AntiDDoS解决方案

华为Anti-DDoS方案包括三大组件：检测中心、清洗中心和管理中心（ATIC）。我们可以将他们形象地比喻成侦察机、战斗机和指挥部。

检测中心是方案中的“侦察机”，主要负责对流量进行检测，发现流量异常后上报管理中心，由管理中心下发引流策略至清洗中心，指挥清洗中心进行引流清洗。

清洗中心是方案中的“战斗机”，主要负责根据管理中心下发的策略进行引流、并对流量进行清洗（过滤），并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。

管理中心（ATIC）是方案中的“指挥部”，负责检测中心和清洗中心的统一管理和调度，以及日志记录和报表呈现，并提供Anti-DDoS方案的运营。

检测中心

检测中心负责对流量进行检测，发现攻击后上报管理中心，由管理中心下发引流策略至清洗中心进行引流清洗。

旁路部署，通过分光或者镜像的方式将流量引导给检测中心。

作用是对原始流量进行检测，并将检测结果送到管理中心。使用anti-ddos 8000的检测板或anti-ddos 1500D来进行检测，也支持使用netflow协议配合第三方设备如arbor、威睿等来进行检测。

清洗中心

清洗中心主要根据管理中心下发的策略进行引流、清洗，并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。清洗中心提供多种DDoS流量清洗手段，可以准确识别正常流量，清洗各类异常流量，包括流量型攻击、应用层攻击、扫描窥探型攻击及畸形包攻击。清洗中心同时具备检测中心的功能，当业务对检测清洗性能要求较低时可只部署清洗中心。 

完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式，可以实现完全动态引流。支持多种回注方式，根据不同情况可以灵活选择。管理中心下发清洗策略给清洗中心，清洗中心根据策略与相关路由器建立连接完成引流，对相关流量完成清洗后，再将流量回注给相关路由器。

管理中心

即ATIC，负责检测中心和清洗中心的统一管理，是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。

整个方案的中枢，通过管理中心将检测分析中心和清洗中心连接起来形成完整的解决方案。

管理中心分为管理服务器和数据采集器两个部分，可以安装在一台服务器上，也可以安装在不同服务器上。可以是虚拟化产品，部署在windows或者linux系统上，类似于esight网管中心。

设备型号

 

检测中心和清洗中心一般使用同一台设备，也可以使用阉割版的清洗设备作为检测设备，以AntiDDoS1800为例，AntiDDoS1800-D是单纯的检测设备，而AntiDDoS1800既可以检测又可以清洗。管理中心设备一般以服务器+软件系统组成，主要维护一个数据库，一般是windows2012R2+mysql。

工作流程

华为Anti-DDoS方案的经典部署图如下所示。

 

                                                           

1、检测中心对分光或者镜像流量进行检测。

2、检测中心发现流量异常后，会上报受攻击的IP地址到管理中心。

3、管理中心会自动向清洗中心下发引流策略。

4、清洗中心会根据引流策略将去往被攻击IP地址的流量引流到自身。

5、清洗中心通过先进的多层过滤防御技术对流量进行清洗，丢弃攻击流量。

6、清洗中心将清洗后的正常流量回注到网络中。

7、清洗中心上报攻击日志到管理中心，管理中心负责呈现流量清洗效果。

Anti-DDoS设备部署模式      

Anti-DDoS方案主要支持直路部署、旁路静态引流和旁路动态引流部署三种模式，如下图。

      

 

直路部署 

直路部署组网简单，不需要额外增加接口，由于所有流量都将经过DDoS防护设备，在个别攻击防护上要优于旁路部署。但这也是对DDoS防护设备可靠性的考验，因此，方案采取了清洗设备外置Bypass卡或直路双机部署方式，保证清洗设备故障时业务流量能够正常通过，增强链路可靠性。这时，就出现了一个问题：如果用户组网复杂，难以使用直路部署，甚至不希望破坏原有组网的情况下，该怎么办？

