IP路由-Guard路由技术介绍-D.docx

， ， IP路由-Guard路由技术介绍 技术介绍IP 路由 技术介绍 IP 路由 Guard 路由 PAGE PAGE 1 Guard 路由 Guard 设备用来对引起网络异常的流量进行流量过滤和流量清洗，将引起网络异常的攻击流量从正常流量里过滤出来。 Guard 路由是在 Guard 设备上配置的，它的主要作用是将引起网络异常的流量牵引到 Guard 设备上来，既可以由管理员手工配置，也可以根据收到的信息触发 Guard 设备上的脚本自动配置，其中，第二种方式更为常用。 图1 Guard 路由典型应用Guard路由的出接口为Null0，配置后不会加入到FIB表里，不会用于指导IP报文转发，需要与BGP协议配合使用；通过BGP协议引入到BGP路由表并向BGP对等体发布， 从而将BGP对等体本来要发给其它设备的网络流量牵引到Guard设备上来，继而在Guard上对流量进行流量过滤、流量清洗等操作。典型应用如 图 1所示： 图1 Guard 路由典型应用 配置了 Guard 路由的设备称之为 Guard，检测网络异常的设备称之为 Detector： Router A 通 过 Router B 与 Web Server 、 Name Server 和 E-Commerce-Application Server 进行通信； Router B 与 Guard 设备都使能 BGP 路由协议，并且创建了对等体关系；在Guard 设备的 BGP 视图下配置 import-route guard 命令，使能 Guard 路由引入功能。 在 Router B 上将 Router A 发送给 Web Server 、 Name Server 和E-Commerce-Application 的流量镜像到 Detector 上，Detector 对这些流量进行检测； 如果 Detector 没有检测到任何异常，经过 Router B 的网络报文将执行正常的转发，Guard 设备不处于报文转发路径中； 如果 Detector 检测到去往某个目的地址的流量出现异常，将通知 Guard 设备， 触发 Guard 设备创建 Guard 路由；或者 Detector 向网络管理员报警，网络管理员通过命令行配置 Guard 路由。Guard 路由的目的地址为异常流量报文的目的地址， Guard 设备将该路由发布给它的 BGP 对等体 Router B。需要注意的是，Guard 路由是一种特殊的路由，它并不会下发到 FIB 表指导报文转发。 Router B 学到该路由后，将发往异常目的地址的报文发送给 Guard 设备，相当于把异常流量牵引到 Guard 设备上； Guard 设备对这些异常流量进行处理，丢弃攻击流量，而正常流量会通过在 Router B 和 Guard 设备上配置策略路由重新注入网络并正确送达目的地址。 全文完