华为Anti-DDoS：引流与回注

华为Anti-DDoS：引流与回注

引流：当ATIC检测到异常流量时，把待清洗的流量引导至清洗设备的过程。
回注：当清洗设备将异常流量清洗后，发送回原路径的过程。
引流
分光、镜像是复制流量输出给检测设备进行检测；流采集分析协议是提取流量特征，把符合条件的流统计信息给检测设备分析，这些措施都不会影响实际的业务流量转发。然而对于清洗设备来说，我们需要清洗的是实际业务流量中的威胁或异常内容，如果清洗设备旁挂，我们必须要改变原有的业务转发路径，把流量引导到清洗设备上来，通过分光和镜像等显然是不能完成的。那当清洗设备旁路部署时，为实现流量清洗，我们是如何引流的呢？
事实上，引流可分为静态引流和动态引流两种
静态引流：手动创建并下发引流策略到清洗设备引发引流，业务流量无论是否发生异常，都将改变原有流量的路径将流量引流到清洗设备。
动态引流：检测设备发现异常通告管理中心，管理中心自动生成引流策略并下发到清洗设备；攻击结束，管理中心下发取消引流策略到清洗设备。
但如果按照具体的配置方法来划分，可分为：策略路由引流和BGP引流。
策略路由引流：在引流的网络设备上配置策略路由，将目的地址为防护对象的流量发送到清洗设备。
BGP引流：通过在引流的网络设备和清洗设备上配置BGP实现引流。
策略路由引流通常用于静态引流方式，BGP引流根据配置的不同可以是静态引流方式，也可以是动态引流方式。

策略路由引流
策略路由（Policy-based Routing），也称为路由重定向（Redirect），顾名思义是指基于策略的路由机制。通常，路由设备是根据报文目的地址查找路由表进行报文转发的，而策略路由是一种依据用户制定的策略进行路由选择的机制，策略路由的操作对象是数据包，在路由表已经产生的情况下，不按照先行路由表进行转发，而是根据需要，依照某种策略改变其转发路径的方法。
策略路由引流，正是根据这种策略，改变报文原有的转发路径，引导流量到清洗设备上来。
在下图中，Router1为引流设备，为对到达防护对象的流量进行清洗，可以在Router1的GE1/0/0接口配置策略路由，让从外网通过GE1/0/0接口到达防护对象的流量改变原有路径从GE1/0/1接口转发到清洗设备进行清洗。

#1、定义流分类。
[Router1] acl 3001
[Router1-acl-adv-3001] rule permit ip destination 1.1.1.1 0
[Router1-acl-adv-3001] rule permit ip destination 2.2.2.2 0
[Router1-acl-adv-3001] quit
[Router1] traffic classifier class1
[Router1-classifier-class1] if-match acl 3001
[Router1-classifier-class1] quit
#2、配置流行为并配置报文转发动作。
[Router1] traffic behavior behavior1
[Router1-behavior-behavior1] redirect ip-nexthop 10.1.2.2 interface GigabitEthernet 1/0/1
[Router1-behavior-behavior1] quit
#3、定义流量策略并在策略中为类指定行为。
[Router1] traffic policy policy1
[Router1-trafficpolicy-policy1] classifier class1 behavior behavior1
[Router1-trafficpolicy-policy1] quit
#4、在接口上应用策略路由。
[Router1] interface GigabitEthernet 1/0/0
[Router1-GigabitEthernet1/0/0] traffic-policy policy1 inbound
[Router1-GigabitEthernet1/0/0] quit

策略路由引流，配置比较简单，方便操作，但使用这种引流方式时，如果回注流量的链路Down了，业务流量还是会通过策略路由送到清洗设备上来，这样清洗后的流量又不能回注回去，势必造成业务的中断。所以，为了保证引流策略路由也能及时Down掉，我们可以在清洗设备上配置类似Link-group这样的功能，将引流和回注链路加入到一个Link-group中，形成联动，回注的链路Down了，引流的链路也及时Down掉，保证业务的正常转发。
除此之外，策略路由引流不考虑流量中是否存在异常，统一的将流分类中定义的所有流量都送到清洗设备进行处理，对于正常的流量来说也会转发到清洗设备上来，一方面影响了正常业务的转发效率，另一方面也会消耗清洗设备的部分资源，造成不必要的浪费。相比之下，BGP引流会更加高效智能。

BGP引流
BGP引流分为静态引流和动态引流两种（其中动态引流又分为自动和手动），它们的区别在于：前者无论检测设备是否检测到异常，管理中心都会生成针对防护对象IP地址/IP地址段的引流任务，这种引流任务需要由管理员手工创建；而动态引流是当检测设备检测到异常时，管理中心会自动生成引流任务，引流任务生成后系统会直接下发（自动）或者通过管理员手动下发（手动）到清洗设备。异常或攻击结束后，系统会自动取消引流。
不管是BGP的静态引流还是动态引流，管理中心都会下发一条引流任务到清洗设备，此时，清洗设备上会为每个防护对象自动生成一条32位主机UNR路由，此路由的下一跳为与清洗设备回注接口直连的路由设备的接口地址，即下图中Router1的GE1/0/2接口地址。
生成路由后，清洗设备会将这条UNR路由引入到BGP中，并通过BGP发布给BGP Peer—Router1，此时，Router1上就会有一条目的地址为防护对象，下一跳为清洗设备的引流接口的32位主机路由。
后续Router1收到Internet发来的到防护对象的报文时，查找路由表，根据最长掩码匹配原则，优先会匹配这条路由，从而转发到清洗设备上来进行流量清洗。

GP引流需要在Router1、清洗设备和管理中心上进行配置，具体引流部分的配置如下。
首先，在管理中心界面上选择“防御 > 策略配置 > 引流”，创建引流任务，配置被保护的IP地址为1.1.1.1，子网掩码为255.255.255.255。单击“确定”。
然后在清洗设备上，设置32位主机UNR路由下一跳地址，这里的下一跳为Router1回注接口GE1/0/2的IP地址。
[sysname] firewall ddos bgp-next-hop 10.1.3.1
上述步骤配置完成后，清洗设备上会生成一条到达1.1.1.1的32位主机UNR路由，下一跳为10.1.3.1。

BGP配置
#NE80E
[Router1] bgp 100
[Router1-bgp] peer 10.1.2.2 as-number 100
[Router1-bgp] quit
#ANTIDDOS
[sysname] route-policy 1 permit node 1
[sysname-route-policy] apply community no-advertise
[sysname-route-policy] quit
[sysname] bgp 100
[sysname-bgp] peer 10.1.2.1 as-number 100
[sysname-bgp] import-route unr
[sysname-bgp] ipv4-family unicast
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export
[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community
[sysname-bgp-af-ipv4] quit
[sysname-bgp] quit

配置apply community no-advertise命令，用于设置团体属性，在BGP路由策略中应用后，通告对等体Router1接收此32位主机路由后不再对其他任何对等体发布此路由，因为此路由只用于对需要清洗的流量进行引流，对外发布可能会造成不可预知的影响，如路由环路等。
相比策略路由引流，BGP引流更加灵活，既能对防护对象静态引流，达到策略路由引流的效果，也能根据流量异常情况动态智能化引流，合理控制清洗设备的资源分配，方便管理员维护管理。
引流完成后，清洗设备会对异常流量进行清洗。