旁路静态引流部署

于是，旁路部署应运而生，首先介绍旁路静态引流部署。所谓静态引流，就是将所有去往防护对象的流量都引流到清洗设备进行清洗，不论流量是否存在异常。这样虽然不用部署检测中心，但对清洗设备性能要求较高。如果清洗设备性能不足，有可能会影响客户的正常业务。

于是，又出现一个问题：

在大流量场景下，如果让DDoS防护设备对所有流量进行处理将耗费大量的转发性能，导致安全投资上升，同时仍可能面临影响客户的正常业务风险。问题

如何彻底解决呢？     

旁路动态引流部署

所谓动态引流，就是将去往防护对象的流量会先复制一份到检测设备进行检测，如果发现存在异常才会被引流到清洗设备进行清洗。动态引流的优点在于只有异常流量才会被引流清洗，正常流量会被正常转发。

旁路动态引流部署在保证原有组网不被破坏的基础上，实现了上行流量无需经过DDoS防护设备，下行流量按需牵引，使防护性能及可靠性都得到了保障。

不管是哪一种方式，都是存在管理中心。只能旁路在路由器或者三层交换机上，不能旁路在防火墙上。

ATIC管理中心部署

Anti-DDoS方案中，管理中心的Anti-DDoS采集器和管理服务器支持分布式部署和集中式部署两种方式。

集中式部署

Anti-DDoS采集器和管理服务器同时安装在同一台服务器上，适用于Anti-DDoS设备都集中在一个局域网内的场景。

分布式部署

Anti-DDoS采集器和管理服务器分别安装在不同服务器上，多台采集器可以共用一台ATIC管理中心服务器，适用于Anti-DDoS设备分布在广域网各处的场景。

DDoS攻击与华为ANTIDDoS防御功能对比

ddos攻击特点	攻击流量大，峰值高	T级防御性能，秒级响应	华为anti-ddos防御
	多种攻击手段混合	60+流量模型，100+防护类型
	攻击拟人化，智能化	手动/自动化策略，报表统计，管理简单
	应用层攻击日益严重	全方位信誉体系，精准防御应用层攻击
ddos影响	服务器服务中断	3-7层包过滤，精准全面判断攻击
	大范围链路拥塞	2T+云清洗能力，保护用户链路畅通
	网络出口设备成为流量瓶颈，影响业务	部署在网络出口前端，可升级扩容

分光与镜像

Anti-DDoS解决方案中，在流量清洗之前，我们都知道还有一个很重要的环节——检测，网络部署中，如果检测设备独立旁路部署，也需要将网络中的流量引导到检测设备上来。分光和镜像就是为检测设备引流的手段，不过我们引入的不是真实的流量，而是复制后的流量。这是因为检测设备只需要检测出流量中是否有威胁即可，至于检测的流量是真实的还是复制的是无所谓的，而且使用复制的流量不会影响正常业务的转发。

分光和镜像都是将流量复制一份到检测设备，但处理方式又不相同：

分光

分光是通过分光器来完成的，它是一个独立的硬件，数据通过分光器后会将数据复制一份供检测设备使用，即原来的流量正常通行，同时分一股出来供检测设备分析。通过分光器复制流量时，不需要配置任何命令，也不需要外部能量，只要有输入光即可。但是，这也带来了一个缺点，那就是引入了一个故障点，同时也正是因为它是一个在线设备，所以在部署时，需要中断当前网络，对业务有一定的影响。

镜像

镜像分为端口镜像和流镜像，端口镜像是指将流经被监控端口的某个方向（入、出、双向）的所有报文复制到指定的目标端口进行分析。流镜像是在端口镜像的基础上增加了流分类条件，只复制满足特定条件的报文，过滤不关心的报文，提高报文分析设备的工作效率。对于Anti-DDoS检测设备来说，我们要分析所有进入网络的流量是否存在异常，所以我们一般都是通过端口镜像功能来复制流量。在端口镜像中：

被监控的端口称为：镜像端口

指定的目标端口称为：观察端口

端口镜像需要配置相关命令，如下图所示的Router1上我们需要配置如下命令，这里Router1以华为NE80E路由器为例，检测设备以华为AntiDDoS8000系列为例讲解相关配置。

