H3C 异常流量清洗系统典型配置案例-6W100-整本手册

合集下载

相关主题

h3c路由器配置实例

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

H3C 异常流量清洗系统典型配置案例
H3C 异常流量清洗系统典型配置案例
关键词：流量清洗摘要：本文简单描述了 H3C 异常流量清洗系统业务的特点，并给出了异常流量清洗系统的典型应用及基本的配置案例。

缩略语：
缩略语 DoS DDoS AFD AFC SecCenter NTCM Denial of Service Distributed Denial of Service Anomaly Flow Detector Anomaly Flow Cleaner SecCenter Network Traffic Clean Management 英文全名拒绝服务分布式拒绝服务异常流量检测异常流量清洗 SecCenter 流量清洗管理平台中文解释
杭州华三通信技术有限公司

第1页，共29页

H3C 异常流量清洗系统典型配置案例
目录
1 特性简介 ............................................................................................................................................... 3 2 特性使用 ............................................................................................................................................... 3
2.1 配置指南............................................................................................................................................... 3 2.1.1 流量清洗业务配置指南 .............................................................................................................. 3 2.2 注意事项............................................................................................................................................... 4
3 支持的设备和版本................................................................................................................................. 4
3.1 支持的设备 ........................................................................................................................................... 4 3.2 设备版本............................................................................................................................................... 4 3.2.1 S7500E版本............................................................................................................................... 4 3.2.2 SecBlade AFD版本.................................................................................................................... 4 3.2.3 SecBlade AFC版本.................................................................................................................... 4 3.2.4 SecCenter（NTCM）版本......................................................................................................... 4 3.3 配置保存............................................................................................................................................... 5
4 配置案例 ............................................................................................................................................... 5
4.1 典型组网图 ........................................................................................................................................... 5 4.2 组网需求............................................................................................................................................... 5 4.3 流量清洗系统典型配置案例.................................................................................................................. 6 4.3.1 S7500E交换机侧的配置 ............................................................................................................ 6 4.3.2 SecBlade AFD插卡的配置......................................................................................................... 8 4.3.3 SecBlade AFC插卡的配置......................................................................................................... 9 4.3.4 管理平台(SecCenter NTCM）的配置 ...................................................................................... 11 4.3.5 测试实施及结果 ....................................................................................................................... 19 4.4 附录；镜像方式引流检测相关配置 ..................................................................................................... 28
5 相关资料 ............................................................................................................................................. 29
杭州华三通信技术有限公司

第2页，共29页

H3C 异常流量清洗系统典型配置案例
1 特性简介
H3C 流量清洗系统一般通过旁挂于城域网设备，在不影响正常业务的同时，对城域网中出现的 DDoS 攻击流量进行过滤，实现对城域网和大客户网络业务的保护。

H3C 流量清洗系统由异常流量检测设备（AFD）、异常流量清洗设备（AFC）及业务管理平台（SecCenter NTCM）三部分组成。

异常流量检测设备对通过 BGP 引流、镜像或者分光的方式复制过来的用户流量，实时进行攻击检测及异常流量分析。

异常流量清洗设备通过发布明细路由的方式，对发生攻击的用户流量牵引过来，进行攻击报文的过滤，并把清洗后的“干净”流量回注给用户。

业务管理平台完成对异常流量检测设备、异常流量清洗设备的集中管理，并根据异常流量检测设备上报的告警信息，通过邮件的方式通知运维人员或者用户，并可下发防御策略。

另外，业务管理平台可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。

2 特性使用
2.1 配置指南
H3C流量清洗系统功能业务的配置包括AFD、AFC板卡及S7500E交换机的基本配置，采用命令行配置。

流量清洗管理平台（SecCenter NTCM）的基本配置和业务相关配置，采用WEB界面配置。

本配置以BGP引流方式进行流量检测为例，镜像方式进行流量检测的配置请参见4.4 附录；镜像方式引流检测相关配置。

2.1.1 流量清洗业务配置指南
S7500E 交换机和核心设备建立 BGP 邻居，将被保护 IP 的 32 位静态路由发布到核心设备实现将流量引流到 S7500E 交换机（或者直接从核心设备镜像到 S7500E 交换机），然后镜像给和 AFD 插卡相连的 10GE 端口，在 AFD 上配置 INLINE 转发对对流量进行学习，以生成对应用户流量模型的各个阈值项。

