- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-Flowspec配置
本章节下载: 06-Flowspec配置 (447.90 KB)
目 录
1.4.6 配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配
1.4.7 配置禁用IPv4 Flowspec路由的流量动作
1.4.9 限制从BGP对等体/对等体组接收的IPv4 Flowspec路由数量
1.4.10 配置发布IPv4 Flowspec路由团体属性
1.4.11 提高邻居Flowspec路由参与优选时的优先级
1.5.6 配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配
1.5.7 配置禁用IPv6 Flowspec路由的流量动作
1.5.9 限制从BGP对等体/对等体组接收的IPv6 Flowspec路由数量
1.5.10 配置发布IPv6 Flowspec路由团体属性
Flowspec(Flow Specification,流规格)用来实现对BGP网络中的非法流量进行过滤与巡查,以减轻DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击对网络的影响。借助BGP路由更新,Flowspec针对攻击流量的特点,可集中配置和管理匹配规则以及流量动作,并快速地将匹配规则和流量动作应用到其他BGP路由器中。
· Flowspec路由器:也称为Flowspec控制器,为BGP网络中的BGP路由器,通过BGP Update报文,向Flowspec边界路由器传递包含匹配规则以及流量动作的Flowspec路由。
· Flowspec边界路由器:也称为Flowspec客户端,为BGP网络中的BGP路由器,可接收BGP Update报文中Flowspec路由器创建的Flowspec路由。
配置Flowspec时,应选取BGP网络中的一台BGP路由器作为Flowspec路由器,网络中的其他BGP路由器作为Flowspec边界路由器。
为支持Flowspec,MP-BGP定义了Flowspec IPv4地址族、Flowspec VPNv4地址族、Flowspec IPv6地址族和Flowspec VPNv6地址族,并新增了Flowspec NLRI(Network Layer Reachability Information,网络层可达性信息),即Flowspec路由。通过Flowspec IPv4地址族、Flowspec VPNv4地址族、Flowspec IPv6地址族和Flowspec VPNv6地址族,Flowspec可以将携带匹配规则和流量动作的Flowspec路由在公网和VPN实例中进行传播。
如图1-1所示,通过BGP路由更新的形式,Flowspec路由器向Flowspec边界路由器发布Flowspec路由,Flowspec边界路由器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的转发平面,从而对进入设备的流量采取适当的流量动作。Flowspec路由同样也支持跨AS传输,从而实现在最接近攻击源的设备上对攻击流量进行管控,这样能够最大程度地减少攻击流量对网络转发性能的影响。
与Flowspec相关的协议规范有:
· RFC 5575:Dissemination of Flow Specification Rules
· RFC 7674:Clarification of the Flowspec Redirect Extended Community
· draft-ietf-idr-bgp-prefix-sid
· draft-ietf-idr-flowspec-path-redirect
· draft-ietf-spring-segment-routing-policy
配置Flowspec前,需要在Flowspec路由器和Flowspec边界路由器上配置BGP基本功能,具体配置请参见“三层技术-IP路由配置指导”中的“BGP”。
配置对接收到或发布给对等体/对等体组的Flowspec路由应用路由策略时,不建议使用apply extcommunity color命令来配置Color扩展团体属性。Color扩展团体属性仅在将流量重定向到SR-MPLS TE Policy/SRv6 TE Policy的场景中生效,如果需要保证Color扩展团体属性生效,请同时配置流量重定向到下一跳动作,并保证Flowspec边界路由器上存在该下一跳地址和Color属性对应的SR-MPLS TE Policy/SRv6 TE Policy。
仅下表所列单板支持本功能。
表1-1 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
需要在Flowspec路由器上创建并激活Flowspec路由。
(2) (可选)配置Flowspec接口组
需要在Flowspec路由器上应用Flowspec路由。
需要在Flowspec路由器和Flowspec边界路由器上配置BGP发布Flowspec路由。
(5) (可选)配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配
可以在Flowspec路由器和Flowspec边界路由器上配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配。
(6) (可选)配置禁用IPv4 Flowspec路由的流量动作
在Flowspec边界路由器上配置禁用IPv4 Flowspec路由的QoS策略功能。
(7) (可选)配置BGP Flowspec路由反射
需要在Flowspec路由器上配置BGP Flowspec路由反射。
(8) (可选)限制从BGP对等体/对等体组接收的IPv4 Flowspec路由数量
在Flowspec边界路由器上配置限制从BGP对等体/对等体组接收的IPv4 Flowspec路由数量。
(9) (可选)配置发布IPv4 Flowspec路由团体属性
在Flowspec路由器上配置发布IPv4 Flowspec路由团体属性。
(10) (可选)提高邻居Flowspec路由参与优选时的优先级
(11) (可选)关闭接口的IPv4 Flowspec功能
(12) (可选)配置接口作为回注流量的入接口
(1) 进入系统视图。
system-view
(2) 创建IPv4 Flowspec路由。
flow-route flowroute-name
(3) 定义Flowspec路由的报文匹配规则。
if-match match-criteria
(4) 配置Flowspec路由的流量动作。请选择其中一项进行配置。
¡ 配置流量丢弃动作。
apply deny
¡ 配置流量重定向到下一跳动作。
apply redirect next-hop { ipv4-address [ copy-mode ] | ipv6-address }
¡ 配置流量重定向到SR-MPLS TE Policy动作。
apply redirect next-hop ipv4-address color color
¡ 配置流量重定向到SRv6 TE Policy动作。
apply redirect next-hop ipv6-address color color [ sid sid-value ]
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-2 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
¡ 配置流量重定向到SRv6 BE隧道动作。
apply redirect next-hop ipv6-address sid sid-value [ prefix-length prefix-length ]
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-3 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
¡ 流量重定向到指定的Tunnel接口动作
apply redirect tunnel-id tunnel-id
¡ 配置流量重定向到指定的Route Target动作。
apply redirect vpn-target import-vpn-target
¡ 配置重新标记报文DSCP值的动作。
apply remark-dscp dscp-value
¡ 配置流量限速动作。
apply traffic-rate rate
¡ 配置采样动作。
apply traffic-sampling
缺省情况下,Flowspec路由中未配置流量动作。
(5) (可选)检查Flowspec路由下未生效的匹配规则及流量动作。
check flow-route-configuration
(6) 激活Flowspec路由中的匹配规则及流量动作。
commit
缺省情况下,Flowspec路由下配置的匹配规则及流量动作未生效。
缺省情况下,Flowspec路由器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的所有接口,并对所有接口上符合规则的流量采取动作。如果要针对某些特定的接口应用Flowspec路由中的匹配规则和流量动作,则可以配置本功能并将Flowspec接口组与Flowspec路由关联。
同一个接口只能加入一个Flowspec接口组。
(1) 进入系统视图。
system-view
(2) 创建Flowspec接口组,并进入Flowspec接口组视图。
flowspec flow-interface-group group-id
(3) (可选)配置Flowspec接口组的描述信息。
description text
(4) 向Flowspec接口组中添加成员接口。
interface interface-type interface-number
缺省情况下,Flowspec接口组中不存在接口。
对于Flowspec IPv4地址族视图下已应用的Flowspec路由,若要为其关联Flowspec接口组,则需要先执行undo flow-route命令删除该Flowspec路由后,再执行flow-route flow-interface-group命令将该Flowspec路由与Flowspec接口组关联。
