目  录

1 特性简介

2 特性使用

2.1 配置指南

2.1.1 流量清洗业务配置指南

2.2 注意事项

3 AFC旁路BGP二层回注典型配置举例

3.1 简介

3.2 使用限制

3.3 BGP二层回注模式配置举例

3.3.1 适用产品和版本

3.3.2 组网需求

3.3.3 配置思路

3.3.4 配置步骤

3.3.5 验证配置

1 特性简介

H3C流量清洗系统一般旁挂于核心网络设备上，在不影响正常业务的同时，对下层网中出现的DDoS攻击流量进行过滤，实现对下层网和大客户网络业务的保护。

异常流量清洗设备通过BGP发布路由的方式，将发生攻击的用户流量牵引过来，进行攻击报文的过滤，并把清洗后的“干净”流量回注给用户。对于路由发布方式，一种是通过手动方式静态发布bgp路由，另一种是与异常流量检测设备联动动态发布被攻击主机的明细路由。

异常流量检测设备、异常流量清洗设备均可以单独部署，均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。

2 特性使用

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VLAN、BGP等数通特性。

2.1  配置指南

H3C异常流量清洗AFC设备的基本配置和业务相关配置，采用WEB界面配置。交换机的基本配置则通过命令行进行配置。本配置以异常流量清洗设备旁路部署且采用BGP引流方式进行流量清洗为例。

2.1.1  流量清洗业务配置指南

·     AFC和核心设备建立BGP邻居，将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。

·     AFC将核心设备用来引流到AFC的流量进行清洗，同时将清洗过的用户正常流量回注到下层网络，并进一步回注到正常的目的设备。

·     AFC将清洗流量通过VLAN标记的方式回注到下层网络。

2.2  注意事项

·     不同厂商不同型号的交换机或路由器，配置命令不同，请按照设备操作手册进行配置操作。

3 AFC旁路BGP二层回注典型配置举例

3.1  简介

本章介绍AFC旁路部署时使用BGP路由协议进行流量牵引后，采用回注模式通过二层VLAN标记的方式进行流量转发。

3.2  使用限制

二层回注模式应用的场景为与AFC进行路由牵引的核心设备（三层交换机）下层连接的网络设备为二层可管理交换机。

3.3  BGP二层回注模式配置举例

3.3.1  适用产品和版本

本配置适用于H3C SecPath AFC旁路部署。

软件版本： H3C i-Ware Software,Version 7.1, ESS 6401。

3.3.2  组网需求

为实现对攻击被保护IP 171.0.3.21的流量的清洗，在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机R2通过接口G1/0/18和AFC设备的接口GE1/0 连接建立BGP邻居，进行引流清洗，AFC设备的接口GE1/1和下层交换机R3通过接口G1/0/18进行流量回注。组网如图3-1所示。

图3-1 AFC旁路部署二层回注模式配置组网图

具体实现如下：

·     主机路由发布：AFC通过GE1/0接口和核心交换机R2建立BGP邻居，AFC将被保护IP的32位路由发布到核心交换机R2。

·     主机流量清洗：核心交换机R2将被保护主机流量牵引到AFC，AFC通过清洗策略对主机流量中异常流量进行清洗。

·     流量重定向：AFC通过GE1/1接口和下层交换机R3进行VLAN通信，通过互联口MAC地址回注到下层交换机R3端口，下层交换机R3在根据VLAN进行转发。

表3-1  VLAN分配列表

表3-2 AFC接口IP分配列表

3.3.3  配置思路

要实现AFC旁路部署BGP二层注入模式配置，可按照如下思路进行配置：

(1)     核心交换机R2配置基础网络

配置核心交换机R2的G1/0/17接口与下层交换机R3 G1/0/17接口互联互通；

(2)     核心交换机R2配置BGP邻居

在AFC和核心交换机R2上分别启用BGP进程，并互为邻居关系；并保证AFC通告核心交换机R2被保护主机路由优先级高于核心交换机R2之前存在的路由优先级；

(3)     下层交换机R3配置基础网络

配置下层交换机R3的G1/0/17接口与核心交换机R2 G1/0/17接口互联互通；

(4)     AFC设备业务口配置

配置AFC设备与核心交换机R2互联网口IP地址与网口类型，使其可与R2设备互通，设置其业务网口类型为牵引和回注模式（引流与回注不为同一物理端口）。

(5)     AFC设备BGP路由配置

AFC设备侧配置与核心设备BGP邻接关系，完成双方BGP互为邻居设置。

(6)     AFC主机路由牵引及流量清洗

发布受保护主机的路由下一跳到AFC，核心设备依据BGP等价路由以负载分担方式将流量牵引到AFC集群，AFC根据防御策略对主机流量进行清洗，将清洗后的流量回注到下层网络中；

