• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath AFC2000系列 异常流量清洗系统 典型配置案例集-5W104

09-旁路OSPF三层回注配置举例

本章节下载 09-旁路OSPF三层回注配置举例  (1.19 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/YCLLQX/AFC20X0[2X00]/Configure/Typical_Configuration_Example/H3C_AFC2000_CE-5W104/202007/1315188_30005_0.htm

09-旁路OSPF三层回注配置举例


1 特性简介

H3C流量清洗系统一般旁挂于核心网络设备上,在不影响正常业务的同时,对下层网中出现的DDoS攻击流量进行过滤,实现对下层网和大客户网络业务的保护。

H3C流量清洗系统由异常流量检测设备(AFD)、异常流量清洗设备(AFC)二部分组成。

异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量,实时进行攻击检测及异常流量分析。

异常流量清洗设备通过发布明细路由的方式,对发生攻击的用户流量牵引过来,进行攻击报文的过滤,并把清洗后的“干净”流量回注给用户。对于发布明细路由方式,一种是通过手动发送,一种是与异常流量检测设备联动。

异常流量检测设备、异常流量清洗设备均可以单独部署,均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。

2 特性使用

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VLAN、OSPF、策略路由、ACL、QoS特性。

2.1  配置指南

H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机的基本配置,采用命令行配置。异常流量清洗设备(AFC)的基本配置和业务相关配置,采用WEB界面配置。本配置以异常流量清洗设备单独部署且采用OSPF引流方式进行流量检测为例。

2.1.1  流量清洗业务配置指南

·     AFC和核心设备建立OSPF邻居,将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。

·     AFC将核心设备用来引流到AFC的流量进行清洗,同时将清洗过的用户正常流量回注到下层网络,并进一步回注到正常的目的设备。

·     AFC将清洗流量通过三层路由的方式回注到下层网络时,有两种方式,一种是三层回流,一种是三层注入。

2.2  注意事项

·     如果AFC是多路设备(多通道)比如AFC2040,需要注意不要随意删除通道口的IP地址,否则可能造成通道接口三层转发不成功;

·     不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。

3 支持的设备和版本

3.1  支持的设备

H3C SecPath AFC

3.2  设备版本

3.2.1  H3C SecPath AFC

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501

部署方式:旁路防护

3.3  配置保存

通过在路由协议配置界面write来保存路由进程配置,通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。

4 相关资料

·     H3C SecPath AFC2000系列 安装指导手册

·     H3C SecPath AFC2000系列 配置指导手册

5 AFC旁路OSPF三层回流典型配置举例

5.1  简介

本章介绍AFC旁路部署时使用OSPF路由协议进行流量牵引后,采用三层回流模式通过策略路由或QoS的方式进行流量转发。

5.2  使用限制

三层回流模式应用的场景为与AFC进行路由牵引的核心设备下层连接的网络设备为三层交换机或路由。

5.3  OSPF三层回流模式配置举例

5.3.1  适用产品和版本

本配置适用于H3C SecPath AFC旁路设备。

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。

5.3.2  组网需求

为实现对攻击被保护IP 171.0.3.21的流量的清洗,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机通过接口G1/0/18和AFC设备的接口M2/GE0连接建立OSPF邻居,进行引流清洗。在核心交换机的G1/0/18接口的入方向配置策略路由或QoS实现清洗流量回流转发。组网如图1所示。

图5-1 AFC旁路部署三层回流模式配置组网图

 

具体实现如下:

·     主机路由发布:AFC通过M2/GE0接口和核心交换机建立OSPF邻居,AFC将被保护IP的32位路由发布到核心交换机。

·     主机流量清洗:核心交换机将被保护主机流量牵引到AFC,AFC通过清洗策略对主机流量中异常流量进行清洗。

·     流量重定向:核心交换机配置策略路由或QoS,并应用到在核心交换机与AFC连接的接口输入方向,实现清洗后的回流流量被转发到指定网络中。

表5-1 VLAN分配列表

VLAN ID

作用描述

IP地址

1710

·     核心交换机与AFC建立OSPF邻居;

