- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-旁路与异常流量检测系统联动部署BGP自动牵引配置举例
本章节下载 (746.72 KB)
H3C流量清洗系统一般旁挂于核心网络设备上,在不影响正常业务的同时,对核心下层网中出现的DDoS攻击流量进行过滤,实现对大客户网络业务的无感知保护。
H3C流量清洗系统由异常流量检测设备(AFD)、异常流量清洗设备(AFC)两部分组成。
异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量,实时进行攻击检测及异常流量分析。
异常流量清洗设备通过BGP发布路由的方式,对发生攻击的用户流量牵引过来,进行攻击报文的过滤,并把清洗后的“干净”流量回注给用户。对于发布路由方式,一种是通过手动方式静态发布BGP路由,另一种是与异常流量检测设备联动动态发布被攻击主机的明细路由。
异常流量检测设备、异常流量清洗设备均可以单独部署,均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、BGP等数通特性。
H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备的基本配置和业务相关配置,均采用WEB界面配置。交换机的基本配置则通过命令行进行配置。本配置以异常流量清洗系统旁路BGP三层源口回注方式部署时与异常流量检测系统进行联动实现对攻击流量牵引清洗为例。
· 配置核心交换机端口镜像,将受保护主机或网络流量镜像到AFD设备;
· 部署AFC和AFD,并启用AFC与AFD集群配置,作用为AFD通过集群通告牵引IP;
· AFC和核心设备建立BGP邻居,将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。
· AFC将核心设备用来引流到AFC的流量进行清洗,同时将清洗过的用户正常流量回注到下层网络,并进一步回注到正常的目的设备。
· AFC将清洗流量通过三层路由方式回注到下层网络时,有两种方式,一种是源口回注,一种是牵引回注。
· AFD继续监控被保护主机流量,在没有异常后一段时间,将主机流量牵引取消通告给AFC,AFC通过BGP通告核心设备取消保护主机。
不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
本章介绍AFC旁路部署时使用BGP路由协议进行流量牵引后,采用源口回注模式通过策略路由的方式进行流量转发。
AFC与AFD联动部署为客户需要实现在手动攻击时对保护主机流量进行自动牵引清洗,无需人员24小时值守。
· AFC
本配置适用于H3C SecPath AFC设备。
本文档在H3C i-Ware Software,Version 7.1, ESS 6401版本上举例。
· AFD
本配置适用于H3C SecPath AFD设备。
本文档在版本上举例。其它软件版本同样适用
为实现对防护主机 171.0.3.21的流量的自动牵引清洗,在核心交换设备上旁挂一台异常流量检测设备,并启用端口镜像或者开启netflow/sflow检测,将核心设备到下层网络的G1/0/17口流量镜像或检测流量发送到AFD通道口XGE1/0。
在核心交换设备处旁路部署一台异常流量清洗系统,核心交换机R2通过接口G1/0/18和AFC设备的接口GE1/0连接建立BGP邻居。
清洗后的流量AFC通过源口回注的方式到网络,通过在核心交换机R2的G1/0/18接口的入方向配置并应用策略路由实现清洗流量回注转发。
图3-1 AFC旁路部署三层回流模式配置组网图
当前组网环境中需AFC设备一台、AFD设备一台。
具体实现如下:
· 流量镜像:在核心交换机R2上配置端口镜像,将接口G1/0/17的双向流量镜像到Ten-G1/0/49口,交换机的Ten-G1/0/49口连接到AFD的XGE1/0口;
· 核心设备与AFC建立BGP邻居:AFC通过GE1/0接口和核心交换机R2建立BGP邻居;
· 主机路由发布:AFD检测到攻击后, 发送主机IP牵引消息给AFC,AFC通过BGP路由通告被保护主机IP,核心交换机R2收到AFC路由通告后,将主机牵引发送至AFC;
· 主机流量清洗: AFC通过清洗策略对主机流量中异常流量进行清洗;
· 流量重定向:核心交换机R2配置策略路由,并应用到在核心交换机R2与AFC连接的接口输入方向,实现清洗后的回注流量被转发到指定网络中。
表3-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1710 |
核心交换机R2与AFC建立BGP邻居; |
171.0.0.1/24 |
|
1711 |
· 核心交换机R2与下层网络连接的三层VLAN接口; · 下层交换机与核心交换机R2连接三层VLAN接口 |
171.0.1.1/24 171.0.1.2/24 |
|
1713 |
· 被保护主机所在的VLAN; · 被保护主机的网关地址 |
171.0.3.1/24 |
表3-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
GE1/0 |
核心交换机R2与AFC建立BGP邻居; |
171.0.0.2/24 |
|
GE0/0 |
AFC管理口 |
