目  录

1 特性简介

2 特性使用

2.1 配置指南

2.1.1 流量清洗业务配置指南

2.2 注意事项

3 AFC旁路GRE三层回注典型配置举例

3.1 简介

3.2 使用限制

3.3 GRE三层回注模式配置举例

3.3.1 适用产品和版本

3.3.2 组网需求

3.3.3 配置思路

3.3.4 配置步骤

3.3.5 验证配置

1 特性简介

H3C流量清洗系统一般旁挂于核心网络设备上，在不影响正常业务的同时，对下层网中出现的DDoS攻击流量进行过滤，实现对下层网和大客户网络业务的保护。

H3C流量清洗系统由异常流量检测设备（AFD）、异常流量清洗设备（AFC）两部分组成。

异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量，实时进行攻击检测及异常流量分析。

异常流量清洗设备通过bgp发布路由的方式，将发生攻击的用户流量牵引过来，进行攻击报文的过滤，并把清洗后的“干净”流量回注给用户。对于路由发布方式，一种是通过手动方式静态发布bgp路由，另一种是与异常流量检测设备联动动态发布被攻击主机的明细路由。

异常流量检测设备、异常流量清洗设备均可以单独部署，均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。

2 特性使用

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VLAN、BGP、GRE Tunnel、ACL等数通特性。

2.1  配置指南

H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备的基本配置和业务相关配置，均采用WEB界面配置。交换机的基本配置则通过命令行进行配置。本配置以异常流量清洗设备旁路部署且采用BGP引流方式进行流量检测为例。

2.1.1  流量清洗业务配置指南

·     AFC和核心设备建立BGP邻居，将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。

·     AFC将核心设备用来引流到AFC的流量进行清洗，同时将清洗过的用户正常流量回注到下层网络，并进一步回注到正常的目的设备。

·     AFC将清洗后流量通过GRE Tunnel 封装的方式回注到下层网络时，有两种模式，一种是源口回注，一种是牵引回注。

2.2  注意事项

不同厂商不同型号的交换机或路由器，配置命令不同，请按照设备操作手册进行配置操作。

3 AFC旁路GRE三层回注典型配置举例

3.1  简介

本章介绍AFC旁路部署时使用BGP路由协议进行流量牵引后，采用三层GRE Tunnel回注方式进行流量转发。

3.2  使用限制

三层回注模式应用的场景为与AFC进行路由牵引的核心设备下层连接的网络设备为三层交换机或路由器。

3.3  GRE三层回注模式配置举例

3.3.1  适用产品和版本

软件版本：H3C i-Ware Software,Version 7.1, ESS 6401,限于IPv4 业务地址回注。

3.3.2  组网需求

为实现对攻击被保护IP 171.0.3.21的流量的清洗，在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机R2通过接口G1/0/18和AFC设备的接口GE1/0连接建立BGP邻居，进行引流清洗。在R3与AFC设备间上配置GreTunnel，并在AF设备上配置GRE回注策略，实现清洗流量回注转发。

组网如下图所示。

图3-1 AFC旁路部署三层回注模式配置组网图

具体实现如下：

·     主机路由发布：AFC通过GE1/0接口和核心交换机R2建立BGP邻居，AFC将被保护IP的32位路由发布到核心交换机R2。

·     主机流量清洗：核心交换机R2将被保护主机流量牵引到AFC，AFC通过清洗策略对主机流量中异常流量进行清洗。

·     流量回注：在下层交换机R3与AFC设备间建立GRE Tunnel ，在AFC上配置回注策略，实现 清洗后流量转发；

表3-1 VLAN分配列表

表3-2 AFC接口IP分配列表

3.3.3  配置思路

要实现AFC旁路部署BGP三层回流模式配置，可按照如下思路进行配置：

(1)     核心交换机R2配置基础网络

配置核心交换机R2的G1/0/17接口与下层交换机R3 G1/0/17接口互联互通；

(2)     核心交换机R2配置BGP邻居

在AFC和核心交换机R2上分别启用BGP进程，并互为邻居关系；

(3)     下层交换机R3配置基础网络

配置下层交换机R3的G1/0/17接口与核心交换机R2 G1/0/17接口互联互通；

(4)     下层交换机上配置GRE Tunnel

新建Tunnel 0  (如已经存在则顺延)：

Tunnel 协议GRE

Tunnel IP  192.168.255.100/24  //任意在现网中未使用地地址即可,可以为私有地址

Source IP  171.0.1.2                   //  G1/0/17接口地址

Destination IP  171.0.0.10           //任意在现网中未使用地地址即可，可以为私有地址）

配置到达Tunnel Destination地址171.0.0.10的静态路由,下一跳地址为171.0.1.1(G1/0/17 对端互联地址)