AFC 和核心设备建立 BGP 邻居，将 AFC 下发的 Guard 路由发布到核心设备用来引流到 AFC 进行流量清洗，同时将清洗过的用户正常流量回注到 S7500E，并进一步回注到正常的目的设备。

SecCenter（NTCM）管理平台配置相应保护 IP 下发到设备上，通过学习生成阈值模板或者利用平台已有模板下发到流量检测和流量清洗设备，进行异常流量的检测和清洗。

杭州华三通信技术有限公司

第3页，共29页

H3C 异常流量清洗系统典型配置案例
2.2 注意事项
AFC 和 AFD 的系统时间配置必须和业务管理平台 SecCenter 的系统时间一致，都选择格林威治时间，不然会导致业务管理平台统计显示报表数据不正确；安装 SecCenter 的服务器的内存须大于 1.5G。

3 支持的设备和版本
3.1 支持的设备
SecBlade AFD、SecBlade AFC、S7500E 系列交换机、SecCenter（NTCM）管理平台。

3.2 设备版本
3.2.1 S7500E 版本
H3C Comware Platform Software Comware Software, Version 5.20, Release 6616P01 Comware Platform Software Version COMWAREV500R002B83D009SP01 H3C S7510E Software Version V600R006B02D083SP27 Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Oct 29 2010 16:22:06, RELEASE SOFTWARE
3.2.2 SecBlade AFD 版本
H3C Comware Platform Software Comware Software, Version 5.20, Ess 3161 Comware Platform Software Version COMWAREV500R002B76D001GUARD004 H3C SecBlade AFD Software Version V300R001B04D025 Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Mar 25 2011 11:08:24, RELEASE SOFTWARE
3.2.3 SecBlade AFC 版本
H3C Comware Platform Software Comware Software, Version 5.20, Ess 3161 Comware Platform Software Version COMWAREV500R002B76D001GUARD004 H3C SecBlade AFC Software Version V300R001B04D025 Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Mar 25 2011 11:08:24, RELEASE SOFTWARE
3.2.4 SecCenter（NTCM）版本
产品名称：H3C SecCenter 安全管理中心版本号：2.10-T0025P05 内部版本号：9010V200R001B04D011SP05
杭州华三通信技术有限公司第4页，共29页

H3C 异常流量清洗系统典型配置案例
3.3 配置保存
通过 save 命令进行保存。

4 配置案例
4.1 典型组网图
图1 流量清洗系统典型组网
4.2 组网需求
为实现对攻击被保护IP 172.17.1.7 的流量的检测和清洗，在核心设备处旁路部署一套流量清洗系统。

S7500E交换机通过 10GE接口XGE12/0/1 和核心设备的接口XGE3/1/1 连接，进行引流检测、清洗和流量回注。

在S7500E交换机上插了 1 块SecBlade AFD插卡和一块SecBlade AFC插卡，统一管理平台SecCenter通过带外网管的方式分别和AFD、AFC以及S7500E的管理接口进行连接，组网图如图 1所示。

具体实现如下：
杭州华三通信技术有限公司

第5页，共29页

H3C 异常流量清洗系统典型配置案例
流量检测：S7500E 通过 VLAN1510 接口和核心设备建立 BPG 邻居，将 SecCenter 下发到 S7500E 的被保护 IP 的 32 位静态路由发布到核心设备，实现将流量引流到 S7500E 交换机，然后 S7500E 交换机镜像给和 AFD 检测卡相连的 10GE 接口进行流量检测。

并将流量通过 VLAN1511 接口回注给核心设备。

S7500E 发布的 BGP 路由添加 no-advertise 属性，确保清洗中心内部的路由不会被发布到城域网；同时在 S7500E 上配置路由策略不接收核心设备发布的路由。