·     AFC将清洗后的流量回流到核心交换机

171.0.0.1/24

1711

·     核心交换机与下层网络连接的三层VLAN接口;

·     下层交换机与核心交换机连接三层VLAN接口

171.0.1.1/24

171.0.1.2/24

1713

·     被保护主机所在的VLAN;

·     被保护主机的网关地址

171.0.3.1/24

 

表5-2 AFC接口IP分配列表

接口

作用描述

IP地址

M2/GE0

核心交换机L3SW1与AFC建立OSPF邻居;

171.0.0.2/24

Eth0

AFC管理口

183.1.0.24/24

 

5.3.3  配置思路

要实现AFC旁路部署OSPF三层回流模式配置,可按照如下思路进行配置:

(1)     建立OSPF路由

在AFC和核心交换机上分别启用OSPF进程,并互为邻居关系;

(2)     核心交换机流量转发策略配置

通过在核心交换机上建立策略路由或QoS匹配ACL规则实现被保护主机流量转发,并将策略路由或QoS应用到核心交换机与AFC连接的接口入方向;

(3)     AFC路由牵引及流量清洗

发布受保护主机的路由下一跳到AFC,AFC根据防御策略对主机流量进行清洗,将清洗后的流量回送到核心交换机。

5.3.4  配置注意事项

要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。

通过SSH配置视图,切换AFC部署模式:

# 切换【AFC】工作模式为:bypass

> systools bootrom bypass

    NOTE: the switching may need some time, do not interrupt to avoid severe damage

    type 'SURE' to confirm switching the bootrom ... sure

    switching bootrom, do not reboot or poweroff ... done

reboot is needed

> systools reboot

   type 'SURE' to confirm rebooting ... sure

需手动输入“sure”后才会执行重启操作。

 

配置路由协议前,请先确保在Web页面中的“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。

 

提示

当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。

 

5.3.5  配置步骤

1. 配置AFC

使用SSH方式登录AFC CLI配置视图:

# 修改【AFC】通道

> config startup-script channel_device 1 M2/GE0 M2/GE1

      modified the startup script with channel 1 devices

# 应用通道配置

> config startup-script channel_device apply

      apply the channel device settings ? yes

      applying ... succeed

      applied the channel device settings

# 配置【AFC】接口

登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置M2/GE0接口IP为171.0.0.2/24,配置对端接口(即核心交换机G1/0/18)IP为171.0.0.1。

说明:对端地址必需要先配置,否则邻居建立不起来,且直连地址不通。

图5-2  配置AFC与核心交换连接的接口IP

 

配置【AFC】OSPF路由并保存

H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

 

# telnet登录【AFC】OSPF进程配置端口

telnet 183.1.0.24 28064

Hello, this is Quagga (version 0.99.22).

Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:

H3C>

H3C> enable

H3C# conf terminal

# 启用OSPF进程

H3C(config)#router ospf

H3C(config-router)# ospf router-id 171.0.0.2

# 配置ospfrouter-id,171.0.0.2

H3C(config-router)#neighbor 171.0.0.1

# 配置邻居

H3C(config-router)# network 171.0.0.0/24 area 0.0.0.1

# 宣告直连路由,及配置area ID

# 查看OSPF配置

H3C(config-router)#do show running-config

!

router ospf

 ospf router-id 171.0.0.2

 network 171.0.0.0/24 area 0.0.0.1

 neighbor 171.0.0.1

!

H3C(config-router)# exit

H3C(config)# exit

#保存路由配置

H3C# write

Building Configuration...

