评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPv4网络用户侧异常流量统计分析示例
通过NetStream流量统计分析,可以快速分析定位异常流量的类型或位置。
组网需求
如图3-17所示,应用NetStream的分析方法,对网络中用户侧报文的源IP、目的IP、端口、协议等详细信息进行统计,可以快速进行蠕虫病毒中毒终端的检测、DoS(Denial of service)/DDoS(Distributed Denial of service)攻击源和目的检测、垃圾邮件源的检测、私设地下网站检测和用户行为分析等。用户还可以根据流量的特征快速定位病毒类型和感染病毒等异常流量的IP地址。并根据NetStream数据流的其它特征在其他网络设备上采取相应的限制、过滤措施,从而达到抑制病毒流量传播的目的。
数据准备
为完成此配置例,需准备如下的数据:
PE用户侧接口。
NetStream报文输出的版本号。
NetStream信息输出的目的地址、目的端口、源地址。
NetStream业务板的槽位号,本举例中NetStream业务板位于1号槽位。
操作步骤
- 配置PE与CE之间网络互通
# 按照图3-17配置各接口IP地址和掩码,具体配置过程略。
- 配置PE用户侧接口GE0/1/0的NetStream统计功能
# 配置单板的NetStream业务处理方式为分布式。
[*PE] slot 1 [*PE-slot-1] ip netstream sampler to slot self [*PE-slot-1]quit
# 配置原始流TCP-flag的统计功能。
[*PE]ip netstream tcp-flag enable
# 配置版本5输出目的地址,目的端口和源地址。
[*PE] ip netstream export host 192.168.2.2 9001 [*PE] ip netstream export source 192.168.2.1
# 配置NetStream采样,采样方式为固定报文采样。
[*PE] ip netstream sampler fix-packets 10000 inbound [*PE] ip netstream sampler fix-packets 10000 outbound [*PE] commit
# 配置PE接口GigabitEthernet0/1/0的NetStream入统计和出统计功能。
[*PE] interface GigabitEthernet 0/1/0 [*PE-GigabitEthernet0/1/0] undo shutdown [*PE-GigabitEthernet0/1/0] ip netstream inbound [*PE-GigabitEthernet0/1/0] ip netstream outbound [*PE-GigabitEthernet0/1/0] quit [*PE] commit
- 检查配置效果
# 配置成功后,在用户视图下执行命令display ip netstream cache origin slot 1,可以看到NetStream流缓存区中的各种原始流的信息。
<HUAWEI> display ip netstream cache origin slot 1 DstIf SrcIf DstP Msk Pro Tos SrcP Msk Flags Ttl Packets Bytes NextHop Direction DstIP DstAs SrcIP SrcAs BGP: BGP NextHop TopLabelType Label1 Exp1 Bottom1 Label2 Exp2 Bottom2 Label3 Exp3 Bottom3 TopLabelIpAddress VlanId VniId -------------------------------------------------------------------------- Unknown GigabitEthernet0/1/0 0 0 253 0 0 0 0 60 3 384 0.0.0.0 in 192.172.133.151 0 192.172.131.151 0 0.0.0.0 UNKNOWN 0 0 0 0 0 0 0 0 0 0.0.0.0 0 0 Unknown GigabitEthernet0/1/1 0 0 253 0 0 0 0 60 1 128 0.0.0.0 in 192.173.81.232 0 192.173.79.232 0 0.0.0.0 UNKNOWN 0 0 0 0 0 0 0 0 0 0.0.0.0 0 0
配置文件
CE的配置文件
# sysname CE # interface GigabitEthernet 0/1/0 ip address 192.168.1.2 255.255.255.0 # returnPE的配置文件
# slot 1 ip netstream sampler to slot self # sysname PE # ip netstream tcp-flag enable ip netstream sampler fix-packets 10000 inbound ip netstream sampler fix-packets 10000 outbound ip netstream export source 192.168.2.1 ip netstream export host 192.168.2.2 9001 # interface gigabitethernet 0/2/0 ip address 192.168.2.1 255.255.255.0 # interface GigabitEthernet 0/1/0 ip address 192.168.1.1 255.255.255.0 ip netstream inbound ip netstream outbound # return