流量清洗：AFC 通过 Ten0/0.102（VLAN1512）子接口和核心设备建立 BPG 邻居，将 SecCenter 下发到 AFC 的被保护 IP 的 32 位 guard 路由发布到核心设备，并使该路由的优先级高于上面 S7500E 发布的路由，实现将流量引流到 AFC 清洗卡进行流量清洗。

AFC 板卡通过默认路由将清洗过的正常流量经过 Ten0/0.103（VLAN1513）子接口回注给 S7500E 交换机，S7500E 交换机同样通过 VLAN1511 接口回注给核心设备。

同样，AFC 发布的 BGP 路由添加 no-advertise 属性，确保清洗中心内部的路由不会被发布到城域网；同时在 AFC 上配置路由策略不接收核心设备发布的路由。

流量重定向：核心设备上对应 S7500E 交换机的回注接口（VLAN1511 接口）上配置重定向策略，将从 S7500E 回注到核心设备的检测流量或者清洗流量指向正确的汇聚设备，实现用户流量的回注。

表1 VLAN 分配列表 VLAN ID 1510 1511 1512 1513 作用描述 S7500E 和核心设备建立 BGP； S7500E 引流并镜像给 AFD 检测。

S7500E 将检测流量、清洗流量回注给核心设备。

AFC 和核心设备建立 BGP； AFC 引流清洗。

AFC 将清洗后流量回注到 S7500E 设备。

IP 地址 110.1.0.0/16 111.1.0.0/16 112.1.0.0/16 113.1.0.0/16
4.3 流量清洗系统典型配置案例
4.3.1 S7500E 交换机侧的配置
# 配置引流检测 VLAN 1510、回注 VLAN 1511，并创建对应 VLAN 虚接口，配置 IP 地址。

[S75-1]vlan 1510 [S75-1-vlan1510]quit [S75-1]interface vlan 1510 [S75-1-Vlan-interface1510]ip address 110.1.1.2 255.255.0.0 [S75-1-Vlan-interface1510]quit [S75-1]interface vlan 1511 [S75-1-Vlan-interface1511]ip address 111.1.1.2 255.255.0.0
杭州华三通信技术有限公司

第6页，共29页

H3C 异常流量清洗系统典型配置案例
# 配置引流清洗 VLAN 1512，接收 AFC 清洗后流量回注的 VLAN1513 及对应 VLAN 虚接口，配置 IP 地址。

[S75-1]vlan 1512 [S75-1-vlan1512]quit [S75-1]vlan 1513 [S75-1-vlan1513]quit [S75-1]interface vlan 1513 [S75-1-Vlan-interface1513]ip address 113.1.1.1 255.255.0.0
# 创建引流检测的 QoS 流镜像策略 afd。

[S75-1]traffic classifier afd [S75-1-classifier-afd]if-match service-vlan-id 1510 [S75-1-classifier-afd]quit [S75-1]traffic behavior afd [S75-1-behavior-afd]mirror-to interface Ten-GigabitEthernet 7/0/1 [S75-1-behavior-afd]quit [S75-1]qos policy afd [S75-1-qospolicy-afd]classifier afd behavior afd //镜像给 AFD 板卡
# 配置连接 AFD 插卡的 10GE 接口属性为 Trunk 类型，允许 Trunk VLAN1510。

[S75-1]interface Ten-GigabitEthernet 7/0/1 [S75-1-Ten-GigabitEthernet7/0/1]port link-type trunk [S75-1-Ten-GigabitEthernet7/0/1]port trunk permit vlan 1510 [S75-1-Ten-GigabitEthernet7/0/1]undo port trunk permit vlan 1
# 配置连接 AFC 插卡的 10GE 接口属性为 Trunk 类型，允许 Trunk 引流清洗 VLAN1512 及 AFC 回注到 S7500E 的 VLAN 1513。