同一个Flowspec路由可以关联多个Flowspec接口组。同一个Flowspec接口组也可以关联到多个Flowspec路由。
(1) 进入系统视图。
system-view
(2) 进入Flowspec视图。
flowspec
(3) 创建Flowspec IPv4地址族。
address-family ipv4
(4) 应用已创建的IPv4 Flowspec路由,请至少选择其中一项进行配置。
¡ 应用已创建的普通IPv4 Flowspec路由。
flow-route flowroute-name
缺省情况下,公网中未应用IPv4 Flowspec路由。
¡ 应用关联了Flowspec接口组的IPv4 Flowspec路由。
flow-route flowroute-name flow-interface-group group-id
缺省情况下,IPv4 Flowspec路由未关联Flowspec接口组。
(1) 进入系统视图。
system-view
(2) 配置VPN实例。
a. 创建VPN实例,并进入VPN实例视图。
ip vpn-instance vpn-instance-name
b. 配置VPN实例的RD。
route-distinguisher route-distinguisher
缺省情况下,未配置VPN实例的RD。
c. 配置VPN实例的Route Target。
vpn-target { vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ] }
缺省情况下,未配置VPN实例的Route Target。
关于ip vpn-instance、route-distinguisher和vpn-target命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L3VPN”。
(3) 进入VPN实例IPv4 Flowspec地址族视图。
address-family ipv4 flowspec
(4) 配置VPN实例下IPv4 Flowspec地址族的RD。
route-distinguisher route-distinguisher
缺省情况下,未配置VPN实例下IPv4 Flowspec地址族的RD。
(5) 配置VPN实例下IPv4 Flowspec地址族的VPN target。
vpn-target vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ]
缺省情况下,未配置VPN实例下IPv4 Flowspec地址族的VPN target。
VPN实例IPv4 Flowspec地址族的VPN target必须与之前配置的VPN实例的Route target保持一致。
(6) 依次执行以下命令退回系统视图。
a. quit
b. quit
(7) 进入Flowspec视图。
flowspec
(8) 创建Flowspec IPv4 VPN实例地址族并关联已创建的VPN实例。
address-family ipv4 vpn-instance vpn-instance-name
(9) 应用已创建的IPv4 Flowspec路由,请选择其中一项进行配置。
¡ 应用已创建的普通IPv4 Flowspec路由。
flow-route flowroute-name
缺省情况下,VPN实例中未应用IPv4 Flowspec路由。
¡ 应用关联Flowspec接口组的Flowspec路由。
flow-route flowroute-name flow-interface-group group-id
缺省情况下,IPv4 Flowspec路由未关联Flowspec接口组。
缺省情况下,BGP Flowspec邻居会对收到的IPv4 Flowspec路由及路由重定向下一跳的合法性进行验证。
· IPv4 Flowspec路由合法指的是:
¡ IPv4 Flowspec路由携带了匹配目的地址的规则。
¡ BGP Flowspec邻居(接收及发送该IPv4 Flowspec路由的设备)上存在目的地址为“IPv4 Flowspec路由目的地址”的BGP路由,且该BGP路由来自发送设备。
当AS域内的地址可以信赖,无需对域内产生并发布的地址进行检查时,可以配置仅对AS_Path属性中包含AS_SET或AS_SEQ类型AS的BGP Flowspec路由进行目的地址匹配规则合法性检查。
不关注IPv4 Flowspec路由合法性的情况下,也可以关闭Flowspec路由合法性验证功能,此时BGP Flowspec邻居收到IPv4 Flowspec路由后,不会对其进行合法性验证。
· IPv4 Flowspec路由的重定向下一跳合法指的是(假设IPv4 Flowspec路由的重定向下一跳为设备A):
¡ BGP Flowspec邻居上存在设备A的BGP路由。
¡ 设备A与BGP Flowspec邻居在同一AS内。
在不关注IPv4 Flowspec路由重定向下一跳合法性的情况下,可以关闭本功能,BGP Flowspec邻居收到IPv4 Flowspec路由后,不会对其进行合法性验证。
在Flowspec路由器上配置BGP发布IPv4 Flowspec路由时,该IPv4 Flowspec路由会通过BGP路由发布给Flowspec边界路由器,同时也会在本Flowspec路由器上生效。
关于bgp和peer enable命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP”。
(1) 进入系统视图。
system-view
(2) 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
(3) 允许BGP Flowspec邻居间交换路由信息。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable
缺省情况下,BGP Flowspec邻居间不能交换路由信息。
(4) (可选)配置仅对AS_Path属性中包含AS_SET或AS_SEQ类型AS的BGP Flowspec路由进行目的地址匹配规则合法性检查。
route validation-mode include-as
缺省情况下,无论AS_Path属性中是否包含AS_SET或AS_SEQ类型,均对Flowspec路由进行目的地址匹配规则合法性验证。
(5) (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable
缺省情况下,会对接收的IPv4 Flowspec路由进行合法性验证。
(6) (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的重定向下一跳合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable
缺省情况下,EBGP Flowspec邻居会对接收的IPv4 Flowspec路由进行重定向下一跳合法性验证。
(7) (可选)配置向对等体发送路由时不改变下一跳。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable
缺省情况下,向EBGP对等体/对等体组发布IPv4 Flowspec路由时会将下一跳属性改为自己的地址。
(8) (可选)配置收到的带有重定向到下一跳IP地址属性的路由可以迭代隧道。
redirect ip recursive-lookup tunnel [ tunnel-selector tunnel-selector-name ]
缺省情况下,收到的带有重定向到下一跳IP地址属性的路由不能迭代隧道。
(9) (可选)配置IPv4 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x010C。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible
缺省情况下,IPv4 Flowspec路由的重定向下一跳属性ID为0x0800。
(10) (可选)配置IPv4 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible
缺省情况下,IPv4 Flowspec路由的重定向到VPN Target属性ID为0x800B。
(11) (可选)禁止应用Flowspec路由的重定向下一跳动作。
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop
缺省情况下,允许应用Flowspec路由的重定向下一跳动作。
(1) 进入系统视图。
system-view
(2) 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
(3) 允许BGP Flowspec邻居间交换路由信息。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable
缺省情况下,BGP Flowspec邻居间不能交换路由信息。
(4) (可选)配置仅对AS_Path属性中包含AS_SET或AS_SEQ类型AS的BGP Flowspec路由进行目的地址匹配规则合法性检查。
route validation-mode include-as
缺省情况下,无论AS_Path属性中是否包含AS_SET或AS_SEQ类型,均对Flowspec路由进行目的地址匹配规则合法性验证。
(5) (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable
缺省情况下,会对接收的IPv4 Flowspec路由进行合法性验证。
(6) (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的重定向下一跳合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable
缺省情况下,EBGP Flowspec邻居会对接收的IPv4 Flowspec路由进行重定向下一跳合法性验证。
(7) (可选)配置向EBGP对等体发送路由时不改变下一跳地址。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable
缺省情况下,向EBGP对等体/对等体组发布IPv4 Flowspec路由时会将下一跳属性改为自己的地址。
(8) (可选)配置IPv4 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x010C。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible
缺省情况下,IPv4 Flowspec路由的重定向下一跳属性ID为0x0800。
(9) (可选)配置IPv4 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible
缺省情况下,IPv4 Flowspec路由的重定向到VPN Target属性ID为0x800B。
(10) (可选)禁止应用Flowspec路由的重定向下一跳动作。
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop
缺省情况下,允许应用Flowspec路由的重定向下一跳动作。
(1) 进入系统视图。
system-view
(2) 请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv4 flowspec
(3) 允许BGP Flowspec邻居间交换路由信息。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable
缺省情况下,BGP Flowspec邻居间不能交换路由信息。
(4) (可选)配置向EBGP对等体发送VPNv4 Flowspec路由时不改变下一跳地址。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable
缺省情况下,向EBGP对等体/对等体组发布VPNv4 Flowspec路由时会将下一跳属性改为自己的地址。
(5) (可选)配置IPv4 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x010C。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible
缺省情况下,IPv4 Flowspec路由的重定向下一跳属性ID为0x0800。
(6) (可选)配置IPv4 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible
缺省情况下,IPv4 Flowspec路由的重定向到VPN Target属性ID为0x800B。
BGP Flowspec路由中不携带路由前缀信息,只有流量匹配规则和流量转发动作。缺省情况下,使用匹配目的地址规则的路由策略来过滤Flowspec路由或修改Flowspec路由的属性时,所有Flowspec路由将以路由前缀0.0.0.0/0去匹配路由策略中的目的地址,设备无法对Flowspec路由进行精确地过滤和路由属性控制。
通过配置本功能,将Flowspec路由匹配规则中的目的地址前缀(即if-match规则中的destination-ip)作为路由前缀进行路由策略匹配,可以实现灵活地过滤Flowspec路由或修改Flowspec路由的属性。
配置本功能前需要在创建的Flowspec路由中指定匹配目的地址规则。
本功能需要与peer route-policy命令配合使用,且路由策略中需要指定匹配目的地址的规则。关于peer route-policy命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP”。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv4 Flowspec地址族视图、BGP-VPN IPv4 Flowspec地址族视图或BGP VPNv4 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv4 flowspec
(3) 配置对接收到或发布给对等体/对等体组的Flowspec路由应用路由策略。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } route-policy route-policy-name { export | import }
(4) 配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配。
route match-destination
缺省情况下,将所有Flowspec路由作为缺省路由进行路由策略匹配。
执行本功能后,对于调用的路由策略匹配到的IPv4 Flowspec路由,BGP不会通知QoS模块执行该Flowspec路由相应的流量动作,以防止本设备上执行不需要的流量动作。
若本功能使用了匹配目的地址规则的路由策略,则BGP按照如下规则过滤接收到的Flowspec路由:
· 未配置route match-destination命令时,IPv4 Flowspec路由将以路由前缀0.0.0.0/0去匹配路由策略中的目的地址相关规则,这意味着所有路由均可通过路由策略的过滤。
· 配置了route match-destination命令后,IPv4 Flowspec路由将以其匹配规则中的目的地址进行路由策略匹配,以对Flowspec路由进行更精确地匹配。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv4 Flowspec地址族视图或BGP-VPN IPv4 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
(3) 配置禁用IPv4 Flowspec路由的流量动作。
routing-table bgp-rib-only [ route-policy route-policy-name ]
缺省情况下,允许执行IPv4 Flowspec路由的流量动作。
路由反射用来解决IBGP对等体需要全连接的问题。在一个AS内,一台路由器作为RR(Route Reflector,路由反射器),其它路由器作为客户机(Client)与路由反射器建立IBGP连接。路由反射器在客户机之间传递(反射)路由信息,而客户机之间不需要建立BGP连接。
路由反射器及其客户机形成了一个集群。通常情况下,一个集群中只有一个路由反射器,该反射器的Router ID就作为集群ID,用于识别该群。
(1) 进入系统视图
system-view
(2) 进入BGP IPv4 Flowspec地址族视图、BGP-VPN IPv4 Flowspec地址族视图或BGP VPNv4 Flowspec地址族视图。请选择其中一项进行配置。
¡ 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv4 flowspec
(3) 配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } reflect-client
缺省情况下,未配置路由反射器及其客户机。
(4) (可选)配置不对接收到的VPNv4 Flowspec路由进行Route Target过滤。
undo policy vpn-target
缺省情况下,对接收到的VPNv4 Flowspec路由进行Route Target过滤,即只将Export Route Target属性与本地Import Route Target属性匹配的VPNv4 Flowspec路由加入到路由表。
本命令仅支持在BGP VPNv4 Flowspec地址族视图执行。
(5) (可选)允许路由反射器在客户机之间反射路由。
reflect between-clients
缺省情况下,允许路由反射器在客户机之间反射路由。
(6) (可选)配置路由反射器的集群ID。
reflector cluster-id { cluster-id | ipv4-address }
缺省情况下,每个路由反射器都使用自己的Router ID作为集群ID。
通过本配置可以避免攻击者向路由器发送大量的BGP IPv4 Flowspec路由,对路由器进行攻击。
当路由器从指定对等体/对等体组接收的路由数量超过指定的最大值时,可以选择以下处理方式:
· 路由器中断与该对等体/对等体组的BGP会话,不再尝试重建会话。
· 路由器保持与该对等体/对等体组的BGP会话,可以继续接收路由,仅打印日志信息。
· 路由器保持与该对等体/对等体组的BGP会话,丢弃超出限制的路由,并打印日志信息。
· 路由器中断与该对等体/对等体组的BGP会话,经过指定的时间后自动与对等体/对等体组重建会话。
执行本配置任务时,还可以指定路由器产生日志信息的阈值,即路由器接收的路由数量与配置的最大值的百分比达到指定的阈值时,路由器将产生日志信息。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv4 Flowspec地址族视图、BGP-VPN IPv4 Flowspec地址族视图或BGP VPNv4 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv4 flowspec
(3) 配置允许从对等体/对等体组接收的路由的最大数量。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } route-limit prefix-number [ { alert-only | discard | reconnect reconnect-time } | percentage-value ] *
缺省情况下,不限制从对等体/对等体组接收的IPv4 Flowspec路由数量。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv4 Flowspec地址族视图、BGP-VPN IPv4 Flowspec地址族视图或BGP VPNv4 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv4 flowspec
(3) 配置向对等体/对等体组发布团体属性。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } advertise-community
