firewall ddos traffic-diversion [ vpn-instance vpn-instance-name ] ip ip-address [ mask | mask-length1 ] [ ip-link name ]
firewall ddos traffic-diversion [ vpn6-instance vpn6-instance-name ] ipv6 ipv6-address [ mask-length2 ]
undo firewall ddos traffic-diversion [ vpn-instance vpn-instance-name ] ip { all | ip-address [ mask | mask-length1 ] }
undo firewall ddos traffic-diversion [ vpn6-instance vpn6-instance-name ] ipv6 { all | ipv6-address [ mask-length1 ]
undo firewall ddos traffic-diversion ipv6 { all | ipv6-address [ mask-length2 ] }
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vpn-instance-name | IPv4的VPN实例的名称。 | 字符串形式,长度范围为1~31个字符。 |
| vpn6-instance-name | IPv6的VPN实例的名称。 | 字符串形式,长度范围为1~31个字符。 |
| ip-address | 需要进行流量清洗的目的IPv4地址。 | 点分十进制格式。 |
| ipv6-address | 需要进行流量清洗的目的IPv6地址。 | 冒号十六进制格式。 |
| mask | IPv4地址的掩码。 | 点分十进制格式。 |
| mask-length1 | IPv4地址的掩码长度。 | 整数形式,取值范围为8~32。 |
| mask-length2 | IPv6地址的掩码长度。 | 整数形式,取值范围为8~128。 |
| all | 所有IP地址。 | - |
| name | 指定绑定的IP-link的名称。 | 字符串形式,长度范围为1~31个字符。 |
firewall ddos bgp-next-hop和firewall ddos traffic-diversion配置完成后,系统将会生成一条UNR路由。例如,执行命令firewall ddos bgp-next-hop 2.2.2.2和firewall ddos traffic-diversion ip 1.1.1.1 32后,将会生成一条目的地址为1.1.1.1/32,下一跳为2.2.2.2的UNR路由,生成的UNR路由有两个用途:
引流
通过EBGP(External BGP)协议将生成的路由发布给核心路由设备。由于BGP协议的下一跳(Next_Hop)属性,清洗设备在向EBGP对等体发布某条路由时,会把该路由信息的下一跳属性设置为本地与对端连接的接口地址。因此核心路由设备将会学习到目的地址为1.1.1.1/32,下一跳为清洗设备引流接口IP地址的路由,实现引流功能。
回注
对于清洗后的流量,清洗设备根据此UNR路由或者其他方式将流量转发至核心路由设备,实现回注功能。
配置此命令时,绑定IP-link功能可增强链路可靠性。当IP-link关联引流任务时,如果IP-link状态为Down,则无法配置引流。