新闻中心> 文章详情
一、 实际应用场景部署时,这些回注方式该怎么选择?有没有什么建议?
回答:实际部署过程中具体采用哪种回注的方式,还得看具体的现网的情况部署,可以说没有一种通用的回注方式,常用的回注方式有:静态路由回注,策略路由回注,2层回注,MPLS LSP,GRE Tunnel,MPLS VPN等多种回注方式,还是得看现网拓扑来决定。华为HCIE培训
二、 实际中基本碰不到,考试需要掌握到什么程度?
回答:针对考试掌握来说,DDOS攻击常见的攻击类型和攻击手段,以及防范手段肯定是要掌握的,引流和回注的部署方案和原理以及应用场景也是需要掌握的,主要还是在HEIC-Security考试面试中这类问题一般会涉及到,考生要做比较充分的准备。
三、 引流刚才介绍的是用静态和BGP,那用ospf、rip等动态协议可以么?
回答:应该说也是可以的,但不建议,因为IGP协议是基于链路发布路由信息的,在路由传递能力和路由控制能力上就不如BGP引流的方式来的方便,IGP协议对路由的控制手段相对于BGP协议来说也够强,考虑到部署Anti-DDOS系统的网络一般比较大型,所以选择BGP协议应该是种最值得优先考虑的。
四、 流量回注时firewall ddos bgp-next-hop fib-filter这条命令在哪些场景下必须要配置?
回答:此命令应该根据具体的用户配置去选择使用,具体的场景如下:
请用户根据实际的部署情况,选择是否配置本命令:
1、如果使用静态路由回注方式,由于清洗设备需要根据生成的静态路由将流量转发至接入路由设备,因此不能配置firewall ddos bgp-next-hop fib-filter 命令。华为HCIE培训
2、如果使用MPLS回注方式,为了避免生成的静态路由影响MPLS转发,需要配置firewall ddos bgp-next-hop fib-filter 命令。
3、如果使用GRE回注方式,为了避免生成的静态路由影响GRE转发,需要配置firewall ddos bgp-next-hop fib-filter [命令。
4、如果存在多条回注链路,并且清洗设备已经通过OSPF等路由协议学习到了去往受保护目的地址的路由,为了避免生成的静态路由影响OSPF转发,需要配置firewall ddos bgp-next-hop fib-filter 命令。
五、 后面几个案例来看,拓扑图里只标注了清洗设备,实际部署中是不是检测设备、清洗设备、管理中心都必须有?
回答:一般部署时建议检测中心,清洗中心,管理中心都存在,但如果是直路部署的话可以没有单独的检测中心设备,但检测中心的逻辑功能还是存在的,检测中心和清洗中心一体化部署。旁路部署时3大中心建议逻辑功能独立存在。
六、 gre封装的回注,清洗中心也要做个策略路由往tunnel接口扔吧?
回答:使用gre的方式回注时,清洗中心无需使用策略路由,原因是使用gre的方式可以让清洗中心通过gre tunnel之间的路由协议动态获得被防护对象的路由,这些路由出接口本身就是tunnel接口,在清洗中心转发去往防护对象的报文时,会自动执行gre隧道的封装,无需使用策略路由使报文进行gre封装。华为HCIE培训
七、 ips抗不了ddos吧
回答:华为的NGFW,IPS,anti-ddos设备均能实现ddos攻击的防范,只是部署和应用的场景不同。NGFW,IPS适用于大多数企业,而anti-ddos产品定位于数据中心,IDC机房,ISP边缘,或者某些特定时间内需要进行DDOS防护的场景,比如奥运会,世博会期间的网络。
八、 清洗中心也可以采用动态生成路由吗?那策略路由怎么动态匹配流量往相应接口扔呢?
回答:清洗中心可以动态生成引流的路由,如果在清洗设备上使用策略路由回注,为避免引流路由对回注的策略路由产生影响,需要在清洗设备上使用firewall ddos bgp-next-hop fib-filter命令让动态生成的静态路由不加如FIB表,这样就可以让策略路由生效,不受引流静态路由的影响。华为HCIE培训