 

#NE80E路由器
#1.配置GE1/0/1为观测端口
interface gigabitethernet1/0/1
port-observing observe-index 1
#2.配置整板镜像的观测端口
slot 3
mirror to observe-index 1
#3.在GE3/0/0上使能上行端口镜像功能
interface gigabitethernet3/0/0
port-mirroring inbound
#AntiDDoS8000系列
#1.指定业务板子卡的检测功能
firewall ddos detect-spu slot 1 card 1
#2.配置检测设备的接口功能
interface gigabitethernet0/0/1
anti-ddos detect enable
anti-ddos flow-statistic enable

配置中，Router1上配置观测端口的索引号必须与该接口所在的接口板的槽位号一致。在slot 3上配置令mirror to observe-index 1命令后，此观测索引对应的观测端口将作为整个3接口板的观测端口，当此接口板上有接口进行镜像时，报文就会被镜像到这个整板镜像的观测端口上。完成上述配置后，端口GE3/0/0上接收的所有报文将被镜像到端口GE1/0/0上发往AntiDDoS8000系列检测设备。AntiDDoS8000系列检测设备需设置相应的检测板，以及在接口配置检测功能和开启流量统计功能。完成这些配置后，就可以对接收的流量进行分析检测了。

对比分光和镜像，它们各有优劣，具体对比如下表所示。

对比项	分光	镜像
适用场景	需要部署分光器，成本较高，常用于运营商网络。	需要在网络设备上增加观测端口，不需要额外部署其他设备或器件。成本低，常用于企业网络。
部署难度	需要安装分光器，安装简单。	需要在分流的网络设备上配置镜像功能，有一定难度。
对用户网络的影响	透明接入不影响原有网络拓扑。但分光会导致原来网络的光信号的光功率下降，会影响光信号的传输距离。	不影响原有网络拓扑。
对用户业务的影响	安装分光器时需要短暂中断业务。	配置镜像时不影响正常业务的转发。

网络部署中，请根据网络实际情况进行合理选择。

华为Anti-DDoS解决方案支持多种类型的检测设备，其中AntiDDoS8000系列、AntiDDoS1600系列检测设备是采用逐包检测的方法对流量进行检测，即对流量中的所有报文进行检测，所以通过分光和镜像功能将流量全部复制到检测设备上来。还有一些其他的检测设备，如华为NFA2000V，威睿GenieATM等，这类检测设备是逐流检测方式，它们的检测流量来源是通过各种流采集分析协议来完成的，比如Cisco的Netflow协议，华为的NetStream协议等。这类流采集分析协议是对网络中不同的流进行提取，然后分类统计，最后将统计信息输出给检测设备进行分析检测，而不是像分光和镜像那样直接复制流量。

引流与回注

引流：当ATIC检测到异常流量时，把待清洗的流量引导至清洗设备的过程。

回注：当清洗设备将异常流量清洗后，发送回原路径的过程。

引流

分光、镜像是复制流量输出给检测设备进行检测；流采集分析协议是提取流量特征，把符合条件的流统计信息给检测设备分析，这些措施都不会影响实际的业务流量转发。然而对于清洗设备来说，我们需要清洗的是实际业务流量中的威胁或异常内容，如果清洗设备旁挂，我们必须要改变原有的业务转发路径，把流量引导到清洗设备上来，通过分光和镜像等显然是不能完成的。那当清洗设备旁路部署时，为实现流量清洗，我们是如何引流的呢？

