AntiDDoS8000 V5R1C00交付指导书V1.0

发布时间:  2015-08-10 浏览次数:  193 下载次数:  28
问题描述

设备:AntiDDoS8000

版本:V5R1C00

内容:交付指导书

解决方案

AntiDDoS8000 V5R1C00交付指导书V1.0

 

1、        人员安排:

        

2、        设备上架、加电

       

3、        设备升级

若设备发货为V5R1C00SPC200版本的话存在此升级过程,若发货版本就是SPC300的话可省略此步骤

升级过程

升级方式说明

通过命令行方式升级

通过BootROM方式升级

升级方式说明

V500R001C00SPC200版本升级至V500R001C00SPC300版本(请在官网下载:http://support.huawei.com/enterprise/softdownload.action?lang=zh&idAbsPath=fixnode01|7919710|9856724|21431168|21100501|21345261&pid=21345261&vrc=21354069|21354070|21354072|21617043&show=showVDetail&tab=bz&bz_vr=21354070&bz_vrc=&nbz_vr=null)时,

请下载红色框框出来的AntiDDoSV8000V500R001C00SPC300-X3.cc 文件和Secospace AntiDDoS8000V500R001C00 Paflicense.zip 文件。

您可以根据实际情况选择适合的升级方式,如2-2所示。

升级方式

升级方式

应用场景

优势

前提条件

命令行(推荐方式)

设备处于正常运行的状态下,已经承载了业务流量,通常情况下推荐使用该方式进行升级

各个版本都支持该方式,操作过程简单,对业务影响小

传送版本软件时需要网络环境的支持

需要将设备配置为FTP server或者准备第三方的FTP/TFTP server程序

说明

l 此处提到的版本软件包括系统程序(*.cc)、PAF文件以及LICENSE文件。

l 版本软件必须存放在CFcard1中。CFcard1位于主控板(MPU)的电路板上,主要用于存储版本软件和配置文件;CFcard2位于主控板的面板上,主要用于存储日志和告警信息。

 

通过命令行方式升级

升级流程

通过命令行方式升级版本软件的流程如2-5所示。

通过命令行方式升级版本软件流程图

 

操作步骤

       PC2上(地址设置为192.168.0.1同网段地址即可,如:192.168.0.100/24,网线连接到设备的MGMT GE0/0/0口)通过FTP方式登录AntiDDoS8000(ftp 192.168.0.1 vpn-instance default)。此处以FTP方式为例进行说明,建议使用SFTP方式传输文件,保证数据传输的安全性。

注意:ftp需要带上vpn-instance,因为MGMT GE0/0/0接口下默认绑定vpn-instance

       本文档中以Windows操作系统自带的FTP client为例进行介绍,在实际操作过程中,建议您使用合法的第三方FTP client程序来传送文件,例如Cute FTP等。

如果已有的FTP连接没有断开,请直接进行后续的操作;如果FTP连接已经断开,请重新登录。

       设置文件的传输模式,同时设置PC2上存放升级所需文件的目录路径为D:\FTP,该文件夹必须已经存在。此处仅以D:\FTP为例进行说明,您可以根据实际需要配置为其他的目录。

ftp> binary   /输入binary命令,以二进制格式传输文件
ftp> lcd "d:\FTP" /
设置PC2上存放升级所需文件的目录

说明

请务必使用二进制格式传输文件,以保证文件传输的完整性,尤其在使用LinuxUnix系统传输文件时。

       使用put命令,将AntiDDoSV8000V500R001C00SPC300-X3.cc上传至AntiDDoS8000CFcard1中。

ftp> put AntiDDoSV8000V500R001C00SPC300-X3.cc
..........
ftp: 187475257 bytes sent in 192.90Seconds 970.68Kbytes/sec.

