• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

13-ACL和QoS配置指导

目录

05-Flowspec配置

本章节下载 05-Flowspec配置  (407.15 KB)

05-Flowspec配置


1 Flowspec

1.1  Flowspec简介

Flowspec(Flow Specification,流规格)用来实现对BGP网络中的非法流量进行过滤与巡查,以减轻DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击对网络的影响。借助BGP路由更新,Flowspec针对攻击流量的特点,可集中配置和管理匹配规则以及流量动作,并快速地将匹配规则和流量动作应用到其他BGP路由器中。

1.1.1  Flowspec设备角色

·     Flowspec路由器:也称为Flowspec控制器,为BGP网络中的BGP路由器,通过BGP Update报文,向Flowspec边界路由器传递包含匹配规则以及流量动作的Flowspec路由。

·     Flowspec边界路由器:也称为Flowspec客户端,为BGP网络中的BGP路由器,可接收BGP Update报文中Flowspec路由器创建的Flowspec路由。

配置Flowspec时,应选取BGP网络中的一台BGP路由器作为Flowspec路由器,网络中的其他BGP路由器作为Flowspec边界路由器。

1.1.2  Flowspec工作原理

为支持Flowspec,MP-BGP定义了Flowspec IPv4地址族、Flowspec VPNv4地址族、Flowspec IPv6地址族和Flowspec VPNv6地址族,并新增了Flowspec NLRI(Network Layer Reachability Information,网络层可达性信息),即Flowspec路由。通过Flowspec IPv4地址族、Flowspec VPNv4地址族、Flowspec IPv6地址族和Flowspec VPNv6地址族,Flowspec可以将携带匹配规则和流量动作的Flowspec路由在公网和VPN实例中进行传播。

图1-1所示,通过BGP路由更新的形式,Flowspec路由器向Flowspec边界路由器发布Flowspec路由,Flowspec边界路由器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的转发平面,从而对进入设备的流量采取适当的流量动作。Flowspec路由同样也支持跨AS传输,从而实现在最接近攻击源的设备上对攻击流量进行管控,这样能够最大程度地减少攻击流量对网络转发性能的影响。

图1-1 Flowspec原理图

 

1.1.3  协议规范

与Flowspec相关的协议规范有:

·     RFC 5575:Dissemination of Flow Specification Rules

·     RFC 7674:Clarification of the Flowspec Redirect Extended Community

·     draft-ietf-idr-bgp-prefix-sid

·     draft-ietf-idr-flowspec-path-redirect

·     draft-ietf-spring-segment-routing-policy

1.2  Flowspec配置准备

配置Flowspec前,需要在Flowspec路由器和Flowspec边界路由器上配置BGP基本功能,具体配置请参见“三层技术-IP路由配置指导”中的“BGP基础”。

在公网中应用Flowspec路由,设备将无法区分公网与私网流量。

1.3  配置IPv4 Flowspec

1.3.1  IPv4 Flowspec配置任务简介

(1)     创建并激活IPv4 Flowspec路由

需要在Flowspec路由器上创建并激活Flowspec路由。

(2)     (可选)配置Flowspec接口组

¡     在公网中应用IPv4 Flowspec路由

¡     在VPN实例中应用IPv4 Flowspec路由

需要在Flowspec路由器上应用Flowspec路由。

(3)     配置BGP发布IPv4 Flowspec路由

¡     配置BGP发布公网IPv4 Flowspec路由

¡     配置BGP发布私网IPv4 Flowspec路由

¡     配置BGP发布VPNv4 Flowspec路由

需要在Flowspec路由器和Flowspec边界路由器上配置BGP发布Flowspec路由。

(4)     (可选)配置BGP Flowspec路由反射

需要在Flowspec路由器上配置BGP Flowspec路由反射。

1.3.2  创建并激活IPv4 Flowspec路由

(1)     进入系统视图。

system-view

(2)     创建IPv4 Flowspec路由。

flow-route flowroute-name

(3)     定义Flowspec路由的报文匹配规则。

if-match match-criteria

(4)     配置Flowspec路由的流量动作。请选择其中一项进行配置。

¡     配置流量丢弃动作。

apply deny

¡     配置流量重定向到下一跳动作。

apply redirect next-hop { ipv4-address [ copy-mode ] | ipv6-address }

¡     配置流量重定向到SR-MPLS TE Policy动作。

apply redirect next-hop ipv4-address color color

¡     配置流量重定向到SRv6 TE Policy动作。

apply redirect next-hop ipv6-address color color [ sid sid-value ]

¡     配置流量重定向到指定的Route Target动作。

apply redirect vpn-target import-vpn-target

¡     配置重新标记报文DSCP值的动作。

apply remark-dscp dscp-value

¡     配置流量限速动作。

apply traffic-rate rate

缺省情况下,Flowspec路由中未配置流量动作。

(5)     (可选)检查Flowspec路由下未生效的匹配规则及流量动作。

check flow-route-configuration

(6)     激活Flowspec路由中的匹配规则及流量动作。

commit

缺省情况下,Flowspec路由下配置的匹配规则及流量动作未生效。

1.3.3  配置Flowspec接口组

1. 功能简介

缺省情况下,Flowspec路由器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的所有接口,并对所有接口上符合规则的流量采取动作。如果要针对某些特定的接口应用Flowspec路由中的匹配规则和流量动作,则可以配置本功能并将Flowspec接口组与Flowspec路由关联。

