ChinaDDoS BGP 流量牵引二层VLAN回注配置

最新推荐文章于 2023-05-04 00:43:59 发布
最新推荐文章于 2023-05-04 00:43:59 发布
阅读量6.5k 收藏 13
点赞数 2
分类专栏: 技术文摘 文章标签: ChinaDDoS BGP DDoS VLAN 牵引
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/force_eagle/article/details/77198512
版权

ChinaDDoS BGP 流量牵引二层VLAN回注配置

组网图

业务规划

为满足组网需求,相关业务规划如下:
1. 防护对象 IP 地址为 192.168.143.2/24。
2. 清洗设备的接口 XGBE0 用于引流,子接口 XGBE0.41 用于回注。
3. 在 Switch1 上创建 VLAN 68 和 VLAN 41,配置 Switch1 接口 XGE0/0/4 为 hybrid 口,允许VLAN68 与 VLAN41 的报文通过, untagged vlan 68。
4. 配置 Switch1 接口 XGE0/0/3 为 hybrid 口,untagged vlan 41。

接口规划下表所示。

设备名称接口IP地址
清洗设备XGBE0192.168.68.68/24
XGBE0.41192.168.41.68/24
Switch1VLAN68192.168.68.50/24
VLAN41192.168.41.50/24
Switch2VLAN41192.168.41.41/24

注:

配置思路

  1. 本举例中采用 BGP 引流方式,无论是否发生攻击,清洗设备实时对防护对象192.168.143.41/32 的流量进行引流。
  2. 在 Switch1 上创建 VLAN41 和 VLAN68,配置接口属性并关联 VLAN。配置VLANIF 接口 IP 地址。
  3. 配置清洗设备接口 XGBE0;配置清洗设备子接口 XGBE0.41关联 VLAN41。
  4. Switch1 的 VLANIF68 与清洗设备的接口 XGBE0 之间建立 BGP Peer。配置 Switch1 和清洗设备的 BGP 功能,并把清洗设备上的 牵引IP引入到 BGP 中, 发布给 Switch1。
  5. Switch1 创建VLAN41, 作为下一跳转发网关配置接口属性关联VLAN,配/置VLANIF 接口 IP 地址。
  6. 为实现二层回注,需要在清洗设备上添加接口流量回注策略,将所有流量tagged 41 发送给下一跳网关。
  7. 在清洗设备上默认配置团体属性,switch1 接收清洗设备发布的 BGP 路由后不再通告给其他对等体,以避免路由环路。

配置过程

switch1 配置

创建VLAN
<HUAWEI>system-view 
[HUAWEI]vlan 41  
[HUAWEI-vlan41]quit
[HUAWEI]vlan 68
[HUAWEI-vlan68]quit
[HUAWEI]interface vlan 41
[HUAWEI-Vlanif41] ip address 192.168.41.50 255.255.255.0
[HUAWEI-Vlanif41] quit
[HUAWEI]interface vlan 68
[HUAWEI-Vlanif68] ip address 192.168.68.50 255.255.255.0
[HUAWEI-Vlanif68] quit
配置接口属性并关联 VLAN
interface XGigabitEthernet0/0/3
 port link-type hybrid
 port hybrid pvid vlan 41
 port hybrid untagged vlan 41
# tagged vlan 41 & untagged vlan 68
interface XGigabitEthernet0/0/4
 port link-type hybrid
 port hybrid pvid vlan 68
 port hybrid tagged vlan 41 168
 port hybrid untagged vlan 68
配置 BGP
bgp 100
 router-id 192.168.1.50
 graceful-restart
 graceful-restart peer-reset
 peer 192.168.68.68 as-number 100
 #
 ipv4-family unicast
  undo synchronization
  peer 192.168.68.68 enable               
  peer 192.168.68.68 route-policy ddos-in import
#
route-policy ddos-in permit node 100
 apply community no-advertise no-export
#
route-policy ddos-in permit node 110
 apply preference 50                      
#
配置 OSPF
ospf 1
 area 0.0.0.0
  network 192.168.41.0 0.0.0.255
  network 192.168.68.0 0.0.0.255

switch2 配置

创建VLAN
<HUAWEI>system-view 
[HUAWEI]vlan 41  
[HUAWEI-vlan41]quit
[HUAWEI]interface vlan 41
[HUAWEI-Vlanif41] ip address 192.168.41.41 255.255.255.0
[HUAWEI-Vlanif41] quit
配置接口属性并关联 VLAN
interface XGigabitEthernet0/0/3
 port link-type hybrid
 port hybrid pvid vlan 41
 port hybrid untagged vlan 41
配置 OSPF
ospf 1
 area 0.0.0.0
  network 192.168.41.0 0.0.0.255
  network 192.168.142.0 0.0.0.255
  network 192.168.143.0 0.0.0.255
  network 192.168.144.0 0.0.0.255