Configuration saved to /mnt/storage/etc/dsfw/zebra.conf

Configuration saved to /etc/dsfw/ospfd.conf

[OK]

H3C#

 

提示

默认旁路系统下有一个AS号为7675的BGP进程,要启用OSPF进程,需要先进入到BGP配置视图下删除BGP进程,删除方法为特权模式下输入:no router bgp 7675。

H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

 

 

# 添加防护范围及回注方式

防护范围及回注方式,回注方式选择“默认”,回注参数留空。

图5-3 配置AFC防护范围及回注参数

 

图5-4 配置AFC牵引主机IP

 

提示

此时不要勾选主机配置中的“防护”,等对端路由进程配置完成后,勾选防护进行路由手动通告。

 

2. 配置核心交换机

创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机与【AFC】通道进口M2/GE0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由。

# 创建VLAN

[L3SW1]vlan 1710 to 1711

# 配置VLAN IP

[L3SW1]interface Vlan-interface1710

[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0

[L3SW1-Vlan-interface1710]quit

[L3SW1]interface Vlan-interface1711

[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0

# 将对应端口加入到对于VLAN中,将G1/0/18加入VLAN 1710,将G1/0/17加入到VLAN 1711

[L3SW1]interface GigabitEthernet1/0/17

[L3SW1-GigabitEthernet1/0/17]port link-mode bridge

[L3SW1-GigabitEthernet1/0/17]port access vlan 1711

[L3SW1-GigabitEthernet1/0/17]quit

interface GigabitEthernet1/0/18

[L3SW1-GigabitEthernet1/0/18]port link-mode bridge

[L3SW1-GigabitEthernet1/0/18]port access vlan 1710

[L3SW1-GigabitEthernet1/0/18]quit

# 配置OSPF进程

[L3SW1]ospf 2

# 由于使用的三层交换机上已经使用了ospf 1进程,这里重新启用一个新的ospf 2进程

[L3SW1-ospf-2]peer 171.0.0.2

# 配置ospf邻居

[L3SW1-ospf-2] preference 1

# 从对等体接收的路由分配首选值,值越小越优先,缺省情况下,OSPF协议对自治系统内部路由的优先级为10,对自治系统外部路由的优先级为150。

[L3SW1-ospf-2] area 0.0.0.1

# 配置area id,需要与【AFC】的area id一致

[L3SW1-ospf-2-area-0.0.0.1]network 171.0.0.0 0.0.0.255

# 进行OSPF直连邻居通告

提示

如果配置的OSPF IPv6协议,需要进入OSPF IPv6单播视图。

 

# 查看邻居关系

[L3SW1]display ospf 2 peer

            OSPF Process 2 with Router ID 110.1.0.1

                        Neighbor Brief Information

 Area: 0.0.0.1

 Router ID       Address         Pri Dead-Time Interface       State

 171.0.0.2       171.0.0.2       1   35        Vlan1710        Full/BDR

# 配置回流流量转发策略,实现将AFC清洗后的正常流量转发到下层网络

提示

AFC旁路三层回流模式三层设备上转发策略有两种,一种是策略路由,一种是QoS

 

