6.1 引流
6.2 回注
6.3 引流回注
6.4 策略配置
6.1 引流
华为Anti-DDoS解决方案的部署模式分为直路部署、旁路静态引流部署和旁路动态引流部署3种方式。除直路部署外,其他两种方式中的清洗设备都处于旁挂位置,对于这样的部署,异常的流量要完成清洗并到达最终目的地还需要经过引流和回注两个过程。
6.1.1 概念
在直路部署中,因为来回的流量都会经过设备转发,所以不需要经过特殊的操作;而当清洗设备在旁路部署时,检测设备检测到的有异常、有威胁的流量,会通过ATIC通知清洗设备来进行清洗,这就要求原有的流量要改变当前的路径,进入到旁挂的清洗设备上来,这个过程我们称为引流。引流完成后,清洗设备会对引进来的流量进行清洗,即把异常、有威胁的流量剔除,留下正常的业务流量。清洗完成后,需要再把流量返回到原有的路径上,最终发送到目的地。这个返回流量到原路径的过程就是回注
6.1.2 分光和镜像
在详细介绍引流和回注之前,我们先来了解下分光和镜像的概念。
Anti-DDoS解决方案中,在流量清洗之前,我们都知道还有一个很重要的环节——检测,在网络部署中,如果检测设备独立旁路部署,也需要将网络中的流量引导到检测设备上来。分光和镜像就是为检测设备引流的手段,不过我们引入的不是真实的流量,而是复制后的流量。这是因为检测设备只需要检测出流量中是否含有威胁即可,至于检测出的流量是真实的还是复制的是无所谓的,而且使用复制的流量不会影响正常业务的转发。
分光和镜像都是将流量复制一份到检测设备,但处理方式又不相同。
1.分光
分光是通过分光器来完成的,它是一个独立的硬件,数据通过分光器后会将数据复制一份供检测设备使用,即原来的流量正常通行,同时分一股出来供检测设备分析。通过分光器复制流量时,我们不需要配置任何命令,只要有输入光即可。但是,这也带来了一个缺点,那就是引入了一个故障点,同时也正是因为它是一个在线设备,所以在部署时,需要中断当前网络,这对业务会产生一定的影响。
2.镜像
镜像分为端口镜像和流镜像。端口镜像是指将流经被监控端口的某个方向(入、出、双向)的所有报文复制到指定的目标端口进行分析。流镜像是在端口镜像的基础上增加了流分类条件,只复制满足特定条件的报文,过滤不关心的报文,从而提高报文分析设备的工作效率。对于Anti-DDoS检测设备来说,我们要分析所有进入网络的流量是否存在异常,所以我们一般都是通过端口镜像功能来复制流量的
① 被监控的端口称为镜像端口。
② 指定的目标端口称为观察端口。
在网络部署中,请根据网络实际情况进行合理选择。
华为 Anti-DDoS 解决方案支持多种类型的检测设备,其中,AntiDDoS8000系列、AntiDDoS1600系列检测设备是采用逐包检测的方法对流量进行检测,即对流量中的所有报文进行检测,所以通过分光和镜像功能将流量全部复制到检测设备上来。还有一些其他的检测设备,如华为NFA2000V、威睿GenieATM等,这类检测设备是逐流检测方式,它们的检测流量来源是通过各种流采集分析协议来完成的,比如 Cisco 的 Netflow协议、华为的 NetStream 协议等。这类流采集分析协议是对网络中不同的流进行提取,然后分类统计,最后将统计信息输出给检测设备进行分析检测,而不是像分光和镜像那样直接复制流量。
