Cisco_DDos_Guard_配置实例.doc

7.2 流量转移/注入配置实例 IP L2转移/L2注入的配置示例 图7-1中显示了一个L2转移/L2注入的配置示例。 图7-1 L2转移/注入配置示例 Guard模块配置 在Guard模块中，Zone ( /24)的下一跳设置为 (R1)53，与AGM模块注入接口位于同一VLAN 200上。注入流量随后在SUP 720上进行L2交换，直接注入路由器。在此类型的配置中，您必须确保只有“流量转移”路由器和具有Guard服务模块的7609路由器收到用于转移流量的路由更新。如果R1也收到更新，它就会将到Zone的流量传输回Guard模块，形成路由环。 注 相关命令以蓝色标出。 AGM: diversion hijacking receive-via-ip diversion hijacking receive-via-vlan 100 diversion injection nexthop 53 interface eth1 ip address mtu 1500 no shutdown exit interface giga2 mtu 1500 no shutdown exit interface giga2.100 ip address mtu 1500 no shutdown exit interface giga2.200 ip address mtu 1500 no shutdown Exit 7609: 7609无需进行任何特殊配置，因为注入数据包通过 L2交换。正如本文稍后所述，当Zone处于保护模式时，转移可由AGM模块触发，或者也可由一个NOC设备外部触发。 注 相关命令以蓝色标出。 anomaly-guard module 2 port 1 allowed-vlan 10 anomaly-guard module 2 port 2 allowed-vlan 100,200 anomaly-guard module 2 port 1 native-vlan 10 interface GigabitEthernet1/1 no ip address switchport switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet1/2 no ip address switchport switchport trunk encapsulation dot1q switchport mode trunk interface Vlan100 ip address 54 no ip redirects no ip unreachables no ip proxy-arp interface Vlan200 ip address 54 no ip redirects no ip unreachables no ip proxy-arp  IP同一路由器上的转移和注入配置示例 在图7-2所示的实验室设置中，R1为攻击的入口。 图7-2实验室设置 来自R1的流量被转移到拥有一个Cisco 7609的清洁中心，配置一个AGM模块，清洁到两个Zone， 和的流量。这两个Zone都为保护模式，在SUP720上形成两条静态路由。所有流量随后会重导向到AGM模块。通过接口VLAN73流量转移进AGM，通过接口VLAN74注入回网络，有一个PBR可绕行正常路由表，并将所有流量传输到隧道1上的Zone和隧道2上的Zone。隧道1和2为预配置GRE隧道，在SUP720上起始，终止于相应的输出CPE。 AGM-7600配置 注 相关命令以蓝色标出。 agm-7600-1#sh run Building configuration... hostname agm-7600-1 anomaly-guard module 3 port 1 allowed-vlan 1 anomaly-guard module 3 port 2 allowed-vlan 73,74 interface Tunnel1 description Tunnel to P6 ip address 52 load-interval 30 keepalive 10 3 tunnel source Loopback0 tunnel destination ! interface Tunnel2 description tunnel to CE-7600 ip address 52 load-interval 30 keepalive 10 3