事实上，引流可分为静态引流和动态引流两种

静态引流：手动创建并下发引流策略到清洗设备引发引流，业务流量无论是否发生异常，都将改变原有流量的路径将流量引流到清洗设备。

动态引流：检测设备发现异常通告管理中心，管理中心自动生成引流策略并下发到清洗设备；攻击结束，管理中心下发取消引流策略到清洗设备。

但如果按照具体的配置方法来划分，可分为：策略路由引流和BGP引流。

策略路由引流：在引流的网络设备上配置策略路由，将目的地址为防护对象的流量发送到清洗设备。

BGP引流：通过在引流的网络设备和清洗设备上配置BGP实现引流。

策略路由引流通常用于静态引流方式，BGP引流根据配置的不同可以是静态引流方式，也可以是动态引流方式。

策略路由引流

策略路由（Policy-based Routing），也称为路由重定向（Redirect），顾名思义是指基于策略的路由机制。通常，路由设备是根据报文目的地址查找路由表进行报文转发的，而策略路由是一种依据用户制定的策略进行路由选择的机制，策略路由的操作对象是数据包，在路由表已经产生的情况下，不按照先行路由表进行转发，而是根据需要，依照某种策略改变其转发路径的方法。

策略路由引流，正是根据这种策略，改变报文原有的转发路径，引导流量到清洗设备上来。

在下图中，Router1为引流设备，为对到达防护对象的流量进行清洗，可以在Router1的GE1/0/0接口配置策略路由，让从外网通过GE1/0/0接口到达防护对象的流量改变原有路径从GE1/0/1接口转发到清洗设备进行清洗。

#1、定义流分类。
[Router1] acl 3001
[Router1-acl-adv-3001] rule permit ip destination 1.1.1.1 0
[Router1-acl-adv-3001] rule permit ip destination 2.2.2.2 0
[Router1-acl-adv-3001] quit
[Router1] traffic classifier class1
[Router1-classifier-class1] if-match acl 3001
[Router1-classifier-class1] quit
#2、配置流行为并配置报文转发动作。
[Router1] traffic behavior behavior1
[Router1-behavior-behavior1] redirect ip-nexthop 10.1.2.2 interface GigabitEthernet 1/0/1
[Router1-behavior-behavior1] quit
#3、定义流量策略并在策略中为类指定行为。
[Router1] traffic policy policy1
[Router1-trafficpolicy-policy1] classifier class1 behavior behavior1
[Router1-trafficpolicy-policy1] quit
#4、在接口上应用策略路由。
[Router1] interface GigabitEthernet 1/0/0
[Router1-GigabitEthernet1/0/0] traffic-policy policy1 inbound
[Router1-GigabitEthernet1/0/0] quit

策略路由引流，配置比较简单，方便操作，但使用这种引流方式时，如果回注流量的链路Down了，业务流量还是会通过策略路由送到清洗设备上来，这样清洗后的流量又不能回注回去，势必造成业务的中断。所以，为了保证引流策略路由也能及时Down掉，我们可以在清洗设备上配置类似Link-group这样的功能，将引流和回注链路加入到一个Link-group中，形成联动，回注的链路Down了，引流的链路也及时Down掉，保证业务的正常转发。

除此之外，策略路由引流不考虑流量中是否存在异常，统一的将流分类中定义的所有流量都送到清洗设备进行处理，对于正常的流量来说也会转发到清洗设备上来，一方面影响了正常业务的转发效率，另一方面也会消耗清洗设备的部分资源，造成不必要的浪费。相比之下，BGP引流会更加高效智能。

BGP引流

BGP引流分为静态引流和动态引流两种（其中动态引流又分为自动和手动），它们的区别在于：前者无论检测设备是否检测到异常，管理中心都会生成针对防护对象IP地址/IP地址段的引流任务，这种引流任务需要由管理员手工创建；而动态引流是当检测设备检测到异常时，管理中心会自动生成引流任务，引流任务生成后系统会直接下发（自动）或者通过管理员手动下发（手动）到清洗设备。异常或攻击结束后，系统会自动取消引流。

不管是BGP的静态引流还是动态引流，管理中心都会下发一条引流任务到清洗设备，此时，清洗设备上会为每个防护对象自动生成一条32位主机UNR路由，此路由的下一跳为与清洗设备回注接口直连的路由设备的接口地址，即下图中Router1的GE1/0/2接口地址。

生成路由后，清洗设备会将这条UNR路由引入到BGP中，并通过BGP发布给BGP Peer—Router1，此时，Router1上就会有一条目的地址为防护对象，下一跳为清洗设备的引流接口的32位主机路由。