2. 配置限制和指导

同一个接口只能加入一个Flowspec接口组。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建Flowspec接口组,并进入Flowspec接口组视图。

flowspec flow-interface-group group-id

(3)     (可选)配置Flowspec接口组的描述信息。

description text

(4)     向Flowspec接口组中添加成员接口。

interface interface-type interface-number

缺省情况下,Flowspec接口组中不存在接口。

1.3.4  应用IPv4 Flowspec路由

1. 功能简介

配置Flowspec路由关联了Flowspec接口组功能后,设备可作为Flowspec控制器,当BGP发布Flowspec路由时,BGP UPDATE报文中将携带接口组ID的Flowspec路由信息发布给Flowspec客户端。Flowspec客户端上如果存在对应的Flowspec接口组,则将Flowspec路由中的匹配规则和流量动作应用到Flowspec接口组中的接口。

2. 配置限制和指导

对于Flowspec IPv4地址族视图下已应用的Flowspec路由,若要为其关联Flowspec接口组,则需要先执行undo flow-route命令删除该Flowspec路由后,再执行flow-route flow-interface-group命令将该Flowspec路由与Flowspec接口组关联。

同一个Flowspec路由不可以关联多个Flowspec接口组。同一个Flowspec接口组可以关联到多个Flowspec路由。

3. 在公网中应用IPv4 Flowspec路由

(1)     进入系统视图。

system-view

(2)     进入Flowspec视图。

flowspec

(3)     创建Flowspec IPv4地址族。

address-family ipv4

(4)     应用已创建的IPv4 Flowspec路由,请至少选择其中一项进行配置。

¡     应用已创建的普通IPv4 Flowspec路由。

flow-route flowroute-name

缺省情况下,公网中未应用IPv4 Flowspec路由。

¡     应用关联了Flowspec接口组的IPv4 Flowspec路由。

flow-route flowroute-name flow-interface-group group-id

缺省情况下,IPv4 Flowspec路由未关联Flowspec接口组。

4. 在VPN实例中应用IPv4 Flowspec路由

(1)     进入系统视图。

system-view

(2)     配置VPN实例。

a.     创建VPN实例,并进入VPN实例视图。

ip vpn-instance vpn-instance-name

b.     配置VPN实例的RD。

route-distinguisher route-distinguisher

缺省情况下,未配置VPN实例的RD。

c.     配置VPN实例的Route Target。

vpn-target { vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ] }

缺省情况下,未配置VPN实例的Route Target。

关于ip vpn-instanceroute-distinguishervpn-target命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L3VPN”。

(3)     进入VPN实例IPv4 Flowspec地址族视图。

address-family ipv4 flowspec

(4)     配置VPN实例下IPv4 Flowspec地址族的RD。

route-distinguisher route-distinguisher

缺省情况下,未配置VPN实例下IPv4 Flowspec地址族的RD。

(5)     配置VPN实例下IPv4 Flowspec地址族的VPN target。

vpn-target vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ]

缺省情况下,未配置VPN实例下IPv4 Flowspec地址族的VPN target。

VPN实例IPv4 Flowspec地址族的VPN target必须与之前配置的VPN实例的Route target保持一致。

(6)     依次执行以下命令退回系统视图。

a.     quit

b.     quit

(7)     进入Flowspec视图。

flowspec

(8)     创建Flowspec IPv4 VPN实例地址族并关联已创建的VPN实例。

address-family ipv4 vpn-instance vpn-instance-name

(9)     应用已创建的IPv4 Flowspec路由,请选择其中一项进行配置。

flow-route flowroute-name

缺省情况下,VPN实例中未应用IPv4 Flowspec路由。

¡     应用关联Flowspec接口组的Flowspec路由。

flow-route flowroute-name flow-interface-group group-id

缺省情况下,IPv4 Flowspec路由未关联Flowspec接口组。

1.3.5  配置BGP发布IPv4 Flowspec路由

1. 功能简介

缺省情况下,BGP Flowspec邻居会对收到的IPv4 Flowspec路由及路由重定向下一跳的合法性进行验证。

·     IPv4 Flowspec路由合法指的是:

¡     IPv4 Flowspec路由携带了匹配目的地址的规则。

¡     BGP Flowspec邻居(接收及发送该IPv4 Flowspec路由的设备)上存在目的地址为“IPv4 Flowspec路由目的地址”的BGP路由,且该BGP路由来自发送设备。

在不关注IPv4 Flowspec路由合法性的情况下,可以关闭本功能,此时BGP Flowspec邻居收到IPv4 Flowspec路由后,不会对其进行合法性验证。

·     IPv4 Flowspec路由的重定向下一跳合法指的是(假设IPv4 Flowspec路由的重定向下一跳为设备A):

¡     BGP Flowspec邻居上存在设备A的BGP路由。

¡     设备A与BGP Flowspec邻居在同一AS内。

在不关注IPv4 Flowspec路由重定向下一跳合法性的情况下,可以关闭本功能,BGP Flowspec邻居收到IPv4 Flowspec路由后,不会对其进行合法性验证。

在Flowspec路由器上配置BGP发布IPv4 Flowspec路由时,该IPv4 Flowspec路由会通过BGP路由发布给Flowspec边界路由器,同时也会在本Flowspec路由器上生效。

