流量引導(dǎo)方案之回注
血色殘?jiān)?
發(fā)布于 廣東 2018-03-31 · 6.2w瀏覽 4贊

0x01?回注方法

回注是針對(duì)清洗后的流量來說的,在華為Anti-DDoS解決方案中,能夠?qū)⑶逑春蟮牧髁炕刈⒌皆W(wǎng)絡(luò)中的配置方法很多,常用的有如下幾種:

l??二層回注:清洗設(shè)備通過二層方式將流量回注到防護(hù)對(duì)象,而不通過路由轉(zhuǎn)發(fā)。

l??靜態(tài)路由回注:通過在清洗設(shè)備上配置靜態(tài)路由,將清洗后的流量回注到路由器上,最后送到防護(hù)對(duì)象。

l??UNR路由回注:通過在清洗設(shè)備上生成的UNR路由,將清洗后的流量回注到路由器上,最后送到防護(hù)對(duì)象。

l??策略路由回注:通過在清洗設(shè)備和路由器上配置策略路由,將清洗后的流量回注到不同的路徑,最后送到防護(hù)對(duì)象。

l??GRE回注:通過在清洗設(shè)備和回注路由器之間建立GRE隧道,將流量直接送到回注路由器上,最后送到防護(hù)對(duì)象。

l??MPLS LSP回注:清洗設(shè)備和回注路由器之間建立MPLS LSP,清洗后的流量在清洗設(shè)備上被打上單層標(biāo)簽,按預(yù)先建立好的LSP回注到原鏈路,最后送到防護(hù)對(duì)象。

l??MPLS VPN回注:清洗設(shè)備和回注路由器之間建立MPLS L3VPN,將清洗后的流量通過MPLS L3VPN回注到原鏈路,最后送到防護(hù)對(duì)象。

這么多回注方式我們是如何選擇的呢?在Anti-DDoS解決方案中,引流和回注是配合使用的,我們推薦的引流回注方案如下:

流量引導(dǎo)方案

策略路由引流(靜態(tài)引流)

BGP引流(靜態(tài)引流/動(dòng)態(tài)引流)

二層回注

×

?

靜態(tài)路由回注

?

UNR路由回注

×

策略路由回注

?

GRE tunnel回注

×

?

MPLS LSP回注

×

?

MPLS VPN回注

×

?

一方面我們可以根據(jù)引流策略來選擇匹配的回注方式,另一方面我們也要考慮網(wǎng)絡(luò)的實(shí)際部署情況適合何種回注策略。上面的表格中我們已經(jīng)有推薦的配套方案,接下來我們將詳細(xì)介紹各種回注方式的特點(diǎn)、適用場(chǎng)景以及相關(guān)的配置。

0x02?二層回注

二層回注應(yīng)用于清洗設(shè)備和防護(hù)對(duì)象之間都是二層網(wǎng)絡(luò)的場(chǎng)景,這種部署中,清洗設(shè)備上回注口的IP地址和防護(hù)對(duì)象屬于同一網(wǎng)段。流量清洗完成后,清洗設(shè)備通過ARP報(bào)文獲得防護(hù)對(duì)象目的IPMAC地址,而后將清洗后的正常流量發(fā)送到核心交換機(jī),最終發(fā)送到防護(hù)對(duì)象。

在下圖中,清洗設(shè)備旁路部署在核心三層交換機(jī)Switch1上,通過接口GE2/0/1Switch1接口GE1/0/1直連。在清洗設(shè)備上配置子接口GE2/0/1.10GE2/0/1.20分別關(guān)聯(lián)Switch1上的VLAN10VLAN20后,形成兩個(gè)邏輯通道,一個(gè)用作引流,一個(gè)用作回注。