[S75-1]interface Ten-GigabitEthernet 9/0/1 [S75-1-Ten-GigabitEthernet9/0/1]port link-type trunk [S75-1-Ten-GigabitEthernet9/0/1]port trunk permit vlan 1512 1513 [S75-1-Ten-GigabitEthernet7/0/1]undo port trunk permit vlan 1
# 配置连接核心设备的引流及回注的 10GE 接口属性为 Trunk 类型，允许 Trunk 引流检测 VLAN1510、回注 VLAN1511 及引流清洗 VLAN1512，并应用引流检测的 QoS 流镜像策略 afd。

[S75-1]interface Ten-GigabitEthernet 12/0/1 [S75-1-Ten-GigabitEthernet12/0/1]port link-type trunk [S75-1-Ten-GigabitEthernet12/0/1]port trunk permit vlan 1510 to 1512 [S75-1-Ten-GigabitEthernet12/0/1]undo port trunk permit vlan 1 [S75-1-Ten-GigabitEthernet12/0/1]qos apply policy afd inbound
# 配置 S7500E 不接收核心设备发布的路由的 BGP 过滤策略 ACL2000。

[S75-1]acl number 2000 [S75-1-acl-basic-2000]rule deny
# 配置 S7500E 向核心设备发布路由的 BGP 路由策略 afd，配置引流检测路由的 COST 值，且配置对端不再向外发布的属性。

[S75-1]route-policy afd permit node 10 [S75-1-route-policy]apply cost 200
杭州华三通信技术有限公司

第7页，共29页

H3C 异常流量清洗系统典型配置案例
[S75-1-route-policy]apply community no-advertise
# 配置发布静态路由引流检测的 BGP 60000，并引用上述过滤策略和路由策略。

[S75-1]bgp 60000 [S75-1-bgp]import-route static [S75-1-bgp]peer 110.1.1.1 filter-policy 2000 import [S75-1-bgp]peer 110.1.1.1 route-policy afd export [S75-1-bgp]peer 110.1.1.1 as-number 60000 [S75-1-bgp]peer 110.1.1.1 advertise-community
# 配置本地 telnet 类型用户。

[S75-1]local-user h3c [S75-1-luser-h3c] password cipher h3c [S75-1-luser-h3c]authorization-attribute level 3 [S75-1-luser-h3c]service-type telnet
# 配置使能 telnet server。

[S75-1]telnet server enable
# 配置 telnet 用户接口认证模式。

[S75-1]user-interface vty0 4 [S75-1-ui-vty0-4]authentication-mode scheme
# 配置 SNMP 代理相关参数。

[S75-1]snmp-agent community read public [S75-1]snmp-agent community write private [S75-1]snmp-agent sys-info version all
# 配置管理接口 IP 地址。

[S75-1]interface M-Ethernet0/0/0 [S75-1-M-Ethernet0/0/0]ip address 100.0.0.11 255.255.255.0
# 配置 NTP 服务作为主时钟，以使得 AFD 和 AFC 插卡同步时钟。

[S75-1]ntp-service refclock-master 1
# 配置默认路由，以转发 AFC 反弹给攻击源的报文。

[S75-1]ip route-static 0.0.0.0 0.0.0.0 111.1.1.1
4.3.2 SecBlade AFD 插卡的配置
# 创建黑洞类型 INLINE 转发组 100。

[AFD-01]inline-interfaces 100 blackhole
# 配置 10GE 接口属性为 Trunk 类型，允许 Trunk 引流检测 VLAN1510，加入 INLINE 转发组 100，并配置启用接口对外网流量的检测功能。

[AFD-01]interface Ten-GigabitEthernet 0/0 [AFD-01-Ten-GigabitEthernet0/0]port link-type trunk [AFD-01-Ten-GigabitEthernet0/0]port trunk permit vlan 1510 [AFD-01-Ten-GigabitEthernet0/0]undo port trunk permit vlan 1 [AFD-01-Ten-GigabitEthernet0/0]port inline-interfaces 100
杭州华三通信技术有限公司

