.BGP引流
BGP是一种用于自治系统(Autonomous
System,AS)之间的动态路由协议,它的引流其实是需要Anti-DDoS解决方案中多个设备配合完成的。
BGP 引流分为静态引流和动态引流两种(其中动态引流又分为自动和手动),它们的区别在于:静态引流,无论检测设备是否检测到异常,管理中心都会生成针对防护对象IP地址/IP地址段的引流任务,这种引流任务需要由管理员手工创建;而动态引流是当检测设备检测到异常时,管理中心会自动生成引流任务,引流任务生成后系统会将其直接下发(自动)或者通过管理员手动下发(手动)到清洗设备。异常或攻击结束后,系统会自动取消引流。
不管是 BGP 的静态引流还是动态引流,管理中心都会下发一条引流任务到清洗设备,此时,清洗设备上会为每个防护对象自动生成一条32位主机UNR(User
Network Route,用户网络路由),此路由的下一跳为与清洗设备回注接口直连的路由设备的接口地址,即下图中Router1的GE1/0/2接口地址。
生成路由后,清洗设备会将这条UNR路由引入BGP中,并通过BGP发布给BGP 邻居Router1,此时,Router1上就会有一条目的地址为防护对象、下一跳为清洗设备的引流接口的32位主机路由。
后续,Router1收到Internet发来的到防护对象的报文时,查找路由表,根据最长掩码匹配原则,优先匹配这条路由,从而转发到清洗设备上来进行流量清洗,BGP 引流需要在 Router1、清洗设备和管理中心上配置。
相比策略路由引流,BGP引流更加灵活,既能对防护对象进行静态引流,达到策略路由引流的效果,也能根据流量异常情况进行动态智能化引流,合理控制清洗设备的资源,方便管理员维护管理。
引流完成后,清洗设备会对异常流量进行清洗。清洗后的正常流量需要通过回注过程让业务流量能够回到原有网络中。
6.2 回注
6.2.1 常用回注方法
在华为Anti-DDoS解决方案中,能够将清洗后的流量回注到原网络中的配置方法有很多,常用的有如下几种。
① 二层回注:清洗设备通过二层方式将流量回注到防护对象,而不通过路由转发。
② 静态路由回注:通过在清洗设备上配置静态路由,引导清洗后的流量回到原网络中。
③ UNR路由回注:与静态路由类似,通过在清洗设备上生成的UNR路由,将清洗后的流量回注到原网络,最后送到防护对象。
④ 策略路由回注:通过在清洗设备和路由器上配置策略路由,将清洗后的流量回注到不同的路径,最后送到防护对象。
⑤ GRE tunnel回注:通过在清洗设备和回注路由器之间建立GRE隧道,将流量直接送到回注路由器上,最后送到防护对象。
⑥ MPLS LSP回注:清洗设备和回注路由器之间建立MPLS LSP,清洗后的流量在清洗设备上被打上单层标签,之后按预先建立好的LSP将其回注到原链路,最后送到防护对象。
⑦ MPLS VPN回注:清洗设备和回注路由器之间建立MPLS L3VPN,将清洗后的流量通过MPLS L3VPN回注到原链路,最后送到防护对象。
1.二层回注
二层回注应用于清洗设备和防护对象之间都是二层网络的场景,在这种部署中,清洗设备上回注口的IP地址和防护对象的属于同一网段。完成流量清洗后,清洗设备通过ARP报文获得防护对象目的IP的MAC地址,而后将清洗后的正常流量发送到核心交换机,最终发送到防护对象。
2.UNR路由回注
UNR一般是通过非本设备配置的路由,与IGP、BGP、静态路由、直连路由等路由一样,可以添加到路由表中指导报文转发。我们知道,在 BGP 引流中,管理员通过ATIC创建引流任务,配置被保护的防护对象地址,同时在清洗设备上配置下一跳IP地址,就会在清洗设备上生成一条目的地址为防护对象的UNR。此UNR被清洗设备上BGP引入后发布给引流设备,从而对需要清洗的流量进行引流,这就是UNR在引流中的作用。