方法一:策略路由PBR

# 配置ACL匹配牵引IP地址段

[L3SW1]acl number 3003

[L3SW1-acl-adv-3003]rule 1 permit ip destination 171.0.3.0 0.0.0.255

[L3SW1-acl-adv-3003]quit

# 配置访问控制列表3003,匹配目的地址为171.0.3.0/24网段

# 创建策略路由

[L3SW1]policy-based-route p_afc_out permit node 5

[L3SW1]if-match acl 3003

[L3SW1]apply ip-address next-hop 171.0.1.2

# 配置策略路由行为p_afc_out,下一条发送给171.0.1.2即上层网络与下层网络连接的直连路由IP地址,请根据你部署的实际地址进行配置

# 在三层接口应用策略路由

[L3SW1]interface Vlan-interface1710

[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0

[L3SW1-Vlan-interface1710]ip policy-based-route p_afc_out

# 在应用策略路由的时候,如果是接口是route模式,直接在接口上应用策略路由,如果接口是bridge模式,请在接口所属的三层VLAN接口上配置策略路由,如上。

方法二:配置QoS

# 配置ACL匹配牵引IP地址段

[L3SW1]acl number 3003

[L3SW1-acl-adv-3003]rule 1 permit ip destination 171.0.3.0 0.0.0.255

[L3SW1-acl-adv-3003]quit

#  配置访问控制列表3003,匹配目的地址为171.0.3.0/24网段

# 创建qos流

[L3SW1]traffic classifier c_afc_in operator and

[L3SW1-classifier-c_afc_in]if-match acl 3003

# 配置类c_afc_in,满足访问控制列表3003的流量都归为此类

# 创建QoS行为

[L3SW1]traffic behavior b_afc_out

[L3SW1-behavior-b_afc_out]redirect next-hop 171.0.1.2 fail-action forward

# 配置流行为b_afc_out,下一条发送给171.0.1.2即上层网络与下层网络连接的直连路由IP地址,请根据你部署的实际地址进行配置

# 创建QoS

[L3SW1]qos policy q_afc_out

[L3SW1-qospolicy-q_afc_out]classifier c_afc_in behavior b_afc_out

# 配置策略q_afc_out,如果满足类c_afc_in,则执行行为b_afc_out

# 应用qos到接口

[L3SW1]int GigabitEthernet 1/0/18

 [L3SW1-GigabitEthernet1/0/18]port link-mode bridge

 [L3SW1-GigabitEthernet1/0/18]port access vlan 1710

 [L3SW1-GigabitEthernet1/0/18]qos apply policy q_afc inbound

# 把策略q_afc_out应用到与【AFC】直连的三层设备接口的入口方向,也可以在三层VLAN接口上配置。

为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。

# 在核心交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW1]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

3. 配置下层交换机

创建VLAN 1711和VLAN 1713,其中VLAN 1711对应171.0.1.0/24网段,作用为核心交换机L3SW1与下层网络直连路由。VLAN 1713对于171.0.3.0/24网段,为下层网络所在网段。

# 创建VLAN

[L3SW2]vlan 1711

[L3SW2-vlan1711]quit

[L3SW2]vlan 1713

[L3SW2-vlan1713]quit

# 配置VLAN IP

[L3SW2]int Vlan-interface 1711

[L3SW2-Vlan-interface1711]ip address 171.0.1.2 24

[L3SW2-Vlan-interface1711]quit

[L3SW2]int Vlan-interface 1713

[L3SW2-Vlan-interface1711]ip address 171.0.3.1 24

[L3SW2-Vlan-interface1711]quit

# 将接口加入到VLAN,将G1/0/17加入到VLAN 1711,将G1/0/13加入到VLAN 1713

[L3SW2]interface GigabitEthernet1/0/13

# 连接被保护主机

[L3SW2-GigabitEthernet1/0/13]port link-mode bridge

[L3SW2-GigabitEthernet1/0/13]port access vlan 1713

[L3SW2-GigabitEthernet1/0/13]quit

[L3SW2]interface GigabitEthernet1/0/17

# 连接上层三层交换机

[L3SW2-GigabitEthernet1/0/17]port link-mode bridge

[L3SW2-GigabitEthernet1/0/17]port access vlan 1711

[L3SW2-GigabitEthernet1/0/17]quit

为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。

# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW2]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

5.3.6  验证配置

(1)     验证核心交换机L3SW1与【AFC】通道输入口是否互通

通过ping来测试核心交换机是否与AFC路由相通

[L3SW1]ping -a 171.0.0.1 171.0.0.2

  PING 171.0.0.2: 56  data bytes, press CTRL_C to break

    Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms

  --- 171.0.0.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 3/3/3 ms

(2)     验证核心交换机L3SW1与【AFC】路由牵引是否成功

未在【AFC】上启用主机配置“防护”时,查看L3SW1的OSPF路由表

[L3SW1]display ospf 2 routing

   OSPF Process 2 with Router ID 110.1.0.1

        Routing Tables

 Routing for Network

 Destination        Cost     Type    NextHop         AdvRouter       Area

 171.0.0.0/24       1        Transit 171.0.0.1       110.1.0.1       0.0.0.1

 Total Nets: 1

 Intra Area: 1  Inter Area: 0  ASE: 0  NSSA: 0

在【AFC】上勾选保护主机的“防护”按钮

图5-5 在【AFC】上勾选保护主机的“防护”按钮进行主机路由牵引

 

