(1) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.1/24。
<AFD> system-view
[AFD] interface gigabitethernet 1/0/0
[AFD-GigabitEthernet1/0/0] ip address 10.0.0.1 24
[AFD-GigabitEthernet1/0/0] quit
# 配置接口Ten-GigabitEthernet1/0/25的IP地址为1.0.0.2/24。
[AFD] interface ten-gigabitethernet 1/0/25
[AFD-Ten-GigabitEthernet1/0/25] ip address 1.0.0.2 24
[AFD-Ten-GigabitEthernet1/0/25] quit
(2) 配置检测模式。
# 配置检测模式为深度流检测。
[AFD] anti-ddos detection-mode flow
(3) 配置流量统计报文输出器参数。
# 配置流量统计报文输出器的IP地址为1.1.1.1,检测设备接收流量统计报文的端口号为9999,流统计报文格式为NetFlow,采样率为1000。
[AFD] anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
(4) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.1。
[AFD] anti-ddos log-local-ip ip 10.0.0.1
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFD] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(5) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFD] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFD] line class vty
[AFD-line-class-vty] authentication-mode scheme
[AFD-line-class-vty] quit
(6) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFD] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFD-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFD-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFD-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.2/24。
<AFC> system-view
[AFC] interface gigabitethernet 1/0/0
[AFC-GigabitEthernet1/0/0] ip address 10.0.0.2 24
[AFC-GigabitEthernet1/0/0] quit
# 配置接口Ten-GigabitEthernet1/1/1的IP地址为2.0.0.2/24。
[AFC] interface ten-gigabitethernet 1/1/1
[AFC-Ten-GigabitEthernet1/1/1] ip address 2.0.0.2 24
[AFC-Ten-GigabitEthernet1/1/1] quit
# 配置接口LoopBack0的IP地址为2.2.2.2/32。
[AFC] interface loopback 0
[AFC-LoopBack0] ip address 2.2.2.2 32
[AFC-LoopBack0] quit
(2) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.2。
[AFC] anti-ddos log-local-ip ip 10.0.0.2
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFC] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(3) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFC] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFC] line class vty
[AFC-line-class-vty] authentication-mode scheme
[AFC-line-class-vty] quit
(4) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFC] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFC-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFC-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFC-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置OSPF参数。
# 配置OSPF1,用于LoopBack接口互通。
[AFC] ospf 1
[AFC-ospf-1] area 0
[AFC-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[AFC-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[AFC-ospf-1-area-0.0.0.0] quit
[AFC-ospf-1] quit
(2) 配置路由策略。
# 创建路由策略,配置BGP路由信息的团体属性为no-advertise。
[AFC] route-policy comm_no_advertise permit node 0
[AFC-route-policy-comm_no_advertise-0] apply community no-advertise
[AFC-route-policy-comm_no_advertise-0] quit
(3) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[AFC] bgp 65000
# 配置Router ID为2.2.2.2。
[AFC-bgp-default] router-id 2.2.2.2