缺省情况下,不向对等体/对等体组发布团体属性。
执行本配置后,BGP将会优选从本配置指定的对等体/对等体组学习到的路由。该选路规则应用于“依次选择从EBGP、联盟EBGP、联盟IBGP、IBGP学来的路由”之后,“优选IGP Metric值最小的路由”之前。有关BGP选路规则的详细介绍,请参见“三层技术-IP路由配置指导”中的“BGP”。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv4 Flowspec地址族视图、BGP-VPN IPv4 Flowspec地址族视图或BGP VPNv4 Flowspec地址族视图。请选择其中一项进行配置。
¡ 请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 flowspec
¡ 请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv4 flowspec
(3) 为指定对等体/对等体组设置高优先级,路由选路时优选从该对等体/对等体组学习到的路由。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } high-priority
缺省情况下,BGP不为指定对等体/对等体组设置高优先级,选路规则不发生变化。
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-4 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 关闭接口的IPv4 Flowspec功能。
flowspec disable
缺省情况下,接口的IPv4 Flowspec功能处于开启状态。
通过Flowspec,可以将流量重定向到一台流量清洗设备,对攻击流量进行清洗后,流量清洗设备将正常的业务流量回注到网络中,从而避免DoS/DDoS攻击。为了避免回注流量再次匹配上Flowspec规则,又一次重定向到流量清洗设备,需要在接收清洗后流量的入接口上配置本命令。
配置本命令后,无论该接口是否绑定了VPN实例,回注流量进入该接口后都将进行公网转发。
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-5 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口作为回注流量的入接口。
flowspec refluence
缺省情况下,接口不作回注流量入接口。
需要在Flowspec路由器上创建并激活Flowspec路由。
(2) (可选)配置Flowspec接口组
需要在Flowspec路由器上应用Flowspec路由。
需要在Flowspec路由器和Flowspec边界路由器上配置BGP发布Flowspec路由。
(5) (可选)配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配
可以在Flowspec路由器和Flowspec边界路由器上配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配。
(6) (可选)配置禁用IPv6 Flowspec路由的流量动作
在Flowspec边界路由器上配置禁用IPv6 Flowspec路由的QoS策略功能。
(7) (可选)配置BGP Flowspec路由反射
需要在Flowspec路由器上配置BGP Flowspec路由反射。
(8) (可选)限制从BGP对等体/对等体组接收的IPv6 Flowspec路由数量
在Flowspec边界路由器上配置限制从BGP对等体/对等体组接收的IPv6 Flowspec路由数量。
(9) (可选)配置发布IPv6 Flowspec路由团体属性
在Flowspec路由器上配置发布IPv6 Flowspec路由团体属性。
(10) (可选)提高邻居Flowspec路由参与优选时的优先级
(11) (可选)关闭接口的IPv6 Flowspec功能
(12) (可选)配置接口作为回注流量的入接口
(1) 进入系统视图。
system-view
(2) 创建IPv6 Flowspec路由。
flow-route flowroute-name ipv6
(3) 定义Flowspec路由的报文匹配规则。
if-match match-criteria
(4) 配置Flowspec路由的流量动作。请选择其中一项进行配置。
¡ 配置流量丢弃动作。
apply deny
¡ 配置流量重定向到下一跳动作。
apply redirect next-hop { ipv4-address | ipv6-address [ copy-mode ] }
¡ 配置流量重定向到SR-MPLS TE Policy动作。
apply redirect next-hop ipv4-address color color
¡ 配置流量重定向到SRv6 TE Policy动作。
apply redirect next-hop ipv6-address color color [ sid sid-value ]
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-6 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
¡ 配置流量重定向到SRv6 BE隧道动作。
apply redirect next-hop ipv6-address sid sid-value [ prefix-length prefix-length ]
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-7 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
¡ 流量重定向到指定的Tunnel接口动作
apply redirect tunnel-id tunnel-id
¡ 配置流量重定向到指定的Route Target动作。
apply redirect vpn-target import-vpn-target
¡ 配置重新标记报文DSCP值的动作。
apply remark-dscp dscp-value
¡ 配置流量限速动作。
apply traffic-rate rate
¡ 配置采样动作。
apply traffic-sampling
缺省情况下,Flowspec路由中未配置流量动作。
(5) (可选)检查Flowspec路由下未生效的匹配规则及流量动作。
check flow-route-configuration
(6) 激活Flowspec路由中的匹配规则及流量动作。
commit
缺省情况下,Flowspec路由下配置的匹配规则及流量动作未生效。
缺省情况下,Flowspec路由器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的所有接口,并对所有接口上符合规则的流量采取动作。如果要针对某些特定的接口应用Flowspec路由中的匹配规则和流量动作,则可以配置本功能并将Flowspec接口组与Flowspec路由关联。
同一个接口只能加入一个Flowspec接口组。
(1) 进入系统视图。
system-view
(2) 创建Flowspec接口组,并进入Flowspec接口组视图。
flowspec flow-interface-group group-id
(3) (可选)配置Flowspec接口组的描述信息。
description text
(4) 向Flowspec接口组中添加成员接口。
interface interface-type interface-number
缺省情况下,Flowspec接口组中不存在接口。
对于Flowspec IPv6地址族视图下已应用的Flowspec路由,若要为其关联Flowspec接口组,则需要先执行undo flow-route命令删除该Flowspec路由后,再执行本命令将该Flowspec路由与Flowspec接口组关联。
同一个Flowspec路由可以关联多个Flowspec接口组。同一个Flowspec接口组也可以关联到多个Flowspec路由。
(1) 进入系统视图。
system-view
(2) 进入Flowspec视图。
flowspec
(3) 创建Flowspec IPv6地址族。
address-family ipv6
(4) 应用已创建的IPv6 Flowspec路由,请选择其中一项进行配置。
¡ 应用已创建的普通IPv6 Flowspec路由。
flow-route flowroute-name
缺省情况下,公网中未应用IPv6 Flowspec路由。
¡ 应用关联了Flowspec接口组的IPv6 Flowspec路由。
flow-route flowroute-name flow-interface-group group-id
缺省情况下, IPv6 Flowspec路由未关联Flowspec接口组。
(1) 进入系统视图。
system-view
(2) 配置VPN实例。
a. 创建VPN实例,并进入VPN实例视图。
ip vpn-instance vpn-instance-name
b. 配置VPN实例的RD。
route-distinguisher route-distinguisher
缺省情况下,未配置VPN实例的RD。
c. 配置VPN实例的Route Target。
vpn-target { vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ] }
缺省情况下,未配置VPN实例的Route Target。
关于ip vpn-instance、route-distinguisher和vpn-target命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L3VPN”。
(3) 进入VPN实例IPv6 Flowspec地址族视图。
address-family ipv6 flowspec
(4) 配置VPN实例下IPv6 Flowspec地址族的RD。
route-distinguisher route-distinguisher