       受网络状况影响,上传系统程序时将会需要一段时间,请您耐心等待。上传完成后,请您确认设备CF卡中文件的大小与PC2上文件的大小是否一致,如果不一致,请重新上传,确保文件完整上传到设备CF卡中。

       license_HUAWEI_X.txt文件修改为license_spc300.txt文件然后上传至AntiDDoS8000CFcard1中。如果CFcard1中已经有同名的文件,将会提示是否覆盖原来的文件。

说明

V300R001C01版本可以修改系统程序(*.cc)、PAF文件以及LICENSE文件的名称。为保证设备上同时存在两套版本软件,建议在修改PAFLICENSE文件名称时,文件名后面带上SPC版本号以示区分,如修改LICENSE文件名为license_spc300.txt

         ftp> put license_spc300.txt
..........
ftp: 12757 bytes sent in 0.03Seconds 425.23Kbytes/sec.

       上传完成后,请您确认设备CF卡中文件的大小与PC2上文件的大小是否一致,如果不一致,请重新上传,确保文件完整上传到设备CF卡中。

       paf.txt文件修改为paf_spc300.txt文件然后上传至AntiDDoS8000CFcard1中。如果CFcard1中已经有同名的文件,将会提示是否覆盖原来的文件。

ftp> put paf_spc300.txt
..........
ftp: 66033 bytes sent in 0.05Seconds 1320.66Kbytes/sec.

上传完成后,请您确认设备CF卡中文件的大小与PC2上文件的大小是否一致,如果不一致,请重新上传,确保文件完整上传到设备CF卡中。

       文件上传完成后,退出FTP环境,在PC1上通过TelnetSSH方式登录到AntiDDoS8000的命令行环境中。建议使用SSH方式登录设备,保证数据传输的安全性。

       如果两块主控板都在位,在用户视图下使用copy命令将AntiDDoSV8000V500R001C00SPC300-X3.ccPAFLICENSE文件拷贝到备用主控板。

<AntiDDoS> copy cfcard:/AntiDDoSV8000V500R001C00SPC300-X3.cc slave#cfcard:/
<AntiDDoS> copy cfcard:/ paf_spc300.txt slave#cfcard:/
<AntiDDoS> copy cfcard:/ license_spc300.txt slave#cfcard:/

       使用startup system-softwarefilename命令设置AntiDDoS8000下次启动时使用的版本软件。

<AntiDDoS> startup system-software AntiDDoSV8000V500R001C00SPC300-X3.cc
Info: Succeeded in setting the software for booting system.

       使用startup licensefilename命令设置AntiDDoS8000下次启动时使用的LICENSE文件。

<AntiDDoS> startup license license_spc300.txt
Info: Succeeded in setting main board resource file for system.

       使用startup paffilename命令设置AntiDDoS8000下次启动时使用的PAF文件。

<AntiDDoS> startup paf paf_spc300.txt
Info: Succeeded in setting main board resource file for system.

       如果两块主控板都在位,在用户视图下使用如下命令设置AntiDDoS8000的备用主控板下次启动时使用的版本软件、LICENSE文件和PAF文件。

<AntiDDoS> startup system-software AntiDDoSV8000V500R001C00SPC300-X3.cc slave-board
Info: Succeeded in setting the software for booting system.
<AntiDDoS> startup license license_spc300.txt slave-board
Info: Succeeded in setting slave board resource file for system.
<AntiDDoS> startup paf paf_spc300.txt slave-board
Info: Succeeded in setting slave board resource file for system.

使用reboot命令重新启动AntiDDoS8000

说明

在重启之前,建议使用display startup命令查看AntiDDoS8000下次启动时使用的版本软件,确认是否配置完整。

执行reboot命令后,设备将会显示两次提示信息,询问是否继续,请您均输入y继续重启操作。

<AntiDDoS> reboot
mpu 9:                                                                          
Next startup system software: cfcard:/AntiDDoSV8000V500R001C00SPC300-X3.cc
Paf: V300R001C01                                                                
License: V300R001C01                                                            
Next startup saved-configuration file: cfcard:/config.cfg                       
                                                                                
Info: The system is now comparing the configuration, please wait.               
Warning: All the configuration will be saved to the configuration file for the next startup:cfcard:/config.cfg, Continue?[Y/N]:y                                
System will reboot! Continue?[Y/N]:y

设备启动耗时受当前的硬件配置以及配置文件影响。单板越多,单板注册的时间就越长;配置越多,需要恢复配置的时间就越长。

 

4、        加载license

设备上电后,采集设备的esn(display esn),申请license 注意上传的时候一定要对应好设备esn,不要加载错误。 加载方法如下:

 

如上上传cc/paf/license的方式上传license文件(.dat文件)到AntiDDoS8000CFcard1,然后使用如下命令加载对应的license文件(.dat格式)。

<AntiDDoS> license active LICSecospaceAntiDDoS8030V500R001_201507307SUP60.dat

 

 

5、        设备端口互联

DDOS检测设备和DDOS清洗设备分别连接到客户核心交换机测:

 

6、        系统互通

在检测设备和清洗设备上分别配置明细路由到ATIC服务器

6.1   清洗设备组网配置

1、指定DDoS业务板类型,修改业务板工作模式后不再需要重启业务板才能生效。

<AntiDDoS>system-view

[AntiDDoS]firewall ddos clean-spu slot 2 card 0 //若为多块,都需要指定请根据现场实际情况配置card 0或者card 1

2DDoS设备配置AAA用户,供后续ATIC通过Telnet管理设备使用。

[AntiDDoS]aaa

[AntiDDoS-aaa] manager-user admin                                                                                                     

[AntiDDoS-aaa -manager-user- user-name1]level 15

[AntiDDoS-aaa -manager-user- user-name1] service-type ftp terminal telnet ssh

[AntiDDoS-aaa -manager-user- user-name1] password cipher Huawei@123

[AntiDDoS-aaa]quit

[AntiDDoS]user-interface vty 0 4

[AntiDDoS-ui-vty0-4]authentication-mode aaa

 

3SSH登陆配置:

[AntiDDoS]stelnet server enable

[AntiDDoS]rsa local-key-pair create

输入:2048

[AntiDDoS]ssh user admin

[AntiDDoS]ssh user test1 authentication-type all

[AntiDDoS]ssh user test1 service-type all

 

4、配置清洗设备的接口IP地址,并将接口加入安全区域,打开相应的域间包过滤。

[AntiDDoS] interface GigabitEthernet 1/0/0

[AntiDDoS-GigabitEthernet1/0/0] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/0]quit

[AntiDDoS]interface GigabitEthernet 1/0/1

[AntiDDoS-GigabitEthernet1/0/1] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/1]quit

[AntiDDoS] interface GigabitEthernet 1/0/2

[AntiDDoS-GigabitEthernet1/0/2] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/2]quit

[AntiDDoS] interface GigabitEthernet1/0/3

[AntiDDoS-GigabitEthernet1/0/3] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/3]quit

 

5、在清洗设备的引流口开启流量统计功能,使用二层回注。

[AntiDDoS]interface eth-trunk 1.1    //引流口

[AntiDDoS- eth-trunk 1.1] vlan-type dot1q 11  //引流口对端核心交换机使用哪个vlan对接的就在此终结哪个vlan

[AntiDDoS- eth-trunk 1.1]ip add 172.16.100.2 30

[AntiDDoS- eth-trunk 1.1]anti-ddos clean enable

[AntiDDoS- eth-trunk 1.1]anti-ddos flow-statistic enable

[AntiDDoS- eth-trunk 1.1]quit

 

6、配置回注口来对应vlan

[AntiDDoS]interface eth-trunk 1.2  //回注口

[AntiDDoS- eth-trunk 1.2] vlan-type dot1q 1  // 回注口对端核心交换机使用哪个vlan来对接的就在此终结哪个vlan,若为多个vlan,则需要创建多个子接口并终结对应的vlan

 [AntiDDoS- eth-trunk 1.2]ip address **.**.224.119 26

 [AntiDDoS- eth-trunk 1.2]ip address **.**.226.61 27 sub

 

7、管理接口

[AntiDDoS] interface GigabitEthernet 1/0/4

[AntiDDoS-GigabitEthernet1/0/4] ip address **.**.202.173 27  //根据地址规划进行配置

[AntiDDoS-GigabitEthernet1/0/4]quit

 

8、开启域间包过滤策略。

[AntiDDoS]firewall zone trust

[AntiDDoS-zone-trust]add interface GigabitEthernet 1/0/4

[AntiDDoS-zone-trust]add interface eth-trunk 1.1

[AntiDDoS-zone-trust]add interface eth-trunk 1.2    //将相关的业务接口全部加入到安全域trust

[AntiDDoS] security-policy

[AntiDDoS -policy-security] default action permit

 