# 创建BGP对等体1.1.1.1,指定对等体的AS号为65000。
[AFC-bgp-default] peer 1.1.1.1 as-number 65000
# 配置与对等体1.1.1.1创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[AFC-bgp-default] peer 1.1.1.1 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[AFC-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体1.1.1.1交换路由信息。
[AFC-bgp-default-ipv4] peer 1.1.1.1 enable
# 对发布给对等体1.1.1.1的路由应用路由策略comm_no_advertise。
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_advertise export
# 向对等体1.1.1.1发布团体属性。
[AFC-bgp-default-ipv4] peer 1.1.1.1 advertise-community
# 将Guard路由信息引入到BGP路由表中。
[AFC-bgp-default-ipv4] import-route guard
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
(4) 配置路由策略(可选)。
# 配置路由过滤策略,用于拒绝接收核心路由器发送的路由。
[AFC] route-policy comm_no_route deny node 0
[AFC] bgp 65000
[AFC-bgp-default] address-family ipv4 unicast
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_route import
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
# 创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。
[AFC] interface tunnel 0 mode gre
# 配置Tunnel0接口的IP地址为10.1.0.2/24。
[AFC-Tunnel0] ip address 10.1.0.2 24
# 配置Tunnel0接口的源端地址为2.0.0.2。
[AFC-Tunnel0] source 2.0.0.2
# 配置Tunnel0接口的目的端地址为3.0.0.2。
[AFC-Tunnel0] destination 3.0.0.2
[AFC-Tunnel0] quit
# 配置目的为192.168.1.0/24网段,下一跳为Tunnel0的静态路由。
[AFC] ip route-static 192.168.1.0 24 tunnel 0
(1) 配置接口IP地址。
# 配置接口Ten-GigabitEthernet1/0/1的IP地址为2.0.0.1/24。
<RouterA> system-view
[RouterA] interface ten-gigabitethernet 1/0/1
[RouterA-Ten-GigabitEthernet1/0/1] ip address 2.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/1] quit
# 配置接口Ten-GigabitEthernet1/0/2的IP地址为3.0.0.1/24。
[RouterA] interface ten-gigabitethernet 1/0/2
[RouterA-Ten-GigabitEthernet1/0/2] ip address 3.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/2] quit
# 配置接口Ten-GigabitEthernet1/0/25的IP地址为1.0.0.1/24。
[RouterA] interface ten-gigabitethernet 1/0/25
[RouterA-Ten-GigabitEthernet1/0/25] ip address 1.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/25] quit
# 配置接口LoopBack0的IP地址为1.1.1.1/32。
[RouterA] interface loopback 0
[RouterA-LoopBack0] ip address 1.1.1.1 32
[RouterA-LoopBack0] quit
(2) 配置OSPF参数。
# 配置OSPF1。
[RouterA] ospf 1
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[RouterA-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 3.0.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] quit
(3) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[RouterA] bgp 65000
# 配置Router ID为1.1.1.1。
[RouterA-bgp-default] router-id 1.1.1.1
# 创建BGP对等体2.2.2.2,指定对等体的AS号为65000。
[RouterA-bgp-default] peer 2.2.2.2 as-number 65000
# 配置与对等体2.2.2.2创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[RouterA-bgp-default] peer 2.2.2.2 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[RouterA-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体2.2.2.2交换路由信息。
[RouterA-bgp-default-ipv4] peer 2.2.2.2 enable
(1) 配置接口IP地址。
# 配置接口Ten-GigabitEthernet2/0/1的IP地址为3.0.0.2/24。
<RouterB> system-view
[RouterB] interface ten-gigabitethernet 2/0/1
[RouterB-Ten-GigabitEthernet2/0/1] ip address 3.0.0.2 24
