《IP路由-Guard路由技术介绍-D》由会员分享,可在线阅读,更多相关《IP路由-Guard路由技术介绍-D(4页珍藏版)》请在金锄头文库上搜索。
1、,IP路由-Guard路由技术介绍技术介绍IP 路由Guard 路由Guard 路由Guard 设备用来对引起网络异常的流量进行流量过滤和流量清洗,将引起网络异常的攻击流量从正常流量里过滤出来。Guard 路由是在 Guard 设备上配置的,它的主要作用是将引起网络异常的流量牵引到 Guard 设备上来,既可以由管理员手工配置,也可以根据收到的信息触发 Guard 设备上的脚本自动配置,其中,第二种方式更为常用。图1 Guard 路由典型应用Guard路由的出接口为Null0,配置后不会加入到FIB表里,不会用于指导IP报文转发,需要与BGP协议配合使用;通过BGP协议引入到BGP路由表并向B
2、GP对等体发布, 从而将BGP对等体本来要发给其它设备的网络流量牵引到Guard设备上来,继而在Guard上对流量进行流量过滤、流量清洗等操作。典型应用如 图 1所示:配置了 Guard 路由的设备称之为 Guard,检测网络异常的设备称之为 Detector: Router A 通 过 Router B 与 Web Server 、 Name Server 和E-Commerce-Application Server 进行通信; Router B 与 Guard 设备都使能 BGP 路由协议,并且创建了对等体关系;在Guard 设备的 BGP 视图下配置 import-route guard
3、 命令,使能 Guard 路由引入功能。2 在 Router B 上将 Router A 发送给 Web Server 、 Name Server 和E-Commerce-Application 的流量镜像到 Detector 上,Detector 对这些流量进行检测; 如果 Detector 没有检测到任何异常,经过 Router B 的网络报文将执行正常的转发,Guard 设备不处于报文转发路径中; 如果 Detector 检测到去往某个目的地址的流量出现异常,将通知 Guard 设备, 触发 Guard 设备创建 Guard 路由;或者 Detector 向网络管理员报警,网络管理员通过命令行配置 Guard 路由。Guard 路由的目的地址为异常流量报文的目的地址, Guard 设备将该路由发布给它的 BGP 对等体 Router B。需要注意的是,Guard 路由是一种特殊的路由,它并不会下发到 FIB 表指导报文转发。 Router B 学到该路由后,将发往异常目的地址的报文发送给 Guard 设备,相当于把异常流量牵引到 Guard 设备上; Guard 设备对这些异常流量进行处理,丢弃攻击流量,而正常流量会通过在Router B 和 Guard 设备上配置策略路由重新注入网络并正确送达目的地址。全文完