(5)     AFC设备业务口配置

配置AFC设备与核心交换机R2互联网口IP地址与网口类型，使其可与R2设备互通，设置其业务网口类型为源口回注模式（引流与回注为同一物理端口）。

(6)     AFC设备BGP路由配置

AFC设备侧配置与核心设备BGP邻接关系，完成双方BGP互为邻居设置。

(7)     AFC设备配置GRE Tunnel

Tunnel 名称：Tunnel0   // 可以根据偏好自定义

Gre tunnel IP: 192.168.255.101   //与R3 tunnel0 IP同一网段即可

本地IP： 171.0.0.10                    //R3 Tunnel0 destination 地址

远端IP：171.0.1.2                       //R3 Tunnel0 source 地址

(8)     AFC设备配置GRE回注规则

AFC设备上添加回注规则 ，指定服务器地址段 171.0.3.0/24 关联Gre Tunnel0 回注；

(9)     AFC设备路由牵引及流量清洗

AFC设备对用户业务地址进行引流操作，根据防御策略对用户流量进行清洗，将清洗后流量回送到核心设备。

3.3.4  配置步骤

1. 核心交换机R2配置基础网络

创建VLAN 1710和1711，其中VLAN 1710对应171.0.0.0/24网段，作用为R2三层交换机端口与AFC GE1/0直连通信进行路由牵引回注，VLAN 1711对应171.0.1.0/24网段，作用为与下层进行路由。

# 创建VLAN

[R2]vlan 1710

[R2-vlan1710]quit

[R2]vlan 1711

[R2-vlan1711]quit

# 配置VLAN IP

[R2]interface Vlan-interface1710

[R2-Vlan-interface1710]IP address 171.0.0.1 255.255.255.0

[R2-Vlan-interface1710]quit

[R2]interface Vlan-interface1711

[R2-Vlan-interface1711]IP address 171.0.1.1 255.255.255.0

[R2-Vlan-interface1710]quit

# 配置G1/0/17接口

[R2]int GigabitEthernet 1/0/17

[R2-GigabitEthernet1/0/17] port link-mode bridge

[R2-GigabitEthernet1/0/17] port access vlan 1711

#查看G1/0/17口口配置

[R2-GigabitEthernet1/0/17] dis this

interface GigabitEthernet1/0/17

 port link-mode bridge

 port access vlan 1711

# 配置G1/0/18接口

[R2]int GigabitEthernet 1/0/18

[R2-GigabitEthernet1/0/18] port link-mode bridge

[R2-GigabitEthernet1/0/18] port access vlan 1710

#查看G1/0/18接口配置

[R2-GigabitEthernet1/0/18] dis this

interface GigabitEthernet1/0/18

 port link-mode bridge

 port access vlan 1710

2. 核心交换机R2配置BGP邻居

 #  配置BGP，AS号为65535

[R2]bgp 65535

# 配置路由器的Router ID

[R2-bgp]router-id 171.0.0.1

[R2-bgp]undo synchronization

# 与对端启用IPv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息

[R2-bgp] address-family IPv4

[R2-bgp-IPv4]peer 171.0.0.2 enable

# 配置对端邻居，对端AS号为65534

[R2-bgp]peer 171.0.0.2 as-number 65534

# 配置对端描述，对端为afc

[R2-bgp]peer 171.0.0.2 descrIPtion afc

# 为从对等体接收的路由分配首选值，值越小越优先

[R2-bgp]peer 171.0.0.2 preferred-value 1

[R2-bgp]peer 171.0.0.2 keep-all-routes

# 保存所有来自对等体/对等体组的原始路由信息，即使这些路由没有通过已配置的入口策略

3. 下层交换机R3配置基础网络

创建VLAN 1711和VLAN 1713，其中VLAN 1711对应171.0.1.0/24网段，作用为下层交换机R3与核心交换机R2网络直连路由， VLAN 1713对于171.0.3.0/24网段，为下层网络所在网段。

