欢迎user
Guard设备用来对引起网络异常的流量进行流量过滤和流量清洗,将引起网络异常的攻击流量从正常流量里过滤出来。
Guard路由是在Guard设备上配置的,它的主要作用是将引起网络异常的流量牵引到Guard设备上来,既可以由管理员手工配置,也可以根据收到的信息触发Guard设备上的脚本自动配置,其中,第二种方式更为常用。
Guard路由的出接口为Null0,配置后不会加入到FIB表里,不会用于指导IP报文转发,需要与BGP协议配合使用;通过BGP协议引入到BGP路由表并向BGP对等体发布,从而将BGP对等体本来要发给其它设备的网络流量牵引到Guard设备上来,继而在Guard上对流量进行流量过滤、流量清洗等操作。典型应用如图1所示:
图1 Guard路由典型应用
配置了Guard路由的设备称之为Guard,检测网络异常的设备称之为Detector:
l Router A通过Router B与Web Server、Name Server和E-Commerce-Application Server进行通信;
l Router B与Guard设备都使能BGP路由协议,并且创建了对等体关系;在Guard设备的BGP视图下配置import-route guard命令,使能Guard路由引入功能。
l 在Router B上将Router A发送给Web Server、Name Server和E-Commerce-Application的流量镜像到Detector上,Detector对这些流量进行检测;
l 如果Detector没有检测到任何异常,经过Router B的网络报文将执行正常的转发,Guard设备不处于报文转发路径中;
l 如果Detector检测到去往某个目的地址的流量出现异常,将通知Guard设备,触发Guard设备创建Guard路由;或者Detector向网络管理员报警,网络管理员通过命令行配置Guard路由。Guard路由的目的地址为异常流量报文的目的地址, Guard设备将该路由发布给它的BGP对等体Router B。需要注意的是,Guard路由是一种特殊的路由,它并不会下发到FIB表指导报文转发。
l Router B学到该路由后,将发往异常目的地址的报文发送给Guard设备,相当于把异常流量牵引到Guard设备上;
l Guard设备对这些异常流量进行处理,丢弃攻击流量,而正常流量会通过在Router B和Guard设备上配置策略路由重新注入网络并正确送达目的地址。