所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - NAT与IPv6过渡技术 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NAT黑名单和建流速率限制

配置NAT黑名单和建流速率限制

通过NAT黑名单和建流速率限制,防止用户通过流量攻击占用大量CPU资源而影响普通流量转发。

背景信息

NAT黑名单功能是针对网络侧首包攻击某个公网IP+Port+Protocol或者整个IP的防攻击功能。在未部署NAT内部服务器以及公网侧流量不能在NAT设备上查到会话表的情况下,当流量达到一定的速率阈值时,该流量会被视为攻击流量,类似这种流量的IP地址以及UDP目的端口号、TCP目的端口号会被加入到NAT黑名单,会对后续匹配到黑名单的网络侧攻击报文进行丢弃或统计。

NAT黑名单有两种检测方式,一种是仅对IP地址的攻击检测,又称为地址级的检测,可以通过配置NAT黑名单地址级阈值调整攻击流量的检测速率;另一种是针对IP地址、端口和协议号的攻击检测,又称为端口级的检测,可以通过配置NAT黑名单端口级阈值调整攻击流量的检测速率。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令nat flow-defend reverse-blacklist disable,去使能NAT黑名单功能。
  3. 执行命令nat flow-defend { forward | fragment | reverse } rate rate-number slot slot-id { engine engine-id | card card-id },配置业务板的建流速率限制。
  4. 执行命令nat flow-defend reverse-blacklist detect-threshold ip-port-level high-threshold,配置NAT黑名单的端口级的阈值,超过阈值则会产生黑名单。

    在NAT黑名单功能开启的情况下,执行此命令之后,会匹配到针对IP地址、端口和协议号的攻击流量进行检测,通过配置NAT黑名单端口级阈值调整攻击流量的检测速率。

  5. 执行命令nat flow-defend reverse-blacklist detect-threshold ip-level high-threshold,配置NAT黑名单的地址级阈值,超过阈值则会产生黑名单。

    在NAT黑名单功能开启的情况下,执行此命令之后,对匹配到针对IP地址的攻击流量进行检测,通过配置NAT黑名单端口级阈值调整攻击流量的检测速率。

    上述的配置NAT黑名单端口级阈值和地址级阈值可以同时进行配置,两条命令功能是独立的。

  6. 执行命令nat flow-defend reverse-blacklist auto-lock enable,使能NAT黑名单自动锁定功能。

    当NAT攻击流量达到检测阈值产生NAT黑名单,NAT设备会对该黑名单中IP地址自动进行隔离,将此IP地址上的用户进行下线,新用户后续不能使用此IP地址进行上线。

  7. 执行命令nat flow-defend reverse-blacklist lock-ip-address lockip-address [ vpn-instance vpn-instance-name ] manual-unlock,配置NAT防攻击的锁定地址和VPN实例信息。

    执行此命令之后,会对此IP地址进行隔离,并产生黑洞路由,将所有访问此IP地址的流量在接口板进行丢弃。同时此IP地址上的用户全部下线,新用户后续不能使用此IP地址进行上线。通过reset nat flow-defend reverse-blacklist lock-ip-address命令用来清除NAT防攻击的黑名单中手动锁定的IP地址和VPN实例信息。

  8. 执行命令commit,提交配置。

检查配置结果

完成配置后,可以按以下指导来检查配置结果。
  • 执行命令display nat flow-defend reverse-blacklist,查看CPU反向首包黑名单表项。

  • 执行命令display nat flow-defend reverse-blacklist lock-ip-address,查看NAT防攻击的手动锁定或自动锁定地址的信息。

# 查看1号槽位VSUF-160业务板的0号CPU的反向首包黑名单表项信息。
<HUAWEI> display nat flow-defend reverse-blacklist slot 1 engine 0
Slot: 1 Engine: 0
Current total reverse-blacklists: 1(Ip+Port).
 Victim information(IP,port): (10.33.33.2,0)
 Attacker information(IP,port): (192.85.1.2,0)
 Protocol: UDP, VPN: -
 Create: 2017-6-25 10:25:43, Left: 00:10:00 
 Current Attack-rate: 129kpps, Max Attack-rate: 129kpps

Current total reverse-blacklists: 1(Ip).
 Victim information(IP): (10.33.33.2)
 Attacker information(IP,port): (192.85.1.2,0) VPN: -
 Create: 2017-6-25 10:25:43, Left: 00:10:00 
 Current Attack-rate: 129kpps, Max Attack-rate: 129kpps
# 查看NAT防攻击手动锁定地址的信息。
<HUAWEI> display nat flow-defend reverse-blacklist lock-ip-address manual-unlock
-----------------------------------------------------------------------------------------------------------------------
  IP Address                    VPN Name                         InstType                     InstName                 
-----------------------------------------------------------------------------------------------------------------------
  10.12.12.1                    ----                             NAT                          lcp
# 查看NAT防攻击自动锁定地址的信息。
<HUAWEI> display nat flow-defend reverse-blacklist lock-ip-address slot 2 engine 0
Slot: 2  Engine: 0

Current total auto-locked ip number: 1.

IP:10.2.2.2    VPN Name:huawei 

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028549

浏览量:19993

下载量:205

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页