后续Router1收到Internet发来的到防护对象的报文时，查找路由表，根据最长掩码匹配原则，优先会匹配这条路由，从而转发到清洗设备上来进行流量清洗。

 

GP引流需要在Router1、清洗设备和管理中心上进行配置，具体引流部分的配置如下。

首先，在管理中心界面上选择“防御 > 策略配置 > 引流”，创建引流任务，配置被保护的IP地址为1.1.1.1，子网掩码为255.255.255.255。单击“确定”。

然后在清洗设备上，设置32位主机UNR路由下一跳地址，这里的下一跳为Router1回注接口GE1/0/2的IP地址。

[sysname] firewall ddos bgp-next-hop 10.1.3.1

上述步骤配置完成后，清洗设备上会生成一条到达1.1.1.1的32位主机UNR路由，下一跳为10.1.3.1。

[sysname] display ip routing-table
Route Flags: R - relay, D - download to fib                                    
------------------------------------------------------------------------------ 
Routing Tables: Public                                                          
        Destinations : 8       Routes : 8                                    
                                                                               
Destination/Mask    Proto  Pre  Cost       Flags NextHop         Interface     
       1.1.1.1/32  Direct   0    0            D   10.1.3.1  GigabitEthernet2/0/2
---- More ----

BGP配置

#NE80E
[Router1] bgp 100
[Router1-bgp] peer 10.1.2.2 as-number 100
[Router1-bgp] quit
#ANTIDDOS
[sysname] route-policy 1 permit node 1
[sysname-route-policy] apply community no-advertise
[sysname-route-policy] quit
[sysname] bgp 100
[sysname-bgp] peer 10.1.2.1 as-number 100
[sysname-bgp] import-route unr
[sysname-bgp] ipv4-family unicast
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export
[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community
[sysname-bgp-af-ipv4] quit
[sysname-bgp] quit

配置apply community no-advertise命令，用于设置团体属性，在BGP路由策略中应用后，通告对等体Router1接收此32位主机路由后不再对其他任何对等体发布此路由，因为此路由只用于对需要清洗的流量进行引流，对外发布可能会造成不可预知的影响，如路由环路等。

相比策略路由引流，BGP引流更加灵活，既能对防护对象静态引流，达到策略路由引流的效果，也能根据流量异常情况动态智能化引流，合理控制清洗设备的资源分配，方便管理员维护管理。

引流完成后，清洗设备会对异常流量进行清洗。

回注

引流回注配合方案

组合方式	引流	回注
	策略路由引流	静态路由回注
		策略路由回注
	bgp引流	二层回注
		unr路由回注
		策略路由回注
		静态路由回注
		gre回注
		mpls lsp/vpn回注

二层回注

应用于清洗设备和防护对象之间都是二层网络的场景，这种部署中，清洗设备上回注口的IP地址和防护对象属于同一网段。流量清洗完成后，清洗设备通过ARP报文获得防护对象目的IP的MAC地址，而后将清洗后的正常流量发送到核心交换机，最终发送到防护对象。

在下图中，清洗设备旁路部署在核心三层交换机Switch1上，通过接口GE2/0/1与Switch1接口GE1/0/1直连。在清洗设备上配置子接口GE2/0/1.10和GE2/0/1.20分别关联Switch1上的VLAN10和VLAN20后，形成两个逻辑通道，一个用作引流，一个用作回注。

对于引流，我们在前面说过，可以通过配置BGP功能来完成。而清洗后的流量，配置二层回注后，清洗设备会发送ARP request报文请求防护对象IP对应的MAC地址，收到防护对象的回应后，清洗设备将清洗后的流量根据获取的MAC地址等信息进行二层封装后回注到防护对象。