3.3.4  配置步骤

1. 核心交换机R2配置基础网络

创建VLAN 1710和1711，其中VLAN 1710对应171.0.0.0/24网段，作用为R2三层交换机端口聚合组8与AFC通道输入口聚合组直连通信进行路由牵引，VLAN 1711对应171.0.1.0/24网段，作用为与下层进行路由。

# 创建VLAN

[R2]vlan 1710

[R2-vlan1710]quit

[R2]vlan 1711

[R2-vlan1711]quit

# 配置VLAN IP

[R2]interface Vlan-interface1710

[R2-Vlan-interface1710]IP address 171.0.0.1 255.255.255.0

[R2-Vlan-interface1710]quit

[R2]interface Vlan-interface1711

[R2-Vlan-interface1711]IP address 171.0.1.1 255.255.255.0

# 配置G1/0/17接口

[R2]int GigabitEthernet 1/0/17

[R2-GigabitEthernet1/0/17] port link-mode bridge

[R2-GigabitEthernet1/0/17] port access vlan 1711

#查看G1/0/17口口配置

[R2-GigabitEthernet1/0/17] dis this

interface GigabitEthernet1/0/17

 port link-mode bridge

 port access vlan 1711

# 配置G1/0/18接口

[R2]int GigabitEthernet 1/0/18

[R2-GigabitEthernet1/0/18] port link-mode bridge

[R2-GigabitEthernet1/0/18] port access vlan 1710

#查看G1/0/18接口配置

[R2-GigabitEthernet1/0/18] dis this

interface GigabitEthernet1/0/18

 port link-mode bridge

 port access vlan 1710

2. 核心交换机R2配置BGP邻居

# 配置BGP进程

[R2]#bgp 65535

#  配置BGP，AS号为65535

[R2-bgp]router-id 171.0.0.1

# 配置路由器的Router ID

[R2-bgp]undo synchronization

[R2-bgp] address-family IPv4

[R2-bgp-IPv4]peer 171.0.0.2 enable

# 与对端启用IPv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息

[R2-bgp]peer 171.0.0.2 as-number 65534

# 配置对端邻居，对端AS号为65534

 [R2-bgp]peer 171.0.0.2 descrIPtion afc2100_01

# 配置对端描述，对端为afc2100

[R2-bgp]peer 171.0.0.2 preferred-value 1

# 为从对等体接收的路由分配首选值，值越小越优先

[R2-bgp]peer 171.0.0.2 keep-all-routes

# 保存所有来自对等体/对等体组的原始路由信息，即使这些路由没有通过已配置的入口策略

3. 下层交换机R3配置基础网络

创建VLAN 1711和VLAN 1713，其中VLAN 1711对应171.0.1.0/24网段，作用为核心交换机R2与下层网络直连路由，VLAN 1713对于171.0.3.0/24网段，作用服务器网关， AFC通道1出口GE1/1连接R3二层交换机G1/0/18口进行二层流量回注。

