登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath AFC2000-G2系列异常流量清洗系统 典型配置(E6401)-5W105

06-牵引管理典型配置举例

本章节下载  (552.62 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/YCLLQX/AFC2000-G2/Configure/Typical_Configuration_Example/AFC2000-G2_CE(E6401)/202303/1812543_30005_0.htm

06-牵引管理典型配置举例

  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 配置步骤

3.3.1 添加牵引设备

3.3.2 配置牵引脚本

3.3.3 配置黑洞牵引规则及触发参数

3.4 验证配置

3.4.1 验证全局总流量的牵引

3.4.2 配置单IP黑洞牵引规则

3.4.3 配置IP范围黑洞牵引规则

 

1 简介

H3C流量清洗系统包含流量牵引管理模块,该模块的主要作用是当流量清洗系统中的防护主机受到异常流量攻击时,该模块会根据牵引配置,对受攻击的主机进行智能检测,匹配牵引条件的,执行牵引脚本中相应的动作,一方面保障用户网络的稳定性,另一方面保护流量清洗系统自身的安全性。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解H3C SecPath AFC系列产品特性,且本文举例以H3C交换机命令为例。

3 配置举例

3.1  组网需求

本次配置以串联组网为例,详细说明可见AFC串联部署模式配置举例。

攻击机与客户机通过R1接入网络,访问防护主机200.0.0.100/24-200.0.0.109/24,攻击流量与客户流量都会经过串联部署的AFC设备。

图3-1 AFC串联部署模式配置组网图

 

3.2  配置思路

在牵引配置中,当全局总流量大于设置值,会牵引部分主机的流量,其中每个主机的流量需要大于设置的触发流量。配置牵引脚本,在R1上添加关于被牵引主机的静态路由,将流量牵引到R1的黑洞路由。

3.3  配置步骤

3.3.1  添加牵引设备

【防护配置】-【牵引配置】-【牵引设备】点击添加,填写设备名称自定义,R1管理地址,设备端口。牵引设备支持telnet、ssh、webservice方式。

图3-2 添加牵引设备

 

3.3.2  配置牵引脚本

【防护配置】-【牵引配置】-【牵引设备操作列表】点击添加,按下图填写。

图3-3 配置牵引脚本

 

举例:

如需将流量牵引到R1上,R1使用的是H3C路由器,IP地址为184.0.0.1/24,用户名admin,密码admin,将流量牵引到R1的黑洞路由,牵引脚本配置如下:

[-TELNET 184.0.0.1-]

admin

admin

<H3C> system

[H3C] ip route-static #IP# 32 null0

[H3C] quit

<H3C> save

<H3C> quit

 

3.3.3  配置黑洞牵引规则及触发参数

进入【防护配置】-【牵引配置】-【黑洞牵引规则】点击添加,按下图填写。

图3-4 黑洞牵引规则

 

上图定义了一条全局策略,全局策略监控的是经过当前集群设备所有服务器的流量总和。当总流量达到所设置阈值时,会把流量最大的那个服务器IP在上层封掉。直到流量小于所设置的值。各内容如下:

·     名 称:定义策略名称;

·     触发策略阀值持续时间:触发流量阀值或包数阀值的时间,达到此值时就会执行左下角关联的牵引操作。通常这里保持0即可,表示立刻执行牵引操作;

·     牵引持续时间:服务器被牵引的持续时间;

·     流量阀值:管理员所预置流量阈值,这里只用根据流量大小判断;

·     包量阀值:管理员所预置包数阈值;

·     自动反牵引模式:选择模式一,在服务器牵引时间结束后,会立刻反牵引;选择模式二,管理员可以再设置两个参数:流量阈值或者包数阈值。那么在牵引时间结束时,会再次进行该参数的判断,只有小于此阈值,才会执行反牵引。

·     牵引流量总和:勾选激活选项框,会自动选中全局选项。在本地选项框中可以设置牵引下限,表示在触发了策略阈值时,会判断流量最大的IP的流量是否大于此值。只有大于此值才会执行牵引操作。

·     牵引设备操作:选择触发策略后执行的牵引操作,通常是到上层交换机封IP。

 

说明

全局总流量 :全局总流量填写相应值后,检测全局总流量是否超过设定值,超过设定值按照牵引设置的规则进行牵引。此参数的设置是为了防御扫段攻击,即单个主机流量小,全局总流量大。

注:配合全局总流量使用,当第一次主机牵引完成后,检测系统当前总流量是否超过“全局总流量”阈值,超过则进行第二次牵引,未超过则不会再次牵引。

3.4  验证配置

3.4.1  验证全局总流量的牵引

(1)     未牵引前,攻击机向防护主机发送UDP flood攻击,全局流量1000M,单个主机流量100M:

图3-5 未牵引时主机状态

 

(2)     配置黑洞牵引规则,配置如下:

图3-6 全局总流量牵引配置

 

此配置意义为,当全局总流量超过500M,流量自动从大到小排列,牵引流量最大的地址到R1的黑洞路由,直到总流量小于500M,或者每个主机单机流量小于50M则不进行黑洞牵引。

(3)     牵引成功,牵引列表中会显示被牵引的主机:

图3-7 黑洞牵引状态

 

说明

当前流量依然大于所设置的全局流量,因此依次被牵引,共牵引了10个主机。

 

(4)     牵引后在R1上能看到null0的静态路由:

图3-8 黑洞路由

 

(5)     若牵引不成功,可在牵引列表的命令日志中查看日志:

图3-9 命令日志

 

以下图提示为AFC设备到黑洞设备连接超时或者命令错误

图3-10 AFC设备到黑洞设备连接超时或者命令错误

 

3.4.2  配置单IP黑洞牵引规则

其余与3.4.1相同,配置黑洞牵引规则为下:

图3-11 单IP触发流量牵引配置

 

3.4.3  配置IP范围黑洞牵引规则

其余与3.4.1相同,配置黑洞牵引规则为下:

图3-12 单IP触发流量牵引配置

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们