城域网流量清洗设备部署方案

在城域网建设运营过程中，同步部署流量清洗设备非常必要，以应对突如其来的恶意***，对城域网内的重要应用，如网站等公共访问资源，非常重要，确保在抵御恶意***的同时，提供正常的业务访问。

城域网核心路由器一般成对部署，流量清洗设备直接与核心路由器其设备互连，并建立BGP邻居关系，通过对流量清洗设备进行配置，流量清洗设备可以对***目标IP向核心路由器进行路由通告，使针对***目标的IP地址，经过流量清洗设备，清洗***流量，回流正常流量。

下图为流量清洗设备为启动情况下的流量流向示意图，***流量和正常流量直接到达***目标。

在没有部署***检测设备，仅部署流量清洗设备的情况下，***流量不能自动发现，流量清洗设备也不能自动响应。需要通过人为的发现***流量，再对流量清洗设备进行设置，启动流量清洗。

当发现***流量时，首先必须了解***目标IP地址，将该IP地址配置到流量清洗设备的BGP通告列表中，城域网核心路由器学习到流量清洗设备通告的路由后，到达***目标IP的路由指向流量清洗设备，即互联网流量到达城域网核心路由器后，下一跳先去到流量清洗设备，流量清洗设备自动清洗去***流量，剩下的正常流量，通过流量清洗设备上的默认路由回到城域网核心路由器，核心路由器再将正常流量下发到***目标Web服务器上，这是到达Web服务器上的仅有正常访问流量。流量流向示意图如下所示：

城域网核心路由器与流量清洗设备互联的接口上配置了策略路由，从该接口回注到核心路由器的流量，根据被***目标的IP地址，通过策略路由器，指定流量通过那个下行接口转发，而不通过路由表指导流量转发，那样会导致路由环路，流量一直在核心路由器和流量清洗设备之间循环转发，但每次启动流量清洗流程时，需要手动的去配置策略路由。从流量清洗设备回注的正常流量，不会被再次转发到流量清洗设备上，核心路由器和流量清洗设备互联端口以外接口进入的到达***目标IP的流量才会被发往流量清洗设备。