# 创建VLAN

[R3]vlan 1711

[R3-vlan1711]quit

[R3]vlan 1713

[R3-vlan1713]quit

# 配置VLAN IP

[R3]int Vlan-interface 1711

[R3-Vlan-interface1711]IP address 171.0.1.2 24

[R3-Vlan-interface1711]quit

[R3]int Vlan-interface 1713

[R3-Vlan-interface1713]IP address 171.0.3.1 24

[R3-Vlan-interface1713]quit

# 配置G1/0/17接口

[R3]int GigabitEthernet 1/0/17

[R3-GigabitEthernet1/0/17] port link-mode bridge

[R3-GigabitEthernet1/0/17] port access vlan 1711

#查看G1/0/17口口配置

[R3-GigabitEthernet1/0/17] dis this

interface GigabitEthernet1/0/17

 port link-mode bridge

 port access vlan 1711

# 配置G1/0/18接口

[R3]int GigabitEthernet 1/0/18

[R3-GigabitEthernet1/0/18] port link-type trunk

[R3-GigabitEthernet1/0/18] port trunk allow-pass vlan 1713

#查看G1/0/18接口配置

[R3-GigabitEthernet1/0/18] dis this

interface GigabitEthernet1/0/18

port link-type trunk

port trunk allow-pass vlan 1713

# 配置G1/0/13接口

[R3]int GigabitEthernet 1/0/13

[R3-GigabitEthernet1/0/13] port link-mode bridge

[R3-GigabitEthernet1/0/13] port access vlan 1713

#查看G1/0/13接口配置

[R3-GigabitEthernet1/0/13] dis this

interface GigabitEthernet1/0/13

 port link-mode bridge

 port access vlan 1713

4. AFC设备业务口配置

要实现AFC旁路单机多通道部署BGP二层回注模式配置，可按照如下步骤进行配置：

注意！配置步骤中有【应用配置】按钮的，需要点击此按钮来使配置生效，下文将不再赘述。

Ø     登录AFC系统页面

通过浏览器访问登录：https://192.168.0.1:16010/，账号admin，密码admin。

图3-2 登录AFC系统页面

Ø     AFC地址及端口类型配置

进入【系统配置】-【设备】-【设备管理】，点击设备右侧【配置】在左侧导航栏选择【网口配置】，点击【修改】按钮，修改GE1/0和GE1/1的IP、掩码、网关、端口绑定等信息.。

GE1/0的IP为171.0.0.2，端口类型为牵引口，IPv4上一跳为入方向互联交换机端口地址，即172.0.0.1。入方向核心交换机R2端口G1/0/18IP为171.0.0.1。

图3-2 GE1/0配置

GE1/1无需配置IP，端口类型为回注口&主链路，数据口为GE1/0。

图3-3 GE1/1配置

5. AFC设备BGP路由配置

地址及端口类型配置完毕后，点击下方的【路由配置】菜单，选择【BGP路由配置】，勾选启动BGP并点【应用配置】按如下步骤配置。

Ø     本地BGP配置：

进入【系统配置】--【设备管理】，点击设备127.0.0.1所在行中的【配置】操作字，进入【路由配置】--【BGP路由配置】进行下述操作：

勾选【启动BGP】

本地AS：65534     //AFC设备端AS号

本地端口：179      //默认179端口

点击【保存】，配置参见图3-4：

AFC设备本地BGP配置

图3-4 启动BGP

Ø     邻居BGP配置

点击【添加】按钮添加BGP信息

对端AS：65535       //核心交换机已经运行BGP时，填写核心交换机的AS号

对端端口：179        //默认179端口

LocalPref/MED：100   //默认100

对端IP为GE1/0口的IPv4上一跳地址171.0.0.1。

点击【保存】，完成邻居地址添加。 配置参见图3-5：

图3-5 异常流量清洗系统邻居BGP配置

Ø     应用BGP配置：

点击保存，再点击【应用配置】，生效BGP的配置。

6. AFC配置回注规则

进入【系统配置】-【设备管理】-【配置】-【网口配置】-【回注规则配置】配置被防护IP、掩码、回注“VLANID”，回注参数“1713”为下层防护主机所在VLAN的VLAN ID，勾选【2层MAC发现】输入探测IP为171.0.3.2，探测IP必须在本规则IP范围内，探测试IP不能是网关和服务器IP，选择GE1/1回注口。

图3-6 配置AFC防护IP及回注参数

7. AFC设备路由牵引及流量清洗

登录AFC设备，进入【牵引配置】-【引流牵引状态】,点击【手动牵引】，对用户网内测试地址进行引流操作，本例中牵引地址为171.0.3.21, 选择牵引操作“引流牵引”，点击【确定】完成牵引操作。参见图4-7

图3-7 牵引用户业务地址171.0.3.21

流量引入AFC设备后，针对DDoS攻击AFC设备可自动使用默认策略进行清洗防御。

3.3.5  验证配置

(1)     验证核心交换机R2与AFC牵引口是否互通

通过ping来测试核心交换机R2是否与AFC路由相通

[R2]ping -a 171.0.0.1 171.0.0.2

  PING 171.0.0.2: 56  data bytes, press CTRL_C to break

    Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms

  --- 171.0.0.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trIP min/avg/max = 3/3/3 ms

(2)     验证核心交换机R2与AFC路由牵引是否成功。牵引成功则有此主机的32位路由。

查看核心交换机R2的路由表

[R2]display bgp routing-table

 Total Number of Routes: 1

 BGP Local router ID is 171.0.0.1

 Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,

               h - history,  i - internal, s - suppressed, S - Stale

               Origin : i - IGP, e - EGP, ? - incomplete

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >  171.0.3.21/32      171.0.0.2       0                     1       65534i

(3)     验证客户端与服务端是否互通

通过ping测试客户端是否与服务路由相通

[root@AFCTest_Client ~]# ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:0C:29:9D:1B:7A 

          inet addr:184.0.0.75  Bcast:184.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:257120 errors:0 dropped:0 overruns:0 frame:0

          TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:28882056 (27.5 MiB)  TX bytes:3460908912 (3.2 GiB)

[root@AFCTest_Client ~]# ping -c 5 171.0.3.21

PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.

64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms

64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms

64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms

64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms

64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms

--- 171.0.1.21 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms