- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-旁路与异常流量检测系统联动部署BGP自动牵引配置举例
本章节下载: 12-旁路与异常流量检测系统联动部署BGP自动牵引配置举例 (1.16 MB)
H3C流量清洗系统一般旁挂于核心网络设备上,在不影响正常业务的同时,对下层网中出现的DDoS攻击流量进行过滤,实现对下层网和大客户网络业务的保护。
H3C流量清洗系统由异常流量检测设备(AFD)、异常流量清洗设备(AFC)二部分组成。
异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量,实时进行攻击检测及异常流量分析。
异常流量清洗设备通过发布明细路由的方式,对发生攻击的用户流量牵引过来,进行攻击报文的过滤,并把清洗后的“干净”流量回注给用户。对于发布明细路由方式,一种是通过手动发送,一种是与异常流量检测设备联动。
异常流量检测设备、异常流量清洗设备均可以单独部署,均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、BGP特性。
H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机的基本配置,采用命令行配置。异常流量清洗设备和异常流量检测设备的基本配置和业务相关配置,采用WEB界面配置。本配置以异常流量清洗系统旁路BGP三层注入方式部署时与异常流量检测系统进行联动实现对攻击流量牵引清洗为例。
· 配置下层交换机端口镜像,将受保护主机或网络流量镜像到AFD设备;
· 部署AFC和AFD,并启用AFC与AFD集群配置,作用为AFD通过集群通告牵引IP;
· AFC和核心设备建立BGP邻居,将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。
· AFC将核心设备用来引流到AFC的流量进行清洗,同时将清洗过的用户正常流量回注到下层网络,并进一步回注到正常的目的设备。
· AFC将清洗流量通过三层路由方式回注到下层网络时,有两种方式,一种是回流,一种是注入。
· AFD继续监控被保护主机流量,在没有异常后一段时间,将主机流量牵引取消通告给AFC,AFC通过BGP通告核心设备取消保护主机。
· 如果AFC是多路设备(多通道)比如AFC2040,需要注意不要随意删除通道口的IP地址,否则可能造成通道接口三层转发不成功;
· 不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
H3C SecPath AFC
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501
部署方式:旁路防护
通过在路由协议配置界面write来保存路由进程配置,通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。
· H3C SecPath AFC2000系列 安装指导手册
· H3C SecPath AFC2000系列 配置指导手册
本章介绍AFC旁路部署BGP路由牵引时与AFD进行联动实现对攻击流量自动牵引清洗,并采用注入或者回流的模式将清洗后流量注入到下层三层设备,下层三层设备根据本地路由表进行流量转发。
AFC与AFD联动部署为客户需要实现在手动攻击时对保护主机流量进行自动牵引清洗,无需人员24小时值守。
· AFC
本配置适用于H3C SecPath AFC旁路设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
· AFD
本配置适用于H3C SecPath AFC检测设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.3.21的流量的自动牵引清洗,在下层交换设备上旁挂一台异常流量检测设备,并启用端口镜像或者开启netflow/sflow检测,将核心设备到下层网络的G1/0/17口流量镜像或检测流量发送到AFD通道口M0/XGE0。
在核心交换设备处旁路部署一台异常流量清洗系统,核心交换机通过接口G1/0/18和AFC设备的接口M2/GE0连接建立BGP邻居。
启用AFC和AFD的同步配置,实现AFD检测到被保护主机被攻击后,通过同步口M2/GE2通过牵引IP给AFC,AFC收到牵引IP后,使用BGP路由从核心设备处将流量牵引过来。
清洗后的流量AFC通过输出口直接注入到下层三层交换中,下层交换机根据本地路由表进行流量转发。组网如图1所示。
图1 AFC旁路部署三层注入模式配置组网图
具体实现如下:
· 流量镜像:在下层交换机上配置端口进行,将连接上层网络的接口G1/0/17的双向流量镜像到Ten-G1/0/49口,交换机的Ten-G1/0/49口连接到AFD的通道M0/XGE0口;
· 核心设备与AFC建立BGP邻居:AFC通过M2/GE0接口和核心交换机建立BGP邻居;
· 主机路由发布:AFD检测到攻击后, 发送主机IP牵引消息给AFC,AFC通过BGP路由通告被保护主机IP,核心交换机收到AFC路由通告后,将主机牵引发送至AFC;
· 主机流量清洗: AFC通过清洗策略对主机流量中异常流量进行清洗;
· 流量重定向:A FC将清洗后的流量通过输出口直接注入到下层网络中,下层设备再根据本地路由表进行流量转发。
表1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1710 |
核心交换机与AFC建立BGP邻居; |
171.0.0.1/24 |
|
1711 |
· 核心交换机与下层网络连接的三层VLAN接口; · 下层交换机与核心交换机连接三层VLAN接口 |
171.0.1.1/24 171.0.1.2/24 |
|
1712 |
下层交换机与AFC通道输出口进行三层连接 |
171.0.2.1/24 |
|
1713 |
· 被保护主机所在的VLAN; · 被保护主机的网关地址 |
171.0.3.1/24 |
表2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
M2/GE0 |
核心交换机L3SW1与AFC建立BGP邻居; |
171.0.0.2/24 |
|
M2/GE1 |
下层交换机L3SW2与AFC建立路由通道 |
171.0.2.2/24 |
|
Eth0 |
AFC管理口 |
183.1.0.24/24 |
表3 AFD接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
M0/XGE0 |
· 接收下层设备发送的镜像流量; · 镜像模式,无需配置IP,如果配置,需要与网络地址无冲突 |
|
|
Eth0 |
AFD管理口 |
183.1.0.28/24 |
要实现AFC旁路部署BGP三层注入模式下与AFD联动配置,可按照如下思路进行配置:
(1) 配置流量检测
在下层交换机上启用端口镜像,将被保护主机或网络的与上层网络连接的端口作为镜像口,同时配置监控口,监控口接AFD的通道口;
(2) 建立BGP路由
在AFC和核心交换机上分别启用BGP进程,并互为邻居关系;
(3) 主机路由牵引及流量清洗
AFC收到AFD主机IP牵引消息,向核心交换机发布受保护主机的路由下一跳到AFC,AFC根据防御策略对主机流量进行清洗,将清洗后的流量注入到下层网络中;
(4) AFC流量注入下层网络
配置AFC通道输出口与下层交换机直连路由相通,进而与下层网络相通,实现注入流量路由转发。
要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:bypass
> systools bootrom bypass
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
> systools reboot
type 'SURE' to confirm rebooting ... sure
需手动输入“sure”后才会执行重启操作。
配置路由协议前,请先确保在Web页面中的“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 1 M2/GE0 M2/GE1
modified the startup script with channel 1 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置M2/GE0接口IP为171.0.0.2/24,配置输出口M2/GE1接口IP为171.0.4.2/24对端接口(即核心交换机G1/0/18 接口VLAN 1710)IP为171.0.2.1
图2 配置AFC与核心交换连接的接口IP
配置【AFC】BGP路由
H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
# telnet登录【AFC】BGP进程配置端口
telnet 183.1.0.25 28065
Hello, this is Quagga (version 0.99.22).
Copyright 1996-2005 Kunihiro Ishiguro, et al.
User Access Verification
Password:
H3C>
H3C> enable
H3C# conf terminal
# 启用BGP进程
H3C(config)#router bgp 65534
//配置BGP,AS号位65534
H3C(config-router)#bgp router-id 171.0.0.2
//配置本地router id
H3C(config-router)#bgp scan-time 5
H3C(config-router)#neighbor 171.0.0.1 remote-as 65535
//配置对端邻居,as号位65535
H3C(config-router)#neighbor 171.0.0.1 soft-reconfiguration inbound
//配置软重启,当BGP发生变化时不需要重启进程,防止数据中断
H3C(config-router)#neighbor 171.0.0.1 route-map afc out
//给邻居发送路由更新时要符合afc路由策略
# 配置route-map
H3C(config)# route-map afc permit 10
H3C(config-route-map)# set community no-export no-advertise
//配置route-map,发送给对端的路由信息携带(no-export no-advertise)属性,当对端收到携带此标记的路由信息后不会传给其他邻居
# 保存配置
H3C# write
Configuration saved to /mnt/storage/etc/dsfw/bgpd.conf
# 查看配置
H3C# show running-config
Current configuration:
!
hostname H3C
password admin
log stdout
!
router bgp 65534
bgp router-id 171.0.0.2
bgp scan-time 5
neighbor 171.0.0.1 remote-as 65535
neighbor 171.0.0.1 soft-reconfiguration inbound
neighbor 171.0.0.1 route-map afc out
!
route-map afc permit 10
set community no-export no-advertise
!
line vty
!
end
默认系统有一个AS号为7675的BGP进程,如果需要手动指定AS号,可以使用no命令删除默认的AS号为7675的BGP进程,并重新建立新的指定AS号的BGP进程。
H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
使用SSH方式登录AFD CLI配置视图:
# 修改【AFD】通道
> config startup-script channel_device 0 XGE1/0
modified the startup script with channel 0 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
图3 查看AFD通道
# 依次配置【AFC】和【AFD】设备同步口IP地址,本实例中均为M2/GE2,分别为10.10.10.1/24和10.10.10.3/24。
说明:
AFC和AFD的同步接口不需要名称一模一样。
管理口不能当做同步口。
图4 AFC设备同步口IP
图5 AFD设备同步口IP
添加防护范围及回注方式
在AFD和AFC上配置防护范围,防护主机会自动学习到。
防护范围及回注方式,回注方式选择“默认”,回注参数留空。
图6 配置AFD和AFC防护范围及回注参数
创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机与【AFC】通道进口M2/GE0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由
# 创建VLAN
[L3SW1]vlan 1710 to 1711
# 配置VLAN IP
[L3SW1]interface Vlan-interface1710
[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[L3SW1-Vlan-interface1710]quit
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
# 将对应端口加入到对于VLAN中,将G1/0/18加入VLAN 1710,将G1/0/17加入到VLAN 1711
[L3SW1]interface GigabitEthernet1/0/17
[L3SW1-GigabitEthernet1/0/17]port link-mode bridge
[L3SW1-GigabitEthernet1/0/17]port access vlan 1711
[L3SW1-GigabitEthernet1/0/17]quit
interface GigabitEthernet1/0/18
[L3SW1-GigabitEthernet1/0/18]port link-mode bridge
[L3SW1-GigabitEthernet1/0/18]port access vlan 1710
[L3SW1-GigabitEthernet1/0/18]quit
# 配置BGP进程
[L3SW1]#bgp 65535
// 配置BGP,AS号为65535
[L3SW1-bgp]router-id 171.0.0.1
//配置路由器的Router ID
[L3SW1-bgp]undo synchronization
[L3SW1-bgp] address-family ipv4
[L3SW1-bgp-ipv4]peer 171.0.0.2 enable
//与对端启用ipv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息,H3C设备默认是不能与对等体交换IPv4单播路由信息
[L3SW1-bgp]peer 171.0.0.2 as-number 65534
//配置对端邻居,对端AS号为65534
[L3SW1-bgp]peer 171.0.0.2 description afc2100
//配置对端描述,对端为afc2100
[L3SW1-bgp]peer 171.0.0.2 preferred-value 1
//为从对等体接收的路由分配首选值,值越小越优先
[L3SW1-bgp]peer 171.0.0.2 keep-all-routes
//保存所有来自对等体/对等体组的原始路由信息,即使这些路由没有通过已配置的入口策略
如果配置的BGP IPv6协议,需要进入BGP IPv6单播视图。
# 查看BGP对端
[L3SW1] display bgp peer
BGP local router ID : 171.0.0.1
Local AS number : 65535
Total number of peers : 1 Peers in established state : 1
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
171.0.0.2 65534 5 3 0 0 00:01:59 Established
为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。
#在核心交换机上启用OSPF进程与下层网络进行路由信息交换
[L3SW1]ospf 1
[L3SW2-ospf-1]area 0
[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255
[L3SW2-ospf-1-area-0.0.0.0]quit
//为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0 ,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通
创建VLAN 1711、VLAN1712和VLAN 1713,其中VLAN 1711对应171.0.1.0/24网段,作用为核心交换机L3SW1与下层网络直连路由,VLAN 1712对于171.0.2.0/24网段,作用为与AFC通道输出接口进行直连路由通信,VLAN 1713对于171.0.3.0/24网段,为下层网络所在网段。
# 创建VLAN
[L3SW2]vlan 1711
[L3SW2-vlan1711]quit
[L3SW2]vlan 1712
[L3SW2-vlan1713]quit
[L3SW2]vlan 1713
[L3SW2-vlan1713]quit
# 配置VLAN IP
[L3SW2]int Vlan-interface 1711
[L3SW2-Vlan-interface1711]ip address 171.0.1.2 24
[L3SW2-Vlan-interface1711]quit
[L3SW2]int Vlan-interface 1712
[L3SW2-Vlan-interface1711]ip address 171.0.2.1 24
[L3SW2-Vlan-interface1711]quit
[L3SW2]int Vlan-interface 1713
[L3SW2-Vlan-interface1711]ip address 171.0.3.1 24
[L3SW2-Vlan-interface1711]quit
# 将接口加入到VLAN,将G1/0/13加入到VLAN 1713,将G1/0/17加入到VLAN 1711,将G1/0/18加入到VLAN 1712,
[L3SW2]interface GigabitEthernet1/0/13
//连接被保护主机
[L3SW2-GigabitEthernet1/0/13]port link-mode bridge
[L3SW2-GigabitEthernet1/0/13]port access vlan 1713
[L3SW2-GigabitEthernet1/0/13]quit
[L3SW2]interface GigabitEthernet1/0/18
//连接AFC通道输出口
[L3SW2-GigabitEthernet1/0/13]port link-mode bridge
[L3SW2-GigabitEthernet1/0/13]port access vlan 1712
[L3SW2-GigabitEthernet1/0/13]quit
[L3SW2]interface GigabitEthernet1/0/17
//连接上层三层交换机
[L3SW2-GigabitEthernet1/0/17]port link-mode bridge
[L3SW2-GigabitEthernet1/0/17]port access vlan 1711
[L3SW2-GigabitEthernet1/0/17]quit
配置端口镜像,将下层网络与上层网络连接的G1/0/17口双向流量镜像到Ten-G1/0/49,Ten-G1/0/49连接AFD的通道口
# 创建端口镜像组及镜像口和监控口
[L3SW2]mirroring-group 2 local
[L3SW2]mirroring-group 2 mirroring-port GigabitEthernet 1/0/17 both
[L3SW2]mirroring-group 2 monitor-port Ten-GigabitEthernet 1/0/49
为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。
# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换
[L3SW2]ospf 1
[L3SW2-ospf-1]area 0
[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255
[L3SW2-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255
[L3SW2-ospf-1-area-0.0.0.0]quit
//为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0 ,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通
(1) 验证核心交换机L3SW1与【AFC】通道输入口是否互通
通过ping来测试核心交换机是否与AFC路由相通
[L3SW1]ping -a 171.0.0.1 171.0.0.2
PING 171.0.0.2: 56 data bytes, press CTRL_C to break
Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms
--- 171.0.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
(2) 验证核心交换机L3SW1与【AFC】路由牵引是否成功
未在对被保护IP 171.0.3.21发起DDoS攻击是,查看L3SW1的BGP路由表
# 查看核心交换机路由表
[L3SW1]display bgp routing-table
Total Number of Routes: 0
对受保护主机发送DNS Flood攻击
图7 在AFD查看受保护主机状态
在AFD检测到攻击流量后,主机状态变为红色,进入保护状态。
图8 在AFC上查看受保护主机状态主机流量已经牵引至AFC
查看核心交换机上BGP路由
[L3SW1]display bgp routing-table
Total Number of Routes: 2
BGP Local router ID is 171.0.0.1
Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
* > 171.0.3.21/32 171.0.0.2 0 1 65534i
* > 171.0.4.2 0 1 65534i
当攻击结束后,释放牵引IP的时间有AFC全局参数中“保护牵引时间”决定
图9 AFC中保护牵引时间设置
(3) 验证下层交换机L3SW2与【AFC】通道输出口是否互通
通过ping来测试核心交换机是否与AFC路由相通
[L3SW2]ping -a 171.0.2.1 171.0.2.2
Ping 171.0.2.2 (171.0.2.2) from 171.0.2.1: 56 data bytes, press CTRL_C to break
56 bytes from 171.0.2.2: icmp_seq=0 ttl=64 time=1.061 ms
56 bytes from 171.0.2.2: icmp_seq=1 ttl=64 time=0.798 ms
56 bytes from 171.0.2.2: icmp_seq=2 ttl=64 time=0.772 ms
56 bytes from 171.0.2.2: icmp_seq=3 ttl=64 time=0.824 ms
56 bytes from 171.0.2.2: icmp_seq=4 ttl=64 time=0.722 ms
--- Ping statistics for 171.0.2.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet lossround-
(4) 验证客户端与服务端是否互通
通过ping测试客户端是否与服务路由相通
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.3.21
PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.
64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
(5) 验证客户端与服务端通信是否进过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来
图10 客户端ping服务器
在【AFC】上抓取客户端到服务器的ping包
抓包分析,在【AFC】通道的输入口M2/GE0即gbe9(不同型号设备接口命名实际名称与Web页面命名对于关系请参考具体型号说明文档),可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。
图11 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口M2/GE1即gbe10,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。
图12 在AFC上抓包,查看输出口报文
· AFC
本配置适用于H3C SecPath AFC旁路设备。
本文档在ESS 6503P01版本上举例。其他软件版本同样适用。
· AFD
本配置适用于H3C SecPath AFC检测设备。
本文档在ESS 6503P01版本上举例。其他软件版本同样适用
为实现对防护主机 171.0.3.21的流量的自动牵引清洗,在下层交换设备上旁挂一台异常流量检测设备,并启用端口镜像或者开启netflow/sflow检测,将核心设备到下层网络的G1/0/17口流量镜像或检测流量发送到AFD通道口XGE1/0。
在核心交换设备处旁路部署一台异常流量清洗系统,核心交换机通过接口G1/0/18和AFC设备的接口XGE1/0连接建立BGP邻居。
启用AFC和AFD的联动配置,实现AFD检测到防护主机被攻击后,通过互联口GE3/0同步牵引IP给AFC,AFC收到牵引IP后,使用BGP路由从核心设备处将流量牵引过来。
清洗后的流量AFC通过输出口直接回注到下层三层交换中,下层交换机根据本地路由表进行流量转发。组网如图13所示。
图13 AFC旁路部署三层回流模式配置组网图
具体实现如下:
· 流量镜像:在下层交换机上配置端口进行,将连接上层网络的接口G1/0/17的双向流量镜像到Ten-G1/0/49口,交换机的Ten-G1/0/49口连接到AFD的通道XGE1/0口;
· 核心设备与AFC建立BGP邻居:AFC通过XGE1/0接口和核心交换机建立BGP邻居;
· 主机路由发布:AFD检测到攻击后, 发送主机IP牵引消息给AFC,AFC通过BGP路由通告被保护主机IP,核心交换机收到AFC路由通告后,将主机牵引发送至AFC;
· 主机流量清洗: AFC通过清洗策略对主机流量中异常流量进行清洗;
· 流量重定向:核心交换机配置策略路由或QoS,并应用到在核心交换机与AFC连接的接口输入方向,实现清洗后的回流流量被转发到指定网络中。
表4 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1710 |
核心交换机与AFC建立BGP邻居; |
171.0.0.1/24 |
|
1711 |
· 核心交换机与下层网络连接的三层VLAN接口; · 下层交换机与核心交换机连接三层VLAN接口 |
171.0.1.1/24 171.0.1.2/24 |
|
1713 |
· 被保护主机所在的VLAN; · 被保护主机的网关地址 |
171.0.3.1/24 |
表5 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
XGE1/0 |
核心交换机L3SW1与AFC建立BGP邻居; |
171.0.0.2/24 |
|
Eth0 |
AFC管理口 |
183.1.0.24/24 |
表6 AFD接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
XGE1/0 |
· 接收下层设备发送的镜像流量; · 镜像模式,无需配置IP,如果配置,需要与网络地址无冲突 |
|
|
Eth0 |
AFD管理口 |
183.1.0.28/24 |
要实现AFC旁路部署BGP三层注入模式下与AFD联动配置,可按照如下思路进行配置:
(1) 配置流量检测
在下层交换机上启用端口镜像,将被保护主机或网络的与上层网络连接的端口作为镜像口,同时配置监控口,监控口接AFD的通道口;
(2) 建立BGP路由
在AFC和核心交换机上分别启用BGP进程,并互为邻居关系;
(3) 核心交换机流量转发策略配置
通过在核心交换机上建立策略路由或QoS匹配ACL规则实现被保护主机流量转发,并将策略路由或QoS应用到核心交换机与AFC连接的接口入方向;
(4) 主机路由牵引及流量清洗
AFC收到AFD主机IP牵引消息,向核心交换机发布受保护主机的路由下一跳到AFC,AFC根据防御策略对主机流量进行清洗,将清洗后的流量回注到下层网络中;
要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:bypass
> systools bootrom bypass
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
> systools reboot
type 'SURE' to confirm rebooting ... sure
需手动输入“sure”后才会执行重启操作。
配置路由协议前,请先确保在Web页面中的“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 1 XGE1/0 XGE1/0
modified the startup script with channel 1 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置XGE1/0接口IP为171.0.0.2/24,配置对端接口(即核心交换机G1/0/18)IP为171.0.0.1
图14 配置AFC与核心交换连接的接口IP
配置【AFC】BGP路由
# SSH登录【AFC】
Welcome, admin. This is the CLI of H3C Abnormal Flow Cleaning System ( H3C-AFC )
Hit '?' for help, 'TAB' for command complementation
admin@183.1.0.24# > config router
H3C# config terminal
H3C(config)#
H3C(config)#router bgp 65534
//配置BGP,AS号位65534
H3C(config-router)#bgp router-id 171.0.0.2
//配置本地router id
H3C(config-router)#bgp scan-time 5
H3C(config-router)#neighbor 171.0.0.1 remote-as 65535
//配置对端邻居,as号位65535
H3C(config-router)#neighbor 171.0.0.1 soft-reconfiguration inbound
//配置软重启,当BGP发生变化时不需要重启进程,防止数据中断
H3C(config-router)#neighbor 171.0.0.1 route-map afc out
//给邻居发送路由更新时要符合afc路由策略
# 配置route-map
H3C(config)# route-map afc permit 10
H3C(config-route-map)# set community no-export no-advertise
//配置route-map,发送给对端的路由信息携带(no-export no-advertise)属性,当对端收到携带此标记的路由信息后不会传给其他邻居
# 保存配置
H3C# write
Configuration saved to /mnt/storage/etc/dsfw/bgpd.conf
# 查看配置
H3C# show running-config
Current configuration:
!
hostname H3C
password admin
log stdout
!
router bgp 65534
bgp router-id 171.0.0.2
bgp scan-time 5
neighbor 171.0.0.1 remote-as 65535
neighbor 171.0.0.1 soft-reconfiguration inbound
neighbor 171.0.0.1 route-map afc out
!
route-map afc permit 10
set community no-export no-advertise
!
line vty
!
end
默认系统有一个AS号为7675的BGP进程,如果需要手动指定AS号,可以使用no命令删除默认的AS号为7675的BGP进程,并重新建立新的指定AS号的BGP进程。
H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
使用SSH方式登录AFD CLI配置视图:
# 修改【AFD】通道
> config startup-script channel_device 0 XGE1/0
modified the startup script with channel 0 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
图15 查看AFD通道
# 依次配置【AFC】和【AFD】设备同步口IP地址,本实例中均为GE3/0,分别为10.10.10.1/24和10.10.10.2/24。
说明:
AFC和AFD的同步接口不需要名称一模一样。
管理口不能当做同步口。
图16 AFC设备同步口IP
图17 AFD设备同步口IP
添加防护范围及回注方式
在AFD和AFC上配置防护范围,防护主机会自动学习到。
防护范围及回注方式,回注方式选择“默认”,回注参数留空。
图18 配置AFD和AFC防护范围及回注参数
创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机与【AFC】XGE1/0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由
# 创建VLAN
[L3SW1]vlan 1710 to 1711
# 配置VLAN IP
[L3SW1]interface Vlan-interface1710
[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[L3SW1-Vlan-interface1710]quit
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
# 将对应端口加入到对于VLAN中,将G1/0/18加入VLAN 1710,将G1/0/17加入到VLAN 1711
[L3SW1]interface GigabitEthernet1/0/17
[L3SW1-GigabitEthernet1/0/17]port link-mode bridge
[L3SW1-GigabitEthernet1/0/17]port access vlan 1711
[L3SW1-GigabitEthernet1/0/17]quit
interface GigabitEthernet1/0/18
[L3SW1-GigabitEthernet1/0/18]port link-mode bridge
[L3SW1-GigabitEthernet1/0/18]port access vlan 1710
[L3SW1-GigabitEthernet1/0/18]quit
# 配置BGP进程
[L3SW1]#bgp 65535
// 配置BGP,AS号为65535
[L3SW1-bgp]router-id 171.0.0.1
//配置路由器的Router ID