缺省情况下,未配置VPN实例下IPv6 Flowspec地址族的RD。
(5) 配置VPN实例下IPv6 Flowspec地址族的VPN target。
vpn-target vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ]
缺省情况下,未配置VPN实例下IPv6 Flowspec地址族的VPN target。
VPN实例IPv6 Flowspec地址族的VPN target必须与之前配置的VPN实例的Route target保持一致。
(6) 依次执行以下命令退回系统视图。
a. quit
b. quit
(7) 进入Flowspec视图。
flowspec
(8) 创建Flowspec IPv6 VPN实例地址族并关联已创建的VPN实例。
address-family ipv6 vpn-instance vpn-instance-name
(9) 应用已创建的IPv6 Flowspec路由,请至少选择其中一项进行配置。
¡ 应用已创建的普通IPv6 Flowspec路由。
flow-route flowroute-name
缺省情况下,VPN实例中未应用IPv6 Flowspec路由。
¡ 应用关联Flowspec接口组的Flowspec路由。
flow-route flowroute-name flow-interface-group group-id
缺省情况下,IPv6 Flowspec路由未关联Flowspec接口组。
缺省情况下,BGP Flowspec邻居会对收到的IPv6 Flowspec路由及路由重定向下一跳的合法性进行验证。IPv6 Flowspec路由及路由重定向下一跳的合法性验证条件和规则与IPv4 Flowspec路由及路由重定向下一跳的合法性验证条件和规则相同,详细介绍请参见“1.4.5 配置BGP发布IPv4 Flowspec路由”。
关于bgp和peer enable命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP”。
(1) 进入系统视图。
system-view
(2) 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
(3) 允许BGP Flowspec邻居间交换路由信息。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable
缺省情况下,BGP Flowspec邻居间不能交换路由信息。
(4) (可选)配置仅对AS_Path属性中包含AS_SET或AS_SEQ类型AS的BGP Flowspec路由进行目的地址匹配规则合法性检查。
route validation-mode include-as
缺省情况下,无论AS_Path属性中是否包含AS_SET或AS_SEQ类型,均对Flowspec路由进行目的地址匹配规则合法性验证。
(5) (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable
缺省情况下,会对接收的IPv6 Flowspec路由进行合法性验证。
(6) (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的重定向下一跳合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable
缺省情况下,EBGP Flowspec邻居会对接收的IPv6 Flowspec路由进行重定向下一跳合法性验证。
(7) (可选)配置向对等体发送路由时不改变下一跳。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable
缺省情况下,向EBGP对等体/对等体组发布IPv6 Flowspec路由时会将下一跳属性改为自己的地址。
(8) (可选)配置收到的带有重定向到下一跳IP地址属性的路由可以迭代隧道。
redirect ip recursive-lookup tunnel [ tunnel-selector tunnel-selector-name ]
缺省情况下,收到的带有重定向到下一跳IP地址属性的路由不能迭代隧道。
(9) (可选)配置IPv6 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x000C。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible
缺省情况下,IPv6 Flowspec路由的重定向下一跳属性ID为0x0800。
(10) (可选)配置IPv6 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即0x000D。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible
缺省情况下,IPv6 Flowspec路由的重定向到VPN Target属性ID为0x800B。
(11) (可选)禁止应用Flowspec路由的重定向下一跳动作。
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop
缺省情况下,允许应用Flowspec路由的重定向下一跳动作。
(1) 进入系统视图。
system-view
(2) 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
(3) 允许BGP Flowspec邻居间交换路由信息。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable
缺省情况下,BGP Flowspec邻居间不能交换路由信息。
(4) (可选)配置仅对AS_Path属性中包含AS_SET或AS_SEQ类型AS的BGP Flowspec路由进行目的地址匹配规则合法性检查。
route validation-mode include-as
缺省情况下,无论AS_Path属性中是否包含AS_SET或AS_SEQ类型,均对Flowspec路由进行目的地址匹配规则合法性验证。
(5) (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable
缺省情况下,会对接收的IPv6 Flowspec路由进行合法性验证。
(6) (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的重定向下一跳合法性验证功能。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable
缺省情况下,EBGP Flowspec邻居会对接收的IPv6 Flowspec路由进行重定向下一跳合法性验证。
(7) (可选)配置向EBGP对等体发送路由时不改变下一跳地址。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable
缺省情况下,向EBGP对等体/对等体组发布IPv6 Flowspec路由时会将下一跳属性改为自己的地址。
(8) (可选)配置IPv6 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x000C。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible
缺省情况下,IPv6 Flowspec路由的重定向下一跳属性ID为0x0800。
(9) (可选)配置Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible
缺省情况下,Flowspec路由的重定向到VPN Target属性ID为0x800B。
(10) (可选)禁止应用Flowspec路由的重定向下一跳动作。
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop
缺省情况下,允许应用Flowspec路由的重定向下一跳动作。
(1) 进入系统视图。
system-view
(2) 请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv6 flowspec
(3) 允许BGP Flowspec邻居间交换路由信息。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable
缺省情况下,BGP Flowspec邻居间不能交换路由信息。
(4) (可选)配置向EBGP对等体发送VPNv6 Flowspec路由时不改变下一跳地址。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable
缺省情况下,向EBGP对等体/对等体组发布VPNv6 Flowspec路由时会将下一跳属性改为自己的地址。
(5) (可选)配置IPv6 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x000C。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible
缺省情况下,IPv6 Flowspec路由的重定向下一跳属性ID为0x0800。
(6) (可选)配置IPv6 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即0x000D。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible
缺省情况下,IPv6 Flowspec路由的重定向到VPN Target属性ID为0x800B。
BGP Flowspec路由中不携带路由前缀信息,只有流量匹配规则和流量转发动作。缺省情况下,使用匹配目的地址规则的路由策略来过滤Flowspec路由或修改Flowspec路由的属性时,所有Flowspec路由将以路由前缀0::0/0去匹配路由策略中的目的地址,设备无法对Flowspec路由进行精确地过滤和路由属性控制。
通过配置本功能,将Flowspec路由匹配规则中的目的地址前缀(即if-match规则中的destination-ipv6)作为路由前缀进行路由策略匹配,可以实现灵活地过滤Flowspec路由或修改Flowspec路由的属性。
