- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-Guard路由配置
本章節下載: 13-Guard路由配置 (199.61 KB)
Guard路由是在Guard設備上配置的路由協議,它的主要作用是:當去往某一目的地的流量中包含引起網絡異常的流量時,Guard路由將去往該目的地的所有流量牽引到Guard設備上,由Guard設備對流量進行過濾和清洗。Guard路由既可以由管理員手工配置,也可以根據收到的信息觸發Guard設備上的腳本自動配置。其中,第二種方式更為常用。
Guard路由具有如下特點:
· 出接口為Null0。
· 非激活路由,即狀態為Inactive,因此設備不會將Guard路由下發到FIB表。
· 需要與路由協議配合使用,即在Guard設備上通過路由協議引入Guard路由,由BGP向對等體發布該路由或由OSPF/OSPFv3通過LSA向鄰居發布該路由,從而將BGP對等體或OSPF/OSPFv3鄰居要發給其它設備的網絡流量牽引到Guard設備上來,繼而在Guard設備上對流量進行流量過濾、流量清洗等操作。
Guard路由典型應用如圖1-1所示,Device A通過Device B與各類應用服務器進行通信,Device B與Guard設備通過路由協議引入Guard路由,Detector設備用於檢測網絡異常。
圖1-1 Guard路由典型應用組網圖
去往某一目的地的流量中既包含引起網絡異常的流量,也包含正常流量,將去往該目的地的混合流量進行過濾和清洗的工作機製如下:
(1) 在Device B上將Device A發送給各類應用服務器的流量鏡像到Detector設備,由Detector設備對這些流量進行檢測。
(2) 如果Detector沒有檢測到任何異常,經過Device B的網絡報文將正常轉發,Guard設備不處於報文轉發路徑中。
(3) 當Detector檢測到去往某個目的地址的流量出現異常時,將通知Guard設備,觸發Guard設備創建Guard路由。或者Detector向網絡管理員報警,由網絡管理員通過命令行配置Guard路由。Guard路由的目的地址為異常流量報文的目的地址,Guard設備將該路由發布給Device B。
(4) Device B學到該路由後,將發往此目的地址的報文發送給Guard設備,即將去往該目的地址的所有流量牽引到Guard設備上。
(5) Guard設備對這些流量進行處理,丟棄攻擊流量。同時需要保證清洗後的正常流量能夠重新注入網絡並正確送達目的地址。
Guard設備主要用來對引起網絡異常的報文進行過濾,它的報文轉發能力有限。因此需要在Guard設備或與Guard連接的設備上配置路由策略,禁止Guard設備接收和發布非Guard路由外的其它路由,從而減少Guard設備的係統損耗。關於路由策略的配置方法,請參見“三層技術-IP路由配置指導”中的“路由策略”。
當網絡管理員收到Detector發送的網絡異常報警信息時,可通過命令行配置Guard路由。
(1) 進入係統視圖。
system-view
(2) 配置Guard路由。
(IPv4網絡)
ip route-guard ip-address { mask-length | mask }
缺省情況下,未配置IPv4 Guard路由。
(IPv6網絡)
ipv6 route-guard ipv6-address prefix-length
缺省情況下,未配置IPv6 Guard路由。
在完成上述配置後,在任意視圖下執行display命令查看Guard路由配置的運行情況並檢驗配置結果。
表1-1 Guard路由顯示和維護
|
操作 |
命令 |
|
查看IPv4 Guard路由信息 |
display ip routing-table protocol guard [ inactive | verbose ] |
|
查看IPv6 Guard路由信息 |
display ipv6 routing-table protocol guard [ inactive | verbose ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