# 创建VLAN

[R3]vlan 1711

[R3-vlan1711]quit

[R3]vlan 1713

[R3-vlan1713]quit

# 配置VLAN IP

[R3]int Vlan-interface 1711

[R3-Vlan-interface1711]IP address 171.0.1.2 24

[R3-Vlan-interface1711]quit

[R3]int Vlan-interface 1713

[R3-Vlan-interface1713]IP address 171.0.3.1 24

[R3-Vlan-interface1713]quit

# 配置G1/0/17接口

[R2]int GigabitEthernet 1/0/17

[R2-GigabitEthernet1/0/17] port link-mode bridge

[R2-GigabitEthernet1/0/17] port access vlan 1711

#查看G1/0/17口口配置

[R2-GigabitEthernet1/0/17] dis this

interface GigabitEthernet1/0/17

 port link-mode bridge

 port access vlan 1711

# 配置G1/0/13接口

[R2]int GigabitEthernet 1/0/13

[R2-GigabitEthernet1/0/13] port link-mode bridge

[R2-GigabitEthernet1/0/13] port access vlan 1713

#查看G1/0/13接口配置

[R2-GigabitEthernet1/0/13] dis this

interface GigabitEthernet1/0/13

 port link-mode bridge

 port access vlan 1713

4. 下层交换机配置Gre Tunnel

#新建Tunnel 0  (如已经存在Tunnel0 则顺延)

[R3] interface Tunnel 0

# 配置Tunnel 0 封装协议为  Gre

[R3] interface Tunnel 0

[R3-Tunnel0] tunnel-protocol gre

#配置 Tunnel IP  192.168.255.100/24 (任意在现网中未使用地地址即可,可以为私有地址)

[R3-Tunnel0] ip address 192.168.255.100 24

#配置 Tunnel Source IP  为171.0.1.2 （G1/0/17接口地址）

[R3-Tunnel0] ]source  171.0.1.2

#配置 Tunnel Destination IP  为171.0.0.10 (任意在现网中未使用地地址即可,可以为私有地址)

[R3-Tunnel0] destination  171.0.0.10

#配置到达Tunnel Destination IP 171.0.0.10 的静态路由，下一跳设置为171.0.1.1(G1/0/17 对端互联地址)

[R3-Tunnel0]quit

[R3]ip route-static 171.0.0.10 32  171.0.1.1

#查看Tunnel 0状态

[R3] display interface tunnel0

Tunnel0 current state : UP

Line protocol current state : UP

Last line protocol up time : 2022-06-02 02:59:29

Description:

Route Port,The Maximum Transmit Unit is 1500

Internet Address is 192.168.255.100/24

Encapsulation is TUNNEL, loopback not set

Tunnel source 171.0.1.2 (Vlanif1711), destination 171.0.0.10

Tunnel protocol/transport GRE/IP, key disabled

keepalive disabled

Checksumming of packets disabled

Current system time: 2022-06-02 02:59:39

    Input bandwidth utilization  :    0%

    Output bandwidth utilization :    0%

5. AFC设备业务口配置

要实现AFC旁路单机部署BGP三层回注模式配置，可按照如下步骤进行配置：

注意！配置步骤中有【应用配置】按钮的，需要点击此按钮来使配置生效，下文将不再赘述。

(1)     登录AFC系统页面

通过浏览器访问登录：https://192.168.0.1:16010/，账号admin，密码admin。

图3-2 登录AFC系统页面

(2)     AFC地址及端口类型配置

进入【系统配置】-【设备】-【设备管理】，点击设备右侧【配置】在左侧导航栏选择【网口配置】，点击【修改】按钮，修改GE1/0的IP、掩码、端口绑定等信息。(初始上架需要更新配置获取当前设备网卡配置)。

