城域網(wǎng)流量清洗設(shè)備部署方案

在城域網(wǎng)建設(shè)運(yùn)營(yíng)過(guò)程中，同步部署流量清洗設(shè)備非常必要，以應(yīng)對(duì)突如其來(lái)的惡意***，對(duì)城域網(wǎng)內(nèi)的重要應(yīng)用，如網(wǎng)站等公共訪問(wèn)資源，非常重要，確保在抵御惡意***的同時(shí)，提供正常的業(yè)務(wù)訪問(wèn)。

城域網(wǎng)核心路由器一般成對(duì)部署，流量清洗設(shè)備直接與核心路由器其設(shè)備互連，并建立BGP鄰居關(guān)系，通過(guò)對(duì)流量清洗設(shè)備進(jìn)行配置，流量清洗設(shè)備可以對(duì)***目標(biāo)IP向核心路由器進(jìn)行路由通告，使針對(duì)***目標(biāo)的IP地址，經(jīng)過(guò)流量清洗設(shè)備，清洗***流量，回流正常流量。

下圖為流量清洗設(shè)備為啟動(dòng)情況下的流量流向示意圖，***流量和正常流量直接到達(dá)***目標(biāo)。

在沒(méi)有部署***檢測(cè)設(shè)備，僅部署流量清洗設(shè)備的情況下，***流量不能自動(dòng)發(fā)現(xiàn)，流量清洗設(shè)備也不能自動(dòng)響應(yīng)。需要通過(guò)人為的發(fā)現(xiàn)***流量，再對(duì)流量清洗設(shè)備進(jìn)行設(shè)置，啟動(dòng)流量清洗。

當(dāng)發(fā)現(xiàn)***流量時(shí)，首先必須了解***目標(biāo)IP地址，將該IP地址配置到流量清洗設(shè)備的BGP通告列表中，城域網(wǎng)核心路由器學(xué)習(xí)到流量清洗設(shè)備通告的路由后，到達(dá)***目標(biāo)IP的路由指向流量清洗設(shè)備，即互聯(lián)網(wǎng)流量到達(dá)城域網(wǎng)核心路由器后，下一跳先去到流量清洗設(shè)備，流量清洗設(shè)備自動(dòng)清洗去***流量，剩下的正常流量，通過(guò)流量清洗設(shè)備上的默認(rèn)路由回到城域網(wǎng)核心路由器，核心路由器再將正常流量下發(fā)到***目標(biāo)Web服務(wù)器上，這是到達(dá)Web服務(wù)器上的僅有正常訪問(wèn)流量。流量流向示意圖如下所示：

城域網(wǎng)核心路由器與流量清洗設(shè)備互聯(lián)的接口上配置了策略路由，從該接口回注到核心路由器的流量，根據(jù)被***目標(biāo)的IP地址，通過(guò)策略路由器，指定流量通過(guò)那個(gè)下行接口轉(zhuǎn)發(fā)，而不通過(guò)路由表指導(dǎo)流量轉(zhuǎn)發(fā)，那樣會(huì)導(dǎo)致路由環(huán)路，流量一直在核心路由器和流量清洗設(shè)備之間循環(huán)轉(zhuǎn)發(fā)，但每次啟動(dòng)流量清洗流程時(shí)，需要手動(dòng)的去配置策略路由。從流量清洗設(shè)備回注的正常流量，不會(huì)被再次轉(zhuǎn)發(fā)到流量清洗設(shè)備上，核心路由器和流量清洗設(shè)備互聯(lián)端口以外接口進(jìn)入的到達(dá)***目標(biāo)IP的流量才會(huì)被發(fā)往流量清洗設(shè)備。