ChinaDDoS BGP 流量牵引二层VLAN回注配置

ChinaDDoS BGP 流量牵引二层VLAN回注配置

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第1张图片

业务规划

为满足组网需求,相关业务规划如下:
1. 防护对象 IP 地址为 192.168.143.2/24。
2. 清洗设备的接口 XGBE0 用于引流,子接口 XGBE0.41 用于回注。
3. 在 Switch1 上创建 VLAN 68 和 VLAN 41,配置 Switch1 接口 XGE0/0/4 为 hybrid 口,允许VLAN68 与 VLAN41 的报文通过, untagged vlan 68。
4. 配置 Switch1 接口 XGE0/0/3 为 hybrid 口,untagged vlan 41。

接口规划下表所示。

设备名称 接口 IP地址
清洗设备 XGBE0 192.168.68.68/24
XGBE0.41 192.168.41.68/24
Switch1 VLAN68 192.168.68.50/24
VLAN41 192.168.41.50/24
Switch2 VLAN41 192.168.41.41/24

注:

配置思路

  1. 本举例中采用 BGP 引流方式,无论是否发生攻击,清洗设备实时对防护对象192.168.143.41/32 的流量进行引流。
  2. 在 Switch1 上创建 VLAN41 和 VLAN68,配置接口属性并关联 VLAN。配置VLANIF 接口 IP 地址。
  3. 配置清洗设备接口 XGBE0;配置清洗设备子接口 XGBE0.41关联 VLAN41。
  4. Switch1 的 VLANIF68 与清洗设备的接口 XGBE0 之间建立 BGP Peer。配置 Switch1 和清洗设备的 BGP 功能,并把清洗设备上的 牵引IP引入到 BGP 中, 发布给 Switch1。
  5. Switch1 创建VLAN41, 作为下一跳转发网关配置接口属性关联VLAN,配/置VLANIF 接口 IP 地址。
  6. 为实现二层回注,需要在清洗设备上添加接口流量回注策略,将所有流量tagged 41 发送给下一跳网关。
  7. 在清洗设备上默认配置团体属性,switch1 接收清洗设备发布的 BGP 路由后不再通告给其他对等体,以避免路由环路。

配置过程

switch1 配置

创建VLAN

<HUAWEI>system-view 
[HUAWEI]vlan 41  
[HUAWEI-vlan41]quit
[HUAWEI]vlan 68
[HUAWEI-vlan68]quit
[HUAWEI]interface vlan 41
[HUAWEI-Vlanif41] ip address 192.168.41.50 255.255.255.0
[HUAWEI-Vlanif41] quit
[HUAWEI]interface vlan 68
[HUAWEI-Vlanif68] ip address 192.168.68.50 255.255.255.0
[HUAWEI-Vlanif68] quit

配置接口属性并关联 VLAN

interface XGigabitEthernet0/0/3
 port link-type hybrid
 port hybrid pvid vlan 41
 port hybrid untagged vlan 41
# tagged vlan 41 & untagged vlan 68
interface XGigabitEthernet0/0/4
 port link-type hybrid
 port hybrid pvid vlan 68
 port hybrid tagged vlan 41 168
 port hybrid untagged vlan 68

配置 BGP

bgp 100
 router-id 192.168.1.50
 graceful-restart
 graceful-restart peer-reset
 peer 192.168.68.68 as-number 100
 #
 ipv4-family unicast
  undo synchronization
  peer 192.168.68.68 enable               
  peer 192.168.68.68 route-policy ddos-in import
#
route-policy ddos-in permit node 100
 apply community no-advertise no-export
#
route-policy ddos-in permit node 110
 apply preference 50                      
#

配置 OSPF

ospf 1
 area 0.0.0.0
  network 192.168.41.0 0.0.0.255
  network 192.168.68.0 0.0.0.255

switch2 配置

创建VLAN

<HUAWEI>system-view 
[HUAWEI]vlan 41  
[HUAWEI-vlan41]quit
[HUAWEI]interface vlan 41
[HUAWEI-Vlanif41] ip address 192.168.41.41 255.255.255.0
[HUAWEI-Vlanif41] quit

配置接口属性并关联 VLAN

interface XGigabitEthernet0/0/3
 port link-type hybrid
 port hybrid pvid vlan 41
 port hybrid untagged vlan 41

配置 OSPF

ospf 1
 area 0.0.0.0
  network 192.168.41.0 0.0.0.255
  network 192.168.142.0 0.0.0.255
  network 192.168.143.0 0.0.0.255
  network 192.168.144.0 0.0.0.255

switch 状态

配置完成后switch1路由表
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第2张图片

清洗设备配置

接口IP配置

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第3张图片

VLAN 配置

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第4张图片

接口状态

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第5张图片

配置 BGP

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第6张图片

配置牵引IP

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第7张图片
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第8张图片

牵引状态

牵引ip配置成功后switch1路由表,新添加一条IBGP路由指向清洗设备XGBE0地址192.168.68.68,流量牵引成功.
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第9张图片
此时清洗设备上可以抓取到目的地址192.168.143.41数据报文.
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第10张图片
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第11张图片

配置流量回注

ChinaDDoS BGP 流量牵引二层VLAN回注配置_第12张图片

流量回注状态

switch2 抓包可见192.168.40.40数据报文在经过流量牵引后源MAC已修改为清洗设备XGBE0接口MAC。
牵引前
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第13张图片
牵引后
ChinaDDoS BGP 流量牵引二层VLAN回注配置_第14张图片

你可能感兴趣的:(技术文摘)