第8页，共29页

H3C 异常流量清洗系统典型配置案例
[AFD-01-Ten-GigabitEthernet0/0]guard interface outbound
# 配置 AFD 检测到有被保护 IP 受到攻击即上报攻击信息功能。

[AFD-01] guard traffic threshold 0
# 使能 AFD 插卡流量检测功能，并配置流量上报的源、目的 IP 及端口。

[AFD-01]ddos netstream enable [AFD-01]ddos netstream collector 100.0.0.48 30011 [AFD-01]ddos netstream exporter 100.0.0.109 30011
# 配置本地 telnet 类型用户。

[AFD-01]local-user h3c [AFD-01-luser-h3c] password cipher h3c [AFD-01-luser-h3c]authorization-attribute level 3 [AFD-01-luser-h3c]service-type telnet
# 配置使能 telnet server。

[AFD-01]telnet server enable
# 配置 telnet 用户接口认证模式。

[AFD-01]user-interface vty0 4 [AFD-01-ui-vty0-4]authentication-mode scheme
# 配置 SNMP 代理相关参数。

[AFD-01]snmp-agent community read public [AFD-01]snmp-agent community write private [AFD-01]snmp-agent sys-info version all [AFD-01] snmp-agent target-host trap address udp-domain 100.0.0.48 params securityname public
# 配置管理接口 IP 地址。

[AFD-01]interface GigabitEthernet0/2 [AFD-01-GigabitEthernet0/2]ip address 100.0.0.109 255.255.255.0
# 配置 NTP 服务，以同步 S7500E 的系统时钟。

[AFD-01]ntp-service unicast-server 100.0.0.11
# 配置信息中心主机为 SecCenter，以发送信息。

[AFD-01]info-center loghost 100.0.0.48
4.3.3 SecBlade AFC 插卡的配置
# 创建引流子接口，配置 VLAN ID1512，配置 IP 地址，并启用接口外网流量清洗功能。

[AFC_01]interface Ten-GigabitEthernet 0/0.1512 [AFC_01-Ten-GigabitEthernet0/0.1512]vlan-type dot1q vid 1512 [AFC_01-Ten-GigabitEthernet0/0.1512]ip address 112.1.1.2 255.255.0.0 [AFC_01-Ten-GigabitEthernet0/0.1512]guard interface outbound
# 创建回注子接口，配置 VLAN ID1513，配置 IP 地址。

[AFC_01]interface ten0/0.1513 [AFC_01-Ten-GigabitEthernet0/0.1513]vlan-type dot1q vid 1513
杭州华三通信技术有限公司

第9页，共29页

H3C 异常流量清洗系统典型配置案例
[AFC_01-Ten-GigabitEthernet0/0.1513]ip address 113.1.1.2 255.255.255.0
# 配置 AFC 不接收核心设备发布的路由的 BGP 过滤策略 ACL2000。

[AFC-01]acl number 2000 [AFC-01-acl-basic-2000]rule deny
# 配置 AFC 向核心设备发布路由的 BGP 路由策略 afc，配置引流清洗路由的 COST 值，并保证此值小于引流检测路由的 COST 值，并且配置对端不再发布的属性。

[AFC-01]route-policy afc permit node 10 [AFC-01-route-policy]apply cost 10 [AFC-01-route-policy]apply community no-advertise
# 配置发布 guard 路由引流清洗的 BGP 60001，并引用上述过滤策略和路由策略。

[AFC_01]bgp 60001 [AFC_01-bgp]import-route guard [AFC_01-bgp]peer 112.1.1.1 as-number 60000 [AFC_01-bgp]group expeer external [AFC_01-bgp]peer expeer filter-policy 2000 import [AFC_01-bgp]peer expeer route-policy afc export [AFC_01-bgp]peer expeer advertise-community [AFC_01-bgp]peer 112.1.1.1 group expeer
# 使能 AFC 插卡流量检测功能，并配置流量上报的源、目的 IP 及端口。

[AFC-01]ddos netstream enable [AFC-01]ddos netstream collector 100.0.0.48 30011 [AFC-01]ddos netstream exporter 100.0.0.108 30011
# 配置本地 telnet 类型用户。

