在城域网建设运营过程中,同步部署流量清洗设备非常必要,以应对突如其来的恶意攻击,对城域网内的重要应用,如网站等公共访问资源,非常重要,确保在抵御恶意攻击的同时,提供正常的业务访问。
城域网核心路由器一般成对部署,流量清洗设备直接与核心路由器其设备互连,并建立BGP邻居关系,通过对流量清洗设备进行配置,流量清洗设备可以对攻击目标IP向核心路由器进行路由通告,使针对攻击目标的IP地址,经过流量清洗设备,清洗攻击流量,回流正常流量。
下图为流量清洗设备为启动情况下的流量流向示意图,攻击流量和正常流量直接到达攻击目标。
在没有部署入侵检测设备,仅部署流量清洗设备的情况下,攻击流量不能自动发现,流量清洗设备也不能自动响应。需要通过人为的发现攻击流量,再对流量清洗设备进行设置,启动流量清洗。
当发现攻击流量时,首先必须了解攻击目标IP地址,将该IP地址配置到流量清洗设备的BGP通告列表中,城域网核心路由器学习到流量清洗设备通告的路由后,到达攻击目标IP的路由指向流量清洗设备,即互联网流量到达城域网核心路由器后,下一跳先去到流量清洗设备,流量清洗设备自动清洗去攻击流量,剩下的正常流量,通过流量清洗设备上的默认路由回到城域网核心路由器,核心路由器再将正常流量下发到攻击目标Web服务器上,这是到达Web服务器上的仅有正常访问流量。流量流向示意图如下所示:
城域网核心路由器上配置了策略路由,从流量清洗设备回流的正常流量,不会被再次转发到流量清洗设备上,核心路由器和流量清洗设备互联端口以外接口进入的到达攻击目标IP的流量才会被发往流量清洗设备。
