13-Guard路由配置
本章节下载: 13-Guard路由配置 (210.52 KB)
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
设备型号 |
业务板类型 |
说明 |
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
不支持 |
Blade V防火墙业务板 |
不支持 |
|
NAT业务板 |
不支持 |
|
应用交付业务板 |
不支持 |
|
异常流量清洗业务板 |
支持 |
|
M9010-GM |
加密业务板 |
不支持 |
M9016-V |
Blade V防火墙业务板 |
不支持 |
M9008-S M9012-S |
Blade IV防火墙业务板 |
不支持 |
应用交付业务板 |
不支持 |
|
入侵防御业务板 |
不支持 |
|
视频网关业务板 |
不支持 |
|
异常流量清洗业务板 |
支持 |
|
M9008-S-6GW |
IPv6业务板 |
不支持 |
M9008-S-V |
Blade IV防火墙业务板 |
不支持 |
M9000-AI-E8 |
Blade V防火墙业务板 |
不支持 |
应用交付业务板 |
不支持 |
|
M9000-AI-E16 |
Blade V防火墙业务板 |
不支持 |
Guard路由是在Guard设备上配置的路由协议,它的主要作用是:当去往某一目的地的流量中包含引起网络异常的流量时,Guard路由将去往该目的地的所有流量牵引到Guard设备上,由Guard设备对流量进行过滤和清洗。Guard路由既可以由管理员手工配置,也可以根据收到的信息触发Guard设备上的脚本自动配置。其中,第二种方式更为常用。
Guard路由具有如下特点:
· 出接口为Null0。
· 非激活路由,即状态为Inactive,因此设备不会将Guard路由下发到FIB表。
· 需要与路由协议配合使用,即在Guard设备上通过路由协议引入Guard路由,由BGP向对等体发布该路由或由OSPF/OSPFv3通过LSA向邻居发布该路由,从而将BGP对等体或OSPF/OSPFv3邻居要发给其它设备的网络流量牵引到Guard设备上来,继而在Guard设备上对流量进行流量过滤、流量清洗等操作。
Guard路由典型应用如图1-1所示,Device A通过Device B与各类应用服务器进行通信,Device B与Guard设备通过路由协议引入Guard路由,Detector设备用于检测网络异常。
图1-1 Guard路由典型应用组网图
去往某一目的地的流量中既包含引起网络异常的流量,也包含正常流量,将去往该目的地的混合流量进行过滤和清洗的工作机制如下:
(1) 在Device B上将Device A发送给各类应用服务器的流量镜像到Detector设备,由Detector设备对这些流量进行检测。
(2) 如果Detector没有检测到任何异常,经过Device B的网络报文将正常转发,Guard设备不处于报文转发路径中。
(3) 当Detector检测到去往某个目的地址的流量出现异常时,将通知Guard设备,触发Guard设备创建Guard路由。或者Detector向网络管理员报警,由网络管理员通过命令行配置Guard路由。Guard路由的目的地址为异常流量报文的目的地址,Guard设备将该路由发布给Device B。
(4) Device B学到该路由后,将发往此目的地址的报文发送给Guard设备,即将去往该目的地址的所有流量牵引到Guard设备上。
(5) Guard设备对这些流量进行处理,丢弃攻击流量。同时需要保证清洗后的正常流量能够重新注入网络并正确送达目的地址。
Guard设备主要用来对引起网络异常的报文进行过滤,它的报文转发能力有限。因此需要在Guard设备或与Guard连接的设备上配置路由策略,禁止Guard设备接收和发布非Guard路由外的其它路由,从而减少Guard设备的系统损耗。关于路由策略的配置方法,请参见“三层技术-IP路由配置指导”中的“路由策略”。
当网络管理员收到Detector发送的网络异常报警信息时,可通过命令行配置Guard路由。
(1) 进入系统视图。
system-view
(2) 配置Guard路由。
(IPv4网络)
ip route-guard ip-address { mask-length | mask }
缺省情况下,未配置IPv4 Guard路由。
(IPv6网络)
ipv6 route-guard ipv6-address prefix-length
缺省情况下,未配置IPv6 Guard路由。
在完成上述配置后,在任意视图下执行display命令查看Guard路由配置的运行情况并检验配置结果。
表1-1 Guard路由显示和维护
操作 |
命令 |
查看IPv4 Guard路由信息 |
display ip routing-table protocol guard [ inactive | verbose ] |
查看IPv6 Guard路由信息 |
display ipv6 routing-table protocol guard [ inactive | verbose ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!