[RouterB-Ten-GigabitEthernet2/0/1] quit
# 配置接口Ten-GigabitEthernet2/0/2的IP地址为192.168.1.1/24。
[RouterB] interface ten-gigabitethernet 2/0/2
[RouterB-Ten-GigabitEthernet2/0/2] ip address 192.168.1.1 24
[RouterB-Ten-GigabitEthernet2/0/2] quit
(2) 配置OSPF参数。
# 配置OSPF1。
[RouterB] ospf 1
[RouterB-ospf-1] area 0
[RouterB-ospf-1-area-0.0.0.0] network 3.0.0.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
[RouterB-ospf-1] quit
(3) 配置GRE隧道。
# 创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。
<RouterB> system-view
[RouterB] interface tunnel 0 mode gre
# 配置Tunnel0接口的IP地址为10.1.0.1/24。
[RouterB-Tunnel0] ip address 10.1.0.1 24
# 配置Tunnel0接口的源端地址为3.0.0.2。
[RouterB-Tunnel0] source 3.0.0.2
# 配置Tunnel0接口的目的端地址为2.0.0.2。
[RouterB-Tunnel0] destination 2.0.0.2
(1) 登录Web管理中心。
# 在浏览器地址栏中输入管理中心的Web登录地址:https://10.0.0.3,回车进入管理中心登录界面。
# 依次输入用户名、密码和验证码。(部署管理中心时会要求设置用户名和密码)
# 单击<登录>按钮进入管理中心配置页面。
(2) 添加检测设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图37 添加检测设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成检测设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(3) 添加清洗设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图38 添加清洗设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成清洗设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(4) 配置检测对象。
# 选择“攻击检测 > 检测对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图39 新建检测对象组
# 单击检测对象旁的<新建>按钮,配置如下。
图40 新建检测对象
# 选择与被保护IP地址业务对应的检测策略,配置如下。
图41 配置检测策略
# 单击<确定>按钮,完成检测对象配置。
# 单击<确定>按钮,完成检测对象组配置,如下图所示。
图42 检测对象组列表
配置检测对象后即可在“报表查询”中查看流量趋势,建议观察一周的流量,取无攻击情况下流量峰值作为基线值,配置基线值的2-3倍作为检测策略阈值。
(5) 配置防护对象。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图43 新建防护对象组
# 单击防护对象中的<新建>按钮,配置如下。
图44 新建防护对象
· 可以选择多台联动检测设备,该防护对象只接受联动检测设备发送的告警,同时告警IP匹配到该防护对象中的IP时才会触发牵引动作。
· 存在两种清洗启动方式:自动是指匹配到告警时直接触发牵引动作;手动是指匹配到告警时只产生清洗事件,需要在清洗事件中确认需要清洗后手动单击<启动按钮>启动清洗。
# 选择适合防护业务的对应模板,配置如下。
图45 配置防护策略
# 单击<确定>按钮,完成防护对象配置。
# 单击<确定>按钮,完成防护对象组配置,如下图所示。
图46 防护对象组列表
(1) 查看检测设备部署状态。
# 选择“攻击检测 > 检测对象组配置”,进入检测对象组列表页面。
# 查看新建检测对象组的部署状态,若部署状态显示为,说明检测设备就绪。
图47 检测对象组列表
(2) 查看清洗设备部署状态。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 查看新建防护对象组的部署状态,若部署状态显示为,说明清洗设备就绪,旁路部署成功。
图48 防护对象组列表
· 检测设备
#
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/25
ip address 1.0.0.2 255.255.255.0
#
anti-ddos detection-mode flow
#
anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
#
anti-ddos log-local-ip ip 10.0.0.1
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· 清洗设备
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
interface Ten-GigabitEthernet1/1/1
ip address 2.0.0.2 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
interface Tunnel0 mode gre
ip address 10.1.0.2 255.255.255.0
source 2.0.0.2
destination 3.0.0.2
#
anti-ddos log-local-ip ip 10.0.0.2
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
ospf 1
area 0.0.0.0
network 2.0.0.0 0.0.0.255
network 2.2.2.2 0.0.0.0
#
bgp 65000
router-id 2.2.2.2
peer 1.1.1.1 as-number 65000
peer 1.1.1.1 connect-interface loopback 0
#
address-family ipv4 unicast
import-route guard
peer 1.1.1.1 enable
