策略路由引流是指在路由器上配置策略路由,将符合条件的流量通过策略路由干扰的方式送到清洗设备。只需要在引流路由器上配置,无需在清洗设备上配置。
实现机制
策略路由通常用于静态引流方式。如图1所示,Router1的GE1/0/1接口与清洗设备的GE2/0/1接口之间建立引流通道,GE2/0/1为清洗口。在Router1的Internet流量入接口GE1/0/0上应用策略路由,使符合条件的报文不通过路由表转发,而是通过策略路由从接口GE1/0/1转发到清洗设备进行清洗,从而实现对到达指定防护对象流量的强制引流。
配置清洗设备
策略路由引流只需要在引流路由器Router1的GE1/0/0上配置策略路由,无需在清洗设备上配置。
配置路由器
以华为NE80E路由器为例,介绍策略路由引流的路由器Router1配置步骤。不同版本的路由器配置不同,请根据实际路由器版本进行配置,以下配置仅供参考。
如图1所示,要实现策略路由引流,需要在Router1的Internet流量入接口上配置策略路由。
- 执行命令system-view,进入系统视图。
- 配置ACL,定义匹配策略路由的数据流。
执行以下命令,定义流分类。
系统视图下,执行命令traffic classifier classifier-name,定义流分类并进入流分类视图。
classifier-name指定流分类的名称,字符串形式,区分大小写,长度范围是1~31。
执行命令if-match [ ipv6 ] acl { acl-number | name acl-name },定义ACL匹配规则。
acl-number指定访问控制列表的编号,整数形式。
对于IPv4报文,取值范围是2000~4099。其中:
- 2000~3999表示基本或高级的访问控制列表。
- 4000~4099表示基于二层以太网帧头信息的访问控制列表。
对于IPv6报文,取值范围是2000~3999。其中:
- 2000~2999表示IPv6的基本访问控制列表。
- 3000~3999表示IPv6的高级访问控制列表。
acl-name指命名型访问控制列表的名字。字符串形式,不支持空格,区分大小写,长度范围是1~32。以英文字母a~z或A~Z开始,可以是英文字母、数字、连字符“-”或下划线“_”的组合。
执行以下命令,定义流行为并配置动作。
系统视图下,执行命令traffic behavior behavior-name,定义行为进入流行为视图。
behavior-name指定流行为名,字符串形式,长度范围是1~31。
执行命令redirect ip-nexthop ip-address [ interface interface-type interface-number ],配置重定向到下一跳。
ip-address指定重定向到下一跳的IP地址。
interface-type interface-number指定出接口的类型和编号,编号由槽位号/卡号/端口号组成。
执行以下命令,定义流量策略并在策略中为类指定行为。
系统视图下,执行命令traffic policy policy-name,定义流量策略并进入策略视图。
policy-name指定流量策略名,字符串形式,长度范围是1~31。
执行命令classifier classifier-name behavior behavior-name [ precedence precedence ],在流量策略中为流分类指定采用的行为。
classifier-name指定流分类名称,必须是已定义的流分类名。
behavior-name指定流行为名称,必须是已定义的流行为名。
precedence表示关联起来的流分类和流行为的优先级,整数形式,取值范围为1~255。precedence的取值越小优先级越高,该流分类与流行为的关联优先被处理。如果没有设置precedence,将会按照配置的先后顺序查找流分类与流行为的关联。
执行以下命令,在接口上应用策略路由。
系统视图下,执行命令interface interface-type interface-number,进入接口视图。
执行命令traffic-policy policy-name inbound,应用策略路由。
inbound指在入方向应用流量策略。