组网需求
检测设备检测到防护对象中1::1:1:1/128这个IP地址受到了超大流量的攻击,严重阻塞了清洗设备的入口带宽。为防止此攻击影响到其他的防护对象,紧急决定将到1::1:1:1/128的流量全部丢弃。组网如图1所示。
实现机制
引流路由器用于将流量引导至清洗设备进行清洗,黑洞路由器用于将到达某IP地址的流量全部丢弃。黑洞路由器与引流路由器需要是两台不同路由器。
- 在管理中心上配置黑洞引流IP地址1::1:1:1/128,启用后,在清洗设备上生成一条去往1::1:1:1/128,出接口为NULL0的静态路由。
- 在黑洞路由器上,将清洗设备发布的目的地址为1::1:1:1,出口为NULL0的路由,下一跳指向1::1:1:2。
在黑洞路由器上,配置黑洞路由ipv6 route-static 1::1:1:2 128 NULL0,与通过BGP发布来的去往1::1:1:1/128,下一跳为1::1:1:2的路由叠加,生成去往1::1:1:1/128,下一跳为NULL0的路由,实现黑洞引流。
“1::1:1:2”为配置的黑洞路由的目的IP地址,清洗设备发布到黑洞路由器上的路由与黑洞路由器上的黑洞路由进行叠加,共同完成黑洞引流。该目的IP地址可任意配置,建议选用网络中不会用到的IP地址。
在管理中心上配置
配置静态黑洞路由引流
- 选择。
- 在“黑洞”界面,单击
。
- 选择黑洞模式。黑洞支持路由黑洞、服务商和接口板黑洞。
- 选择“清洗设备”或者“服务商”,配置需要黑洞引流的IP地址和子网掩码等信息。
配置黑洞引流后,到此IP地址的流量将会被全部丢弃。
- 可选:选中“自动启用”,黑洞引流任务创建后立即下发生效。
未选中“自动启用”,后续手动启用后才会下发生效。
- 单击“确定”。
黑洞引流被启用后,在清洗设备上会生成一条到达1::1:1:1,出接口为NULL0的静态路由。
配置动态黑洞路由引流
- 选择。
- 在防护对象列表的“操作”列,单击
。 - 自定义防护对象的告警策略。其中,配置“紧急”告警级别中“动作”为“启动路由黑洞”。参数说明请参见表1。
- 动态黑洞路由引流网段配置。停止ATIC服务,在ATIC的安装目录下找到并打开com.huawei.atic.cbb.policy-0.0.1-SNAPSHOT.jar文件中的datetable.properties。修改“BlackHoleIPMask”和“BlackHoleIPV6Mask”为所需要网段。
Window操作系统中,文件所在路径为“安装路径\Tomcat6\Lego-UI-Plat\WEB-INF\lib\com.huawei.atic.cbb.policy-0.0.1-SNAPSHOT.jar”。
Linux操作系统中,文件所在路径为“安装路径/components/atic/Tomcat6/Lego-UI-Plat/WEB-INF/lib/com.huawei.atic.cbb.policy-0.0.1-SNAPSHOT.jar”。
- 仅当按网段做动态黑洞路由引流时,需配置此步骤。
- 修改动态路由引流网段配置后,需要重启ATIC服务。
- 动态黑洞引流网段配置全局生效。
在黑洞路由器上配置
以华为NE80E为例,介绍路由器的相关配置。不同版本的路由器配置不同,请根据实际路由器版本进行配置,以下配置仅供参考。
- 执行命令system-view,进入系统视图。
- 配置BGP团体属性。
[sysname] bgp 100 [sysname-bgp] peer 10::1:5:1 as-number 200 [sysname-bgp] peer 10::1:5:1 ebgp-max-hop 255 [sysname-bgp] quit
- 在黑洞路由器上,配置路由策略“1”。
[sysname] ip community-filter 1 permit 500:5000 [sysname] route-policy 1 permit node 1 #将清洗设备发布的目的地址为1::1:1:1,出口为NULL0的路由,下一跳指向1::1:1:2。 [sysname-route-policy] if-match community-filter 1 [sysname-route-policy] apply ipv6 next-hop 1::1:1:2 [sysname-route-policy] quit
- 在黑洞路由器上,配置BGP团体属性及发布动态生成的路由。
[sysname] bgp 100 [sysname-bgp] undo synchronization [sysname-bgp] ipv6-family unicast [sysname-bgp-af-ipv6] peer 10::1:5:1 enable [sysname-bgp-af-ipv6] peer 10::1:5:1 route-policy 1 import [sysname-bgp] quit
- 配置黑洞路由。
[sysname] ipv6 route-static 1::1:1:2 128 NULL 0“1::1:1:2”为配置的黑洞路由的目的IP地址,清洗设备发布到黑洞路由器上的路由与黑洞路由器上的黑洞路由进行叠加,共同完成黑洞引流。该目的IP地址可任意配置,建议选用网络中不会用到的IP地址。
在清洗设备上配置
- 在用户视图下执行命令system-view,进入系统视图。
- 配置BGP团体属性。
[sysname] bgp 200 [sysname-bgp] peer 10::1:3:1 as-number 100 [sysname-bgp] peer 10::1:3:1 ebgp-max-hop 255 [sysname-bgp] peer 10::1:2:1 as-number 200 [sysname-bgp] quit
- 在清洗设备上,配置路由策略。
[sysname] route-policy 1 permit node 1 #用于黑洞路由,将黑洞路由发布到黑洞路由器。 [sysname-route-policy] if-match interface NULL 0 [sysname-route-policy] apply community 500:5000 no-advertise [sysname-route-policy] quit [sysname] route-policy 2 permit node 1 #用于黑洞路由,与黑洞路由器建Peer后引入黑洞路由。 [sysname-route-policy] if-match interface NULL 0 [sysname-route-policy] quit [sysname] route-policy 3 deny node 1 #用于引流路由,黑洞路由命中此策略则被丢弃,不将黑洞路由发布到对端引流路由器。 [sysname-route-policy] if-match interface NULL 0 [sysname-route-policy] quit [sysname] route-policy 3 permit node 5 #用于引流路由,只发给对端引流路由器,但不发给其他对等体。 [sysname-route-policy] apply community no-advertise [sysname-route-policy] quit
在管理中心启用黑洞引流后,清洗设备上会生成到达1::1:1:1,出接口为NULL0的静态路由。
配置黑洞路由时,需要把node值尽量配小,小于其他引流策略,以便优先匹配。
- 在清洗设备上,配置BGP团体属性及发布动态生成的路由。
[sysname] bgp 200 [sysname-bgp] undo synchronization [sysname-bgp] ipv6-family unicast [sysname-bgp-af-ipv6] import-route static route-policy 2 [sysname-bgp-af-ipv6] import-route unr [sysname-bgp-af-ipv6] peer 10::1:3:1 enable [sysname-bgp-af-ipv6] peer 10::1:3:1 route-policy 1 export [sysname-bgp-af-ipv6] peer 10::1:3:1 advertise-community [sysname-bgp-af-ipv6] peer 10::1:2:1 enable [sysname-bgp-af-ipv6] peer 10::1:2:1 route-policy 3 export [sysname-bgp-af-ipv6] peer 10::1:2:1 advertise-community [sysname-bgp-af-ipv6] quit [sysname-bgp] quit
在引流路由器上配置
- 和清洗设备之间建立BGP,用于引流。
[router2] bgp 200 [router2-bgp] peer 10::1:2:2 as-number 200
引流路由器仅提示BGP配置,具体路由策略配置不具体介绍,详细请参见其他引流回注举例。