peer 1.1.1.1 route-policy comm_no_route import
peer 1.1.1.1 route-policy comm_no_advertise export
peer 1.1.1.1 advertise-community
#
route-policy comm_no_advertise permit node 0
apply community no-advertise
#
route-policy comm_no_route deny node 0
#
ip route-static 192.168.1.0 24 Tunnel0
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· Router A
#
interface Ten-GigabitEthernet1/0/1
ip address 2.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
ip address 3.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/25
ip address 1.0.0.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 2.0.0.0 0.0.0.255
network 3.0.0.0 0.0.0.255
#
bgp 65000
router-id 1.1.1.1
peer 2.2.2.2 as-number 65000
peer 2.2.2.2 connect-interface loopback 0
#
address-family ipv4 unicast
peer 2.2.2.2 enable
· Router B
#
interface Ten-GigabitEthernet2/0/1
ip address 3.0.0.2 255.255.255.0
#
interface Ten-GigabitEthernet2/0/2
ip address 192.168.1.1 255.255.255.0
#
interface Tunnel0 mode gre
ip address 10.1.0.1 255.255.255.0
source 3.0.0.2
destination 2.0.0.2
#
ospf 1
area 0.0.0.0
network 3.0.0.0 0.0.0.255
本举例是在AFC2120-G的R9201P04版本、AFC2120-D-G的R9201P04版本和管理中心的R9201P03版本上进行配置和验证的。
如图49所示,Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较多,被保护网段比较分散,且设备支持MPLS功能。具体要求如下:
· 通过配置防护策略,防止192.168.1.0/24网段业务遭受DDoS攻击。
图49 清洗设备旁路模式MPLS LSP回注配置组网图
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
AFD |
GE1/0/0 |
10.0.0.1/24 |
Router A |
XGE1/0/1 |
2.0.0.1/24 |
|
XGE1/0/25 |
1.0.0.2/24 |
|
XGE1/0/2 |
3.0.0.1/24 |
|
|
|
|
XGE1/0/25 |
1.0.0.1/24 |
AFC |
GE1/0/0 |
10.0.0.2/24 |
|
Loop0 |
1.1.1.1/32 |
|
XGE1/1/1 |
2.0.0.2/24 |
Router B |
XGE2/0/1 |
3.0.0.2/24 |
|
Loop0 |
2.2.2.2/32 |
|
XGE2/0/2 |
192.168.1.1/24 |
Management Center |
GE1/0/0 |
10.0.0.3/24 |
|
Loop0 |
3.3.3.3/32 |
在大流量网络环境下部署检测设备,通常采用Netflow、Netstream或sFlow方式进行深度流检测。
根据网络特点,可为异常流量清洗系统部署BGP引流和MPLS LSP回注(需在清洗设备、核心设备和汇聚设备上分别开启MPLS和LDP功能,建立LSP。清洗设备将回注流量沿LSP转发)。
为使MPLS LSP回注成功,需做到如下三点:
· 清洗设备能学习到抵达汇聚设备LoopBack接口的路由和MPLS标签。
· 清洗设备有去往被保护业务网段的路由,其下一跳为汇聚设备LoopBack接口IP地址。
· 回注路由能迭代到LSP。
(1) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.1/24。
<AFD> system-view
[AFD] interface gigabitethernet 1/0/0
[AFD-GigabitEthernet1/0/0] ip address 10.0.0.1 24
[AFD-GigabitEthernet1/0/0] quit
# 配置接口Ten-GigabitEthernet1/0/25的IP地址为1.0.0.2/24。
[AFD] interface ten-gigabitethernet 1/0/25
[AFD-Ten-GigabitEthernet1/0/25] ip address 1.0.0.2 24
[AFD-Ten-GigabitEthernet1/0/25] quit
(2) 配置检测模式。
# 配置检测模式为深度流检测。
[AFD] anti-ddos detection-mode flow
(3) 配置流量统计报文输出器参数。
# 配置流量统计报文输出器的IP地址为1.1.1.1,检测设备接收流量统计报文的端口号为9999,流统计报文格式为NetFlow,采样率为1000。
[AFD] anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
(4) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.1。
[AFD] anti-ddos log-local-ip ip 10.0.0.1
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFD] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(5) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFD] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFD] line class vty
