- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-Guard路由配置
本章节下载: 12-Guard路由配置 (235.46 KB)
Guard路由是在Guard设备上配置的路由协议,它的主要作用是:当去往某一目的地的流量中包含引起网络异常的流量时,Guard路由将去往该目的地的所有流量牵引到Guard设备上,由Guard设备对流量进行过滤和清洗。Guard路由既可以由管理员手工配置,也可以根据收到的信息触发Guard设备上的脚本自动配置。其中,第二种方式更为常用。
Guard路由具有如下特点:
· 出接口为Null0。
· 非激活路由,即状态为Inactive,因此设备不会将Guard路由下发到FIB表。
· 需要与路由协议配合使用,即在Guard设备上通过路由协议引入Guard路由,由BGP向对等体发布该路由或由OSPF/OSPFv3通过LSA向邻居发布该路由,从而将BGP对等体或OSPF/OSPFv3邻居要发给其它设备的网络流量牵引到Guard设备上来,继而在Guard设备上对流量进行流量过滤、流量清洗等操作。
Guard路由典型应用如图1-1所示,Device A通过Device B与各类应用服务器进行通信,Device B与Guard设备通过路由协议引入Guard路由,Detector设备用于检测网络异常。
图1-1 Guard路由典型应用组网图
去往某一目的地的流量中既包含引起网络异常的流量,也包含正常流量,将去往该目的地的混合流量进行过滤和清洗的工作机制如下:
(1) 在Device B上将Device A发送给各类应用服务器的流量镜像到Detector设备,由Detector设备对这些流量进行检测。
(2) 如果Detector没有检测到任何异常,经过Device B的网络报文将正常转发,Guard设备不处于报文转发路径中。
(3) 当Detector检测到去往某个目的地址的流量出现异常时,将通知Guard设备,触发Guard设备创建Guard路由。或者Detector向网络管理员报警,由网络管理员通过命令行配置Guard路由。Guard路由的目的地址为异常流量报文的目的地址,Guard设备将该路由发布给Device B。
(4) Device B学到该路由后,将发往此目的地址的报文发送给Guard设备,即将去往该目的地址的所有流量牵引到Guard设备上。
(5) Guard设备对这些流量进行处理,丢弃攻击流量。同时需要保证清洗后的正常流量能够重新注入网络并正确送达目的地址。
Guard设备主要用来对引起网络异常的报文进行过滤,它的报文转发能力有限。因此需要在Guard设备或与Guard连接的设备上配置路由策略,禁止Guard设备接收和发布非Guard路由外的其它路由,从而减少Guard设备的系统损耗。关于路由策略的配置方法,请参见“三层技术-IP路由配置指导”中的“路由策略”。
当网络管理员收到Detector发送的网络异常报警信息时,可通过命令行配置Guard路由。
(1) 进入系统视图。
system-view
(2) 配置Guard路由。
(IPv4网络)
ip route-guard ip-address { mask-length | mask }
缺省情况下,未配置IPv4 Guard路由。
(IPv6网络)
ipv6 route-guard ipv6-address prefix-length
缺省情况下,未配置IPv6 Guard路由。
在完成上述配置后,在任意视图下执行display命令查看Guard路由配置的运行情况并检验配置结果。
表1-1 Guard路由显示和维护
|
操作 |
命令 |
|
查看IPv4 Guard路由信息 |
display ip routing-table protocol guard [ inactive | verbose ] |
|
查看IPv6 Guard路由信息 |
display ipv6 routing-table protocol guard [ inactive | verbose ] |
· Router A通过Router B与Web server、Name server和E-Commerce-Application server相连。
· 在Router B上配置端口镜像,通过Detector对Router A发送往Web server、Name server和E-Commerce-Application server的报文进行监控。
· Router B和Guard设备在AS 200内,并建立IBGP邻居关系,在Guard设备上通过BGP引入Guard路由并向Router A发布Guard路由。
· 当网络管理员通过Detector发现去往目的地址1.1.1.1的报文有异常,对Guard设备进行配置,将去往目的地址1.1.1.1的流量牵引到Guard设备上。
图1-2 Guard路由配置组网图
(1) 配置接口的IP地址、路由等保证网络可达,具体配置步骤略。
(2) 在Router B上配置端口镜像
# 创建本地镜像组。
<RouterB> system-view
[RouterB] mirroring-group 1 local
# 配置端口GigabitEthernet3/0为源端口,对该端口接收的报文进行镜像。
[RouterB] mirroring-group 1 mirroring-port gigabitethernet 3/0 inbound
# 配置端口GigabitEthernet2/0为目的端口,将GigabitEthernet3/0的报文复制一份到GigabitEthernet2/0,发送给Detector。
[RouterB] mirroring-group 1 monitor-port gigabitethernet 2/0
(3) 在Router B上配置BGP路由协议
# 配置ACL 2000的过滤规则,拒绝所有路由。
[RouterB] acl basic 2000
[RouterB-acl-ipv4-basic-2000] rule 0 deny
[RouterB-acl-ipv4-basic-2000] quit
# 配置Router B与Guard设备建立IBGP连接。
[RouterB] bgp 100
[RouterB-bgp-default] router-id 2.2.2.2
[RouterB-bgp-default] peer 3.3.3.3 as-number 100
[RouterB-bgp-default] peer 3.3.3.3 connect-interface loopback 0
[RouterB-bgp-default] address-family ipv4 unicast
[RouterB-bgp-default-ipv4] peer 3.3.3.3 enable
[RouterB-bgp-default-ipv4] quit