9、在清洗设备上,配置生成动态路由时使用的下一跳地址。//已配置

<AntiDDoS> system-view

[AntiDDoS] firewall ddos bgp-next-hop **.**.**.**(任何一个回注口地址)

对生成的32位主机静态路由进行FIB过滤。

[AntiDDoS] firewall ddos bgp-next-hop fib-filter

 

10、在清洗设备上配置BGP功能及团体属性。

[AntiDDoS] route-policy 1 permit node 1

[AntiDDoS -route-policy] apply community no-advertise

[AntiDDoS -route-policy] quit

[AntiDDoS] bgp 65532     //根据局点规划进行BGP配置,主要是bgp号可能不一样

[AntiDDoS-bgp] router-id 172.16.100.2

[AntiDDoS-bgp] peer 172.16.100.1 as-number 65533

[AntiDDoS-bgp] import-route unr

[AntiDDoS-bgp] ipv4-family unicast

[AntiDDoS-bgp-af-ipv4] peer 172.16.100.1 route-policy 1 export

[AntiDDoS-bgp-af-ipv4] peer 172.16.100.1 advertise-community

[AntiDDoS-bgp-af-ipv4] quit

[AntiDDoS-bgp] quit

//完成上述配置后,清洗设备上生成的UNR路由会被引入到BGP中,并通过BGP发布到Router1。这样,当Router1收到目的地址为的流量时,通过查路由表,根据最长掩码匹配原则,优先将流量从接口转发至清洗设备。

 

11SNMP配置。

[AntiDDoS]snmp-agent sys-info version v2c

[AntiDDoS]snmp-agent community read cipher public @123           

[AntiDDoS]snmp-agent community write cipher private @123

 

12、配置一条缺省路由,用于反向路由查找。

[AntiDDoS] ip route-static 0.0.0.0 0 eth-trunk 1.1 172.16.100.1

 

13、配置一条明细路由,用于指向ATIC

[AntiDDoS] ip route-static **.**.202.56 255.255.255.255 **.**.**.** //.56ATIC地址,**.**.**.**为设备管理地址对应的网关

 

14、结果验证

(1)display device 

(2)display health

(3)display license

(4)display bgp peer

(5)ping **.**.202.56    //ATIC地址

(6)ping **.**.**.**            //回注口对端地址

(7)从本设备telnet **.**.**.**  //本设备管理接口地址,输入用户名、密码进行验证看能否成功telnet

(8)display ip routing-table

(9)确保ATIC成功管理各局点设备之后方可

 

6.2   检测设备组网配置

1、指定DDoS业务板类型,修改业务板工作模式后需要重启业务板才能生效。

<AntiDDoS>system-view

[AntiDDoS]firewall ddos detect-spu slot 2 card 0

 

2DDoS设备配置AAA用户,供后续ATIC通过Telnet管理设备使用。

[AntiDDoS]aaa

[AntiDDoS-aaa] manager-user admin                                                                                                      

[AntiDDoS-aaa -manager-user- user-name1]level 15

[AntiDDoS-aaa -manager-user- user-name1] service-type ftp terminal telnet ssh

[AntiDDoS-aaa -manager-user- user-name1] password cipher Huawei@123

[AntiDDoS-aaa]quit

[AntiDDoS]user-interface vty 0 4

[AntiDDoS-ui-vty0-4]authentication-mode aaa

 

3SSH登陆配置:

[AntiDDoS]stelnet server enable

[AntiDDoS]rsa local-key-pair create

输入:2048

[AntiDDoS]ssh user admin

[AntiDDoS]ssh user admin authentication-type all

[AntiDDoS]ssh user admin service-type all

 

4、在检测设备的检测口开启流量统计。

[AntiDDoS] interface GigabitEthernet 1/0/0

[AntiDDoS-GigabitEthernet1/0/0] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/0]quit

[AntiDDoS]interface GigabitEthernet 1/0/1

[AntiDDoS-GigabitEthernet1/0/1] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/1]quit

[AntiDDoS] interface GigabitEthernet 1/0/2

[AntiDDoS-GigabitEthernet1/0/2] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/2]quit

