在城域網建設運營過程中,同步部署流量清洗設備非常必要,以應對突如其來的惡意***,對城域網內的重要應用,如網站等公共訪問資源,非常重要,確保在抵禦惡意***的同時,提供正常的業務訪問。
城域網核心路由器一般成對部署,流量清洗設備直接與核心路由器其設備互連,並建立BGP鄰居關係,通過對流量清洗設備進行配置,流量清洗設備可以對***目標IP向核心路由器進行路由通告,使針對***目標的IP地址,經過流量清洗設備,清洗***流量,迴流正常流量。
下圖爲流量清洗設備爲啓動情況下的流量流向示意圖,***流量和正常流量直接到達***目標。
在沒有部署***檢測設備,僅部署流量清洗設備的情況下,***流量不能自動發現,流量清洗設備也不能自動響應。需要通過人爲的發現***流量,再對流量清洗設備進行設置,啓動流量清洗。
當發現***流量時,首先必須瞭解***目標IP地址,將該IP地址配置到流量清洗設備的BGP通告列表中,城域網核心路由器學習到流量清洗設備通告的路由後,到達***目標IP的路由指向流量清洗設備,即互聯網流量到達城域網核心路由器後,下一跳先去到流量清洗設備,流量清洗設備自動清洗去***流量,剩下的正常流量,通過流量清洗設備上的默認路由回到城域網核心路由器,核心路由器再將正常流量下發到***目標Web服務器上,這是到達Web服務器上的僅有正常訪問流量。流量流向示意圖如下所示:
城域網核心路由器與流量清洗設備互聯的接口上配置了策略路由,從該接口回注到核心路由器的流量,根據被***目標的IP地址,通過策略路由器,指定流量通過那個下行接口轉發,而不通過路由表指導流量轉發,那樣會導致路由環路,流量一直在覈心路由器和流量清洗設備之間循環轉發,但每次啓動流量清洗流程時,需要手動的去配置策略路由。從流量清洗設備回注的正常流量,不會被再次轉發到流量清洗設備上,核心路由器和流量清洗設備互聯端口以外接口進入的到達***目標IP的流量纔會被髮往流量清洗設備。