配置秒级黑洞

背景信息

秒级黑洞有“自动执行”和“第三方执行”2种模式：

当黑洞模式选择的是“自动执行”时，AntiDDoS设备检测到某个目的IP的流量超过黑洞阈值，立即向管理中心ATIC上报黑洞告警，ATIC接收到告警会根据设置的黑洞类型向AntiDDoS设备下发黑洞策略。
当黑洞模式选择的是“第三方执行”时，当AntiDDoS设备检测到某个目的IP的流量超过黑洞阈值，AntiDDoS设备会自行发送syslog日志给第三方设备，由第三方设备执行黑洞操作。

操作步骤

自动执行

选择“防御 > 策略配置 > 设备全局配置 ”。
单击。
在弹出的“基本攻击防御配置”对话框，“设备上报秒级黑洞事件模式 ”参数中，选择“上报ATIC告警”。
单击“确定”。

关联防护对象的防御模式

选择“防御 > 策略配置 > 防护对象”。
单击。

在弹出的“防御策略”对话框，配置秒级黑洞参数。参数说明请参见表1。

表1 黑洞参数
参数	说明
开启	选择“开启”后，才能配置黑洞参数。
黑洞阈值(Mbps)	当流量大于设置的“黑洞阈值”时,启用相应的黑洞类型进行防御。
接口板黑洞	当选择“接口板黑洞”时，ATIC 向AntiDDoS设备下发对需要被“黑洞”的IP的硬件阻断策略，由接口板执行对该IP的黑洞。说明：仅支持插有LPU240或LPU120的AntiDDoS8000系列。
路由黑洞	当选择“路由黑洞”时，ATIC向AntiDDoS设备下发该IP下一跳为NULL 0的路由，然后由AntiDDoS设备通过BGP通告给上游黑洞路由器，由上游路由器执行对该IP的黑洞。说明：负责执行黑洞路由的上游路由器和AntiDDoS设备之间的BGP peer需要作为预配置提前配置。

单击“确定”。

第三方执行
1. 选择“防御 > 策略配置 > 设备全局配置 ”。
2. 单击。
3. 在弹出的“基本攻击防御配置”对话框，“设备上报秒级黑洞事件模式 ”参数中，选择“SYSLOG发送第三方”。
4. 单击“确定”。
5. 在AntiDDoS产品系统视图下，配置接收syslog日志的IP地址，命令如下。
```
anti-ddos host-traffic-overflow syslog enable
```
```
info-center source DDOS channel channel log level critical
```
```
info-center loghost  ip-address channel channel
```
  其中 ip-address为接收syslog日志的第三方系统的IP地址。

父主题： 配置动态黑洞

版权所有 © 华为技术有限公司