配置BGP引流(通过ATIC)

引流任务包括静态引流任务、手动引流任务和自动引流任务三种。静态引流任务需要管理员手工创建;手动引流任务和自动引流任务是系统动态生成的。

引流任务简介

引流任务包括以下三种:

  • 静态引流任务

    无论检测设备是否检测到异常,ATIC管理中心都会生成针对防护对象IP地址/IP地址段的静态引流任务,并直接下发到清洗设备。

    静态引流任务需要由管理员手工创建,具体请参见创建静态引流任务(Inbound)

  • 手动引流任务

    如果检测设备检测到异常,ATIC管理中心会生成手动引流任务,引流任务生成后不直接下发,必须经管理员手工启用后下发到清洗设备。异常或攻击结束后,系统会自动取消引流。

    手动引流任务是系统动态生成的,是一种动态引流任务。管理员在配置防御策略时,将“引流模式”选择为“手动”,则系统动态生成手动引流任务。引流模式的配置请参见配置防御模式

  • 自动引流任务

    如果检测设备检测到异常,ATIC管理中心会生成自动引流任务,引流任务生成后直接下发到清洗设备。异常或攻击结束后,系统会自动取消引流。不需要管理员进行操作。

    自动引流任务是系统动态生成的,是另外一种动态引流任务。管理员在配置防御策略时,将“引流模式”选择为“自动”,则系统动态生成自动引流任务,引流模式的配置请参见配置防御模式

引流任务下发到清洗设备后,会在清洗设备上生成命令行:firewall ddos traffic-diversion [ vpn-instance vpn-instance-name ] ip ip-address [ mask | mask-length ],与清洗设备上配置的其他命令配合,共同实现BGP引流。

为了确保流量清洗的更彻底,在异常或攻击结束后,系统会延迟一段时间后自动取消引流,取消引流的延迟时间配置请参见业务数据维护

说明:

ATIC最多可以同时处理10000条引流创建,超过10000条的引流任务,将直接丢弃。ATIC对引流任务的处理速率约每秒1条。

请避免因为防御阈值配置过低,而导致同时上报ATIC的异常过多,从而引发引流任务过多。一旦出现这种情况,建议管理员首先调高防御阈值,并部署到防护对象,待防护对象状态恢复正常后,再重启ATIC服务,并手动删除因误配置而创建的引流任务。

静态引流任务的优先级高于动态引流任务,如果某个目的IP地址已经有静态的引流任务的存在,则ATIC管理中心不会再自动创建/启用/禁用/删除任何同IP地址的动态引流任务。

当配置自动引流任务时,如果设备上已有生成的手动引流任务,须先删除手动引流任务。

管理操作

选择防御 > 策略配置 > 引流,管理引流任务:

创建 单击,可以在ATIC管理中心中创建静态引流任务。具体请参见创建静态引流任务(Inbound)
删除

选中待删除引流任务前的复选框,单击,可删除该引流任务。
启用

启用状态的引流任务会被下发到清洗设备上,被下发到清洗设备上的引流任务才能生效。启用操作如下:

选中需要启用的引流任务前的复选框,单击
禁用

禁用状态的引流任务不生效。禁用操作如下:

选中需要禁用的引流任务前的复选框,单击
查询

  • 简单查询

    在查询区域中,选择“设备”“防护对象”作为查询条件,单击

  • 高级查询

    1. 单击“高级查询”
    2. 在弹出的高级查询区域中,可设置“设备”“防护对象”“IP地址”“开始时间”“结束时间”“引流模式”“引流状态”“详情”多项查询条件,单击“查询”
说明:

您也可以选择防御 > 策略配置 > 防护对象,单击防护对象对应的“引流状态”列的具体引流状态,在“引流任务”页签中,管理此防护对象的引流任务。

创建静态引流任务(Inbound)

  1. 选择防御 > 策略配置 > 引流
  2. “Inbound引流任务”界面,单击
  3. “清洗设备”中选择进行流量清洗的设备。
  4. 单击“防护对象”对应的,在“选择防护对象”界面,选择防护对象账号前的单选按钮,单击“确定”
  5. 配置需要引流的IP地址。当静态引流任务下发后,访问该目的IP地址的所有流量都会被引到清洗设备进行清洗。

    • 当需要引流的IP地址属于自定义防护对象,但不确定具体的IP地址/IP地址段时,在“输入方式”中选中“选择IP”,然后选择需要引流的IPv4地址或IPv6地址。

      当仅需要对被保护IP地址段中的部分IP地址或IP地址段进行引流时,可执行以下操作拆分IP地址段并选择拆分后的子网地址:

      1. 单击待拆分IP地址对应的

      2. “拆分设置”界面,输入掩码拆分长度,单击“拆分”

        掩码拆分长度范围为:IP地址段掩码位数+1~IP地址段掩码位数+8之间。举例:被保护IP地址段的掩码为255.255.0.0,即16位掩码,则掩码拆分长度可输入17~24。

      3. 选择拆分后的子网地址。

      4. 单击“确定”

      5. “创建Inbound引流任务”界面,选择拆分后的子网地址。

    • 当需要引流的IP地址属于默认防护对象,或已确定被保护自定义防护对象的IP地址/IP地址段时,在“输入方式”中选中“手动输入”,然后输入具体的IP地址和掩码。

      当仅需要对被保护IP地址段中的部分IP地址或IP地址段进行引流时,可执行以下操作拆分IP地址段并选择拆分后的子网地址:

      1. 选中“拆分IP地址段”

      2. “掩码拆分长度”中输入掩码的拆分长度,单击“拆分”

        掩码拆分长度范围为:IP地址段掩码位数+1~IP地址段掩码位数+8之间。举例:被保护IP地址段的掩码为255.255.0.0,即16位掩码,则掩码拆分长度可输入17~24。

      3. 选择拆分后的子网地址。

  6. 可选:选中“自动启用”,引流任务创建后自动启用。
  7. “创建Inbound引流任务”界面,单击“确定”

    引流任务创建成功后,显示在“Inbound引流任务”页面中。

创建静态引流任务(Outbound)

  1. 选择防御 > 策略配置 > 引流
  2. “Outbound引流任务”界面,单击
  3. “引流器”中选择设备。
  4. “协议”中选择ALLTCPUDPICMP协议。
  5. 配置需要引流的源IP地址。当静态引流任务下发后,来自该源IP地址的所有流量都会被引流。
  6. 可选:配置源端口、目的IP地址及目的端口。
  7. 配置“动作”方式为:阻断、限流或重定向。
  8. “创建Outbound引流任务”界面,单击“确定”

    引流任务创建成功后,显示在“Outbound引流任务”页面中。

父主题: 配置流量引导
版权所有 © 华为技术有限公司