查看核心交换机L3SW1的路由表

[L3SW1]display ospf 2 routing

   OSPF Process 2 with Router ID 110.1.0.1

        Routing Tables

 Routing for Network

 Destination        Cost     Type    NextHop         AdvRouter       Area

 171.0.0.0/24       1        Transit 171.0.0.1       171.0.0.2       0.0.0.1

 171.0.3.21/32      11       Stub    171.0.0.2       171.0.0.2       0.0.0.1

 Total Nets: 2

 Intra Area: 2  Inter Area: 0  ASE: 0  NSSA: 0

提示

如果需要牵引的主机是一个网段时,可以进入【AFC】命令行在路由协议下手动宣告网段路由。如果是连续某几个IP,可以在“主机设置”中按照“171.0.3.1-171.0.3.254”勾选或取消后面的“防护”来进行IP段牵引。当与检测设备联动时可以实现自动牵引,而无需手动填写牵引IP。

 

(3)     验证客户端与服务端是否互通

通过ping测试客户端是否与服务路由相通

[root@AFCTest_Client ~]# ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:0C:29:9D:1B:7A 

          inet addr:184.0.0.75  Bcast:184.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:257120 errors:0 dropped:0 overruns:0 frame:0

          TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:28882056 (27.5 MiB)  TX bytes:3460908912 (3.2 GiB)

[root@AFCTest_Client ~]# ping -c 5 171.0.3.21

PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.

64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms

64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms

64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms

64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms

64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms

--- 171.0.1.21 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms

(4)     验证客户端与服务端通信是否进过【AFC】在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来。

图5-6 客户端ping服务器

 

在【AFC】上抓取客户端到服务器的ping包

抓包分析,在【AFC】通道的输入口M2/GE0即gbe9,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图5-7 在AFC上抓包,查看输入口报文

 

抓包分析,在【AFC】通道的输出口M2/GE0即gbe9,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图5-8 在AFC上抓包,查看输出口报文

 

6 AFC旁路OSPF三层注入典型配置举例

6.1  简介

本章介绍AFC旁路部署时使用OSPF路由协议进行流量牵引后,采用三层注入模式直接将清洗后流量注入到下层三层设备,下层三层设备根据本地路由表进行流量转发。

6.2  使用限制

三层注入模式应用的场景为与AFC进行路由牵引的核心设备下层连接的网络设备为三层交换机或路由。

6.3  OSPF三层注入模式配置举例

6.3.1  适用产品和版本

本配置适用于H3C SecPath AFC旁路设备。

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。

6.3.2  组网需求

为实现对攻击被保护IP 171.0.3.21的流量的清洗,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机通过接口G1/0/18和AFC设备的接口M2/GE0连接建立OSPF邻居,进行引流清洗。清洗后的流量AFC通过输出口直接注入到下层三层交换中,下层交换机根据本地路由表进行流量转发。组网如图所示。

图6-1 AFC旁路部署三层回流模式配置组网图

 

具体实现如下:

·     主机路由发布:AFC通过M2/GE0接口和核心交换机建立OSPF邻居,AFC将被保护IP的32位路由发布到核心交换机。

·     主机流量清洗:核心交换机将被保护主机流量牵引到AFC,AFC通过清洗策略对主机流量中异常流量进行清洗。

·     流量重定向:AFC将清洗后的流量通过输出口直接注入到下层网络中,下层设备再根据本地路由表进行流量转发。

表6-1 VLAN分配列表

VLAN ID

作用描述

IP地址

1710

核心交换机与AFC建立OSPF邻居;

171.0.0.1/24

1711

·     核心交换机与下层网络连接的三层VLAN接口;

·     下层交换机与核心交换机连接三层VLAN接口

171.0.1.1/24

171.0.1.2/24

1712

下层交换机与AFC通道输出口进行三层连接

171.0.2.1/24

1713

·     被保护主机所在的VLAN;

·     被保护主机的网关地址

171.0.3.1/24

 

表6-2 AFC接口IP分配列表

接口

作用描述

IP地址

M2/GE0

核心交换机L3SW1与AFC建立OSPF邻居;

171.0.0.2/24

M2/GE1

下层交换机L3SW2与AFC建立路由通道

171.0.2.2/24

Eth0

AFC管理口

183.1.0.24/24

 

6.3.3  配置思路

要实现AFC旁路部署OSPF三层注入模式配置,可按照如下思路进行配置:

(1)     建立OSPF路由

在AFC和核心交换机上分别启用OSPF进程,并互为邻居关系;

(2)     AFC主机路由牵引及流量清洗

发布受保护主机的路由下一跳到AFC,AFC根据防御策略对主机流量进行清洗,将清洗后的流量通过路由方式注入到下层网络中;

(3)     AFC流量注入下层网络

配置AFC通道输出口与下层交换机直连路由相通,进而与下层网络相通,实现注入流量三层路由转发。

6.3.4  配置注意事项

要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。

通过SSH配置视图,切换AFC部署模式:

# 切换【AFC】工作模式为:bypass

> systools bootrom bypass

    NOTE: the switching may need some time, do not interrupt to avoid severe damage

    type 'SURE' to confirm switching the bootrom ... sure

    switching bootrom, do not reboot or poweroff ... done

reboot is needed

> systools reboot

   type 'SURE' to confirm rebooting ... sure

需手动输入“sure”后才会执行重启操作。

配置路由协议前,请先确保“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。

 

提示

当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。

 

6.3.5  配置步骤

1. 配置AFC

使用SSH方式登录AFC CLI配置视图:

# 修改【AFC】通道

> config startup-script channel_device 1 M2/GE0 M2/GE1

      modified the startup script with channel 1 devices

# 应用通道配置

> config startup-script channel_device apply

      apply the channel device settings ? yes

      applying ... succeed

      applied the channel device settings

# 配置【AFC】接口

登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置M2/GE0接口IP为171.0.0.2/24,配置输出口M2/GE1接口IP为171.0.4.2/24对端接口(即核心交换机G1/0/18 接口VLAN 1710)IP为171.0.2.1。

说明:必须要配置输出通道的对端地址,邻居才能建立成功。

图6-2 配置AFC与核心交换连接的接口IP

 

配置【AFC】OSPF路由

H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

 

# telnet登录【AFC】OSPF进程配置端口

telnet 183.1.0.24 28064

Hello, this is Quagga (version 0.99.22).

Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:

H3C>

H3C> enable

H3C# conf terminal

# 启用OSPF进程

H3C(config)#router ospf

H3C(config-router)# ospf router-id 171.0.0.2

# 配置ospfrouter-id,171.0.0.2

H3C(config-router)#neighbor 171.0.0.1

# 配置邻居

H3C(config-router)# network 171.0.0.0/24 area 0.0.0.1

# 宣告直连路由,及配置area ID

# 查看OSPF配置

H3C(config-router)#show running-config

!

router ospf

 ospf router-id 171.0.0.2

 network 171.0.0.0/24 area 0.0.0.1

 neighbor 171.0.0.1

!

提示

默认旁路系统下有一个AS号为7675的BGP进程,要启用OSPF进程,需要先进入到BGP配置视图下删除BGP进程,删除方法为特权模式下输入:no router bgp 7675。

H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

 

 

# 添加防护范围及回注方式

防护范围及回注方式,回注方式选择“默认”,回注参数留空。

图6-3 配置AFC防护范围及回注参数

 

图6-4 配置AFC牵引主机IP

 

提示

此时不要勾选主机配置中的“防护”,等对端路由进程配置完成后,勾选防护进行路由手动通告。

 

2. 配置核心交换机

创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机与【AFC】通道进口M2/GE0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由