[AFC-01]local-user h3c [AFC-01-luser-h3c] password cipher h3c [AFC-01-luser-h3c]authorization-attribute level 3 [AFC-01-luser-h3c]service-type telnet
# 配置使能 telnet server。

[AFC-01]telnet server enable
# 配置 telnet 用户接口认证模式。

[AFC-01]user-interface vty0 4 [AFC-01-ui-vty0-4]authentication-mode scheme
# 配置 SNMP 代理相关参数。

[AFC-01]snmp-agent community read public [AFC-01]snmp-agent community write private [AFC-01]snmp-agent sys-info version all [AFC-01] snmp-agent target-host trap address udp-domain 100.0.0.48 params securityname public
# 配置管理接口 IP 地址。

[AFC-01]interface GigabitEthernet0/2
杭州华三通信技术有限公司

第10页，共29页

[AFC-01-GigabitEthernet0/2]ip address 100.0.0.108 255.255.255.0
# 配置NTP服务，以同步S7500E的系统时钟。

[AFC-01]ntp-service unicast-server 100.0.0.11
# 配置信息中心主机为SecCenter，以发送信息。

[AFC-01]info-center loghost 100.0.0.48
# 配置将回注流量转发到S7500E的默认路由。

[S75-1]ip route-static 0.0.0.0 0.0.0.0 113.1.1.1
# 配置核心设备引流接口IP的静态ARP。

[AFC_01]arp static 112.1.1.1 000f-e27c-41f3
4.3.4 管理平台(SecCenter NTCM）的配置
设备上相关配置均完成，SecCenter系统安装并成功启动后，才能登录SecCenter管理平台进行设备添加、保护IP添加等相关操作。

1. 系统管理配置
# 首先要启动SecCenter服务，保证SecCenter服务管理器中的三种服务均成功启动。

图2启动SecCenter服务
# 输入地址例如http://100.0.0.48/SecCenter，进入SecCenter的web登录界面。

图3进入SecCenter 的Web登录界面
# 输入初始用户名和密码（admin/admin123），登录后需更改初始密码。

图4输入登录用户名和密码
# 导入License文件，浏览定位到正确的License文件后，确认导入。

图5导入License文件
# 添加设备，先添加设备访问模板（设备访问参数不同时，则需要分别手工填写），然后添加S7500E、AFD、AFC设备即可。

设备添加无先后顺序要求。

选择“系统管理－〉设备管理－〉设备访问模板管理－〉增加模板”，进入添加模板界面，填写模板h3c的相关参数后，确认添加。

图6添加模板
进入“系统管理－〉设备管理－〉添加设备”，填写或选择相应参数，点击<添加>按钮，即可添加要监控的设备，页面如下：
图7添加设备
这里的“设备主机名或IP地址”为设备管理接口的IP地址，“设备标签”可自己定义。