[AFD-line-class-vty] authentication-mode scheme
[AFD-line-class-vty] quit
(6) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFD] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFD-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFD-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFD-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置接口IP地址。
# 配置接口GigabitEthernet1/0/0的IP地址为10.0.0.2/24。
<AFC> system-view
[AFC] interface gigabitethernet 1/0/0
[AFC-GigabitEthernet1/0/0] ip address 10.0.0.2 24
[AFC-GigabitEthernet1/0/0] quit
# 配置接口Ten-GigabitEthernet1/1/1的IP地址为2.0.0.2/24。
[AFC] interface ten-gigabitethernet 1/1/1
[AFC-Ten-GigabitEthernet1/1/1] ip address 2.0.0.2 24
[AFC-Ten-GigabitEthernet1/1/1] quit
# 配置接口LoopBack0的IP地址为2.2.2.2/32。
[AFC] interface loopback 0
[AFC-LoopBack0] ip address 2.2.2.2 32
[AFC-LoopBack0] quit
(2) 配置管理中心相关信息。
# 配置设备向管理中心发送日志时使用的IP地址为10.0.0.2。
[AFC] anti-ddos log-local-ip ip 10.0.0.2
# 配置管理中心的IP地址为10.0.0.3和服务端口号10083。
[AFC] anti-ddos log-server-ip ip 10.0.0.3 port 10083
(3) 配置Telnet服务,用于管理中心对设备进行管理。
# 开启设备的Telnet服务。
[AFC] telnet server enable
# 设置Telnet登录用户的认证方式为通过AAA认证。
[AFC] line class vty
[AFC-line-class-vty] authentication-mode scheme
[AFC-line-class-vty] quit
(4) 配置Telnet登录用户
# 添加设备管理类本地用户,并进入设备管理类本地用户视图。
[AFC] local-user admin class manage
# 设置本地用户的密码(此处配置的密码是“admin”,正式部署时请配置更复杂的密码)
[AFC-luser-manage-admin] password simple admin
# 设置本地用户可以使用的服务类型。
[AFC-luser-manage-admin] service-type http https telnet
# 设置本地用户的授权属性。
[AFC-luser-manage-admin] authorization-attribute user-role network-admin
(1) 配置OSPF参数。
# 配置OSPF1,用于LoopBack接口互通。
[AFC] ospf 1
[AFC-ospf-1] area 0
[AFC-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[AFC-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[AFC-ospf-1-area-0.0.0.0] quit
[AFC-ospf-1] quit
(2) 配置路由策略。
# 创建路由策略,配置BGP路由信息的团体属性为no-advertise。
[AFC] route-policy comm_no_advertise permit node 0
[AFC-route-policy-comm_no_advertise-0] apply community no-advertise
[AFC-route-policy-comm_no_advertise-0] quit
(3) 配置BGP参数。
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[AFC] bgp 65000
# 配置Router ID为2.2.2.2。
[AFC-bgp-default] router-id 2.2.2.2
# 创建BGP对等体1.1.1.1,指定对等体的AS号为65000。
[AFC-bgp-default] peer 1.1.1.1 as-number 65000
# 配置与对等体1.1.1.1创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[AFC-bgp-default] peer 1.1.1.1 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[AFC-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体1.1.1.1交换路由信息。
[AFC-bgp-default-ipv4] peer 1.1.1.1 enable
# 对发布给对等体1.1.1.1的路由应用路由策略comm_no_advertise。
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_advertise export
# 向对等体1.1.1.1发布团体属性。
[AFC-bgp-default-ipv4] peer 1.1.1.1 advertise-community
# 将Guard路由信息引入到BGP路由表中。
[AFC-bgp-default-ipv4] import-route guard
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
(4) 配置路由策略(可选)。
# 配置路由过滤策略,用于拒绝接收核心路由器发送的路由。
[AFC] route-policy comm_no_route deny node 0
[AFC] bgp 65000
[AFC-bgp-default] address-family ipv4 unicast
[AFC-bgp-default-ipv4] peer 1.1.1.1 route-policy comm_no_route import
[AFC-bgp-default-ipv4] quit
[AFC-bgp-default] quit
(1) 开启全局LDP功能。
# 配置本节点的LSR ID为2.2.2.2。
[AFC] mpls lsr-id 2.2.2.2
# 开启全局LDP功能。
[AFC] mpls ldp
[AFC-ldp] quit
(2) 开启接口LDP功能。
# 开启接口Ten-GigabitEthernet1/1/1的MPLS和LDP功能。
[AFC] interface ten-gigabitethernet 1/1/1
[AFC-Ten-GigabitEthernet1/1/1] mpls enable
[AFC-Ten-GigabitEthernet1/1/1] mpls ldp enable
[AFC-Ten-GigabitEthernet1/1/1] quit
(3) 配置回注路由。请选择以下一项进行配置。
¡ 配置静态回注路由,配置允许静态路由迭代到LSP隧道。
[AFC] ip route-static 192.168.1.0 24 3.3.3.3
[AFC] ip route-static recursive-lookup tunnel
¡ 配置BGP路由回注允许非标签公网BGP路由迭代到LSP隧道。
[AFC] bgp 65000
[AFC-bgp-default] router-id 2.2.2.2
[AFC-bgp-default] peer 3.3.3.3 as-number 65001
[AFC-bgp-default] peer 3.3.3.3 connect-interface loopback 0
[AFC-bgp-default] peer 3.3.3.3 ebgp-max-hop 255
[AFC-bgp-default] address-family ipv4 unicast
[AFC-bgp-default-ipv4] peer 3.3.3.3 enable
[AFC-bgp-default-ipv4] peer 3.3.3.3 route-policy comm_no_route export
[AFC-bgp-default-ipv4] unicast-route recursive-lookup tunnel
# 配置接口Ten-GigabitEthernet1/0/1的IP地址为2.0.0.1/24。
<RouterA> system-view
[RouterA] interface ten-gigabitethernet 1/0/1
[RouterA-Ten-GigabitEthernet1/0/1] ip address 2.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/1] quit
# 配置接口Ten-GigabitEthernet1/0/2的IP地址为3.0.0.1/24。
[RouterA] interface ten-gigabitethernet 1/0/2
[RouterA-Ten-GigabitEthernet1/0/2] ip address 3.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/2] quit
# 配置接口Ten-GigabitEthernet1/0/25的IP地址为1.0.0.1/24。
[RouterA] interface ten-gigabitethernet 1/0/25
[RouterA-Ten-GigabitEthernet1/0/25] ip address 1.0.0.1 24
[RouterA-Ten-GigabitEthernet1/0/25] quit
# 配置接口LoopBack0的IP地址为1.1.1.1/32。
[RouterA] interface loopback 0
[RouterA-LoopBack0] ip address 1.1.1.1 32
[RouterA-LoopBack0] quit
# 配置OSPF1。
[RouterA] ospf 1
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[RouterA-ospf-1-area-0.0.0.0] network 2.0.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 3.0.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] quit
# 创建AS号为65000的BGP实例,并进入BGP实例视图。
[RouterA] bgp 65000
# 配置Router ID为1.1.1.1。
[RouterA-bgp-default] router-id 1.1.1.1
# 创建BGP对等体2.2.2.2,指定对等体的AS号为65000。
[RouterA-bgp-default] peer 2.2.2.2 as-number 65000
# 配置与对等体2.2.2.2创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[RouterA-bgp-default] peer 2.2.2.2 connect-interface loopback 0
# 配置BGP IPv4单播地址族。
[RouterA-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体2.2.2.2交换路由信息。
[RouterA-bgp-default-ipv4] peer 2.2.2.2 enable
[RouterA-bgp-default-ipv4] quit
[RouterA-bgp-default] quit
(1) 开启全局LDP功能。
# 配置本节点的LSR ID为1.1.1.1。
[RouterA] mpls lsr-id 1.1.1.1
# 开启全局LDP功能。
[RouterA] mpls ldp
[RouterA-ldp] quit
(2) 开启接口LDP功能。
# 开启接口Ten-GigabitEthernet1/0/1的MPLS和LDP功能。
[RouterA] interface ten-gigabitethernet 1/0/1
[RouterA-Ten-GigabitEthernet1/0/1] mpls enable
[RouterA-Ten-GigabitEthernet1/0/1] mpls ldp enable
[RouterA-Ten-GigabitEthernet1/0/1] quit
# 开启接口Ten-GigabitEthernet1/0/2的MPLS和LDP功能。
[RouterA] interface ten-gigabitethernet 1/0/2