# 创建VLAN

[L3SW1]vlan 1710 to 1711

# 配置VLAN IP

[L3SW1]interface Vlan-interface1710

[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0

[L3SW1-Vlan-interface1710]quit

[L3SW1]interface Vlan-interface1711

[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0

# 将对应端口加入到对于VLAN中,将G1/0/18加入VLAN 1710,将G1/0/17加入到VLAN 1711

[L3SW1]interface GigabitEthernet1/0/17

[L3SW1-GigabitEthernet1/0/17]port link-mode bridge

[L3SW1-GigabitEthernet1/0/17]port access vlan 1711

[L3SW1-GigabitEthernet1/0/17]quit

interface GigabitEthernet1/0/18

[L3SW1-GigabitEthernet1/0/18]port link-mode bridge

[L3SW1-GigabitEthernet1/0/18]port access vlan 1710

[L3SW1-GigabitEthernet1/0/18]quit

# 配置OSPF进程

[L3SW1]ospf 2

# 由于使用的三层交换机上已经使用了ospf 1进程,这里重新启用一个新的ospf 2进程

[L3SW1-ospf-2]peer 171.0.0.2

# 配置ospf邻居

[L3SW1-ospf-2] preference 1

# 从对等体接收的路由分配首选值,值越小越优先,缺省情况下,OSPF协议对自治系统内部路由的优先级为10,对自治系统外部路由的优先级为150。

[L3SW1-ospf-2] area 0.0.0.1

# 配置area id,需要与【AFC】的area id一致

[L3SW1-ospf-2-area-0.0.0.1]network 171.0.0.0 0.0.0.255

# 进行OSPF直连邻居通告

提示

如果配置的OSPF IPv6协议,需要进入OSPF IPv6单播视图。

 

# 查看OSPF对端

[L3SW1]display ospf 2 peer

            OSPF Process 2 with Router ID 110.1.0.1

                        Neighbor Brief Information

 Area: 0.0.0.1

 Router ID       Address         Pri Dead-Time Interface       State

 171.0.0.2       171.0.0.2       1   33        Vlan1710        Full/DR

为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。

# 在核心交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW1]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

3. 配置下层交换机

创建VLAN 1711、VLAN1712和VLAN 1713,其中VLAN 1711对应171.0.1.0/24网段,作用为核心交换机L3SW1与下层网络直连路由,VLAN 1712对于171.0.2.0/24网段,作用为与AFC通道输出接口进行直连路由通信,VLAN 1713对于171.0.3.0/24网段,为下层网络所在网段。

# 创建VLAN

[L3SW2]vlan 1711

[L3SW2-vlan1711]quit

[L3SW2]vlan 1712

[L3SW2-vlan1713]quit

[L3SW2]vlan 1713

[L3SW2-vlan1713]quit

# 配置VLAN IP

[L3SW2]int Vlan-interface 1711

[L3SW2-Vlan-interface1711]ip address 171.0.1.2 24

[L3SW2-Vlan-interface1711]quit

[L3SW2]int Vlan-interface 1712

[L3SW2-Vlan-interface1712]ip address 171.0.2.1 24

[L3SW2-Vlan-interface1712]quit

[L3SW2]int Vlan-interface 1713

[L3SW2-Vlan-interface1713]ip address 171.0.3.1 24

[L3SW2-Vlan-interface1713]quit

# 将接口加入到VLAN,将G1/0/13加入到VLAN 1713,将G1/0/17加入到VLAN 1711,将G1/0/18加入到VLAN 1712,

[L3SW2]interface GigabitEthernet1/0/13

# 连接被保护主机

[L3SW2-GigabitEthernet1/0/13]port link-mode bridge

[L3SW2-GigabitEthernet1/0/13]port access vlan 1713

[L3SW2-GigabitEthernet1/0/13]quit

[L3SW2]interface GigabitEthernet1/0/18

# 连接AFC通道输出口

[L3SW2-GigabitEthernet1/0/13]port link-mode bridge

[L3SW2-GigabitEthernet1/0/13]port access vlan 1712

[L3SW2-GigabitEthernet1/0/13]quit

[L3SW2]interface GigabitEthernet1/0/17

# 连接上层三层交换机

[L3SW2-GigabitEthernet1/0/17]port link-mode bridge

[L3SW2-GigabitEthernet1/0/17]port access vlan 1711

[L3SW2-GigabitEthernet1/0/17]quit

为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。

# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW2]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