[AntiDDoS] interface GigabitEthernet1/0/3

[AntiDDoS-GigabitEthernet1/0/3] eth-trunk 1

[AntiDDoS-GigabitEthernet1/0/3]quit

 

[AntiDDoS] interface eth-trunk 1

[AntiDDoS- eth-trunk 1] anti-ddos flow-statistic enable

[AntiDDoS- eth-trunk 1] anti-ddos detect enable

[AntiDDoS- eth-trunk 1] quit

 

5、在检测设备配置接口为管理接口。

[AntiDDoS] interface GigabitEthernet 1/0/4

[AntiDDoS-GigabitEthernet1/0/4]ip address **.**.202.172 27

[AntiDDoS-GigabitEthernet1/0/4] anti-ddos detect enable

[AntiDDoS-GigabitEthernet1/0/4] anti-ddos detect-device manage-port enable

[AntiDDoS-GigabitEthernet1/0/4] quit

 

6、将业务接口加入安全区域,打开相应的域间包过滤。

[AntiDDoS]firewall zone trust

[AntiDDoS-zone-trust]add interface GigabitEthernet 1/0/4

[AntiDDoS-zone-trust]add interface Eth-trunk 1

 

[AntiDDoS] security-policy

[AntiDDoS -policy-security] default action permit

 

7SNMP配置。

[AntiDDoS]snmp-agent sys-info version v2c

[AntiDDoS]snmp-agent community read cipher public@123          

[AntiDDoS]snmp-agent community write cipher private@123 

 

8、配置一条明细路由,用于指向ATIC??。

[AntiDDoS] ip route-static **.**.202.56 255.255.255.255 **.**.**.** //.56ATIC地址,**.**.**.**为设备管理地址对应的网关

 

结果验证

(1)display device 

(2)display health

(3)display license

(4)ping **.**.202.56    //ATIC地址

(5)从本设备telnet **.**.**.**  //本设备管理接口地址,输入用户名、密码进行验证看能否成功telnet

(6)display ip routing-table

(7)确保ATIC成功管理各局点设备之后方可

 

7、        攻防配置

7.1            ATIC添加网元

创建网元:资源->资源管理->网元列表,需要设置Telnet参数和SNMP参数。

 

7.2            ATIC DDoS防御策略配置

基于业务类型(通用业务、WEB业务、DNS业务)创建自定义防护对象,配置防御有针对性防御策略;

创建自定义防护对象:

 

点击创建,配置防护对象的基线信息、防护IP地址及网元;

 

配置防护对象策略:

 

通用业务防御配置:

 

Web业务防御配置:

TCP防御:参照通用业务防御配置;

UDP防御:通常来讲web服务器不会有多少udp业务,可以直接使用限流,将流量限制比较小,如果可以确认没有udp业务,可以配置阻断。

 

 

DNS业务防御配置:

TCP防御配置:参照通用业务防御配置;

UDP防御配置:通常来讲DNS服务器上其他端口的UDP业务比较少,可以配置限速。

DNS防御配置:确认DNS服务器类型,授权服务器,开启主动的防御模式;缓存服务器或者不确定服务器类型时,开启被动防御模式。

 

 

 

ATIC开启基线学习

开启基线学习:基线学习不需要配置策略既可以学习,只要有流量经过设备即可。

学习效果:

 

一般情况下,如果应用基线学习的数据之后,告警比较多,则需要对阈值或者其它参数进行适当调整:

           将抽样比调整为0,即进行抽样,每个报文都统计。AntiDDoS设备的默认抽样比为7,即128:1抽样,这样,当用户流量比较小的时候,统计出来的值容易失真和跳变。一般情况下,如果总流量小于1G,都可以将抽样比配置为0

           查看该防护对象的流量TOPN(无攻击的情况下),选取流量最大的IP,并以此IP查看各种协议的流量对比(统计方式选择峰值),时间跨度选择一周即可,然后使用每种流量的峰值的2倍作为相应防范的阈值。如果流量峰值比较小,比如只有几十PPS,建议直接使用默认值作为阈值,真正发生攻击之后,攻击流量不可能才只有几千PPS.

 

END