• 首页 > 
  • 通用方案:专有云V3环境ISW上的DDOS防护回注路由缺失风险的修复方法

通用方案:专有云V3环境ISW上的DDOS防护回注路由缺失风险的修复方法

KB: 155385

 · 

更新时间:2021-03-09 15:06

1. 概述

本文主要介绍专有云V3环境中,ISW上的DDoS防护回注路由缺失风险的修复方法。

1.1. 适用范围

  • 专有云V3,VPC

1.2. 用户告知

  • 操作方式:黑屏
  • 操作复杂度:中
  • 风险等级:高
    说明:操作过程中需要备份ISW配置,该路由正常情况下不起作用,只是云盾清洗流量(怀疑被攻击)时,才会启用此路由,故使用本方案时按照正常地址添加是不会影响业务。
  • 本文出现的问题是由后期扩容造成的问题,不属于版本问题。

2. 问题描述

专有云云盾检查到异常流量后,需要通过路由回注到ISW。部署的时候基线配置中PublicIP已经通过静态路由的方式配置在ISW设备上。但是目前发现由于未将新扩容的PublicIP地址的路由信息配置在ISW中,导致云盾检查到异常流量后,无法将流量回注到ISW,造成网络故障。

3. 解决方案

3.1. 环境检查

专有云PublicIP地址段查询

收集EIP和NATGW地址段
  1. 登录ECSAG服务器,如何登录ECSAG服务器,请参见专有云如何登录ECSAG服务器
  2. 执行go2vpcregiondbrnd命令,登录vpcregiondb数据库,然后执行如下SQL语句。
    select ipsegment,type,service_provider from ip_segment_resource where type in (3,4) ;
    系统显示类似如下。
收集SLB的internet地址段
  1. 登录xuanyuan数据库,关于如何登录xuanyuan数据库,请参见专有云环境如何登录xuanyuan数据库
  2. 执行如下SQL语句,收集SLB的internet地址段。
    select network_addr,mask,type from network where type='internet';
    系统显示类似如下。

查看专有云ISW配置中的回注路由

查看是否有PublicIP地址段的VPN实例路由表

不同厂家交换机的命令不同,华为、华三交换机的命令如下所示。

display ip routing-table vpn-instance DDOS X.X.19.0
display ip routing-table vpn-instance DDOS X.X.20.0
display ip routing-table vpn-instance DDOS X.X.84.0

输出结果示例如下所示,第3条命令无输出。

  • ISW-1
  • ISW-2
查看ISW配置中vpn-instance DDOS的静态路由配置

不同厂家交换机的命令不同,华为、华三交换机的命令如下所示。

display current-configuration | include public

输出结果示例如下所示,确认ISW配置中缺少DDOS回注路由,即缺少X.X.84.0/24的路由。

  • ISW-1
  • ISW-2

3.2. 实施步骤

备份ISW配置

不同厂家交换机的命令不同,华为、华三交换机的备份命令如下所示,然后根据提示输入即可。

save

输出结果示例如下所示,可以使用dir /all命令查看备份的文件。

  • ISW-1
  • ISW-2

添加ISW中的回注路由配置

不同厂家交换机的命令不同,华为、华三交换机的添加回注路由配置命令如下所示。执行完成后可以使用save命令保存配置。

  • ISW-1
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.2 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.6 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.10 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.14 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.18 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.22 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.26 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.30 public
  • ISW-2
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.50 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.54 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.58 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.62 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.66 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.70 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.74 public
    ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.78 public

输出结果示例如下所示。

  • ISW-1
  • ISW-2

3.3. 结果验证

不同厂家交换机的命令不同,华为、华三交换机的查看专有云ISW配置中回注路由命令如下所示。

dis ip routing-table vpn-instance DDOS XX.XX.84.0

输出结果示例如下所示。

  • ISW-1
  • ISW-2

4. 回滚方案

不同厂家交换机的命令不同,华为、华三交换机的删除ISW上新增的回注路由配置命令如下所示。

  • ISW-1
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.2 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.6 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.10 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.14 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.18 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.22 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.26 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.30 public
  • ISW-2
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.50 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.54 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.58 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.62 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.66 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.70 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.74 public
    undo ip route-static vpn-instance DDOS X.X.84.0 24 10.X.X.78 public