[L3SW1-bgp]undo synchronization
[L3SW1-bgp] address-family ipv4
[L3SW1-bgp-ipv4]peer 171.0.0.2 enable
//与对端启用ipv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息,H3C设备默认是不能与对等体交换IPv4单播路由信息
[L3SW1-bgp]peer 171.0.0.2 as-number 65534
//配置对端邻居,对端AS号为65534
[L3SW1-bgp]peer 171.0.0.2 description afc2100
//配置对端描述,对端为afc2100
[L3SW1-bgp]peer 171.0.0.2 preferred-value 1
//为从对等体接收的路由分配首选值,值越小越优先
[L3SW1-bgp]peer 171.0.0.2 keep-all-routes
//保存所有来自对等体/对等体组的原始路由信息,即使这些路由没有通过已配置的入口策略
如果配置的BGP IPv6协议,需要进入BGP IPv6单播视图。
# 查看BGP对端
[L3SW1] display bgp peer
BGP local router ID : 171.0.0.1
Local AS number : 65535
Total number of peers : 1 Peers in established state : 1
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
171.0.0.2 65534 5 3 0 0 00:01:59 Established
# 配置回流流量转发策略,实现将AFC清洗后的正常流量转发到下层网络
AFC旁路三层回流模式三层设备上转发策略有两种,一种是策略路由,一种是QoS
方法一:策略路由PBR
# 配置ACL匹配牵引IP地址段
[L3SW1]acl number 3003
[L3SW1-acl-adv-3003]rule 1 permit ip destination 171.0.3.0 0.0.0.255
[L3SW1-acl-adv-3003]quit
# 配置访问控制列表3003,匹配目的地址为171.0.3.0/24网段
# 创建策略路由
[L3SW1]policy-based-route p_afc_out permit node 5
[L3SW1]if-match acl 3003
[L3SW1]apply ip-address next-hop 171.0.1.2
# 配置策略路由行为p_afc_out,下一条发送给171.0.1.2即上层网络与下层网络连接的直连路由IP地址,请根据你部署的实际地址进行配置
# 在三层接口应用策略路由
[L3SW1]interface Vlan-interface1710
[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[L3SW1-Vlan-interface1710]ip policy-based-route p_afc_out
# 在应用策略路由的时候,如果是接口是route模式,直接在接口上应用策略路由,如果接口是bridge模式,请在接口所属的三层VLAN接口上配置策略路由,如上。
方法二:配置QoS
# 配置ACL匹配牵引IP地址段
[L3SW1]acl number 3003
[L3SW1-acl-adv-3003]rule 1 permit ip destination 171.0.3.0 0.0.0.255
[L3SW1-acl-adv-3003]quit
# 配置访问控制列表3003,匹配目的地址为171.0.3.0/24网段
# 创建qos流
[L3SW1]traffic classifier c_afc_in operator and
[L3SW1-classifier-c_afc_in]if-match acl 3003
# 配置类c_afc_in,满足访问控制列表3003的流量都归为此类
# 创建QoS行为
[L3SW1]traffic behavior b_afc_out
[L3SW1-behavior-b_afc_out]redirect next-hop 171.0.1.2 fail-action forward
# 配置流行为b_afc_out,下一条发送给171.0.1.2即上层网络与下层网络连接的直连路由IP地址,请根据你部署的实际地址进行配置
# 创建QoS
[L3SW1]qos policy q_afc_out
[L3SW1-qospolicy-q_afc_out]classifier c_afc_in behavior b_afc_out
# 配置策略q_afc_out,如果满足类c_afc_in,则执行行为b_afc_out
# 应用qos到接口
[L3SW1]int GigabitEthernet 1/0/18
[L3SW1-GigabitEthernet1/0/18]port link-mode bridge
[L3SW1-GigabitEthernet1/0/18]port access vlan 1710
[L3SW1-GigabitEthernet1/0/18]qos apply policy q_afc inbound
# 把策略q_afc_out应用到与【AFC】直连的三层设备接口的入口方向,也可以在三层VLAN接口上配置。
为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。
# 在核心交换机上启用OSPF进程与下层网络进行路由信息交换
[L3SW1]ospf 1
[L3SW2-ospf-1]area 0
[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255
[L3SW2-ospf-1-area-0.0.0.0]quit
# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0 ,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通
创建VLAN 1711和VLAN 1713,其中VLAN 1711对应171.0.1.0/24网段,作用为核心交换机L3SW1与下层网络直连路由,VLAN 1713对于171.0.3.0/24网段,为下层网络所在网段。
# 创建VLAN
[L3SW2]vlan 1711
[L3SW2-vlan1711]quit
[L3SW2]vlan 1713
[L3SW2-vlan1713]quit
# 配置VLAN IP
[L3SW2]int Vlan-interface 1711
[L3SW2-Vlan-interface1711]ip address 171.0.1.2 24
[L3SW2-Vlan-interface1711]quit
[L3SW2]int Vlan-interface 1713
[L3SW2-Vlan-interface1711]ip address 171.0.3.1 24
[L3SW2-Vlan-interface1711]quit
# 将接口加入到VLAN,将G1/0/13加入到VLAN 1713,将G1/0/17加入到VLAN 1711
[L3SW2]interface GigabitEthernet1/0/13
//连接被保护主机
[L3SW2-GigabitEthernet1/0/13]port link-mode bridge
[L3SW2-GigabitEthernet1/0/13]port access vlan 1713
[L3SW2-GigabitEthernet1/0/13]quit
[L3SW2]interface GigabitEthernet1/0/17
//连接上层三层交换机
[L3SW2-GigabitEthernet1/0/17]port link-mode bridge
[L3SW2-GigabitEthernet1/0/17]port access vlan 1711
[L3SW2-GigabitEthernet1/0/17]quit
配置端口镜像,将下层网络与上层网络连接的G1/0/17口双向流量镜像到Ten-G1/0/49,Ten-G1/0/49连接AFD的通道口
# 创建端口镜像组及镜像口和监控口
[L3SW2]mirroring-group 2 local
[L3SW2]mirroring-group 2 mirroring-port GigabitEthernet 1/0/17 both
[L3SW2]mirroring-group 2 monitor-port Ten-GigabitEthernet 1/0/49
为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。
# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换
[L3SW2]ospf 1
[L3SW2-ospf-1]area 0
[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255
[L3SW2-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255
[L3SW2-ospf-1-area-0.0.0.0]quit
//为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0 ,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通
(1) 验证核心交换机L3SW1与【AFC】通道口是否互通
通过ping来测试核心交换机是否与AFC路由相通
[L3SW1]ping -a 171.0.0.1 171.0.0.2
PING 171.0.0.2: 56 data bytes, press CTRL_C to break
Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms
--- 171.0.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
(2) 验证核心交换机L3SW1与【AFC】路由牵引是否成功
未在对被保护IP 171.0.3.21发起DDoS攻击是,查看L3SW1的BGP路由表
# 查看核心交换机路由表
[L3SW1]display bgp routing-table
Total Number of Routes: 0
对受保护主机发送DNS Flood攻击
图19 在AFD查看受保护主机状态
在AFD检测到攻击流量后,主机状态变为红色,进入保护状态。
图20 在AFC上查看受保护主机状态主机流量已经牵引至AFC
查看核心交换机上BGP路由
[L3SW1]display bgp routing-table
Total Number of Routes: 2
BGP Local router ID is 171.0.0.1
Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
* > 171.0.3.21/32 171.0.0.2 0 1 65534i
* > 171.0.4.2 0 1 65534i
当攻击结束后,释放牵引IP的时间有AFC全局参数中“保护牵引时间”决定
图21 AFC中保护牵引时间设置
(3) 防护主机牵引状态下验证客户端与服务端是否互通
在防护主机流量处于牵引状态时,从攻击客户端ping防护主机测试策略路由已配置成功。
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.3.21
PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.
64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
