配置UNR路由回注

UNR路由回注是指通过在清洗设备上的UNR路由,将清洗后的流量回注到路由器上,最后送到防护对象。

实现机制

本功能在AntiDDoS上配置。

图1所示。Router1为引流路由器。Router1的GE1/0/1接口与清洗设备的GE2/0/1接口之间的通道为引流通道。引流流量通过Router1的GE1/0/1接口引导至清洗设备的GE2/0/1接口进行清洗。清洗完成后,清洗设备通过UNR路由,将流量回注到路由器Router1的GE1/0/2接口上,由Router1继续转发,最后送到防护对象。

实际应用中,回注路由器可以是Router1,也可以是其他下行路由器(如Router2)。

图1 UNR路由回注

当引流方式为BGP引流,Router1可以学习到清洗设备发布的UNR路由,将到达防护对象的路由下一跳指向清洗设备。这样,清洗后流量再回注到Router1时,Router1根据路由表转发还会将流量送回清洗设备,从而形成路由环路。为了避免路由环路的发生,应该在Router1的回注入接口GE1/0/2上配置策略路由,将回注流量送到下行路由器Router2,继续转发。

只需在管理中心界面配置引流的防护对象IP地址,下发到清洗设备,清洗设备上即可自动生成一条UNR路由。无需命令行配置。实现机制详细介绍请参见配置BGP引流(通过CLI)。配置过程请参见配置BGP引流(通过ATIC)

说明:

UNR回注仅用于清洗设备监控一台路由器的使用场景。

配置路由器

以华为NE80E路由器为例,介绍回注路由器上的策略路由配置。不同版本的路由器配置不同,请根据实际路由器版本进行配置,以下配置仅供参考。

  1. 执行命令system-view,进入系统视图。
  2. 配置ACL,定义匹配策略路由的数据流。

  3. 执行以下命令,定义流分类。

    1. 系统视图下,执行命令traffic classifier classifier-name,定义流分类并进入流分类视图。

      classifier-name指定流分类的名称,字符串形式,区分大小写,长度范围是1~31。

    2. 执行命令if-match [ ipv6 ] acl { acl-number | name acl-name },定义ACL匹配规则。

      acl-number指定访问控制列表的编号,整数形式。

      对于IPv4报文,取值范围是2000~4099。其中:

      • 2000~3999表示基本或高级的访问控制列表。
      • 4000~4099表示基于二层以太网帧头信息的访问控制列表。

      对于IPv6报文,取值范围是2000~3999。其中:

      • 2000~2999表示IPv6的基本访问控制列表。
      • 3000~3999表示IPv6的高级访问控制列表。

      acl-name指命名型访问控制列表的名字。字符串形式,不支持空格,区分大小写,长度范围是1~32。以英文字母a~z或A~Z开始,可以是英文字母、数字、连字符“-”或下划线“_”的组合。

  4. 执行以下命令,定义流行为并配置动作。

    1. 系统视图下,执行命令traffic behavior behavior-name,定义行为进入流行为视图。

      behavior-name指定流行为名,字符串形式,长度范围是1~31。

    2. 执行命令redirect ip-nexthop ip-address [ interface interface-type interface-number ],配置重定向到下一跳。

      ip-address指定重定向到下一跳的IP地址。

      interface-type interface-number指定出接口的类型和编号,编号由槽位号/卡号/端口号组成。

  5. 执行以下命令,定义流量策略并在策略中为类指定行为。

    1. 系统视图下,执行命令traffic policy policy-name,定义流量策略并进入策略视图。

      policy-name指定流量策略名,字符串形式,长度范围是1~31。

    2. 执行命令classifier classifier-name behavior behavior-name [ precedence precedence ],在流量策略中为流分类指定采用的行为。

      classifier-name指定流分类名称,必须是已定义的流分类名。

      behavior-name指定流行为名称,必须是已定义的流行为名。

      precedence表示关联起来的流分类和流行为的优先级,整数形式,取值范围为1~255。precedence的取值越小优先级越高,该流分类与流行为的关联优先被处理。如果没有设置precedence,将会按照配置的先后顺序查找流分类与流行为的关联。

  6. 执行以下命令,在接口上应用策略路由。

    1. 系统视图下,执行命令interface interface-type interface-number,进入接口视图。

      此接口为图1中Router1回注流量的入接口GE1/0/2。

    2. 执行命令traffic-policy policy-name inbound,应用策略路由。

      inbound指在入方向应用流量策略。

父主题: 配置回注
华为专有和保密信息
版权所有 © 华为技术有限公司