對(duì)于引流,我們?cè)谇懊嬲f過,可以通過配置BGP功能來完成。而清洗后的流量,配置二層回注后,清洗設(shè)備會(huì)發(fā)送ARP request報(bào)文請(qǐng)求防護(hù)對(duì)象IP對(duì)應(yīng)的MAC地址,收到防護(hù)對(duì)象的回應(yīng)后,清洗設(shè)備將清洗后的流量根據(jù)獲取的MAC地址等信息進(jìn)行二層封裝后回注到防護(hù)對(duì)象。下表中列出了關(guān)于引流回注的具體配置,其中核心交換機(jī)我們以華為S9300系列為例:

S9300系列

清洗設(shè)備

創(chuàng)建VLAN

system-view

[switch1] vlan 10

[switch1-vlan10] quit

[switch1] vlan 20

[switch1-vlan20] quit

配置接口屬性并關(guān)聯(lián)VLAN。

[switch1] interface gigabitethernet 1/0/1

[switch1-GigabitEthernet1/0/1] port link-type trunk

[switch1-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20

[switch1-GigabitEthernet1/0/1] quit

[switch1] interface gigabitethernet 1/0/2

[switch1-GigabitEthernet1/0/2] port link-type trunk

[switch1-GigabitEthernet1/0/2] port trunk allow-pass vlan 20

[switch1-GigabitEthernet1/0/2] quit

配置VLANIF接口的IP地址。

[switch1] interface vlanif 10

[switch1-Vlanif10] ip address 10.1.2.1 24

[switch1-Vlanif10] quit

[switch1] interface vlanif 20

[switch1-Vlanif20] ip address 10.1.3.1 24

[switch1-Vlanif20] quit

配置BGP功能。

[switch1] bgp 100

[switch1-bgp] peer 10.1.2.2 as-number 100

[switch1-bgp] quit

#?配置子接口GE2/0/1.10IP地址,并關(guān)聯(lián)VLAN10。

system-view

[sysname] interface GigabitEthernet 2/0/1.10

[sysname-GigabitEthernet2/0/1.10]?vlan-type dot1q 10

[sysname-GigabitEthernet2/0/1.10] ip address 10.1.2.2 24

[sysname-GigabitEthernet2/0/1.10] qui

#?配置子接口GE2/0/1.20IP地址,并關(guān)聯(lián)VLAN20。

[sysname] interface GigabitEthernet 2/0/1.20

[sysname-GigabitEthernet2/0/1.20]?vlan-type dot1q 20

[sysname-GigabitEthernet2/0/1.20] ip address 10.1.3.2 24

[sysname-GigabitEthernet2/0/1.20] quit

#?配置生成動(dòng)態(tài)路由時(shí)使用的下一跳地址。

[sysname] firewall ddos bgp-next-hop 10.1.3.1

#?對(duì)生成的32位主機(jī)UNR路由進(jìn)行FIB過濾。

[sysname]?firewall ddos bgp-next-hop fib-filter

#?配置BGP功能及團(tuán)體屬性。

[sysname] route-policy 1 permit node 1

[sysname-route-policy] apply community no-advertise

[sysname-route-policy] quit

[sysname] bgp 100

[sysname-bgp] peer 10.1.2.1 as-number 100

[sysname-bgp] import-route unr

[sysname-bgp] ipv4-family unicast

[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export

[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community

[sysname-bgp-af-ipv4] quit

[sysname-bgp] quit

#?在清洗口開啟流量統(tǒng)計(jì)功能。

[sysname] interface GigabitEthernet 2/0/1.10

[sysname-GigabitEthernet2/0/1.10] anti-ddos flow-statistic enable

[sysname-GigabitEthernet2/0/1.10] quit

#?配置一條缺省路由,用于反向路由查找。

[sysname] ip route-static 0.0.0.0 0 GigabitEthernet 2/0/1.10 10.1.2.1

?

上述配置中,BGP的配置用于引流,當(dāng)然,引流的配置還需要在管理中心上進(jìn)行相應(yīng)設(shè)置,這些內(nèi)容我們?cè)谏弦徽鹿?jié)中已經(jīng)詳細(xì)介紹,此處不在贅述。關(guān)于二層回注的配置比較簡(jiǎn)單,

只需要在核心交換機(jī)Switch1上讓與清洗設(shè)備回注接口互聯(lián)的接口和連接防護(hù)對(duì)象的接口加入同一VLAN即可,保證二層連接互通,當(dāng)然核心交換機(jī)到防護(hù)對(duì)象之間是要求沒有三層設(shè)備。

相對(duì)于下面我們要說的幾種回注方法而言,二層回注要求回注過程是在二層網(wǎng)絡(luò)中進(jìn)行的,唯一的一個(gè)不需要通過路由來回注清洗后流量的方法。

?

0x03 UNR路由回注

UNR(User Network Route)――用戶網(wǎng)絡(luò)路由,一般是通過非本設(shè)備配置的路由,與IGPBGP、靜態(tài)路由、直連路由等路由一樣,可以添加到路由表中指導(dǎo)報(bào)文轉(zhuǎn)發(fā)。我們知道在BGP引流中,通過ATIC管理中心創(chuàng)建引流任務(wù),配置被保護(hù)的防護(hù)對(duì)象地址,同時(shí)在清洗設(shè)備上配置下一跳IP地址,就會(huì)在清洗設(shè)備上生成一條目的地址為防護(hù)對(duì)象的UNR路由。此UNR路由被清洗設(shè)備上BGP引入后發(fā)布給引流設(shè)備,進(jìn)而對(duì)需要清洗的流量進(jìn)行引流,這就是UNR路由在引流中的作用。


除此之外,這條UNR路由也可以對(duì)清洗后的流量進(jìn)行回注。如上組網(wǎng)中,清洗設(shè)備和ATIC管理中心完成配置后,清洗設(shè)備上會(huì)生成一條到達(dá)1.1.1.132位主機(jī)UNR路由,下一跳為Router1的回注接口GE1/0/2IP地址10.1.3.1。流量清洗完成后,根據(jù)路由查找的最長(zhǎng)掩碼匹配原則,優(yōu)先選擇此UNR路由,將清洗后的流量回注到Router1,此為UNR路由在流量回注中的應(yīng)用。

大家可能會(huì)想到,在BGP引流的時(shí)候,Router1從清洗設(shè)備BGP發(fā)布的路由中學(xué)習(xí)到這條32位主機(jī)路由,訪問防護(hù)對(duì)象的流量被此路由送到了清洗設(shè)備?,F(xiàn)在,清洗設(shè)備又將這條流送到了Router1,此時(shí),Router1上還會(huì)匹配這條主機(jī)路由將回注回來的流量再送到清洗設(shè)備,如此循環(huán)往復(fù),就成了環(huán)路了。所以,為了將清洗后的流量最終送到防護(hù)對(duì)象,我們還需要在Router1上配置策略路由,讓從回注接口GE1/0/2進(jìn)來的流量都從GE1/0/3進(jìn)行轉(zhuǎn)發(fā)。

關(guān)于引流回注的具體配置如下,其中Router1以華為NE80E路由器為例。

Router1

清洗設(shè)備

配置BGP功能。

[Router1] bgp 100

[Router1-bgp] peer 10.1.2.2 as-number 100

[Router1-bgp] quit

在接口GE1/0/2配置策略路由。

#?定義流分類。

[Router1] acl 3001

[Router1-acl-adv-3001] rule permit ip

[Router1-acl-adv-3001] quit

[Router1] traffic classifier class1

[Router1-classifier-class1] if-match acl 3001

[Router1-classifier-class1] quit

#?配置流行為并配置報(bào)文轉(zhuǎn)發(fā)動(dòng)作。

[Router1] traffic behavior behavior1

[Router1-behavior-behavior1] redirect ip-nexthop 10.1.5.2 interface GigabitEthernet 1/0/3

