文章目录
流量模型
备注:流量排序,IP排序,自动黑洞本文未做介绍
ISP >> 路由器接口 >> 送DDOS清洗设备 >> 回注路由器 >> 送CC防护设备 >> (回注路由器) >> 路由到下联接口
流量走向:如图 1 >> 2 >> 3 >> 4 >> 5 >> 6
需求分析
#需求
1:将进入机房源IP为:9.9.9.9 的送给 防火墙:192.168.100.2 (只送CC清洗)
2:将进入机房目的ip为:123.123.123.123 的送给 防火墙:192.168.100.2 (只送CC清洗)
3:将进入机房源IP为:8.8.8.8 目的IP为:123.123.123.111 的数据不送墙
4:将其余流量送给防火墙:192.168.0.2
5:将DDos清洗设备接口进入的带有 dscp 21 的值的数据包不再送CC清洗墙,直接送服务器
6:将IDC中的 123.1.1.0/28 这个小段儿地址,只送DDOS清洗,不送CC清洗中心。
7:将该运营商接口进入的数据的dscp值修改为默认
(某些清洗设备会使用dscp属性进行源验证,比如第一个数据包防火墙代回,并打上特定的dscp值,当回来的数据包包含该值就会直接不送防火墙等类似原理)#运营商接口配置
interface TenGigE0/3/1/2
description To-AS1234_#966-0101:1G-B:10G(DDos-0-2)
service-policy input AS4134-filter-inbound
ipv4 address 123.123.123.123 255.255.255.248
ipv4 access-group acl_To_DDos-0-2 ingress
#运营商接口配置下的ACL,策略及动作(实现需求 1,2,3,4)
ipv4 access-list acl_To_DDos-0-2
80 permit ipv4 host 9.9.9.9 any nexthop1 ipv4 192.168.100.2
85 permit ipv4 any host 123.123.123.123 nexthop1 ipv4 192.168.100.2
90 permit ipv4 host 8.8.8.8 host 123.123.123.111
8000 permit ipv4 any any nexthop1 ipv4 192.168.0.2
#运营商接口配置下的service-policy(实现需求 7)
CISCO-R1#show policy-map pmap-name AS4134-filter-inbound
policy-map AS4134-filter-inbound
class class-default
set dscp default
!
end-policy-map
!
#抗DDOS设备接口配置(TenGigE0/3/1/3)
interface TenGigE0/3/1/3
description To_DDos-0-2
ipv4 address 192.168.0.1 255.255.255.252
ipv4 access-group acl_To-CC-100-2 ingress
#抗DDOS设备接口配置下的ACL,策略动作(实现需求 5,6)
ipv4 access-list acl_To-CC-100-2
80 permit ipv4 any 123.1.1.0 0.0.0.15
1000 permit ipv4 any any dscp af21
8000 permit ipv4 any any nexthop1 ipv4 192.168.100.2
#CC清洗设备接口配置
interface TenGigE0/3/1/4
description To_CC-100-2
ipv4 address 192.168.100.1 255.255.255.252黑洞服务部分简要介绍
1:流量读取设备,不间断读取DDoS防火墙接口数据,并进行分线路排序,综合排序,流量最高的进行黑洞
2:流量读取设备,根据排序结果,向黑洞路由器发布/32的黑洞路由,使之在运营商网内生效声明:本文为原创,作者为 辣条①号,转载时请保留本声明及附带文章链接:https://boke.wsfnk.com/archives/92.html
赏
谢谢你请我吃辣条
谢谢你请我吃辣条
如果文章对你有帮助,欢迎点击上方按钮打赏作者
暂无评论