近日與客戶交流,客戶提出這樣的需求:
在城域網的層級,進行流量清洗。接入路由器上行出口爲70G帶寬,7個萬兆捆綁而成,下行爲多個GE接口,通過雙歸屬連接到最近的兩個核心路由器。
部署方式有兩種:旁掛和串接
現在業界的某盟採用旁掛的方式,整套系統分爲三個組件(異常流量檢測\異常流量清洗\管理平臺),這樣可以一次賣三個產品進去。檢測可以通過分光的方式將骨幹來的流量導入到旁掛的檢測設備上,在經過約30秒的分析後可以判定是否包含DDoS***,而後通知清洗平臺發佈主機路由給路由器將流量牽引過來進行清洗。清洗完成的流量再通過多種方式定向回注給下一層級的設備,實現對網絡側的流量清洗。
也可以通過串接的方式僅將清洗設備接入網絡,通過對所有流量的實時分析,可以知道是否存在DDoS***,但是這種方式會不會影響原有系統的吞吐量?需要進一步驗證