解决了!AD无法协调UDP协议数据包只走哪一条WAN口线路?
  

tarryyun 4690

{{ttag.title}}
本帖最后由 tarryyun 于 2020-5-14 15:08 编辑

针对我上一篇发的疑问帖子,自己捣鼓出了一个方法,经过验证和实际情况的发生,方法是可行的!
上一个帖子的地址:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=108163
具体步骤如下:
1、用抓包工具分析出,当网络中有大量腾讯会议时,查找出腾讯会议使用的UDP协议地址
      14.0.0.0/8、157.148.0.0/16、219.133.0.0/16
      如图是抓的internet线路入口(AD的WAN口数据):

2、有了这两个腾讯会议的地址段,就好办了;
     为了保障其他业务不受影响,只能牺牲一条出口(我们出口是1.2G,多条WAN线路),联通的300M;
     在AD上定义智能路由和地址翻译(NAT),如图:
     在NAT的图片中,陆续抓到一些零散的地址段(宁可误杀,不能放过,这些地址段都采用UDP协议)


3、我们出口有 一台思科的交换机,在交换机VLAN中定义ACL;在联通300M中放行这几个段的流量,其他互联网线路drop这些段的数据;
ip access-list extended tenxun-drop
permit ip any 14.0.0.0 0.255.255.255
permit ip 14.0.0.0 0.255.255.255 any
permit ip any 157.148.0.0 0.0.255.255
permit ip 157.148.0.0 0.0.255.255 any
permit ip any 219.133.0.0 0.0.255.255
permit ip 219.133.0.0 0.0.255.255 any
ip access-list extended tenxun-permit
permit ip any any
vlan access-map tenxun 10
match ip address tenxun-drop
action drop
vlan access-map tenxun 20
match ip address tenxun-permit
action forward
!
vlan filter tenxun vlan-list vlan-id

4、配置生效后,进行抓包分析,发现在非联通300M线路是看不到这3个网段的流量的,在联通300M线路是可以看到大量的这些数据;
联通300M抓包图:

非联通300M抓包图:

5、当腾讯会议爆表后,只有联通300M出口拥塞,并且抓取到大量这些UDP协议的数据包;其他线路不受影响。
     弊端:有可能腾讯会议地址会变动,这样我们会很被动!系统深信服研发在后续的版本中能够出一些相关的安全措施,能够有效防止此类问题的发生!!!

2020年5月14号下午优化:
今天下午还有有一次小的爆发,在抓包系统分析到所有的大的数据量都采用UDP8000-8100之间的端口进行传递数据;因此修改出口交换机VLAN ACL条目,如下:
ip access-list extended tenxun-drop
permit ip any 14.0.0.0 0.255.255.255
permit ip 14.0.0.0 0.255.255.255 any
permit ip any 157.148.0.0 0.0.255.255
permit ip 157.148.0.0 0.0.255.255 any
permit udp any 互联网出口地址 0.0.0.255 range 8000 8200
permit udp 互联网出口地址 0.0.0.255 any range 8000 8200
permit udp any 互联网出口地址 0.0.0.255 range 8000 8200
permit udp 互联网出口地址 0.0.0.255 any range 8000 8200
permit udp any 互联网出口地址 0.0.0.255 range 8000 8200
permit udp 互联网出口地址 0.0.0.255 any range 8000 8200

配置完后,再一次对非联通300M互联网出口进行抓包分析,发现已经没有了“抓包分析软件”识别的QQ协议、UDP-other协议(有一部分udp-other,不知道是不是腾讯的,但是后来腾讯会议爆发过一次,只有联通300M线路爆表了,其他线路没有):

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

Sangfor_闪电回_朱丽 发表于 2020-5-13 17:43
  
感谢您的分享,满满的干货,已将文章放入技术博客中!

社区技术博客征稿活动正在进行,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum ... read&tid=103115
新手548437 发表于 2020-5-14 10:42
  
感谢分享。
tarryyun 发表于 2020-5-14 15:09
  
2020年5月14号下午优化更新!
头像被屏蔽
新手770264 发表于 2020-5-14 21:09
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2020-5-14 21:31
  
提示: 作者被禁止或删除 内容自动屏蔽
黄波 发表于 2020-5-15 09:08
  
厉害了哦
黄波 发表于 2020-5-15 09:09
  
学习一下
头像被屏蔽
新手780102 发表于 2020-5-15 09:55
  
提示: 作者被禁止或删除 内容自动屏蔽
新手548437 发表于 2020-5-15 10:20
  
感谢分享。
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
高手请过招
【 社区to talk】
纪元平台
每日一问
产品连连看
新版本体验
社区新周刊
GIF动图学习
标准化排查
干货满满
自助服务平台操作指引
技术咨询
功能体验
社区帮助指南
每周精选
解决方案
秒懂零信任
技术笔记
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人