2. 配置限制和指导

关于bgppeer enable命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP基础”。

3. 配置BGP发布公网IPv4 Flowspec路由

(1)     进入系统视图。

system-view

(2)     请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family ipv4 flowspec

(3)     允许BGP Flowspec邻居间交换路由信息。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable

缺省情况下,BGP Flowspec邻居间不能交换路由信息。

(4)     (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable

缺省情况下,会对接收的IPv4 Flowspec路由进行合法性验证。

(5)     (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的重定向下一跳合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable

缺省情况下,EBGP Flowspec邻居会对接收的IPv4 Flowspec路由进行重定向下一跳合法性验证。

(6)     (可选)配置向对等体发送路由时不改变下一跳。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable

缺省情况下,向EBGP对等体/对等体组发布IPv4 Flowspec路由时会将下一跳属性改为自己的地址。

(7)     (可选)配置收到的带有重定向到下一跳IP地址属性的路由可以迭代隧道。

redirect ip recursive-lookup tunnel [ tunnel-selector tunnel-selector-name ]

缺省情况下,收到的带有重定向到下一跳IP地址属性的路由不能迭代隧道。

(8)     (可选)配置IPv4 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x010C。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible

缺省情况下,IPv4 Flowspec路由的重定向下一跳属性ID为0x0800。

(9)     (可选)配置IPv4 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible

缺省情况下,IPv4 Flowspec路由的重定向到VPN Target属性ID为0x800B。

(10)     (可选)禁止应用Flowspec路由的重定向下一跳动作。

undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop

缺省情况下,允许应用Flowspec路由的重定向下一跳动作。

(11)     (可选)配置从指定对等体/对等体组接收到携带Color属性的Flowspec路由后,将符合Flowspec路由规则的流量重定向到与Flowspec路由匹配的SR-MPLS TE Policy或SRv6 TE Policy。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-color [ sr-policy ]

缺省情况下,Flowspec路由携带了Color属性时,如果Flowspec路由的下一跳地址是IPv4地址,仅将Flowspec路由与SR-MPLS TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SR-MPLS TE Policy;如果Flowspec路由的下一跳地址是IPv6地址,仅将Flowspec路由与SRv6 TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SRv6 TE Policy。

4. 配置BGP发布私网IPv4 Flowspec路由

(1)     进入系统视图。

system-view

(2)     请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

ip vpn-instance vpn-instance-name

address-family ipv4 flowspec

(3)     允许BGP Flowspec邻居间交换路由信息。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable

缺省情况下,BGP Flowspec邻居间不能交换路由信息。

(4)     (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable

缺省情况下,会对接收的IPv4 Flowspec路由进行合法性验证。

(5)     (可选)关闭对来自BGP Flowspec邻居的IPv4 Flowspec路由的重定向下一跳合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable

缺省情况下,EBGP Flowspec邻居会对接收的IPv4 Flowspec路由进行重定向下一跳合法性验证。

(6)     (可选)配置向EBGP对等体发送路由时不改变下一跳地址。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable

缺省情况下,向EBGP对等体/对等体组发布IPv4 Flowspec路由时会将下一跳属性改为自己的地址。

(7)     (可选)配置IPv4 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x010C。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible

缺省情况下,IPv4 Flowspec路由的重定向下一跳属性ID为0x0800。

(8)     (可选)配置IPv4 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible

缺省情况下,IPv4 Flowspec路由的重定向到VPN Target属性ID为0x800B。

(9)     (可选)禁止应用Flowspec路由的重定向下一跳动作。

undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop

缺省情况下,允许应用Flowspec路由的重定向下一跳动作。

(10)     (可选)配置从指定对等体/对等体组接收到携带Color属性的Flowspec路由后,将符合Flowspec路由规则的流量重定向到与Flowspec路由匹配的SR-MPLS TE Policy或SRv6 TE Policy。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-color [ sr-policy ]

缺省情况下,Flowspec路由携带了Color属性时,如果Flowspec路由的下一跳地址是IPv4地址,仅将Flowspec路由与SR-MPLS TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SR-MPLS TE Policy;如果Flowspec路由的下一跳地址是IPv6地址,仅将Flowspec路由与SRv6 TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SRv6 TE Policy。

5. 配置BGP发布VPNv4 Flowspec路由

(1)     进入系统视图。

system-view

(2)     请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family vpnv4 flowspec

(3)     允许BGP Flowspec邻居间交换路由信息。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable

缺省情况下,BGP Flowspec邻居间不能交换路由信息。

(4)     (可选)配置向EBGP对等体发送VPNv4 Flowspec路由时不改变下一跳地址。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable

缺省情况下,向EBGP对等体/对等体组发布VPNv4 Flowspec路由时会将下一跳属性改为自己的地址。

(5)     (可选)配置IPv4 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x010C。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible

缺省情况下,IPv4 Flowspec路由的重定向下一跳属性ID为0x0800。

(6)     (可选)配置IPv4 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible

缺省情况下,IPv4 Flowspec路由的重定向到VPN Target属性ID为0x800B。

1.3.6  配置BGP Flowspec路由反射

1. 功能简介

路由反射用来解决IBGP对等体需要全连接的问题。在一个AS内,一台路由器作为RR(Route Reflector,路由反射器),其它路由器作为客户机(Client)与路由反射器建立IBGP连接。路由反射器在客户机之间传递(反射)路由信息,而客户机之间不需要建立BGP连接。