6.3.6  验证配置

(1)     验证核心交换机L3SW1与【AFC】通道输入口是否互通

通过ping来测试核心交换机是否与AFC路由相通

[L3SW1]ping -a 171.0.0.1 171.0.0.2

  PING 171.0.0.2: 56  data bytes, press CTRL_C to break

    Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms

  --- 171.0.0.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 3/3/3 ms

(2)     验证核心交换机L3SW1与【AFC】路由牵引是否成功

未在【AFC】上启用主机配置“防护”时,查看L3SW1的OSPF路由表

[L3SW1]display ospf 2 routing

   OSPF Process 2 with Router ID 110.1.0.1

        Routing Tables

 Routing for Network

 Destination        Cost     Type    NextHop         AdvRouter       Area

 171.0.0.0/24       1        Transit 171.0.0.1       110.1.0.1       0.0.0.1

 Total Nets: 1

 Intra Area: 1  Inter Area: 0  ASE: 0  NSSA: 0

[L3SW1]

在【AFC】上勾选保护主机的“防护”按钮

图6-5 在【AFC】上勾选保护主机的“防护”按钮进行主机路由牵引

 

查看核心交换机L3SW1的路由表

[L3SW1]display ospf 2 routing

   OSPF Process 2 with Router ID 110.1.0.1

        Routing Tables

 

 Routing for Network

 Destination        Cost     Type    NextHop         AdvRouter       Area

 171.0.0.0/24       1        Transit 171.0.0.1       171.0.0.2       0.0.0.1

 171.0.3.21/32      11       Stub    171.0.0.2       171.0.0.2       0.0.0.1

 Total Nets: 2

 Intra Area: 2  Inter Area: 0  ASE: 0  NSSA: 0

提示

如果需要牵引的主机是一个网段时,可以进入【AFC】命令行在路由协议下手动宣告网段路由。如果是连续某几个IP,可以在“主机设置”中按照“171.0.3.1-171.0.3.254”勾选或取消后面的“防护”来进行IP段牵引。当与检测设备联动时可以实现自动牵引,而无需手动填写牵引IP。

 

(3)     验证下层交换机L3SW2与【AFC】通道输出口是否互通

通过ping来测试核心交换机是否与AFC路由相通。

[L3SW2]ping -a 171.0.2.1 171.0.2.2

Ping 171.0.2.2 (171.0.2.2) from 171.0.2.1: 56 data bytes, press CTRL_C to break

56 bytes from 171.0.2.2: icmp_seq=0 ttl=64 time=1.061 ms

56 bytes from 171.0.2.2: icmp_seq=1 ttl=64 time=0.798 ms

56 bytes from 171.0.2.2: icmp_seq=2 ttl=64 time=0.772 ms

56 bytes from 171.0.2.2: icmp_seq=3 ttl=64 time=0.824 ms

56 bytes from 171.0.2.2: icmp_seq=4 ttl=64 time=0.722 ms

--- Ping statistics for 171.0.2.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet lossround-

 

(4)     验证客户端与服务端是否互通

通过ping测试客户端是否与服务路由相通。

[root@AFCTest_Client ~]# ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:0C:29:9D:1B:7A 

          inet addr:184.0.0.75  Bcast:184.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:257120 errors:0 dropped:0 overruns:0 frame:0

          TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:28882056 (27.5 MiB)  TX bytes:3460908912 (3.2 GiB)

[root@AFCTest_Client ~]# ping -c 5 171.0.3.21

PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.

64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms

64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms

64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms

64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms

64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms

--- 171.0.1.21 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms

(5)     验证客户端与服务端通信是否进过【AFC】

在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来。

图6-6 客户端ping服务器

 

在【AFC】上抓取客户端到服务器的ping包。

抓包分析,在【AFC】通道的输入口M2/GE0即gbe9,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图6-7 在AFC上抓包,查看输入口报文

 

抓包分析,在【AFC】通道的输出口M2/GE1即gbe10,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图6-8 在AFC上抓包,查看输出口报文

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们