192.168.0.1/24 |
表3-3 AFD接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
GE1/0 |
· 接收下层设备发送的镜像流量; · 镜像模式,无需配置IP,如果配置,需要与网络地址无冲突 |
|
|
GE0/0 |
AFD管理口 |
192.168.0.2/24 |
要实现AFC旁路部署BGP三层源口回注模式下与AFD联动配置,可按照如下思路进行配置:
(1) 配置流量镜像
在核心交换机R2上启用端口镜像,将被保护主机或网络的与上层网络连接的端口作为镜像口,同时配置监控口,监控口接AFD的监控口;
(2) 建立BGP路由
在AFC和核心交换机R2上分别启用BGP进程,并互为邻居关系;
(3) 核心交换机R2流量转发策略配置
通过在核心交换机R2上建立策略路由实现被保护主机流量转发,并将策略路由应用到核心交换机R2与AFC连接的接口入方向;
(4) 主机路由牵引及流量清洗
AFC收到AFD主机IP牵引消息,向核心交换机R2发布受保护主机的路由下一跳到AFC,AFC根据防御策略对主机流量进行清洗,将清洗后的流量回注到下层网络中;
创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为核心交换机R2与【AFC】GE1/0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由
# 创建VLAN
[R2]vlan 1710 to 1711
# 配置VLAN IP
[R2]interface Vlan-interface1710
[R2-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[R2-Vlan-interface1710]quit
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
# 将对应端口加入到对于VLAN中,将G1/0/18加入VLAN 1710,将G1/0/17加入到VLAN 1711
[R2]interface GigabitEthernet1/0/17
[R2-GigabitEthernet1/0/17]port link-mode bridge
[R2-GigabitEthernet1/0/17]port access vlan 1711
[R2-GigabitEthernet1/0/17]quit
interface GigabitEthernet1/0/18
[R2-GigabitEthernet1/0/18]port link-mode bridge
[R2-GigabitEthernet1/0/18]port access vlan 1710
[R2-GigabitEthernet1/0/18]quit
# 配置BGP进程
[R2]#bgp 65535
// 配置BGP,AS号为65535
[R2-bgp]router-id 171.0.0.1
//配置路由器的Router ID
[R2-bgp]undo synchronization
[R2-bgp] address-family ipv4
[R2-bgp-ipv4]peer 171.0.0.2 enable
//与对端启用ipv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息,H3C设备默认是不能与对等体交换IPv4单播路由信息
[R2-bgp]peer 171.0.0.2 as-number 65534
//配置对端邻居,对端AS号为65534
[R2-bgp]peer 171.0.0.2 description afc2100
//配置对端描述,对端为afc2100
[R2-bgp]peer 171.0.0.2 preferred-value 1
//为从对等体接收的路由分配首选值,值越小越优先
[R2-bgp]peer 171.0.0.2 keep-all-routes
//保存所有来自对等体/对等体组的原始路由信息,即使这些路由没有通过已配置的入口策略
如果配置的BGP IPv6协议,需要进入BGP IPv6单播视图。
# 查看BGP对端(AFC也需要配置BGP才能看BGP建立状态)
[R2] display bgp peer
BGP local router ID : 171.0.0.1
Local AS number : 65535
Total number of peers : 1 Peers in established state : 1
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
171.0.0.2 65534 5 3 0 0 00:01:59 Established
# 配置回流流量转发策略,实现将AFC清洗后的正常流量转发到下层网络
# 配置ACL匹配牵引IP地址段
[R2]acl number 3003
[R2-acl-adv-3003]rule 1 permit ip destination 171.0.3.0 0.0.0.255
[R2-acl-adv-3003]quit
# 配置访问控制列表3003,匹配目的地址为171.0.3.0/24网段
# 创建策略路由
[R2]policy-based-route p_afc_out permit node 5