switch 状态

配置完成后switch1路由表
switch1-route

清洗设备配置

接口IP配置

接口配置

VLAN 配置

VLAN 配置

接口状态

接口状态

配置 BGP

配置BGP

配置牵引IP

牵引IP
牵引IP

牵引状态

牵引ip配置成功后switch1路由表,新添加一条IBGP路由指向清洗设备XGBE0地址192.168.68.68,流量牵引成功.
牵引状态
此时清洗设备上可以抓取到目的地址192.168.143.41数据报文.
流量回注
流量回注

配置流量回注

配置流量回注

流量回注状态

switch2 抓包可见192.168.40.40数据报文在经过流量牵引后源MAC已修改为清洗设备XGBE0接口MAC。
牵引前
牵引前
牵引后
牵引后

功名半纸
关注
专栏目录
BGP引流与回注实验
earthtoearth的博客
07-31 905
(三)在FW1上将g1/0/0接口设置在UNtrust区域,将g1/0/1接口设置在trust区域,将tunnel口设置在dmz区域。(二)在FW1上设置到服务器的32位静态路由并将其通过BGP映入R1,使R1的的路由表将通往服务器的流量引流至FW1。(三)在FW1环回口与R2环回口之间建立GRE隧道,设置静态路由使通往服务器的路由指向隧道口,并取消原设置的静态路由。(二)在R1/R2/FW1之间建立OSPF,在各端口启用OSPF路由,实现IGP路由互通。(一)再R1和FW1之间建立BGP邻居。
Anti-ddosBGP引流模式实验
最新发布
weixin_43311721的博客
01-19 620
BGP引流是一种常用的引流方式。清洗设备通过BGP路由器发布UNR路由,将防护对象的流量引导至清洗设备。在引流路由器、清洗设备和ATIC管理中心上均需要配置
Cisco Guard BGP流量牵引配置
baiguomeng
06-10 515
网络拓扑 Guard BGP 配置模板 router(config)# router bgp &lt;Guard-AS-number&gt; router(config-router)# bgp router-id &lt;Guard-IP-address&gt; router(config-router)# redistribute guard router(con...
DDOS学习:引流--回注
weixin_38018494的博客
10-26 1262
动态BGP Flow Specification功能 配置动态BGP Flow Specification功能,需要先将流量分析服务器和网络入口设备之间建立BGP Flow Specification对等体关系,用于传递BGP Flow Specification路由。 当一个AS中存在较多的入口设备时,为了减少BGP Flow Specification对等体关系的数量,节约网络资源,可以继续部署Flow路由反射器,即Flow RR。 1、执行命令system-view,进入系统视图。 2、执行命令
通过BGP实现流量劫持
weixin_30918415的博客
08-13 390
BGP BGP全称是Border Gateway Protocol,翻译成中文是边界网关协议,用于全球各个AS之间的路由。它的地位是毋庸置疑的,如果没有它就没有全球的因特网。因为全球各个AS都等价的维护一个BGP也带来一些安全性问题,只要任意一个节点的BGP信息配置失误都可能对全球网络产生影响。 像国内BAT这样的企业都是通过互联网交换中心用BGP与其他各大运营商建立的连接关系...
Chinaddos硬件配置
03-02
对于企业用户而言,在选择Chinaddos Anti-DDoS系统的硬件配置时,应充分考虑自身的网络环境、流量规模以及预算等因素,合理选择最适合自己的配置方案。同时,建议定期更新和维护硬件设备,以保持系统的最佳状态,...
chinaddos5防火墙程序下载
09-30
chinaddos5防火墙程序下载 最新版本ISO,免费提供DDOS的防护
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 691
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
流量牵引技术原理
weixin_34268169的博客
10-13 2278
Cisco Guard解决方案套件包括两个独立的组件 -- Cisco Detector和Cisco Guard,两部分协同工作,能为任何环境提供DDoS保护。 Cisco 监测器(Cisco Detector):作为早期报警系统,Cisco检测器提供对最复杂DDoS***的深入分析,搜寻与“正常” 行为的偏差或DDoS***的基本行为。***被识别后,检测器发警报给...
流量牵引在抗DDOS中的应用
zbuger的博客