配置本功能前需要在创建的Flowspec路由中指定匹配目的地址规则。
本功能需要与peer route-policy命令配合使用,且路由策略中需要指定匹配目的地址的规则。关于peer route-policy命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP”。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv6 Flowspec地址族视图、BGP-VPN IPv6 Flowspec地址族视图或BGP VPNv6 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv6 flowspec
(3) 配置对接收到或发布给对等体/对等体组的Flowspec路由应用路由策略。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } route-policy route-policy-name { export | import }
(4) 配置根据Flowspec路由匹配规则中的目的地址进行路由策略匹配。
route match-destination
缺省情况下,将所有Flowspec路由作为缺省路由进行路由策略匹配。
执行本功能后,对于调用的路由策略匹配到的IPv6 Flowspec路由,BGP不会通知QoS模块执行该Flowspec路由相应的流量动作,以防止本设备上执行不需要的流量动作。
若本功能使用了匹配目的地址规则的路由策略,则BGP按照如下规则过滤接收到的Flowspec路由:
· 未配置route match-destination命令时,IPv6 Flowspec路由将以路由前缀0::0/0去匹配路由策略中的目的地址相关规则,这意味着所有路由均可通过路由策略的过滤。
· 配置了route match-destination命令后,IPv6 Flowspec路由将以其匹配规则中的目的地址进行路由策略匹配,以对Flowspec路由进行更精确地匹配。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv6 Flowspec地址族视图或BGP-VPN IPv6 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
(3) 配置禁用IPv6 Flowspec路由的流量动作。
routing-table bgp-rib-only [ route-policy route-policy-name ]
缺省情况下,允许执行IPv6 Flowspec路由的流量动作。
(1) 进入系统视图
system-view
(2) 进入BGP IPv6 Flowspec地址族视图、BGP-VPN IPv6 Flowspec地址族视图或BGP VPNv6 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv6 flowspec
(3) 配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } reflect-client
缺省情况下,未配置路由反射器及其客户机。
(4) (可选)配置不对接收到的VPNv6 Flowspec路由进行Route Target过滤。
undo policy vpn-target
缺省情况下,对接收到的VPNv6 Flowspec路由进行Route Target过滤,即只将Export Route Target属性与本地Import Route Target属性匹配的VPNv6 Flowspec路由加入到路由表。
本命令仅支持在BGP VPNv6 Flowspec地址族视图执行。
(5) (可选)允许路由反射器在客户机之间反射路由。
reflect between-clients
缺省情况下,允许路由反射器在客户机之间反射路由。
(6) (可选)配置路由反射器的集群ID。
reflector cluster-id { cluster-id | ipv4-address }
缺省情况下,每个路由反射器都使用自己的Router ID作为集群ID。
通过本配置可以避免攻击者向路由器发送大量的BGP IPv6 Flowspec路由,对路由器进行攻击。
当路由器从指定对等体/对等体组接收的路由数量超过指定的最大值时,可以选择以下处理方式:
· 路由器中断与该对等体/对等体组的BGP会话,不再尝试重建会话。
· 路由器保持与该对等体/对等体组的BGP会话,可以继续接收路由,仅打印日志信息。
· 路由器保持与该对等体/对等体组的BGP会话,丢弃超出限制的路由,并打印日志信息。
· 路由器中断与该对等体/对等体组的BGP会话,经过指定的时间后自动与对等体/对等体组重建会话。
执行本配置任务时,还可以指定路由器产生日志信息的阈值,即路由器接收的路由数量与配置的最大值的百分比达到指定的阈值时,路由器将产生日志信息。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv6 Flowspec地址族视图、BGP-VPN IPv6 Flowspec地址族视图或BGP VPNv6 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv6 flowspec
(3) 配置允许从对等体/对等体组接收的路由的最大数量。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } route-limit prefix-number [ { alert-only | discard | reconnect reconnect-time } | percentage-value ] *
缺省情况下,不限制从对等体/对等体组接收的IPv6 Flowspec路由数量。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv6 Flowspec地址族视图、BGP-VPN IPv6 Flowspec地址族视图或BGP VPNv6 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv6 flowspec
(3) 配置向对等体/对等体组发布团体属性。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } advertise-community
缺省情况下,不向对等体/对等体组发布团体属性。
执行本配置后,BGP将会优选从本配置指定的对等体/对等体组学习到的路由。该选路规则应用于“依次选择从EBGP、联盟EBGP、联盟IBGP、IBGP学来的路由”之后,“优选IGP Metric值最小的路由”之前。有关BGP选路规则的详细介绍,请参见“三层技术-IP路由配置指导”中的“BGP”。
(1) 进入系统视图。
system-view
(2) 进入BGP IPv6 Flowspec地址族视图、BGP-VPN IPv6 Flowspec地址族视图或BGP VPNv6 Flowspec地址族视图。
¡ 请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv6 flowspec
¡ 请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。
bgp as-number [ instance instance-name ]
address-family vpnv6 flowspec
(3) 为指定对等体/对等体组设置高优先级,路由选路时优选从该对等体/对等体组学习到的路由。
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } high-priority
缺省情况下,BGP不为指定对等体/对等体组设置高优先级,选路规则不发生变化。
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-8 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 关闭接口的IPv6 Flowspec功能。
flowspec disable
缺省情况下,接口的IPv6 Flowspec功能处于开启状态。
通过Flowspec,可以将流量重定向到一台流量清洗设备,对攻击流量进行清洗后,流量清洗设备将正常的业务流量回注到网络中,从而避免DoS/DDoS攻击。为了避免回注流量再次匹配上Flowspec规则,又一次重定向到流量清洗设备,需要在接收清洗后流量的入接口上配置本命令。
配置本命令后,无论该接口是否绑定了VPN实例,回注流量进入该接口后都将进行公网转发。
standard工作模式下,设备不支持本功能。
sdn-wan工作模式下,仅下表所列单板支持本功能。
表1-9 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口作为回注流量的入接口。
flowspec refluence
缺省情况下,接口不作回注流量入接口。
在完成上述配置后,在任意视图下执行display命令可以显示Flowspec在BGP网络中的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset、refresh命令可以复位BGP Flowspec地址族下的BGP会话。
关于BGP显示和维护命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP”。
有关display bgp route-target l3vpn命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L3VPN”。
表1-10 Flowspec显示和维护
|
操作 |
命令 |
|
显示BGP IPv4 Flowspec对等体信息 |
display bgp [ instance instance-name ] peer ipv4 flowspec [ vpn-instance vpn-instance-name ] [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ] |
|
显示BGP IPv6 Flowspec对等体信息 |
display bgp [ instance instance-name ] peer ipv6 flowspec [ vpn-instance vpn-instance-name ] ] [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ] |
|
显示BGP VPNv4 Flowspec对等体信息 |
display bgp [ instance instance-name ] peer vpnv4 flowspec [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ] |
|
显示BGP VPNv6 Flowspec对等体信息 |
display bgp [ instance instance-name ] peer vpnv6 flowspec [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ] |
|
显示BGP IPv4 Flowspec对等体组的信息 |
display bgp [ instance instance-name ] group ipv4 flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ] |
|
显示BGP IPv6 Flowspec对等体组的信息 |
display bgp [ instance instance-name ] group ipv6 flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ] |
|
显示BGP VPNv4 Flowspec对等体组的信息 |
display bgp [ instance instance-name ] group vpnv4 flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ] |
|
显示BGP VPNv6 Flowspec对等体组的信息 |
display bgp [ instance instance-name ] group vpnv6 flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ] |
|
显示BGP IPv4 Flowspec路由信息 |
display bgp [ instance instance-name ] routing-table ipv4 flowspec [ vpn-instance vpn-instance-name ] [ as-path-acl { as-path-acl-number | as-path-acl-name } | as-path-regular-expression regular-expression | flowspec-prefix [ advertise-info ] | statistics ] display bgp [ instance instance-name ] routing-table ipv4 flowspec [ vpn-instance vpn-instance-name ] peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix [ verbose ] | statistics ] display bgp [ instance instance-name ] routing-table ipv4 flowspec [ vpn-instance vpn-instance-name ] peer { ipv4-address | ipv6-address } { accepted-routes | not-accepted-routes } |
|
显示BGP IPv6 Flowspec路由信息 |
display bgp [ instance instance-name ] routing-table ipv6 flowspec [ vpn-instance vpn-instance-name ] [ as-path-acl { as-path-acl-number | as-path-acl-name } | as-path-regular-expression regular-expression | flowspec-prefix [ advertise-info ] | statistics ] display bgp [ instance instance-name ] routing-table ipv6 flowspec [ vpn-instance vpn-instance-name ] peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix [ verbose ] | statistics ] ] display bgp [ instance instance-name ] routing-table ipv6 flowspec [ vpn-instance vpn-instance-name ] peer { ipv4-address | ipv6-address } { accepted-routes | not-accepted-routes } |
|
显示BGP VPNv4 Flowspec路由信息 |
display bgp [ instance instance-name ] routing-table vpnv4 flowspec [ as-path-acl { as-path-acl-number | as-path-acl-name } | as-path-regular-expression regular-expression | peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix [ verbose ] | statistics ] | [ route-distinguisher route-distinguisher ] [ flowspec-prefix [ advertise-info ] ] | statistics ] display bgp [ instance instance-name ] routing-table vpnv4 flowspec peer { ipv4-address | ipv6-address } { accepted-routes | not-accepted-routes } |
|
显示BGP VPNv6 Flowspec路由信息 |
display bgp [ instance instance-name ] routing-table vpnv6 flowspec [ as-path-acl { as-path-acl-number | as-path-acl-name } | as-path-regular-expression regular-expression | peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix [ verbose ] | statistics ] | [ route-distinguisher route-distinguisher ] [ flowspec-prefix [ advertise-info ] ] | statistics ] display bgp [ instance instance-name ] routing-table vpnv6 flowspec peer { ipv4-address | ipv6-address } { accepted-routes | not-accepted-routes } |
|
显示BGP IPv4 Flowspec地址族下打包组的相关信息 |
display bgp [ instance instance-name ] update-group ipv4 flowspec [ ipv4-address | ipv6-address ] |
|
显示BGP IPv6 Flowspec地址族下打包组的相关信息 |
display bgp [ instance instance-name ] update-group ipv6 flowspec [ ipv4-address | ipv6-address ] |
|
显示BGP VPNv4 Flowspec地址族下打包组的相关信息 |
display bgp [ instance instance-name ] update-group vpnv4 flowspec [ ipv4-address | ipv6-address ] |
|
显示BGP VPNv6 Flowspec地址族下打包组的相关信息 |
display bgp [ instance instance-name ] update-group vpnv6 flowspec [ ipv4-address | ipv6-address ] |
|
显示BGP中来源为VPN实例的Route Target信息 |
display bgp [ instance instance-name ] route-target l3vpn [ ipv4 flowspec | ipv6 flowspec ] [ vpn-instance vpn-instance-name ] |
|
显示Flowspec边界路由器上Flowspec路由的运行信息 |
(独立运行模式) display flow-route { { ipv4 | ipv6 } all | flow-route-id } [ slot slot-number ] display flow-route { { ipv4 | ipv6 } [ instance instance-name ] [ vpn-instance vpn-instance-name | public-instance ] | flow-route-id } [ slot slot-number ] (IRF模式) display flow-route { { ipv4 | ipv6 } all | flow-route-id } [ chassis chassis-number slot slot-number ] display flow-route { { ipv4 | ipv6 } [ instance instance-name ] [ vpn-instance vpn-instance-name | public-instance ] | flow-route-id } [ chassis chassis-number slot slot-number ] |
