ChinaDDoS BGP 流量牵引二层VLAN回注配置
2017-08-15 18:41
1656 查看
ChinaDDoS BGP 流量牵引二层VLAN回注配置
业务规划
为满足组网需求,相关业务规划如下:1. 防护对象 IP 地址为 192.168.143.2/24。
2. 清洗设备的接口 XGBE0 用于引流,子接口 XGBE0.41 用于回注。
3. 在 Switch1 上创建 VLAN 68 和 VLAN 41,配置 Switch1 接口 XGE0/0/4 为 hybrid 口,允许VLAN68 与 VLAN41 的报文通过, untagged vlan 68。
4. 配置 Switch1 接口 XGE0/0/3 为 hybrid 口,untagged vlan 41。
接口规划下表所示。
| 设备名称 | 接口 | IP地址 |
|---|---|---|
| 清洗设备 | XGBE0 | 192.168.68.68/24 |
| XGBE0.41 | 192.168.41.68/24 | |
| Switch1 | VLAN68 | 192.168.68.50/24 |
| VLAN41 | 192.168.41.50/24 | |
| Switch2 | VLAN41 | 192.168.41.41/24 |
配置思路
本举例中采用 BGP 引流方式,无论是否发生攻击,清洗设备实时对防护对象192.168.143.41/32 的流量进行引流。在 Switch1 上创建 VLAN41 和 VLAN68,配置接口属性并关联 VLAN。配置VLANIF 接口 IP 地址。
配置清洗设备接口 XGBE0;配置清洗设备子接口 XGBE0.41关联 VLAN41。
Switch1 的 VLANIF68 与清洗设备的接口 XGBE0 之间建立 BGP Peer。配置 Switch1 和清洗设备的 BGP 功能,并把清洗设备上的 牵引IP引入到 BGP 中, 发布给 Switch1。
Switch1 创建VLAN41, 作为下一跳转发网关配置接口属性关联VLAN,配/置VLANIF 接口 IP 地址。
为实现二层回注,需要在清洗设备上添加接口流量回注策略,将所有流量tagged 41 发送给下一跳网关。
在清洗设备上默认配置团体属性,switch1 接收清洗设备发布的 BGP 路由后不再通告给其他对等体,以避免路由环路。
配置过程
switch1 配置
创建VLAN
<HUAWEI>system-view [HUAWEI]vlan 41 [HUAWEI-vlan41]quit [HUAWEI]vlan 68 [HUAWEI-vlan68]quit [HUAWEI]interface vlan 41 [HUAWEI-Vlanif41] ip address 192.168.41.50 255.255.255.0 [HUAWEI-Vlanif41] quit [HUAWEI]interface vlan 68 [HUAWEI-Vlanif68] ip address 192.168.68.50 255.255.255.0 [HUAWEI-Vlanif68] quit
配置接口属性并关联 VLAN
interface XGigabitEthernet0/0/3 port link-type hybrid port hybrid pvid vlan 41 port hybrid untagged vlan 41 # tagged vlan 41 & untagged vlan 68 interface XGigabitEthernet0/0/4 port link-type hybrid port hybrid pvid vlan 68 port hybrid tagged vlan 41 168 port hybrid untagged vlan 68
配置 BGP
bgp 100 router-id 192.168.1.50 graceful-restart graceful-restart peer-reset peer 192.168.68.68 as-number 100 # ipv4-family unicast undo synchronization peer 192.168.68.68 enable peer 192.168.68.68 route-policy ddos-in import # route-policy ddos-in permit node 100 apply community no-advertise no-export # route-policy ddos-in permit node 110 apply preference 50 #
配置 OSPF
ospf 1 area 0.0.0.0 network 192.168.41.0 0.0.0.255 network 192.168.68.0 0.0.0.255
switch2 配置
创建VLAN
<HUAWEI>system-view [HUAWEI]vlan 41 [HUAWEI-vlan41]quit [HUAWEI]interface vlan 41 [HUAWEI-Vlanif41] ip address 192.168.41.41 255.255.255.0 [HUAWEI-Vlanif41] quit
配置接口属性并关联 VLAN
interface XGigabitEthernet0/0/3 port link-type hybrid port hybrid pvid vlan 41 port hybrid untagged vlan 41
配置 OSPF
ospf 1 area 0.0.0.0 network 192.168.41.0 0.0.0.255 network 192.168.142.0 0.0.0.255 network 192.168.143.0 0.0.0.255 network 192.168.144.0 0.0.0.255
switch 状态
配置完成后switch1路由表
清洗设备配置
接口IP配置
VLAN 配置
接口状态
配置 BGP
配置牵引IP
牵引状态
牵引ip配置成功后switch1路由表,新添加一条IBGP路由指向清洗设备
XGBE0地址
192.168.68.68,流量牵引成功.
此时清洗设备上可以抓取到目的地址
192.168.143.41数据报文.
配置流量回注
流量回注状态
switch2 抓包可见192.168.40.40数据报文在经过流量牵引后源MAC已修改为清洗设备XGBE0接口MAC。
牵引前
牵引后
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Cisco Guard BGP流量牵引配置
- Juniper EX2200几个常用vlan配置(创建,acl过滤,vlan间流量隔离)
- 三层交换机不同vlan口二层互联测试
- 二层业务之vlan stacking
- 流量牵引在抗DDOS中的应用
- 流量牵引技术在防DoS攻击中的应用
- 如何设置Cisco交换机Vlan 并且监控特定网口的流量
- Sinfor AC在内网(二层)多网段(VLAN)环境下的部署
- 华为交换机二层vlan划分-适合初学者
- 抓取端口中某一VLAN流量配置实例
- VLAN间路由-路由器加二层交换机实现
- Linux 网络协议栈开发(八)—— 基于VLAN的二层转发
- 一个经典二层VLAN互通问题
- 使用VLAN隔离虚拟机流量
- 跨交换机实现二层划分VLAN
- (网络基础知识之二) VLAN、OSPF、RIP、BGP等
- Vlan中流量控制搭建方案
- 流量牵引技术原理
- 语音VLAN异常流量分析
- 华三BGP配置及出流量负载均衡配置