“时间矫正”选取“以格林威治时钟处理”。

3款设备添加完成后，设备列表显示如下。

图8设备列表
2. 流量清洗业务配置管理
# 添加清洗中心。

进入“流量清洗业务管理－〉清洗中心管理－〉添加清洗中心”，填写“清洗中心名称”及描述后，点击添加防御设备和清洗设备。

图9添加清洗中心
选择AFC+S7510E，点击<确定>按钮。

图10选择防御设备
选择AFD+S7510E，点击<确定>按钮。

图11选择检测设备
最后点击<添加>，即可添加“7510E＋AFD+AFC”清洗中心。

图12清洗中心显示信息
清洗中心列表界面如下。

图13清洗中心列表
# 添加回注路径。

选择“流量清洗业务管理－〉回注路径管理－〉添加”，输入路由名称，选择清洗中心，输入下一跳地址，点击<添加>按钮。

图14添加路由
添加成功后列表界面如下。

图15添加路由成功后的显示信息
# 添加用户。

进入“流量清洗业务管理－〉清洗用户管理－〉添加用户”，填写用户信息，选择所属区域后，点击<添加>按钮。

图16添加用户
添加成功，用户列表如下。

图17用户列表
# 添加业务。

在用户列表界面中，点击“业务管理”图标，进入业务列表，点击<添加业务>。

图18业务列表
清洗业务添加界面如下。

图19清洗业务添加界面
依次填写或选择各项后，点击<添加>按钮。

图20填写相关信息
添加成功，业务列表如下。

图21添加业务成功的显示界面
z每点击一次<添加>按钮最多可添加256个同一网段的防护IP。

z回注路径是指从S7500E回注到核心设备上的路由，因为有主备两个核心设备的组网需求，所以可以选择添加两个回注路径，一个为主一个为备，供添加清洗业务时选择。

z防御策略和检测策略也可以选择SecCenter已有的不同带宽类型的模板，添加业务后各保护IP 直接为检测状态，可对流量进行检测和引流清洗。

至此，SecCenter管理平台业务的基本配置已经完成，SecCenter会自动下发各保护IP到AFD和AFC插卡进行流量学习，并同时下发各个保护IP的32位静态路由到S7500E上，形如：ip route-static 172.17.1.7 255.255.255.255 111.1.1.1 description sc-purify-main，S7500E通过BGP协议将该静态路由下发到核心设备上进行引流检测。

后续，用户可以根据各保护IP学习到的流量峰值生成阈值，进行流量检测和流量清洗。

4.3.5 测试实施及结果
1. 流量检测功能
＃正常流量峰值学习。

客户端PC（IP为201.0.0.3）利用客户端模拟软件模拟多个客户端访问保护服务器（IP为172.17.1.7）。

选择“清洗用户管理－〉业务管理－〉防护IP管理”，点击保护IP 172.17.1.7对应检测设备的链接，如下。

图22进入业务列表页面
进入阈值列表页面，可以看到检测设备上根据客户流量学习生成对应峰值统计。

图23峰值统计信息
＃阈值模型生成下发。

在上图阈值列表页面中，点击进入阈值调整界面。

图24进入阈值调整界面
在“依据当前峰值”选项中点击选择“5倍峰值”后，则生成各项的阈值。

图25生成各项阈值
点击底部的<应用>钮，则将生成的所有阈值项下发到AFD设备，同时开启了流量检测功能，一旦有目的为IP 172.17.1.7的攻击流量，AFD则会上报攻击告警信息到SecCenter管理平台。

＃攻击检测及上报。

从攻击报文发送仪器打入目的为保护IP172.17.1.7的TCP攻击报文。

从“清洗用户管理－〉业务管理－〉防护IP管理”，进入业务列表，可以看到保护IP 172.17.1.7的“攻击状态”转变为“攻击中”。

图26进入业务列表界面
＃攻击信息查询。

进入“检测流量分析－〉检测设备告警审计”，可以看到AFD板卡上报的攻击告警信息，包括被攻击IP、攻击类型、触发策略等。

图27检测设备告警审计
2. 流量清洗功能
＃阈值模型生成下发。

从“清洗用户管理－〉业务管理－〉防护IP管理”，点击保护IP 172.17.1.7对应防护设备的链接。

图28进入业务列表界面
进入阈值列表页面，点击进入阈值调整界面，在“同步”选项中点击选择“检测策略”即可同步检测设备的所有阈值项。

图29同步检测设备的所有阈值项
然后点击底部的<应用>钮，则将生成的所有阈值项下发到AFC设备，同时开启了流量清洗功能，可以对目的为IP 172.17.1.7的攻击流量执行清洗了。

