MPLS VPN流量回注方式
图4 MPLS VPN流量回注方式
异常流量防御设备(AFC-G)与业务路由器间建立MPLS VPN隧道,从城域网外部过来的异常流量经过防御设备清洗后,选择对应的VPN隧道,并打上该VPN标签后,把“干净”报文发送给城域网核心路由器,核心路由器及汇聚路由器对其进行标签交换,最后在核心路由器上弹出标签,并转发到客户网络。
MPLS流量回注方式的优点在于便于开展业务,一旦部署完成后,后续业务的开展就都不需要再修改城域网设备的数据,另外,MPLS VPN技术已经很成熟了,而且符合未来的技术发展趋势。这种俗⒎绞降木窒扌栽谟谝求城域网接入层以上的设备都要支持MPLS功能;另外,对于现网中并没有开展MPLS VPN业务的情况,部署起来较为复杂,设备改动范围大。
基于VLAN Tag的策略路由流量回注方式
基于VLAN Tag策略路由流量回注方式
异常流量防御设备(AFC-G)与核心路由器建立多个VLAN子接口,从城<网外部过来的异常流量经过防御设备清洗后,选择对应的VLAN子接口,并打上该VLAN Tag,把“干净”报文发送给城域网核心路由器,核心路由器根据VLAN Tag找到对应的VLAN子接口,并根据子接口下的策略路由选择把报文转发到对应的汇聚路由器上。
策略路由流量回注方式的优点在于便于开展业务,一旦部署完成后,后续业务的开展就都不需要再修改城域网设备的数据,以后业务开展时只需要在防御设备上做数据就行了;另外,部署起来相对较为简单,只需要在与防御设备现连的核心路由器上做VLAN 子接口与汇聚路v器一一对应的策略路由配置,配置比较简单。这种回注方式的局限性在于当汇聚设备路由变化时,核心设备和防御设备无法感知,进行自动调整。