UNR路由回注

UNR(User Network Route)――用户网络路由，一般是通过非本设备配置的路由，与IGP、BGP、静态路由、直连路由等路由一样，可以添加到路由表中指导报文转发。我们知道在BGP引流中，通过ATIC管理中心创建引流任务，配置被保护的防护对象地址，同时在清洗设备上配置下一跳IP地址，就会在清洗设备上生成一条目的地址为防护对象的UNR路由。此UNR路由被清洗设备上BGP引入后发布给引流设备，进而对需要清洗的流量进行引流，这就是UNR路由在引流中的作用。

除此之外，这条UNR路由也可以对清洗后的流量进行回注。如上组网中，清洗设备和ATIC管理中心完成配置后，清洗设备上会生成一条到达1.1.1.1的32位主机UNR路由，下一跳为Router1的回注接口GE1/0/2的IP地址10.1.3.1。流量清洗完成后，根据路由查找的最长掩码匹配原则，优先选择此UNR路由，将清洗后的流量回注到Router1，此为UNR路由在流量回注中的应用。

在BGP引流的时候，Router1从清洗设备BGP发布的路由中学习到这条32位主机路由，访问防护对象的流量被此路由送到了清洗设备。现在，清洗设备又将这条流送到了Router1，此时，Router1上还会匹配这条主机路由将回注回来的流量再送到清洗设备，如此循环往复，就成了环路了。所以，为了将清洗后的流量最终送到防护对象，我们还需要在Router1上配置策略路由，让从回注接口GE1/0/2进来的流量都从GE1/0/3进行转发。

#Router1
#配置BGP功能。
[Router1] bgp 100
[Router1-bgp] peer 10.1.2.2 as-number 100
[Router1-bgp] quit
#在接口GE1/0/2配置策略路由。
# 定义流分类。
[Router1] acl 3001
[Router1-acl-adv-3001] rule permit ip
[Router1-acl-adv-3001] quit
[Router1] traffic classifier class1
[Router1-classifier-class1] if-match acl 3001
[Router1-classifier-class1] quit
# 配置流行为并配置报文转发动作。
[Router1] traffic behavior behavior1
[Router1-behavior-behavior1] redirect ip-nexthop 10.1.5.2 interface GigabitEthernet 1/0/3
[Router1-behavior-behavior1] quit
# 定义流量策略并在策略中为类指定行为。
[Router1] traffic policy policy1
[Router1-trafficpolicy-policy1] classifier class1 behavior behavior1
[Router1-trafficpolicy-policy1] quit
# 在接口上应用策略路由。
[Router1] interface GigabitEthernet 1/0/2
[Router1-GigabitEthernet1/0/2] traffic-policy policy1 inbound
[Router1-GigabitEthernet1/0/2] quit

#清洗设备
# 配置生成动态路由时使用的下一跳地址。
<sysname> system-view
[sysname] firewall ddos bgp-next-hop 10.1.3.1
# 配置BGP功能及团体属性。
[sysname] route-policy 1 permit node 1
[sysname-route-policy] apply community no-advertise
[sysname-route-policy] quit
[sysname] bgp 100
[sysname-bgp] peer 10.1.2.1 as-number 100
[sysname-bgp] import-route unr
[sysname-bgp] ipv4-family unicast
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export
[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community
[sysname-bgp-af-ipv4] quit
[sysname-bgp] quit
# 在清洗口开启流量统计功能。
[sysname] interface GigabitEthernet 2/0/1
[sysname-GigabitEthernet2/0/1] anti-ddos flow-statistic enable
[sysname-GigabitEthernet2/0/1] quit
# 配置一条缺省路由，用于反向路由查找。
[sysname] ip route-static 0.0.0.0 0 GigabitEthernet 2/0/1 10.1.2.1

除上面配置外，还需要在管理中心界面上，选择“防御 > 策略配置 > 引流”，创建引流任务，配置被保护的IP地址为1.1.1.1，子网掩码为255.255.255.255。单击“确定”。  如此才能在清洗设备上生成UNR路由。