06-13 4793
什么是流量牵引   下图中的Defender就是我们熟悉的抗DDoS设备,Probe是一个专门用来分析网络流量的预警设备。对于这些网络安全设备我们并不陌生,但对于这样的拓扑结构恐怕就不常见了。两个路由器之间是两条并行的线路,在以往部署抗DDoS攻击设备的时候通常是把它直接串联在网络中,正常流量和攻击流量都穿过抗DDoS设备。让我们先根据这个简单的拓扑来解释一下什么是流量牵引
真实记录:一次服务器遭到DDOS攻击时使用阿里云《DDoS高防(新BGP)》应对的全过程~
lss
03-07 527
系统在应对近期业务活动场景还未完全做到心里有底的情况下,连续两天遭遇DDOS攻击。。。心疼自己一分钟!!! 记录只是为了记录,不揣测,不灰心,调整心态加强自身,但愿以后可以应对的更加自如~ (因为各种原因当晚系统绝不能出现任何问题,这么多年第一次在2021年3月6日晚遭到第二次恶意攻击时虽然化解,但看到攻击开始那一瞬间突然开始头疼!!!) 复现过程 背景: 再次首先感谢阿里云的所有工程师,我们得力于阿里云的很多服务(比如弹性伸缩,数据库的读写分离,以及后面讲到的高防)不然可能需要花费更大的人力物力成本还不一
【★】深入BGP原理和思想【第一部】
全栈空间
01-05 4348
前言:学思科技术我想说,浅尝辄止,不是天才千万别深钻。和我研究高等数学一样,越深入就会发现越多的问题与不合理之处。尤其对于IT界,算法的最终解释权还是掌握在老外手中,所以对于有些细节,我们"记住就好"。 本文主要关于BGP的逻辑而不是具体实验,所以我就随便配了几幅图,大多还是文字哈。由于BGP太过复杂,本文只是第一部介绍作品,以后会有更新! BGP边...
BGP是什么
Criss@陈磊
06-02 1261
边界网关协议BGP)是运行于 TCP 上的一种自治系统的路由协议BGP 是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议BGP 构建在 EGP 的经验之上。 BGP 系统的主要功能是和其他的 BGP 系统交换网络可达信息。网络可达信息包括列出的自治系统(AS)的信息。这些信息有效地构造了 AS 互联的拓朴图并由此清除了路由环路,
BGP深入理解
turbock的博客
05-29 556
1.BGP属性 2.BGP的三张表 3.BGP应用场景 4.BGP路由传递规则(很重要)!!!! 5.宣告路由的方式 6.BGP4中的IBGP 7.BGP4中的EBGP 8.BGP聚合 9.BGP的防环机制 10.解决水平分割 11.BGP的PEER-GROUP配置方式 1.BGP属性 可支持ipv4和ipv6单播,也支持vpnv6等。 2.BGP的三张表 table邻居表 show ip bgp summary/neighbors BGP table转发数据库 show ip bgp .
CCNP7:BGP的 【特点、数据包、工作过程、路由黑洞、防环机制、配置、MA网络中下一跳问题】
LIHAO的博客
06-22 1416
文章目录CCNP7:BGP网关路由协议:一、BGP、AS概述:二、BGP特点:三、BGP的数据包:四、BGP的工作过程: CCNP7:BGP网关路由协议: 一、BGP、AS概述: BGP网关路由协议是无类别路径矢量的EGP协议。 在谈BGP之前我们谈一下AS自治系统,一个自治系统就是一个范围。之所以会出现这么一个东西,是因为我们不能将全球的网络运行在一个很大的网络中。 因此我们需要将这个很大网络划...
BGPv4-原理介绍+报文分析+配置示例
fengxingzhe008的博客
05-04 2558
IPv4 BGP version4原理解析、RFC4271标准介绍、BGP协议特性、BGP协议典型命令
四种引流的方式
zhuimengzhe20160818的博客
08-19 3187
网站流量对于做网站优化是至关重要的,除了网站本身的基础优化要做好之外,前期做网站引流对优化排名有很大的帮助,是明显缩短网站优化排名时间的绝佳途径。今天小编跟大家分享一下。 引流的目的就是获取更多的流量,既能让网站得到进一步的优化,同时也能更好地对网站的品牌建设有很大的帮助,从而达到最终赚钱的目的。 详情如下: 1.百度系产品引流法      百度系产
BGP网络学习总结
weixin_33743661的博客
01-01 427
1、前言   云计算在中国发展越来越快,企业逐步开始将业务迁移到公有云中,方便运维,节省成本。公有云最复杂的地方是网络,客户对网络的需求千奇百怪,造成网络环境极其复杂,稍有不慎,就会出现网络连通性问题。因此大部分云计算厂商机房网络类型的运营商接入均为 BGP 多线路,保证线路质量。公有云中网络安全也是非常重要,例如DDos攻击,域名未备案封堵系统。我在工作中接触到了BGP高仿和域名未备案封...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值