|
显示Flowspec接口组的配置信息 |
display flowspec flow-interface-group [ group-id ] |
|
显示Flowspec路由流量的统计信息 |
display flowspec statistics flow-route-id [ flow-interface-group group-id ] |
|
手工对IPv4 Flowspec地址族下的BGP会话进行软复位 |
refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } ipv4 flowspec [ vpn-instance vpn-instance-name ] |
|
手工对IPv6 Flowspec地址族下的BGP会话进行软复位 |
refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } ipv6 flowspec [ vpn-instance vpn-instance-name ] |
|
手工对VPNv4 Flowspec地址族下的BGP会话进行软复位 |
refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } vpnv4 flowspec |
|
手工对VPNv6 Flowspec地址族下的BGP会话进行软复位 |
refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } vpnv6 flowspec |
|
复位BGP IPv4 Flowspec地址族下的BGP会话 |
reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } ipv4 flowspec [ vpn-instance vpn-instance-name ] |
|
复位BGP IPv6 Flowspec地址族下的BGP会话 |
reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } ipv6 flowspec [ vpn-instance vpn-instance-name ] |
|
复位BGP VPNv4 Flowspec地址族下的BGP会话 |
reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | internal | group group-name } vpnv4 flowspec |
|
复位BGP VPNv6 Flowspec地址族下的BGP会话 |
reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | internal | group group-name } vpnv6 flowspec |
|
清除Flowspec路由流量的统计信息 |
reset flowspec statistics flow-route-id [ flow-interface-group group-id ] |
如图1-2所示,所有路由器均运行BGP协议。Device A作为Flowspec控制器,配置了Flowspec路由,Device B作为Flowspec客户端,通过BGP协议接收并应用Device A发送的Flowspec路由。现要求对BGP网络中PE设备收到的目的地址为1.1.1.0/24和端口号为10的报文进行限速处理,降低这些报文占用的带宽资源。
图1-2 Flowspec基本组网图
(1) 配置各接口的IP地址(略)
(2) 配置Device A
# 配置BGP连接。
<DeviceA> system-view
[DeviceA] bgp 100
[DeviceA-bgp-default] peer 10.1.1.2 as-number 200
[DeviceA-bgp-default] address-family ipv4 flowspec
[DeviceA-bgp-default-flowspec-ipv4] peer 10.1.1.2 enable
[DeviceA-bgp-default-flowspec-ipv4] peer 10.1.1.2 validation-disable
[DeviceA-bgp-flowspec-ipv4] quit
[DeviceA-bgp-default] quit
# 配置Flowspec路由。
[DeviceA] flow-route route1
[DeviceA-flow-route-route1] if-match destination-ip 1.1.1.0 24
[DeviceA-flow-route-route1] if-match destination-port 10
[DeviceA-flow-route-route1] apply traffic-rate 20
[DeviceA-flow-route-route1] check flow-route-configuration
Traffic filtering rules:
Destination ip : 1.1.1.0 255.255.255.0
Destination port : 10
Traffic filtering actions:
Traffic rate : 20(kbps)
[DeviceA-flow-route-route1] commit
[DeviceA-flow-route-route1] quit
# 为公网Flowspec IPv4地址族指定路由。
[DeviceA] flowspec
[DeviceA-flowspec] address-family ipv4
[DeviceA-flowspec-ipv4] flow-route route1
[DeviceA-flowspec-ipv4] quit
(3) 配置Route B
# 配置BGP连接。
<DeviceB> system-view
[DeviceB] bgp 200
[DeviceB-bgp-default] peer 10.1.1.1 as-number 100
[DeviceB-bgp-default] address-family ipv4 flowspec
[DeviceB-bgp-default-flowspec-ipv4] peer 10.1.1.1 enable
[DeviceB-bgp-default-flowspec-ipv4] peer 10.1.1.1 validation-disable
[DeviceB-bgp-default-flowspec-ipv4] quit
[DeviceB-bgp-default] quit
# 查看Device A的BGP IPv4 Flowspec对等体状态。
[DeviceA] display bgp peer ipv4 flowspec
BGP local router ID: 192.168.150.1
Local AS number: 100
Total number of peers: 1 Peers in established state: 1
* - Dynamically created peer
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
10.1.1.2 200 10 12 0 0 00:06:40 Established
# 查看Device B的 BGP IPv4 Flowspec对等体连接状态。
[DeviceB] display bgp peer ipv4 flowspec
BGP local router ID: 192.168.150.2
Local AS number: 200
Total number of peers: 1 Peers in established state: 1
* - Dynamically created peer
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
10.1.1.1 100 10 12 0 0 00:06:40 Established
# 查看Device B 收到的Flowspec路由策略。
[DeviceB] display bgp routing-table ipv4 flowspec
Total number of routes: 1
BGP local router ID is 192.168.150.2
Status codes: * - valid, > - best, d - dampened, h - history
s - suppressed, S - stale, i - internal, e - external
a - additional-path
Origin: i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
* >e DEST:1.1.1.0/24/40
0.0.0.0 100 0 ?
# 查看Device B上Flowspec路由的运行信息。
<DeviceB> display flow-route ipv4 all
Total number of flow-routes: 1
Flow-Route (ID 0x0)
BGP instance : default
Traffic filtering rules:
Destination IP : 1.1.1.0 255.255.255.0
Destination port : 10
Traffic filtering actions:
Traffic rate : 20(kbps)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