GE1/0的IP为171.0.0.2，端口类型为源口回注， IPv4上一跳为入方向互联交换机端口地址，（即核心交换机G1/0/18）IP为171.0.0.1。

图3-3 GE1/0配置

6. AFC设备BGP路由配置

地址及端口类型配置完毕后，点击下方的【路由配置】菜单，选择【BGP路由配置】，勾选启动BGP并点【应用配置】，按如下步骤配置。

(1)     本地BGP配置：

进入【系统配置】--【设备管理】，点击设备127.0.0.1所在行中的【配置】操作字，进入【路由配置】--【BGP路由配置】进行下述操作：

勾选【启动BGP】

·     本地AS：65534     //AFC设备端AS号

·     本地端口：179      //默认179端口

点击【保存】，

AFC设备本地BGP配置

图3-4 启动BGP

(2)     邻居BGP配置

点击【添加】按钮添加BGP信息

·     对端AS：65535       //核心交换机已经运行BGP时，填写核心交换机的AS号

·     对端端口：179        //默认179端口

·     LocalPref/MED：100   //默认100

·     对端IP为GE1/0口的IPv4上一跳地址171.0.0.1。

点击【保存】，完成邻居地址添加。

图3-5 异常流量清洗系统邻居BGP配置

(3)     应用BGP配置：

点击【应用配置】，生效BGP的配置。

7. AFC设备配置GRE Tunnel

进入【设备配置】-【Gre Tunnel配置】，点击【添加】创建一条Gre Tunnel：

·     Tunnel 名称：Tunnel0   // 可以根据偏好自定义

·     Gre tunnel IP: 192.168.255.101   //与R3 tunnel0 IP同一网段即可

·     本地IP： 171.0.0.10                    //R3 Tunnel0 destination 地址

·     远端IP：171.0.1.2                       //R3 Tunnel0 source 地址

图3-6 AFC设备添加Gre tunnel

点击【应用配置】保存并生效当前配置；

8. AFC设备配置GRE回注规则

(1)     添加GRE回注规则

进入【设备配置】-【回注规则配置】，点击【添加】创建一条回规则：

·     规则类别：                    选择IPv4

·     被保护网络：                171.0.3.0

·     子网掩码：                    255.255.255.0

·     TOS:                             0                                      //默认值，不做修改

·     8021P优先级：            0                                    //默认值，不做修改

·     Vlan ID：                      0                                    //默认值，不做修改

·     Gre Tunnel：                选择 Tunnel0

·     标签分发：                    手动                                //默认值，不做修改

·     mpls:                                    0                                     //默认值，不做修改

·     VPN标签：                   0                                     //默认值，不做修改

·     负载均衡：                    源目地IP负载                 //默认值，不做修改

·     2层MAC发现：           不勾选                             //默认值，不做修改

·     选择回注口：                勾选 GE1/0

图3-7 创建Gre回注规则

点击【保存】按钮，保存当前回注规则设置；

(2)     应用回注规则配置

返回【回注规则配置】页面，点击【应用配置】生效上步中创建的回注规则；

图3-8 应用回注规则

9. AFC设备路由牵引及流量清洗

登录AFC设备，进入【牵引配置】-【引流牵引状态】,点击【手动牵引】，对用户网内测试地址进行引流操作，本例中牵引地址为171.0.3.21, 选择牵引操作”引流牵引“，点击【确定】完成牵引操作。

图3-9 牵引用户业务地址171.0.3.21

流量引入AFC设备后，针对DDoS攻击AFC设备可自动使用默认策略进行清洗防御。

3.3.5  验证配置

(1)     验证核心交换机R2与AFC设备清洗业务口是否互通

通过ping来测试核心交换机R2是否与AFC路由相通

[R2]ping -a 171.0.0.1 171.0.0.2

  PING 171.0.0.2: 56  data bytes, press CTRL_C to break

    Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms

  --- 171.0.0.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

round-trIP min/avg/max = 3/3/3 ms

(2)     验证核心设备与AFC设备BGP邻居关系是否建立

登录核心设备通过display BGP peer查看bgp建立状态。

 [H3C] display bgp peer

 BGP local router ID : 171.0.0.1

 Local AS number : 65535

 Total number of peers : 1       Peers in established state : 1

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

     171.0.0.2          65534        5        3    0       0 00:01:59 Established

(3)     验证核心交换机R2与AFC路由牵引是否成功。牵引成功则有此主机的32位路由。

查看核心交换机R2的路由表

[R2]display bgp routing-table

 Total Number of Routes: 1

 BGP Local router ID is 171.0.0.1

 Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,

               h - history,  i - internal, s - suppressed, S - Stale

               Origin : i - IGP, e - EGP, ? - incomplete

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >  171.0.3.21/32      171.0.0.2       0                     1       65534i

(4)     验证客户端与引流服务器间通信是否正常

通过ping测试客户端是否与服务路由相通

[root@AFCTest_Client ~]# ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:0C:29:9D:1B:7A 

          inet addr:184.0.0.75  Bcast:184.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:257120 errors:0 dropped:0 overruns:0 frame:0

          TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:28882056 (27.5 MiB)  TX bytes:3460908912 (3.2 GiB)

[root@AFCTest_Client ~]# ping -c 5 171.0.3.21

PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.

64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms

64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms

64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms

64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms

64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms

--- 171.0.1.21 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms