管理引流任务（通过ATIC）

引流任务简介

引流任务包括以下三种：

• 静态引流任务

  无论检测设备是否检测到异常，ATIC管理中心都会生成针对防护对象IP地址/IP地址段的静态引流任务，并直接下发到清洗设备。

  静态引流任务需要由管理员手工创建，具体请参见创建静态引流任务（Inbound）。

• 手动引流任务

  如果检测设备检测到异常，ATIC管理中心会生成手动引流任务，引流任务生成后不直接下发，必须经管理员手工启用后下发到清洗设备。异常或攻击结束后，系统会自动取消引流。

  手动引流任务是系统动态生成的，是一种动态引流任务。管理员在配置防御策略时，将“引流模式”选择为“手动”，则系统动态生成手动引流任务。引流模式的配置请参见配置防御模式。

• 自动引流任务

  如果检测设备检测到异常，ATIC管理中心会生成自动引流任务，引流任务生成后直接下发到清洗设备。异常或攻击结束后，系统会自动取消引流。不需要管理员进行操作。

  自动引流任务是系统动态生成的，是另外一种动态引流任务。管理员在配置防御策略时，将“引流模式”选择为“自动”，则系统动态生成自动引流任务，引流模式的配置请参见配置防御模式。

引流任务下发到清洗设备后，会在清洗设备上生成命令行：firewall ddos traffic-diversion [ vpn-instance vpn-instance-name ] ip ip-address [ mask | mask-length ]，与清洗设备上配置的其他命令配合，共同实现BGP引流。

为了确保流量清洗的更彻底，在异常或攻击结束后，系统会延迟一段时间后自动取消引流，取消引流的延迟时间配置请参见业务数据维护。

ATIC最多可以同时处理10000条引流创建，超过10000条的引流任务，将直接丢弃。ATIC对引流任务的处理速率约每秒1条。

请避免因为防御阈值配置过低，而导致同时上报ATIC的异常过多，从而引发引流任务过多。一旦出现这种情况，建议管理员首先调高防御阈值，并部署到防护对象，待防护对象状态恢复正常后，再重启ATIC服务，并手动删除因误配置而创建的引流任务。

静态引流任务的优先级高于动态引流任务，如果某个目的IP地址已经有静态的引流任务的存在，则ATIC管理中心不会再自动创建/启用/禁用/删除任何同IP地址的动态引流任务。

当配置自动引流任务时，如果设备上已有生成的手动引流任务，须先删除手动引流任务。

管理操作

选择“防御 > 策略配置 > 引流”，管理引流任务：

创建	单击，可以在ATIC管理中心中创建静态引流任务。具体请参见创建静态引流任务（Inbound）。
删除	选中待删除引流任务前的复选框，单击，可删除该引流任务。
启用	启用状态的引流任务会被下发到清洗设备上，被下发到清洗设备上的引流任务才能生效。启用操作如下： 选中需要启用的引流任务前的复选框，单击。
禁用	禁用状态的引流任务不生效。禁用操作如下： 选中需要禁用的引流任务前的复选框，单击。
查询	简单查询 在查询区域中，选择“设备”、“防护对象”作为查询条件，单击。 高级查询 单击“高级查询”。 在弹出的高级查询区域中，可设置“设备”、“防护对象”、“IP地址”、“开始时间”、“结束时间”、“引流模式”、“引流状态”或“详情”多项查询条件，单击“查询”。

您也可以选择“防御 > 策略配置 > 防护对象”，单击防护对象对应的“引流状态”列的具体引流状态，在“引流任务”页签中，管理此防护对象的引流任务。

创建静态引流任务（Inbound）

1. 选择“防御 > 策略配置 > 引流”。
2. 在“Inbound引流任务”界面，单击。
3. 在“清洗设备”中选择进行流量清洗的设备。
4. 单击“防护对象”对应的，在“选择防护对象”界面，选择防护对象账号前的单选按钮，单击“确定”。
5. 配置需要引流的IP地址。当静态引流任务下发后，访问该目的IP地址的所有流量都会被引到清洗设备进行清洗。

   • 当需要引流的IP地址属于自定义防护对象，但不确定具体的IP地址/IP地址段时，在“输入方式”中选中“选择IP”，然后选择需要引流的IPv4地址或IPv6地址。

     当仅需要对被保护IP地址段中的部分IP地址或IP地址段进行引流时，可执行以下操作拆分IP地址段并选择拆分后的子网地址：

     1. 单击待拆分IP地址对应的。

     2. 在“拆分设置”界面，输入掩码拆分长度，单击“拆分”。

        掩码拆分长度范围为：IP地址段掩码位数+1～IP地址段掩码位数+8之间。举例：被保护IP地址段的掩码为255.255.0.0，即16位掩码，则掩码拆分长度可输入17～24。

     3. 选择拆分后的子网地址。

     4. 单击“确定”。

     5. 在“创建Inbound引流任务”界面，选择拆分后的子网地址。

   • 当需要引流的IP地址属于默认防护对象，或已确定被保护自定义防护对象的IP地址/IP地址段时，在“输入方式”中选中“手动输入”，然后输入具体的IP地址和掩码。

     当仅需要对被保护IP地址段中的部分IP地址或IP地址段进行引流时，可执行以下操作拆分IP地址段并选择拆分后的子网地址：

     1. 选中“拆分IP地址段”。

     2. 在“掩码拆分长度”中输入掩码的拆分长度，单击“拆分”。

        掩码拆分长度范围为：IP地址段掩码位数+1～IP地址段掩码位数+8之间。举例：被保护IP地址段的掩码为255.255.0.0，即16位掩码，则掩码拆分长度可输入17～24。

     3. 选择拆分后的子网地址。

6. 可选：选中“自动启用”，引流任务创建后自动启用。
7. 在“创建Inbound引流任务”界面，单击“确定”。

   引流任务创建成功后，显示在“Inbound引流任务”页面中。

创建静态引流任务（Outbound）

1. 选择“防御 > 策略配置 > 引流”。
2. 在“Outbound引流任务”界面，单击。
   

   创建或启用Outbound引流前请配置“BGP参数”和创建“BGP Peer”。其中，BGP Peer最多支持创建50个。

   表1 BGP参数

   参数	说明
   BGP Router ID	Flowspec引流器上的Router ID。
   Local Address	Flowspec引流器连接路由器的接口IP地址。
   Local As	Flowspec引流器所属的自治系统AS（Autonomous System）号，此AS号不能与路由器的AS号相同，即它们之间只能建立EBGP（External BGP）对等体关系。

   表2 BGP Peer

   参数	说明
   Peer IP	对端路由器的接口IP。
   Peer as	该路由器所属的自治系统AS号。
   路由器类型	路由器所属的类型，可选值为：Huawei、Cisco。

3. 在“协议”中选择ALL、TCP、UDP或ICMP协议。
4. 配置需要引流的源IP地址。当静态引流任务下发后，来自该源IP地址的所有流量都会被引流。
5. 可选：配置源端口、目的IP地址及目的端口。
6. 配置“动作”方式为：阻断、限流或重定向。
7. 在“创建Outbound引流任务”界面，单击“确定”。

   引流任务创建成功后，显示在“Outbound引流任务”页面中。

   

   此功能仅支持linux系统环境。