[RouterA-Ten-GigabitEthernet1/0/2] mpls enable
[RouterA-Ten-GigabitEthernet1/0/2] mpls ldp enable
# 配置接口Ten-GigabitEthernet2/0/1的IP地址为3.0.0.2/24。
<RouterB> system-view
[RouterB] interface ten-gigabitethernet 2/0/1
[RouterB-Ten-GigabitEthernet2/0/1] ip address 3.0.0.2 24
[RouterB-Ten-GigabitEthernet2/0/1] quit
# 配置接口Ten-GigabitEthernet2/0/2的IP地址为192.168.1.1/24。
[RouterB] interface ten-gigabitethernet 2/0/2
[RouterB-Ten-GigabitEthernet2/0/2] ip address 192.168.1.1 24
[RouterB-Ten-GigabitEthernet2/0/2] quit
# 配置接口LoopBack0的IP地址为3.3.3.3/32。
[RouterB] interface loopback 0
[RouterB-LoopBack0] ip address 3.3.3.3 32
[RouterB-LoopBack0] quit
# 配置OSPF1。
[RouterB] ospf 1
[RouterB-ospf-1] area 0
[RouterB-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
[RouterB-ospf-1-area-0.0.0.0] network 3.0.0.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
[RouterB-ospf-1] quit
# 创建AS号为65001的BGP实例,并进入BGP实例视图。
[RouterB] bgp 65001
# 配置Router ID为3.3.3.3。
[RouterB-bgp-default] router-id 3.3.3.3
# 创建BGP对等体2.2.2.2,指定对等体的AS号为65000。
[RouterB-bgp-default] peer 2.2.2.2 as-number 65000
# 配置与对等体2.2.2.2创建BGP会话时建立TCP连接使用的源接口为接口LoopBack0。
[RouterB-bgp-default] peer 2.2.2.2 connect-interface loopback 0
# 允许与非直连对等体2.2.2.2建立EBGP会话,并指定最大跳数为255。
[RouterB-bgp-default] peer 2.2.2.2 ebgp-max-hop 255
# 配置BGP IPv4单播地址族。
[RouterB-bgp-default] address-family ipv4 unicast
# 允许本地设备与指定对等体2.2.2.2交换路由信息。
[RouterB-bgp-default-ipv4] peer 2.2.2.2 enable
# 将直连路由引入BGP。
[RouterB-bgp-default-ipv4] import-route direct
[RouterB-bgp-default-ipv4] quit
[RouterB-bgp-default] quit
(1) 开启全局LDP功能。
# 配置本节点的LSR ID为3.3.3.3。
[RouterB] mpls lsr-id 3.3.3.3
# 开启全局LDP功能。
[RouterB] mpls ldp
[RouterB-ldp] quit
(2) 开启接口LDP功能。
# 开启接口Ten-GigabitEthernet2/0/1的MPLS和LDP功能。
[RouterB] interface ten-gigabitethernet 2/0/1
[RouterB-Ten-GigabitEthernet2/0/1] mpls enable
[RouterB-Ten-GigabitEthernet2/0/1] mpls ldp enable
通过动态路由学习回注路由时,要注意过滤掉公网路由,避免学习到的路由过多。
(1) 登录Web管理中心。
# 在浏览器地址栏中输入管理中心的Web登录地址:https://10.0.0.3,回车进入管理中心登录界面。
# 依次输入用户名、密码和验证码。(部署管理中心时会要求设置用户名和密码)
# 单击<登录>按钮进入管理中心配置页面。
(2) 添加检测设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图50 添加检测设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成检测设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(3) 添加清洗设备。
# 选择“设备监控 > 设备列表”,进入设备管理页面。
# 单击<添加>按钮,配置如下。
图51 添加清洗设备
# 单击<测试Telnet配置>按钮,如显示“Telnet连接成功”字样,单击<确定>按钮,完成清洗设备添加。否则,请检查清洗设备的IP地址、用户名、密码、Telnet端口等配置情况。
(4) 配置检测对象。
# 选择“攻击检测 > 检测对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图52 新建检测对象组
# 单击检测对象旁的<新建>按钮,配置如下。
图53 新建检测对象
# 选择与被保护IP地址业务对应的检测策略,配置如下。
图54 配置检测策略
# 单击<确定>按钮,完成检测对象配置。
# 单击<确定>按钮,完成检测对象组配置,如下图所示。
图55 检测对象组列表
配置检测对象后即可在“报表查询”中查看流量趋势,建议观察一周的流量,取无攻击情况下流量峰值作为基线值,配置基线值的2-3倍作为检测策略阈值。
(5) 配置防护对象。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 单击<新建>按钮,配置如下。
图56 新建防护对象组
# 单击防护对象中的<新建>按钮,配置如下。
图57 新建防护对象
· 可以选择多台联动检测设备,该防护对象只接受联动检测设备发送的告警,同时告警IP匹配到该防护对象中的IP时才会触发牵引动作。
· 存在两种清洗启动方式:自动是指匹配到告警时直接触发牵引动作;手动是指匹配到告警时只产生清洗事件,需要在清洗事件中确认需要清洗后手动单击<启动按钮>启动清洗。
# 选择适合防护业务的对应模板,配置如下。
图58 配置防护策略
# 单击<确定>按钮,完成防护对象配置。
# 单击<确定>按钮,完成防护对象组配置,如下图所示。
图59 防护对象组列表