[R2]if-match acl 3003
[R2]apply ip-address next-hop 171.0.1.2
# 配置策略路由行为p_afc_out,下一条发送给171.0.1.2即上层网络与下层网络连接的直连路由IP地址,请根据你部署的实际地址进行配置
# 在三层接口应用策略路由
[R2]interface Vlan-interface1710
[R2-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[R2-Vlan-interface1710]ip policy-based-route p_afc_out
# 在应用策略路由的时候,如果是接口是route模式,直接在接口上应用策略路由,如果接口是bridge模式,请在接口所属的三层VLAN接口上配置策略路由,如上。
配置端口镜像,将核心交换R2的G1/0/17口双向流量镜像到Ten-G1/0/49,Ten-G1/0/49连接AFD的通道口
# 创建端口镜像组及镜像口和监控口
[R2]mirroring-group 2 local
[R2]mirroring-group 2 mirroring-port GigabitEthernet 1/0/17 both
[R2]mirroring-group 2 monitor-port Ten-GigabitEthernet 1/0/49
为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机R2与下层交换机直接配置OSPF路由进程,实现互通。
# 在核心交换机R2上启用OSPF进程与下层网络进行路由信息交换
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
# 为了保证核心交换机R2与下层交换机R3路由互通,在R2和R3均配置OSPF协议,area id均为0 ,也可以采用其它路由协议实现两个三层交换及与上层路由之间互通
创建VLAN 1711和VLAN 1713,其中VLAN 1711对应171.0.1.0/24网段,作用为核心交换机R2与下层网络直连路由,VLAN 1713对于171.0.3.0/24网段,为下层网络所在网段。
# 创建VLAN
[R3]vlan 1711
[R3-vlan1711]quit
[R3]vlan 1713
[R3-vlan1713]quit
# 配置VLAN IP
[R3]int Vlan-interface 1711
[R3-Vlan-interface1711]ip address 171.0.1.2 24
[R3-Vlan-interface1711]quit
[R3]int Vlan-interface 1713
[R3-Vlan-interface1711]ip address 171.0.3.1 24
[R3-Vlan-interface1711]quit
# 将接口加入到VLAN,将G1/0/13加入到VLAN 1713,将G1/0/17加入到VLAN 1711
[R3]interface GigabitEthernet1/0/13
//连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1713
[R3-GigabitEthernet1/0/13]quit
[R3]interface GigabitEthernet1/0/17
//连接上层三层交换机
[R3-GigabitEthernet1/0/17]port link-mode bridge
[R3-GigabitEthernet1/0/17]port access vlan 1711
[R3-GigabitEthernet1/0/17]quit
为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机R2与下层交换机直接配置OSPF路由进程,实现互通。
# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
//为了保证核心交换机R2与下层交换机R3路由互通,在R2和R3均配置OSPF协议,area id均为0 ,也可以采用其它路由协议实现两个三层交换及与上层路由之间互通
要实现AFC旁路BGP三层回注模式配置,可按照如下步骤进行配置:
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效,下文将不再赘述。
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin。
图3-2 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,修改GE1/0的IP、掩码、端口绑定等信息。
GE1/0的IP为171.0.0.2,端口类型为源口回注, IPv4上一跳为入方向互联交换机端口地址,(即核心交换机G1/0/18)IP为171.0.0.1。
图3-3 GE1/0配置
(3) 配置AFC的BGP路由
地址及端口类型配置完毕后,点击下方的【路由配置】菜单,选择【BGP路由配置】,勾选启动BGP并点【应用配置】,按如下步骤配置。
(4) 本地BGP配置:
进入【系统配置】--【设备管理】,点击设备127.0.0.1所在行中的【配置】操作字,进入【路由配置】--【BGP路由配置】进行下述操作:
勾选【启动BGP】
· 本地AS:65534 //AFC设备端AS号
· 本地端口:179 //默认179端口
点击【保存】,配置参见图3-4:
AFC设备本地BGP配置
图3-4 启动BGP
(5) 邻居BGP配置
点击【添加】按钮添加BGP信息
· 对端AS:65535 //核心交换机已经运行BGP时,填写核心交换机的AS号
· 对端端口:179 //默认179端口
· LocalPref/MED:100 //默认100
· 对端IP为GE1/0口的IPv4上一跳地址171.0.0.1。
点击【保存】,完成邻居地址添加。 配置参见图3-5:
图3-5 异常流量清洗系统邻居BGP配置
(6) 应用BGP配置:
点击【应用配置】,生效BGP的配置。
图3-6 应用BGP配置
点击【添加】按钮添加BGP信息,
AS号对端为65535,
对端端口默认179,
LocalPref/MED默认为100,
对端IP为GE1/0口的IPv4上一跳地址171.0.0.1。
(7) 检查AFC与R2的BGP邻居状态
登录R2交换机通过display BGP peer查看bgp建立状态。
[R2] display bgp peer
BGP local router ID : 171.0.0.1
Local AS number : 65535
Total number of peers : 1 Peers in established state : 1
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
171.0.0.2 65534 5 3 0 0 00:01:59 Established
(1) 登录AFD系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin。
图3-7 登录AFC系统页面
(2) AFD地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】中点击【配置】按钮,进入网卡设备,将GE0/0的配置为管理口,把IP、掩码、网关填写上。因AFC管理地址为192.168.0.1,现将AFD管理地址改为192.168.0.2,XGE1/0口设置为监控口。
图3-8 AFD地址及端口类型配置
(3) AFD添加监控IP范围
登录AFD管理页面,进入【系统配置】-【设备】-【设备管理】,选择”127.0.0.1”所在行的清洗设备,点击【配置】,进入【检测IP范围】设置页,点击【添加】按钮:
图3-9 检测地址范围添加
在弹出页面中,选择类型为IPv4, 添开始IP 171.0.3.1,结束IP 171.0.3.255,点击【确定】。
图3-10 添加检测IP范围
(4) 为AFD添加AFC牵引设备
进入【检测配置】-【牵引】-【牵引设备】中添加一台telnet设备,IP为清洗管理地址192.168.0.1,端口16020,名称:”AFC-引流”,可根据偏好自定义填写。
注:此时添加的牵引设备地址为AFC地址。
图3-11 牵引设备添加
图3-12 添加AFC牵引设备
进入【牵引设备操作列表】进行牵引操作配置,找到出厂预置牵引操作”127.0.0.1“,点击【复制】操作,进入编辑牵引操作页面中,在该页面中做如下配置配置牵引命令
图3-13 添加AFC-引流牵引操作
(5) AFD配置自动引流牵引规则
进入【检测配置】-【牵引】-【引流牵引规则】中添加一条规则,针对171.0.3.1-171.0.3.255地址范围内,单ip流量达到100M自动牵引至AFC清洗。
图3-14 AFD配置自动引流牵引规则
(1) 检测核心交换机路由表,确认环境
登录R2路由器,查看R2的BGP路由表
# 查看核心交换机R2路由表
[R2]display bgp routing-table
Total Number of Routes: 0
#当前没有地址被引流
(2) 自动引流测试
在客机上对受保护主机(171.0.3.21)发送DNS Flood攻击,攻击流量要大于100M(大于AFD设置的自动引流规则中的流量阀值)。
#查看核心交换机R2上BGP路由
[R2]display bgp routing-table
Total Number of Routes: 2
BGP Local router ID is 171.0.0.1
Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
* > 171.0.3.21/32 171.0.0.2 0 1 65534i
* > 171.0.4.2 0 1 65534i
已收到AFC设备发布的171.0.3.21 主机路由,下一跳为171.0.0.2(AFC牵引口地址),自动引流成功。
(3) 业务连通性验证
在客户端184.0.0.76 ping受保护服务器171.0.3.21,可以ping 通; 且在在AFC【防护配置】-【全局状态】-【服务器列表】可以看到171.0.3.21地址,说明AFD与AFC联动清洗正常。
图3-15 被保护对象流量经过AFC
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
