组网需求
检测设备检测到防护对象中2.2.2.2/24这个IP地址受到了超大流量的攻击,严重阻塞了清洗设备的入口带宽。为防止此攻击影响到其他的防护对象,紧急决定将到2.2.2.2/24的流量全部丢弃。组网如图1所示。
实现机制
引流路由器用于将流量引导至清洗设备进行清洗,黑洞路由器用于将到达某IP地址的流量全部丢弃。黑洞路由器与引流路由器需要是两台不同路由器。
- 在管理中心上配置黑洞引流IP地址2.2.2.2/24,启用后,在清洗设备上生成一条去往2.2.2.2/24,出接口为NULL0的静态路由。
- 在黑洞路由器上,将清洗设备发布的目的地址为2.2.2.2,出口为NULL0的路由,下一跳指向3.3.3.3。
在黑洞路由器上,配置黑洞路由ip route-static 3.3.3.3 255.255.255.255 NULL0,与通过BGP发布来的去往2.2.2.2/24,下一跳为3.3.3.3的路由叠加,生成去往2.2.2.2/24,下一跳为NULL0的路由,实现黑洞引流。
“3.3.3.3”为配置的黑洞路由的目的IP地址,清洗设备发布到黑洞路由器上的路由与黑洞路由器上的黑洞路由进行叠加,共同完成黑洞引流。该目的IP地址可任意配置,建议选用网络中不会用到的IP地址。
在管理中心上配置
配置静态黑洞路由引流
- 选择。
- 在“黑洞”界面,单击
。
- 选择黑洞模式。黑洞支持路由黑洞、服务商和接口板黑洞。
- 选择“清洗设备”或者“服务商”,配置需要黑洞引流的IP地址和子网掩码等信息。
配置黑洞引流后,到此IP地址的流量将会被全部丢弃。
- 可选:选中“自动启用”,黑洞引流任务创建后立即下发生效。
未选中“自动启用”,后续手动启用后才会下发生效。
- 单击“确定”。
黑洞引流被启用后,在清洗设备上会生成一条到达2.2.2.2,出接口为NULL0的静态路由。
配置动态黑洞路由引流
- 选择。
- 在防护对象列表的“操作”列,单击
。 - 自定义防护对象的告警策略。其中,配置“紧急”告警级别中“动作”为“启动路由黑洞”。参数说明请参见表1。
- 动态黑洞路由引流网段配置。停止ATIC服务,在ATIC的安装目录下找到并打开com.huawei.atic.cbb.policy-0.0.1-SNAPSHOT.jar文件中的datetable.properties。修改“BlackHoleIPMask”和“BlackHoleIPV6Mask”为所需要网段。
Window操作系统中,文件所在路径为“安装路径\Tomcat6\Lego-UI-Plat\WEB-INF\lib\com.huawei.atic.cbb.policy-0.0.1-SNAPSHOT.jar”。
Linux操作系统中,文件所在路径为“安装路径/components/atic/Tomcat6/Lego-UI-Plat/WEB-INF/lib/com.huawei.atic.cbb.policy-0.0.1-SNAPSHOT.jar”。
- 修改动态路由引流网段配置后,需要重启ATIC服务。
- 动态黑洞引流网段配置全局生效。
在黑洞路由器上配置
以华为NE80E为例,介绍路由器的相关配置。不同版本的路由器配置不同,请根据实际路由器版本进行配置,以下配置仅供参考。
- 执行命令system-view,进入系统视图。
- 配置BGP团体属性。
[sysname] bgp 100 [sysname-bgp] router-id 10.8.8.8 [sysname-bgp] peer 10.7.7.7 as-number 200 [sysname-bgp] peer 10.7.7.7 ebgp-max-hop 255 [sysname-bgp] peer 10.7.7.7 connect-interface LoopBack0 [sysname-bgp] quit
- 在黑洞路由器上,配置BGP团体属性及发布动态生成的路由。
[sysname] bgp 100 [sysname-bgp] undo synchronization [sysname-bgp] ipv4-family unicast [sysname-bgp-af-ipv4] peer 10.7.7.7 enable [sysname-bgp-af-ipv4] peer 10.7.7.7 route-policy 1 import [sysname-bgp] quit
- 在黑洞路由器上,配置路由策略“1”。
[sysname] ip community-filter 1 permit 500:5000 [sysname] route-policy 1 permit node 1 #将清洗设备发布的目的地址为2.2.2.2,出口为NULL0的路由,下一跳指向3.3.3.3。 [sysname-route-policy] if-match community-filter 1 [sysname-route-policy] apply ip-address next-hop 3.3.3.3 [sysname-route-policy] quit
- 配置黑洞路由。
[sysname] ip route-static 3.3.3.3 255.255.255.255 NULL0
“3.3.3.3”为配置的黑洞路由的目的IP地址,清洗设备发布到黑洞路由器上的路由与黑洞路由器上的黑洞路由进行叠加,共同完成黑洞引流。该目的IP地址可任意配置,建议选用网络中不会用到的IP地址。
在清洗设备上配置
- 在用户视图下执行命令system-view,进入系统视图。
- 配置BGP团体属性。
[sysname] bgp 200 [sysname-bgp] router-id 10.7.7.7 [sysname-bgp] peer 10.8.8.8 as-number 100 [sysname-bgp] peer 10.8.8.8 ebgp-max-hop 255 [sysname-bgp] peer 10.8.8.8 connect-interface LoopBack0 [sysname-bgp] peer 192.168.20.9 as-number 200 [sysname-bgp] quit
- 在清洗设备上,配置路由策略。
[sysname] route-policy 1 permit node 1 #用于黑洞路由,将黑洞路由发布到黑洞路由器。 [sysname-route-policy] if-match interface NULL0 [sysname-route-policy] apply community 500:5000 no-advertise [sysname-route-policy] quit [sysname] route-policy 2 permit node 1 #用于黑洞路由,与黑洞路由器建Peer后引入黑洞路由。 [sysname-route-policy] if-match interface NULL0 [sysname-route-policy] quit [sysname] route-policy 3 deny node 1 #用于引流路由,黑洞路由命中此策略则被丢弃,不将黑洞路由发布到对端引流路由器。 [sysname-route-policy] if-match interface NULL0 [sysname-route-policy] quit [sysname] route-policy 3 permit node 5 #用于引流路由,只发给对端引流路由器,但不发给其他对等体。 [sysname-route-policy] apply community no-advertise [sysname-route-policy] quit
在管理中心启用黑洞引流后,清洗设备上会生成到达2.2.2.2,出接口为NULL0的静态路由。
配置黑洞路由时,需要把node值尽量配小,小于其他引流策略,以便优先匹配。
- 在清洗设备上,配置BGP团体属性及发布动态生成的路由。
[sysname] bgp 200 [sysname-bgp] undo synchronization [sysname-bgp] ipv4-family unicast [sysname-bgp-af-ipv4] import-route static route-policy 2 [sysname-bgp-af-ipv4] import-route unr [sysname-bgp-af-ipv4] peer 10.8.8.8 enable [sysname-bgp-af-ipv4] peer 10.8.8.8 route-policy 1 export [sysname-bgp-af-ipv4] peer 10.8.8.8 advertise-community [sysname-bgp-af-ipv4] peer 192.168.20.9 enable [sysname-bgp-af-ipv4] peer 192.168.20.9 route-policy 3 export [sysname-bgp-af-ipv4] peer 192.168.20.9 advertise-community [sysname-bgp-af-ipv4] quit [sysname-bgp] quit
在引流路由器上配置
- 和清洗设备之间建立BGP,用于引流。
[router2] bgp 200 [router2-bgp] peer 192.168.20.10 as-number 200
引流路由器仅提示BGP配置,具体路由策略配置不具体介绍,详细请参见其他引流回注举例。