[RouterB-bgp-default] quit
[RouterB] ospf 1
[RouterB-ospf-1] area 0
[RouterB-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[RouterB-ospf-1-area-0.0.0.0] network 5.5.5.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
[RouterB-ospf-1] quit
# 配置发往对等体3.3.3.3的路由使用基于ACL 2000的过滤策略,即过滤掉所有路由。
[RouterB] bgp 100
[RouterB-bgp-default] address-family ipv4 unicast
[RouterB-bgp-default-ipv4] peer 3.3.3.3 filter-policy 2000 export
[RouterB-bgp-default-ipv4] quit
[RouterB-bgp-default] quit
(4) 在Guard设备上配置BGP路由策略和路由协议并配置BGP引入Guard路由
# 配置路由策略guard-out,配置BGP路由信息的团体号为1:1,团体属性为NO_EXPORT和NO_ADVERTISE。
<Guard> system-view
[Guard] route-policy guard-out permit node 0
[Guard-route-policy] apply community 1:1 no-export no-advertise
[Guard-route-policy] quit
# 配置Guard设备与Router B建立IBGP连接并引入Guard路由。
[Guard] bgp 100
[Guard-bgp-default] router-id 3.3.3.3
[Guard-bgp-default] peer 2.2.2.2 as-number 100
[Guard-bgp-default] peer 2.2.2.2 connect-interface loopback 0
[Guard-bgp-default] address-family ipv4 unicast
[Guard-bgp-default-ipv4] peer 2.2.2.2 enable
[Guard-bgp-default-ipv4] import-route guard
[Guard-bgp-default-ipv4] quit
[Guard-bgp-default] quit
[Guard] ospf 1
[Guard-ospf-1] area 0
[Guard-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
[Guard-ospf-1-area-0.0.0.0] network 5.5.5.0 0.0.0.255
[Guard-ospf-1-area-0.0.0.0] quit
[Guard-ospf-1] quit
# 配置发往对等体2.2.2.2的路由使用基于guard-out路由策略的过滤策略,并发布团体属性。
[Guard] bgp 100
[Guard-bgp-default] address-family ipv4 unicast
[Guard-bgp-default-ipv4] peer 2.2.2.2 route-policy guard-out export
[Guard-bgp-default-ipv4] peer 2.2.2.2 advertise-community
[Guard-bgp-default-ipv4] quit
[Guard-bgp-default] quit
(5) 网络管理员通过Detector发现去往目的地址1.1.1.1的报文有异常,在Guard设备上配置Guard路由
# 配置Guard路由。
[Guard] ip route-guard 1.1.1.1 255.255.255.255
# 查看Guard设备上配置的Guard路由。
[Guard] display ip routing-table protocol guard
Public Routing Table : Guard
Summary Count : 1
Guard Routing table Status : < Active>
Summary Count : 1
Destination/Mask Proto Pre Cost NextHop Interface
1.1.1.1/32 Guard 40 0 0.0.0.0 NULL0
Guard Routing table Status : < Inactive>
Summary Count : 0
# 查看Router B上路由1.1.1.1的信息。
[RouterB] display bgp routing-table ipv4 1.1.1.1
BGP local router ID: 2.2.2.2
Local AS number: 100
Paths: 1 available, 1 best
BGP routing table information of 1.1.1.1/32:
From : 3.3.3.3 (3.3.3.3)
Rely nexthop : 5.5.5.6
Original nexthop: 3.3.3.3
OutLabel : NULL
Community : <1:1>, No-Export, No-Advertise
AS-path : (null)
Origin : incomplete
Attribute value : MED 0, localpref 100, pref-val 0
State : valid, internal, best
IP precedence : N/A
QoS local ID : N/A
Traffic index : N/A
VPN-Peer UserID : N/A
DSCP : N/A
EXP : N/A
# 查看Router B上路由1.1.1.1的发送信息。
[RouterB] display bgp routing-table ipv4 1.1.1.1 advertise-info
BGP local router ID: 2.2.2.2
Local AS number: 100
Paths: 1 best
BGP routing table information of 1.1.1.1/32:
Not advertised to any peers yet
以上信息表明去往1.1.1.1/32的流量将会被牵引到Guard设备上,Router B不会通过BGP将到达目的地址1.1.1.1/32的路由发布出去。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