整个配置比较简单，策略路由和BGP引流的配置在前面都详细介绍，这里我们不再细分解。而回注的配置就是生成这条UNR路由的配置，以及回注路由器上的策略路由配置。

实际应用中，回注路由器可以与引流路由器是同一个，也可以不是同一个，如可以是Router1，也可以是其他下行路由器（如Router2）。

静态路由回注

静态路由回注与UNR路由回注使用场景和配置基本相同，不同之处有以下几点：

既然是静态路由回注肯定会配置静态路由，其实这条静态路由与UNR路由一样，目的地址是防护对象，下一跳为回注路由器上的回注接口地址。区别在于静态路由是在清洗设备上手动配置的，而UNR路由是在管理中心和清洗设备上进行相应设置后自动生成的，且掩码固定为32位。

静态路由回注还需要在清洗设备上配置一条firewall ddos bgp-next-hop fib-filter命令，表示过滤清洗设备生成的UNR路由，使清洗设备上报文不能根据这条UNR路由进行转发。这是因为UNR路由掩码是32位，在路由查找中根据掩码最长匹配原则，报文首先匹配的是这条UNR路由，这时为了不影响流量通过其他回注策略转发，就需要在清洗设备上配置此命令过滤生成的这条UNR路由，使其不下发到FIB表中。除二层回注和UNR路由回注外，其它所有的回注策略都需要配置此命令。

除以上两点外，静态路由回注能与两种引流方法配合使用，而UNR路由回注只能与BGP引流成匹配方案。

静态路由回注如果与BGP引流配合时，它的配置除增加回注的静态路由和过滤UNR路由的命令外，其他配置与UNR路由回注完全相同；与策略路由引流配合使用时，回注的配置只需按要求配置静态路由即可。因为配置比较简单，具体的配置我们不详细列出。

以上三种回注方法虽然配置简单，但适用场景也相对有限，网络拓扑不能太复杂，比如UNR路由回注只适用于单回注链路的场景，二层回注更是要求回注网络固定为二层，显然只有这些回注方法是不能满足各种网络情况下的流量回注需求。

在上节中我们详细介绍了二层回注、UNR路由回注和静态路由回注等几种回注方法。这几种回注方法配置简单，但适用场景比较单一，如UNR路由回注只适用于单回注链路场景等。除此此外，与BGP引流配合使用时，还要在引流设备上通过一定的方法避免路由环路的隐患，增加了引流设备上的配置难度。今天给大家介绍的两种回注方法，在某种程度上能解决相关问题，比如策略路由回注能应用在多回注链路的场景中；GRE回注能直接避开引流路由，将回注流量直接送到下行学习不到引流路由的路由器，避免了路由环路的问题。

策略路由回注

在讲解引流的章节中，我们介绍过策略路由，策略路由是依照某种策略改变报文转发路径的方法，很显然通过策略路由这种改变报文转发路径的策略我们也能将清洗后的流量回注到原来的路径上去。

策略路由回注可以与BGP引流和策略路由引流配合使用，但部署配置上有所区别。

如下图中，Router1为引流路由器，引流流量从GE1/0/1接口进入清洗设备，流量清洗完成后，在清洗设备上通过配置策略路由可以让访问不同防护对象的流量进入不同的回注通道返回到原有网络中。

 

GRE回注

GRE——General Routing Encapsulation，即通用路由封装协议，是一种三层VPN封装技术。GRE的用途一般是对某些网络层协议（如IPX、Apple Talk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。然而，在GER回注中使用GRE隧道是让报文跨越直连网络，传输到更远的网络。

在下图中，Router1为引流路由器，引流流量通过GE1/0/1接口进入清洗设备，流量清洗完成后，回注的流量是通过GRE隧道直接传输到Router2。

引流方式为BGP引流的场景，GRE回注可以直接避开引流路由，将回注流量直接送到下行学习不到引流路由的路由器，避免了路由环路的问题。大家可能会问，不通过GRE隧道，我们也可以将回注链路通过物理连线直接连到Router2，这样也能避开路由环路。是的，确实是这样，但是在Router1下面有很多路由设备的情况下，如果我们要创建多条回注链路，这会给物理线路上的部署增加很多成本，而GRE隧道的逻辑连接却不存在这样的问题，只要保证清洗设备到各回注路由器之间路由可达即可。