＃执行引流清洗。

进入“清洗业务管理－〉当前清洗业务”，攻击状态项选择“攻击中”、防护状态项选择“待清洗”，然后点击<查询>钮，可以查询到处于攻击中的保护IP列表如下。

图30当前清洗业务
点击防护IP172.17.1.7一行中“执行清洗”列，对保护IP 172.17.1.7执行引流清洗。

＃清洗信息查询。

当保护IP正在执行清洗时，可以查询其对应的“清洗流量统计”、“TOP服务器流量统计”“攻击类型分布”、“TOP攻击源统计”和“攻击日志审计”。

当保护IP停止一次清洗后就生成对应的“清洗业务统计”记录。

“TOP攻击源统计”信息需要在AFC设备上使用命令guard top10-statistics enable开启信息上报功能，才可以查询到相关信息。

因为此项功能耗费设备资源较大，所以默认为关闭状态。

“清洗流量统计”信息：包括清洗流量趋势图、清洗报文数趋势图、攻击流量统计图、攻击报文统计图以及清洗流量统计列表。

查询选项包括用户、IP组、IP、周期及时间等，界面如下。

图31清洗流量统计
统计信息查询结果分别如下。

图33统计信息查询结果——清洗报文趋势图
图34统计信息查询结果——攻击流量统计图
图36统计信息查询结果——清洗流量统计列表
“TOP服务器流量统计”信息，包括TOP服务器流量统计图和TOP服务器流量列表。

查询选项包括统计项、TOP数、用户名、业务类型、协议、周期及时间等，界面如下。

图37TOP服务器流量统计
统计信息查询结果分别如下。

图38TOP服务器流量统计图
图39TOP服务器流量列表
“攻击类型分布”信息，包括攻击类型分布图和攻击类型统计记录。

查询选项包括业务类型、用户名、IP、周期及时间等，界面如下。

图40攻击类型分布
统计信息查询结果分别如下。

图41攻击类型分布图
“TOP攻击源统计”信息，包括“TOP 攻击源活跃度统计和源IP攻击活跃度。

查询选项包括用户名、TOP数周期及时间等，界面如下。

图42TOP攻击源统计
统计信息查询结果分别如下。

图43TOP攻击活跃度统计
图44源IP攻击活跃度
“攻击日志审计”信息，查询选项包括攻击类型、源IP、源端口、目的IP、目的端口及时间段等，界面如下。

图45攻击日志审计
查询信息结果如下。

图46攻击日志审计统计
“清洗业务统计”信息，查询选项包括用户名、IP、业务类型、周期及时间等，界面如下。

图47清洗业务统计
查询统计记录表如下：
图48查询统计记录
4.4 附录；镜像方式引流检测相关配置
采用镜像方式引流检测时，AFD、AFC以及SecCenter管理平台的配置和BGP引流方式相同，在此不再赘述。

在核心设备上需要配置流量镜像，将被保护IP的流量镜像到S7500E设备的接口XGE12/0/1上，在S7500E上则配置镜像组将流量镜像到AFD上，相关配置如下：
# 配置本地镜像组1。

[S75-1] mirroring-group 1 local
# 配置连接核心设备的引流检测接口，接口属性为Trunk类型，允许Trunk引流检测VLAN1510、回注VLAN1511及引流清洗VLAN1512，并配置接口入方向流量作镜像。

[S75-1]interface Ten-GigabitEthernet 12/0/1
[S75-1-Ten-GigabitEthernet12/0/1]port link-type trunk
[S75-1-Ten-GigabitEthernet12/0/1]port link-type trunk
[S75-1-Ten-GigabitEthernet12/0/1]port trunk permit vlan 1510 to 1512
[S75-1-Ten-GigabitEthernet12/0/1]undo port trunk permit vlan 1
[S75-1-Ten-GigabitEthernet12/0/1]mirroring-group 1 mirroring-port inbound
# 配置连接AFD插卡的10GE接口属性为Trunk类型，允许Trunk VLAN1510，并配置接口为镜像组监视端口。

[S75-1]interface Ten-GigabitEthernet 7/0/1
[S75-1-Ten-GigabitEthernet7/0/1]port link-type trunk
[S75-1-Ten-GigabitEthernet7/0/1]port trunk permit vlan 1510
[S75-1-Ten-GigabitEthernet7/0/1]undo port trunk permit vlan 1
[S75-1-Ten-GigabitEthernet7/0/1]mirroring-group 1 monitor-port
5 相关资料
《H3C SecCenter流量清洗管理系统用户手册》
Copyright © 2011 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。