- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
Guard設備用來對引起網絡異常的流量進行流量過濾和流量清洗,將引起網絡異常的攻擊流量從正常流量裏過濾出來。
Guard路由是在Guard設備上配置的,它的主要作用是將引起網絡異常的流量牽引到Guard設備上來,既可以由管理員手工配置,也可以根據收到的信息觸發Guard設備上的腳本自動配置,其中,第二種方式更為常用。
Guard路由的出接口為Null0,配置後不會加入到FIB表裏,不會用於指導IP報文轉發,需要與BGP協議配合使用;通過BGP協議引入到BGP路由表並向BGP對等體發布,從而將BGP對等體本來要發給其它設備的網絡流量牽引到Guard設備上來,繼而在Guard上對流量進行流量過濾、流量清洗等操作。典型應用如圖1所示:
圖1 Guard路由典型應用
配置了Guard路由的設備稱之為Guard,檢測網絡異常的設備稱之為Detector:
l Router A通過Router B與Web Server、Name Server和E-Commerce-Application Server進行通信;
l Router B與Guard設備都使能BGP路由協議,並且創建了對等體關係;在Guard設備的BGP視圖下配置import-route guard命令,使能Guard路由引入功能。
l 在Router B上將Router A發送給Web Server、Name Server和E-Commerce-Application的流量鏡像到Detector上,Detector對這些流量進行檢測;
l 如果Detector沒有檢測到任何異常,經過Router B的網絡報文將執行正常的轉發,Guard設備不處於報文轉發路徑中;
l 如果Detector檢測到去往某個目的地址的流量出現異常,將通知Guard設備,觸發Guard設備創建Guard路由;或者Detector向網絡管理員報警,網絡管理員通過命令行配置Guard路由。Guard路由的目的地址為異常流量報文的目的地址, Guard設備將該路由發布給它的BGP對等體Router B。需要注意的是,Guard路由是一種特殊的路由,它並不會下發到FIB表指導報文轉發。
l Router B學到該路由後,將發往異常目的地址的報文發送給Guard設備,相當於把異常流量牽引到Guard設備上;
l Guard設備對這些異常流量進行處理,丟棄攻擊流量,而正常流量會通過在Router B和Guard設備上配置策略路由重新注入網絡並正確送達目的地址。
售前谘詢
售後谘詢
人工在線谘詢