[Router1-behavior-behavior1] quit

#?定義流量策略并在策略中為類指定行為。

[Router1] traffic policy policy1

[Router1-trafficpolicy-policy1] classifier class1 behavior behavior1

[Router1-trafficpolicy-policy1] quit

#?在接口上應(yīng)用策略路由。

[Router1] interface GigabitEthernet 1/0/2

[Router1-GigabitEthernet1/0/2] traffic-policy policy1 inbound

[Router1-GigabitEthernet1/0/2] quit

#?配置生成動(dòng)態(tài)路由時(shí)使用的下一跳地址。

system-view

[sysname] firewall ddos bgp-next-hop 10.1.3.1

#?配置BGP功能及團(tuán)體屬性。

[sysname] route-policy 1 permit node 1

[sysname-route-policy] apply community no-advertise

[sysname-route-policy] quit

[sysname] bgp 100

[sysname-bgp] peer 10.1.2.1 as-number 100

[sysname-bgp] import-route unr

[sysname-bgp] ipv4-family unicast

[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export

[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community

[sysname-bgp-af-ipv4] quit

[sysname-bgp] quit

#?在清洗口開啟流量統(tǒng)計(jì)功能。

[sysname] interface GigabitEthernet 2/0/1

[sysname-GigabitEthernet2/0/1] anti-ddos flow-statistic enable

[sysname-GigabitEthernet2/0/1] quit

#?配置一條缺省路由,用于反向路由查找。

[sysname] ip route-static 0.0.0.0 0 GigabitEthernet 2/0/1 10.1.2.1

?

除上面配置外,還需要在管理中心界面上,選擇“防御?>?策略配置?>?引流”,創(chuàng)建引流任務(wù),配置被保護(hù)的IP地址為1.1.1.1,子網(wǎng)掩碼為255.255.255.255。單擊“確定”。??如此才能在清洗設(shè)備上生成UNR路由。

整個(gè)配置比較簡(jiǎn)單,策略路由和BGP引流的配置在前面都詳細(xì)介紹,這里我們不再細(xì)分解。而回注的配置就是生成這條UNR路由的配置,以及回注路由器上的策略路由配置。

實(shí)際應(yīng)用中,回注路由器可以與引流路由器是同一個(gè),也可以不是同一個(gè),如可以是Router1,也可以是其他下行路由器(如Router2)。

0x04?靜態(tài)路由回注

靜態(tài)路由回注與UNR路由回注使用場(chǎng)景和配置基本相同,不同之處有以下幾點(diǎn):

l??既然是靜態(tài)路由回注肯定會(huì)配置靜態(tài)路由,其實(shí)這條靜態(tài)路由與UNR路由一樣,目的地址是防護(hù)對(duì)象,下一跳為回注路由器上的回注接口地址。區(qū)別在于靜態(tài)路由是在清洗設(shè)備上手動(dòng)配置的,而UNR路由是在管理中心和清洗設(shè)備上進(jìn)行相應(yīng)設(shè)置后自動(dòng)生成的,且掩碼固定為32位。

l??靜態(tài)路由回注還需要在清洗設(shè)備上配置一條firewall ddos bgp-next-hop fib-filter命令,表示過濾清洗設(shè)備生成的UNR路由,使清洗設(shè)備上報(bào)文不能根據(jù)這條UNR路由進(jìn)行轉(zhuǎn)發(fā)。這是因?yàn)?/span>UNR路由掩碼是32位,在路由查找中根據(jù)掩碼最長(zhǎng)匹配原則,報(bào)文首先匹配的是這條UNR路由,這時(shí)為了不影響流量通過其他回注策略轉(zhuǎn)發(fā),就需要在清洗設(shè)備上配置此命令過濾生成的這條UNR路由,使其不下發(fā)到FIB表中。除二層回注和UNR路由回注外,其它所有的回注策略都需要配置此命令。

除以上兩點(diǎn)外,靜態(tài)路由回注能與兩種引流方法配合使用,而UNR路由回注只能與BGP引流成匹配方案。


?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
血色殘?jiān)?
瀏覽 6.2w
4
相關(guān)推薦
最新評(píng)論
贊過的人 4
評(píng)論加載中...

暫無評(píng)論,快來評(píng)論吧!