(1) 查看检测设备部署状态。
# 选择“攻击检测 > 检测对象组配置”,进入检测对象组列表页面。
# 查看新建检测对象组的部署状态,若部署状态显示为,说明检测设备就绪。
图60 检测对象组列表
(2) 查看清洗设备部署状态。
# 选择“流量清洗 > 防护对象组配置”,进入防护对象组列表页面。
# 查看新建防护对象组的部署状态,若部署状态显示为,说明清洗设备就绪,旁路部署成功。
图61 防护对象组列表
· 检测设备
#
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/25
ip address 1.0.0.2 255.255.255.0
#
anti-ddos detection-mode flow
#
anti-ddos flow-agent ip 1.1.1.1 port 9999 flow-type netflow sampling-rate 1
000
#
anti-ddos log-local-ip ip 10.0.0.1
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· 清洗设备
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
interface Ten-GigabitEthernet1/1/1
ip address 2.0.0.2 255.255.255.0
mpls enable
mpls ldp enable
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
anti-ddos log-local-ip ip 10.0.0.2
anti-ddos log-server-ip ip 10.0.0.3 port 10083
#
ospf 1
area 0.0.0.0
network 2.0.0.0 0.0.0.255
network 2.2.2.2 0.0.0.0
#
mpls lsr-id 2.2.2.2
#
mpls ldp
#
bgp 65000
router-id 2.2.2.2
peer 1.1.1.1 as-number 65000
peer 1.1.1.1 connect-interface loopback 0
peer 3.3.3.3 as-number 65001
peer 3.3.3.3 connect-interface loopback 0
peer 3.3.3.3 ebgp-max-hop 255
#
address-family ipv4 unicast
import-route guard
peer 1.1.1.1 enable
peer 1.1.1.1 route-policy comm_no_route import
peer 1.1.1.1 route-policy comm_no_advertise export
peer 1.1.1.1 advertise-community
peer 3.3.3.3 enable
peer 3.3.3.3 route-policy comm_no_route export
unicast-route recursive-lookup tunnel
#
route-policy comm_no_advertise permit node 0
apply community no-advertise
#
route-policy comm_no_route deny node 0
#
telnet server enable
#
line class vty
authentication-mode scheme
user-role network-operator
#
local-user admin class manage
password hash $h$6$F9fZaeGLPVktsoDm$U+WNHo4+IN1vpBAgHi8gTFCb/v1F9isTXYAJXtXOUyUEbWMRRxKzUXmmgfGsx7YAsNIgNW5bvv2mIgwtFzVDnA==
service-type telnet http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
· Router A
#
interface Ten-GigabitEthernet1/0/1
ip address 2.0.0.1 255.255.255.0
mpls enable
mpls ldp enable
#
interface Ten-GigabitEthernet1/0/2
ip address 3.0.0.1 255.255.255.0
mpls enable
mpls ldp enable
#
interface Ten-GigabitEthernet1/0/25
ip address 1.0.0.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
mpls lsr-id 1.1.1.1
#
mpls ldp
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 2.0.0.0 0.0.0.255
network 3.0.0.0 0.0.0.255
#
bgp 65000
router-id 1.1.1.1
peer 2.2.2.2 as-number 65000
peer 2.2.2.2 connect-interface loopback 0
#
address-family ipv4 unicast
peer 2.2.2.2 enable
#
· Router B
#
interface Ten-GigabitEthernet2/0/1
ip address 3.0.0.2 255.255.255.0
mpls enable
mpls ldp enable
#
interface Ten-GigabitEthernet2/0/2
ip address 192.168.1.1 255.255.255.0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
mpls lsr-id 3.3.3.3
#
mpls ldp
#
ospf 1
area 0.0.0.0
network 3.0.0.0 0.0.0.255
network 3.3.3.3 0.0.0.0
#
bgp 65001
router-id 3.3.3.3
peer 2.2.2.2 as-number 65000
peer 2.2.2.2 connect-interface loopback 0
peer 2.2.2.2 ebgp-max-hop 255
#
address-family ipv4 unicast
import-route direct
peer 2.2.2.2 enable
#