路由反射器及其客户机形成了一个集群。通常情况下,一个集群中只有一个路由反射器,该反射器的Router ID就作为集群ID,用于识别该群。

2. 配置步骤

(1)     进入系统视图

system-view

(2)     进入BGP IPv4 Flowspec地址族视图、BGP-VPN IPv4 Flowspec地址族视图或BGP VPNv4 Flowspec地址族视图。请选择其中一项进行配置。

¡     请依次执行以下命令进入BGP IPv4 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family ipv4 flowspec

¡     请依次执行以下命令进入BGP-VPN IPv4 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

ip vpn-instance vpn-instance-name

address-family ipv4 flowspec

¡     请依次执行以下命令进入BGP VPNv4 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family vpnv4 flowspec

(3)     配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } reflect-client

缺省情况下,未配置路由反射器及其客户机。

(4)     (可选)配置不对接收到的VPNv4 Flowspec路由进行Route Target过滤。

undo policy vpn-target

缺省情况下,对接收到的VPNv4 Flowspec路由进行Route Target过滤,即只将Export Route Target属性与本地Import Route Target属性匹配的VPNv4 Flowspec路由加入到路由表。

本命令仅支持在BGP VPNv4 Flowspec地址族视图执行。

(5)     (可选)允许路由反射器在客户机之间反射路由。

reflect between-clients

缺省情况下,允许路由反射器在客户机之间反射路由。

(6)     (可选)配置路由反射器的集群ID。

reflector cluster-id { cluster-id | ipv4-address }

缺省情况下,每个路由反射器都使用自己的Router ID作为集群ID。

1.3.7  配置Flowspec可占用的ACL最大资源数量

1. 功能简介

Flowspec转发器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的转发平面,对进入设备的符合匹配规则的流量采取对应的流量动作。Flowspec控制器下发的Flowspec路由过多,可能会过度占用Flowspec转发器上的ACL资源,当占用的ACL资源超出设备的ACL资源上限时,Flowspec路由无法正常生效,新增的报文过滤等业务引用ACL规则也无法正常生效,因此,需要配置本命令来合理地限制Flowspec可以占用的ACL资源上限。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置Flowspec可占用的ACL最大资源数量。

qos-acl resource flowspec limit-resource resource-number

缺省情况下,Flowspec可占用的ACL最大资源数量为1000。

 

1.4  配置IPv6 Flowspec

1.4.1  IPv6 Flowspec配置任务简介

(1)     创建并激活IPv6 Flowspec路由

需要在Flowspec路由器上创建并激活Flowspec路由。

(2)     应用IPv6 Flowspec路由

¡     在公网中应用IPv6 Flowspec路由

¡     在VPN实例中应用IPv6 Flowspec路由

需要在Flowspec路由器上应用Flowspec路由。

(3)     配置BGP发布IPv6 Flowspec路由

¡     配置BGP发布公网IPv6 Flowspec路由

¡     配置BGP发布私网IPv6 Flowspec路由

¡     配置BGP发布VPNv6 Flowspec路由

需要在Flowspec路由器和Flowspec边界路由器上配置BGP发布Flowspec路由。

(4)     (可选)配置BGP Flowspec路由反射

需要在Flowspec路由器上配置BGP Flowspec路由反射。

1.4.2  创建并激活IPv6 Flowspec路由

(1)     进入系统视图。

system-view

(2)     创建IPv6 Flowspec路由。

flow-route flowroute-name ipv6

(3)     定义Flowspec路由的报文匹配规则。

if-match match-criteria

(4)     配置Flowspec路由的流量动作。请选择其中一项进行配置。

¡     配置流量丢弃动作。

apply deny

¡     配置流量重定向到下一跳动作。

apply redirect next-hop { ipv4-address | ipv6-address [ copy-mode ] }

¡     配置流量重定向到SR-MPLS TE Policy动作。

apply redirect next-hop ipv4-address color color

¡     配置流量重定向到SRv6 TE Policy动作。

apply redirect next-hop ipv6-address color color [ sid sid-value ]

¡     配置流量重定向到指定的Route Target动作。

apply redirect vpn-target import-vpn-target

¡     配置重新标记报文DSCP值的动作。

apply remark-dscp dscp-value

¡     配置流量限速动作。

apply traffic-rate rate

缺省情况下,Flowspec路由中未配置流量动作。

(5)     (可选)检查Flowspec路由下未生效的匹配规则及流量动作。

check flow-route-configuration

(6)     激活Flowspec路由中的匹配规则及流量动作。

commit

缺省情况下,Flowspec路由下配置的匹配规则及流量动作未生效。

1.4.3  应用IPv6 Flowspec路由

1. 功能简介

配置Flowspec路由关联了Flowspec接口组功能后,设备可作为Flowspec控制器,当BGP发布Flowspec路由时,BGP UPDATE报文中将携带接口组ID的Flowspec路由信息发布给Flowspec客户端。Flowspec客户端上如果存在对应的Flowspec接口组,则将Flowspec路由中的匹配规则和流量动作应用到Flowspec接口组中的接口。

2. 配置限制和指导

对于Flowspec IPv6地址族视图下已应用的Flowspec路由,若要为其关联Flowspec接口组,则需要先执行undo flow-route命令删除该Flowspec路由后,再执行本命令将该Flowspec路由与Flowspec接口组关联。

同一个Flowspec路由可以关联多个Flowspec接口组。同一个Flowspec接口组也可以关联到多个Flowspec路由。

3. 在公网中应用IPv6 Flowspec路由

(1)     进入系统视图。

system-view

(2)     进入Flowspec视图。

flowspec

(3)     创建Flowspec IPv6地址族。

address-family ipv6

(4)     应用已创建的IPv6 Flowspec路由,请选择其中一项进行配置。

¡     应用已创建的普通IPv6 Flowspec路由。

flow-route flowroute-name

缺省情况下,公网中未应用IPv6 Flowspec路由。

¡     应用关联了Flowspec接口组的IPv6 Flowspec路由。

flow-route flowroute-name flow-interface-group group-id

缺省情况下, IPv6 Flowspec路由未关联Flowspec接口组。

4. 在VPN实例中应用IPv6 Flowspec路由

(1)     进入系统视图。

system-view

(2)     配置VPN实例。

a.     创建VPN实例,并进入VPN实例视图。

ip vpn-instance vpn-instance-name

b.     配置VPN实例的RD。

route-distinguisher route-distinguisher

缺省情况下,未配置VPN实例的RD。

c.     配置VPN实例的Route Target。

vpn-target { vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ] }

缺省情况下,未配置VPN实例的Route Target。

关于ip vpn-instanceroute-distinguishervpn-target命令的详细介绍,请参见“MPLS命令参考”中的“MPLS L3VPN”。

(3)     进入VPN实例IPv6 Flowspec地址族视图。

address-family ipv6 flowspec

(4)     依次执行以下命令退回系统视图。

a.     quit

b.     quit

(5)     进入Flowspec视图。

flowspec

(6)     创建Flowspec IPv6 VPN实例地址族并关联已创建的VPN实例。

address-family ipv6 vpn-instance vpn-instance-name

(7)     应用已创建的IPv6 Flowspec路由,请至少选择其中一项进行配置。

¡     应用已创建的普通IPv6 Flowspec路由。

flow-route flowroute-name

缺省情况下,VPN实例中未应用IPv6 Flowspec路由。

¡     应用关联Flowspec接口组的Flowspec路由。

flow-route flowroute-name flow-interface-group group-id

缺省情况下,IPv6 Flowspec路由未关联Flowspec接口组。

1.4.4  配置BGP发布IPv6 Flowspec路由

1. 配置限制和指导

关于bgppeer enable命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“BGP基础”。

2. 配置BGP发布公网IPv6 Flowspec路由

(1)     进入系统视图。

system-view

(2)     请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family ipv6 flowspec

(3)     允许BGP Flowspec邻居间交换路由信息。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable

缺省情况下,BGP Flowspec邻居间不能交换路由信息。

(4)     (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable

缺省情况下,会对接收的IPv6 Flowspec路由进行合法性验证。

(5)     (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的重定向下一跳合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable

缺省情况下,EBGP Flowspec邻居会对接收的IPv6 Flowspec路由进行重定向下一跳合法性验证。

(6)     (可选)配置向对等体发送路由时不改变下一跳。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable

缺省情况下,向EBGP对等体/对等体组发布IPv6 Flowspec路由时会将下一跳属性改为自己的地址。

(7)     (可选)配置收到的带有重定向到下一跳IP地址属性的路由可以迭代隧道。

redirect ip recursive-lookup tunnel [ tunnel-selector tunnel-selector-name ]

缺省情况下,收到的带有重定向到下一跳IP地址属性的路由不能迭代隧道。

(8)     (可选)配置IPv6 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x000C。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible

缺省情况下,IPv6 Flowspec路由的重定向下一跳属性ID为0x0800。

(9)     (可选)配置IPv6 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即0x000D。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible

缺省情况下,IPv6 Flowspec路由的重定向到VPN Target属性ID为0x800B。

(10)     (可选)禁止应用Flowspec路由的重定向下一跳动作。

undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop

缺省情况下,允许应用Flowspec路由的重定向下一跳动作。

(11)     (可选)配置从指定对等体/对等体组接收到携带Color属性的Flowspec路由后,将符合Flowspec路由规则的流量重定向到与Flowspec路由匹配的SR-MPLS TE Policy或SRv6 TE Policy。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ mask-length ] } redirect-color [ sr-policy ]

缺省情况下,Flowspec路由携带了Color属性时,如果Flowspec路由的下一跳地址是IPv4地址,仅将Flowspec路由与SR-MPLS TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SR-MPLS TE Policy;如果Flowspec路由的下一跳地址是IPv6地址,仅将Flowspec路由与SRv6 TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SRv6 TE Policy。

3. 配置BGP发布私网IPv6 Flowspec路由

(1)     进入系统视图。

system-view

(2)     请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

ip vpn-instance vpn-instance-name

address-family ipv6 flowspec

(3)     允许BGP Flowspec邻居间交换路由信息。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } enable

缺省情况下,BGP Flowspec邻居间不能交换路由信息。

(4)     (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-disable

缺省情况下,会对接收的IPv6 Flowspec路由进行合法性验证。

(5)     (可选)关闭对来自BGP Flowspec邻居的IPv6 Flowspec路由的重定向下一跳合法性验证功能。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } validation-redirect-disable

缺省情况下,EBGP Flowspec邻居会对接收的IPv6 Flowspec路由进行重定向下一跳合法性验证。

(6)     (可选)配置向EBGP对等体发送路由时不改变下一跳地址。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } next-hop-invariable

缺省情况下,向EBGP对等体/对等体组发布IPv6 Flowspec路由时会将下一跳属性改为自己的地址。

(7)     (可选)配置IPv6 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x000C。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible

缺省情况下,IPv6 Flowspec路由的重定向下一跳属性ID为0x0800。

(8)     (可选)配置Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即为0x000D。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible

缺省情况下,Flowspec路由的重定向到VPN Target属性ID为0x800B。

(9)     (可选)禁止应用Flowspec路由的重定向下一跳动作。

undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect-nexthop

缺省情况下,允许应用Flowspec路由的重定向下一跳动作。

(10)     (可选)配置从指定对等体/对等体组接收到携带Color属性的Flowspec路由后,将符合Flowspec路由规则的流量重定向到与Flowspec路由匹配的SR-MPLS TE Policy或SRv6 TE Policy。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ mask-length ] } redirect-color [ sr-policy ]

缺省情况下,Flowspec路由携带了Color属性时,如果Flowspec路由的下一跳地址是IPv4地址,仅将Flowspec路由与SR-MPLS TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SR-MPLS TE Policy;如果Flowspec路由的下一跳地址是IPv6地址,仅将Flowspec路由与SRv6 TE Policy进行匹配,匹配成功则符合该Flowspec路由匹配规则的流量重定向到该SRv6 TE Policy。

4. 配置BGP发布VPNv6 Flowspec路由

(1)     进入系统视图。

system-view

(2)     请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family vpnv6 flowspec

(3)     允许BGP Flowspec邻居间交换路由信息。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ mask-length ] } enable

缺省情况下,BGP Flowspec邻居间不能交换路由信息。

(4)     (可选)配置向EBGP对等体发送VPNv6 Flowspec路由时不改变下一跳地址。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ mask-length ] } next-hop-invariable

缺省情况下,向EBGP对等体/对等体组发布VPNv6 Flowspec路由时会将下一跳属性改为自己的地址。

(5)     (可选)配置IPv6 Flowspec路由的重定向下一跳属性ID为RFC规定的属性ID,即0x000C。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect ip rfc-compatible

缺省情况下,IPv6 Flowspec路由的重定向下一跳属性ID为0x0800。

(6)     (可选)配置IPv6 Flowspec路由的重定向到VPN Target属性ID为RFC规定的属性ID,即0x000D。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } redirect rt rfc-compatible

缺省情况下,IPv6 Flowspec路由的重定向到VPN Target属性ID为0x800B。

1.4.5  配置BGP Flowspec路由反射

(1)     进入系统视图

system-view

(2)     进入BGP IPv6 Flowspec地址族视图、BGP-VPN IPv6 Flowspec地址族视图或BGP VPNv6 Flowspec地址族视图。

¡     请依次执行以下命令进入BGP IPv6 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family ipv6 flowspec

¡     请依次执行以下命令进入BGP-VPN IPv6 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

ip vpn-instance vpn-instance-name

address-family ipv6 flowspec

¡     请依次执行以下命令进入BGP VPNv6 Flowspec地址族视图。

bgp as-number [ instance instance-name ]

address-family vpnv6 flowspec

(3)     配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机。

peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } reflect-client

缺省情况下,未配置路由反射器及其客户机。

(4)     (可选)配置不对接收到的VPNv6 Flowspec路由进行Route Target过滤。

undo policy vpn-target

缺省情况下,对接收到的VPNv6 Flowspec路由进行Route Target过滤,即只将Export Route Target属性与本地Import Route Target属性匹配的VPNv6 Flowspec路由加入到路由表。

本命令仅支持在BGP VPNv6 Flowspec地址族视图执行。

(5)     (可选)允许路由反射器在客户机之间反射路由。

reflect between-clients

缺省情况下,允许路由反射器在客户机之间反射路由。

(6)     (可选)配置路由反射器的集群ID。

reflector cluster-id { cluster-id | ipv4-address }

缺省情况下,每个路由反射器都使用自己的Router ID作为集群ID。

1.4.6  配置Flowspec可占用的ACL最大资源数量

1. 功能简介

Flowspec转发器收到Flowspec路由后,将Flowspec路由中的匹配规则和流量动作应用到设备的转发平面,对进入设备的符合匹配规则的流量采取对应的流量动作。Flowspec控制器下发的Flowspec路由过多,可能会过度占用Flowspec转发器上的ACL资源,当占用的ACL资源超出设备的ACL资源上限时,Flowspec路由无法正常生效,新增的报文过滤等业务引用ACL规则也无法正常生效,因此,需要配置本命令来合理地限制Flowspec可以占用的ACL资源上限。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置Flowspec可占用的ACL最大资源数量。

qos-acl resource flowspec limit-resource resource-number

缺省情况下,Flowspec可占用的ACL最大资源数量与设备的型号有关,请以设备的实际情况为准。

 

1.5  Flowspec显示和维护

1.5.1  显示Flowspec路由的运行状况

可在任意视图下执行以下命令,显示Flowspec边界路由器上Flowspec路由的运行信息。

display flow-route { { ipv4 | ipv6 } all | flow-route-id } [ slot slot-number ]

display flow-route { { ipv4 | ipv6 } [ vpn-instance vpn-instance-name ] | flow-route-id } [ slot slot-number ]

1.5.2  显示Flowspec对等体信息

可在任意视图下执行以下命令:

·     显示IPv4 BGP Flowspec对等体信息。

display bgp [ instance instance-name ] peer ipv4 flowspec [ vpn-instance vpn-instance-name ] [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ]

·     显示BGP IPv6 Flowspec对等体信息。

display bgp [ instance instance-name ] peer ipv6 flowspec [ vpn-instance vpn-instance-name ] ] [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ]

·     显示BGP VPNv4 Flowspec对等体信息。

display bgp [ instance instance-name ] peer vpnv4 flowspec [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ]

·     显示BGP VPNv6 Flowspec对等体信息。

display bgp [ instance instance-name ] peer vpnv6 flowspec [ ipv4-address mask-length | ipv6-address prefix-length | { ipv4-address | ipv6-address | group-name group-name } log-info | [ ipv4-address | ipv6-address ] verbose ]

·     显示BGP IPv4 Flowspec对等体组的信息。

display bgp [ instance instance-name ] group ipv4  flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ]

·     显示BGP IPv6 Flowspec对等体组的信息。

display bgp [ instance instance-name ] group ipv6  flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ]

·     显示BGP VPNv4 Flowspec对等体组的信息。

display bgp [ instance instance-name ] group vpnv4  flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ]

·     显示BGP VPNv6 Flowspec对等体组的信息。

display bgp [ instance instance-name ] group vpnv6  flowspec [ vpn-instance vpn-instance-name ] [ group-name group-name ]

1.5.3  显示Flowspec路由信息

可在任意视图下执行以下命令:

·     显示BGP IPv4 Flowspec路由信息。

display bgp [ instance instance-name ] routing-table ipv4 flowspec [ vpn-instance vpn-instance-name ] [ flowspec-prefix [ advertise-info | as-path | cluster-list | ext-community ] | statistics ]

display bgp [ instance instance-name ] routing-table ipv4 flowspec [ vpn-instance vpn-instance-name ] peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix | statistics ]

display bgp [ instance instance-name ] routing-table ipv4 flowspec [ vpn-instance vpn-instance-name ] [ statistics ] ext-community [ color color | rt route-target ]&<1-32> [ whole-match ]

·     显示BGP IPv6 Flowspec路由信息。

display bgp [ instance instance-name ] routing-table ipv6 flowspec [ vpn-instance vpn-instance-name ] [ flowspec-prefix [ advertise-info | as-path | cluster-list | ext-community ] | statistics ]

display bgp [ instance instance-name ] routing-table ipv6 flowspec [ vpn-instance vpn-instance-name ] peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix | statistics ] ]

display bgp [ instance instance-name ] routing-table ipv6 flowspec [ vpn-instance vpn-instance-name ] [ statistics ] ext-community [ color color | rt route-target ]&<1-32> [ whole-match ]

·     显示BGP VPNv4 Flowspec路由信息。

display bgp [ instance instance-name ] routing-table vpnv4 flowspec [ peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix | statistics ] | [ route-distinguisher route-distinguisher ] [ flowspec-prefix [ advertise-info | as-path | cluster-list | ext-community ] ] | statistics ]

display bgp [ instance instance-name ] routing-table vpnv4 flowspec  [ route-distinguisher route-distinguisher ] [ statistics ] ext-community [ color color | rt route-target ]&<1-32> [ whole-match ]

·     显示BGP VPNv6 Flowspec路由信息。

display bgp [ instance instance-name ] routing-table vpnv6 flowspec [ peer { ipv4-address | ipv6-address } { advertised-routes | received-routes } [ flowspec-prefix | statistics ] | [ route-distinguisher route-distinguisher ] [ flowspec-prefix [ advertise-info | as-path | cluster-list | ext-community ] ] | statistics ]

display bgp [ instance instance-name ] routing-table vpnv6 flowspec [ route-distinguisher route-distinguisher ] [ statistics ] ext-community [ color color | rt route-target ]&<1-32> [ whole-match ]

1.5.4  显示打包组的相关信息

可在任意视图下执行以下命令:

·     显示BGP IPv4 Flowspec地址族下打包组的相关信息。

display bgp [ instance instance-name ] update-group ipv4 flowspec [ ipv4-address | ipv6-address ]

·     显示BGP IPv6 Flowspec地址族下打包组的相关信息。

display bgp [ instance instance-name ] update-group ipv6 flowspec [ ipv4-address | ipv6-address  ]

·     显示BGP VPNv4 Flowspec地址族下打包组的相关信息。

display bgp [ instance instance-name ] update-group vpnv4 flowspec [ ipv4-address | ipv6-address  ]

·     显示BGP VPNv6 Flowspec地址族下打包组的相关信息。

display bgp [ instance instance-name ] update-group vpnv6 flowspec [ ipv4-address | ipv6-address ]

1.5.5  手工对BGP会话进行软复位

请在用户视图下执行以下命令:

·     手工对IPv4 Flowspec地址族下的BGP会话进行软复位。

refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } ipv4 flowspec

·     手工对IPv6 Flowspec地址族下的BGP会话进行软复位。

refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } ipv6 flowspec

·     手工对VPNv4 Flowspec地址族下的BGP会话进行软复位。

refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } vpnv4 flowspec

·     手工对VPNv6 Flowspec地址族下的BGP会话进行软复位。

refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } { export | import } vpnv6 flowspec

1.5.6  复位BGP会话

请在用户视图下执行以下命令:

·     复位BGP IPv4 Flowspec地址族下的BGP会话。

reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | group group-name | internal } ipv4 flowspec [ vpn-instance vpn-instance-name ]

·     复位BGP IPv6 Flowspec地址族下的BGP会话。

reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ]| all | external | group group-name | internal } ipv6  flowspec [ vpn-instance vpn-instance-name ]

·     复位BGP VPNv4 Flowspec地址族下的BGP会话。

reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | internal | group group-name } vpnv4 flowspec

·     复位BGP VPNv6 Flowspec地址族下的BGP会话。

reset bgp [ instance instance-name ] { as-number | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | all | external | internal | group group-name } vpnv6 flowspec

1.5.7  清除Flowspec路由的统计信息

请在用户视图下执行以下命令:

·     清除IPv4 Flowspec路由的统计信息。

reset flow-route statistics ipv4 [ all | vpn-instance vpn-instance-name ]

·     清除IPv6 Flowspec路由的统计信息。

reset flow-route statistics ipv6 [ all | vpn-instance vpn-instance-name ]

·     清除全部Flowspec路由的统计信息。

reset flow-route statistics all

·     清除指定的Flowspec路由的统计信息。

reset flow-route statistics flow-route-id

1.6  Flowspec典型配置举例

1.6.1  IPv4 Flowspec基本组网配置举例

1. 组网需求

图1-2所示,所有路由器均运行BGP协议。Device A作为Flowspec控制器,配置了Flowspec路由,Device B作为Flowspec客户端,通过BGP协议接收并应用Device A发送的Flowspec路由。现要求对BGP网络中PE设备收到的目的地址为1.1.1.0/24和端口号为10的报文进行限速处理,降低这些报文占用的带宽资源。

2. 组网图

图1-2 Flowspec基本组网图

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置Device A

# 配置BGP连接。

<DeviceA> system-view

[DeviceA] bgp 100

[DeviceA-bgp-default] peer 10.1.1.2 as-number 200

[DeviceA-bgp-default] address-family ipv4 flowspec

[DeviceA-bgp-default-flowspec-ipv4] peer 10.1.1.2 enable

[DeviceA-bgp-default-flowspec-ipv4] peer 10.1.1.2 validation-disable

[DeviceA-bgp-flowspec-ipv4] quit

[DeviceA-bgp-default] quit

# 配置Flowspec路由。

[DeviceA] flow-route route1

[DeviceA-flow-route-route1] if-match destination-ip 1.1.1.0 24

[DeviceA-flow-route-route1] if-match destination-port 10

[DeviceA-flow-route-route1] apply traffic-rate 20

[DeviceA-flow-route-route1] check flow-route-configuration

Traffic filtering rules:

 Destination ip   :  1.1.1.0 255.255.255.0

 Destination port :  10

Traffic filtering actions:

 Traffic rate : 20(kbps)

[DeviceA-flow-route-route1] commit

[DeviceA-flow-route-route1] quit

# 为公网Flowspec IPv4地址族指定路由。

[DeviceA] flowspec

[DeviceA-flowspec] address-family ipv4

[DeviceA-flowspec-ipv4] flow-route route1

[DeviceA-flowspec-ipv4] quit

(3)     配置Route B

# 配置BGP连接。

<DeviceB> system-view

[DeviceB] bgp 200

[DeviceB-bgp-default] peer 10.1.1.1 as-number 100

[DeviceB-bgp-default] address-family ipv4 flowspec

[DeviceB-bgp-default-flowspec-ipv4] peer 10.1.1.1 enable

[DeviceB-bgp-default-flowspec-ipv4] peer 10.1.1.1 validation-disable

[DeviceB-bgp-default-flowspec-ipv4] quit

[DeviceB-bgp-default] quit

4. 验证配置

# 查看Device A的BGP IPv4 Flowspec对等体状态。

[DeviceA] display bgp peer ipv4 flowspec

 BGP local router ID: 192.168.150.1

 Local AS number: 100

 Total number of peers: 1                 Peers in established state: 1

  * - Dynamically created peer

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

  10.1.1.2               200       10       12    0       0 00:06:40 Established

# 查看Device B的BGP IPv4 Flowspec对等体连接状态。

[DeviceB] display bgp peer ipv4 flowspec

 BGP local router ID: 192.168.150.2

 Local AS number: 200

 Total number of peers: 1                 Peers in established state: 1

  * - Dynamically created peer

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

  10.1.1.1               100       10       12    0       0 00:06:40 Established

# 查看Device B收到的Flowspec路由策略。

[DeviceB] display bgp routing-table ipv4 flowspec

 Total number of routes: 1

 

 BGP local router ID is 192.168.150.2

 Status codes: * - valid, > - best, d - dampened, h - history

               s - suppressed, S - stale, i - internal, e - external

               a - additional-path

       Origin: i - IGP, e - EGP, ? - incomplete

 

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

 

* >e DEST:1.1.1.0/24/40

                        0.0.0.0                    100        0       ?

# 查看Device B上Flowspec路由的运行信息。

<DeviceB> display flow-route ipv4 all

Total number of flow-routes: 1

 

Flow-Route (ID 0x0)

  BGP instance : default

  Traffic filtering rules:

   Destination IP   : 1.1.1.0 255.255.255.0

   Destination port : 10

  Traffic filtering actions:

   Traffic rate          : 20(kbps)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们