antiDDoS8030采用BGP引流+静态路由回注防火墙主备状态切换后清洗流量相应业务中断

发布时间:  2016-09-18 浏览次数:  832 下载次数:  0
问题描述

antiDDoS当前版本为:V100R001C00SPC500

如图所示,按照当前的组网方案,antiDDoS8030作为检测和清洗一体机同时完成流量检测以及清洗功能。AntiDDoS8030分别与NE40E建立ibgp邻居关系,用于异常流量引流。通过ATIC下发的引流任务,AntiDDoS自动生成一条32位的主机路由,下一跳为NE40E-1接口g1/0/1,引导两台路由器将相应的流量转发至AntiDDos进行流量清洗。AntiDDos完成流量清洗,将流量通过静态路由转发至NE40E-1。出口路由器NE40E-1通过策略路由将AntiDDos回注流量重定向至出接口g1/0/0,经过防火墙后送至内网区。

组网拓扑

关键配置:

BGP引流配置:

bgp 65000

 peer 172.16.0.21 as-number 65000

 peer 172.16.0.21 password cipher %$%$f)%K.!#{j3>EI~T7Gb[H,RI@%$%$

 peer 172.16.0.29 as-number 65000

 peer 172.16.0.29 password cipher %$%$f)%K.!#{j3>EI~T7Gb[H,RI@%$%$

 #

 ipv4-family unicast

  undo synchronization

  import-route static

  peer 172.16.0.21 enable

  peer 172.16.0.29 enable

BGP引流下一跳配置:

firewall ddos bgp-next-hop 172.16.0.25

补充说明:2USG66802NE40E之间运行OSPF协议,并开启hrp ospf-cost adjust enabe 实现OSPF COST自动调整功能。

故障现象:

由于CE12800USG6680-1链路故障,导致防火墙双机主备状态切换,但是由于AntiDDos清洗后的流量依然会送至USG6680-1,无法回送至内网,导致业务中断。


处理过程

1.临时解决方案:

由于BGP引流下一跳配置命令“firewall ddos bgp-next-hop ip-address”只能指定唯一的一个下一跳,在防火墙双机热备发生状态切换时手动修改下一跳地址为172.16.0.33

2.有效解决办法

根据以下步骤完成回注路由根据双机热备状态切换联动自动选择回注路径。

AntiDDoS分别与两台NE40E建立OSPF连接ospf 1

 area 0.0.0.0

  authentication-mode hmac-md5 1 cipher %$%$)`fEFv7Ep3klKGC1CFR1YaXO%$%$

  network 172.16 0.26 0.0.0.0

  network 172.16.0.34 0.0.0.0

AntiDDoS设置BGP引流生成静态路由下一跳的地址,此处我们选择CE12800与防火墙互联接口地址,AntiDDoS在回注流量是通过迭代路由选择路径。

firewall ddos bgp-next-hop 172.16.0.14

ATIC添加引流任务,AntiDDos上查看生成的静态路由如下:

60.32.90.128/32  Static 60   0           RD   172.16.0.14    GigabitEthernet1/0/2

查看172.16.0.14的路由如下:

<Anti-DDoS8030>dis ip routing-table 172.16.0.14

13:11:02  2015/08/18

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Table : Public

Summary Count : 1

Destination/Mask    Proto  Pre  Cost       Flags NextHop         Interface

 

172.16.0.8/29  OSPF   10   3            D   172.16.0.25    GigabitEthernet1/0/2

由此可以确定引流回注流量将通过G1/0/2返回到NE40E-1

AntiDDosdisplay ospf lsdb查看OSPF LSDB中关于172.16.0.8/28的路由描述:

USG6680-1

     Link ID: 172.16.0.8 

     Data   : 255.255.255.248

     Link Type: StubNet     

     Metric : 1

     Priority : Low

USG6680-2

     Link ID: 172.16.0.8 

     Data   : 255.255.255.248

     Link Type: StubNet     

     Metric : 65500

     Priority : Low

由以上信息可以确认,在防火墙发生状态切换时,172.16.0.8迭代查询下一跳将会变成172.16.0.33,下一跳接口为1/1/2

至此通过以上的配置优化,问题解决。

END