目前对于不同AS内流量牵引的方法一般是通过跨域VPN技术或者AS内部通过MPLS VPN，跨域通过建立GRE隧道的方式进行流量牵引，现有方案的缺点如下。

● 配置复杂，城域网AS内，GRE网关和用户上联的BRAS/SR设备需要建立MPLS VPN实例。

● 风险高，如果M9000防火墙或者城域网内的GRE网关设备出现任何转发问题，该方案不能为用户及时解决故障，需要对下联专线用户的BRAS接口删除对应的VPN实例，还需要公网发布用户路由 。

● VPN内的用户互访不具备流量牵引防护功能。

一、策略路由+GRE技术的双向流量牵引方案

本文针对上述方案进行改进，提出了一种使用策略路由+GRE技术的双向流量牵引方法。城域网内不需要对用户绑定VPN实例，而是通过策略路由的方式实现了专线用户流量的双向牵引，该方案结构如图1所示。

图1 策略路由+GRE模式流量牵引方法

● 在城域网GRE网关设备和跨AS的防火墙M9000设备之间建立GRE隧道，防火墙M9000设备通过静态路由将去往用户的地址指向GRE网关的GRE接口地址，并发布用户路由；

GRE网关将用户的路由汇总向163骨干网发布路由。城域网内GRE网关通过两条策略路由（部署在GRE网关和BRAS/SR互联的接口）对攻击流量进行防护。

策略1：匹配源地址为用户地址，下一跳指向和GRE网关建立GRE隧道的防火墙M9000的tunnel接口地址。

策略2：匹配目的地址为用户地址，下一跳指向163骨干网和城域网出口设备（GRE网关）互联的接口地址。

防火墙利用自身的防护策略，通过session信息判断是否为攻击流量，假设目的地址为专线用户地址（如图2所示）。

● 若检测到出方向session信息，则放行。

● 若未检测到出方向的session信息，则判断为攻击流量，直接丢弃。

● 根据用户的需求在防火墙开放特殊入向端口。

● 为防止攻击流量通过特殊端口进入，对特殊端口的入方向流量进行限速。

图2集中式防火墙策略

通过以上路由策略，可以实现以下功能。

● 专线用户访问非同城（不同AS）的用户，流量会先匹配策略1经过GRE隧道到达防火墙，防火墙记录该session会话，然后通过目的用户的地址公网转发数据，因为防火墙发布了用户的细路由，所以回包会先送回防火墙，防火墙之前已经记录该session，因此放通该流量通过GRE隧道返回给专线用户（如图3所示）。

图3 跨AS访问流量图

对于非同城的攻击流量，因为目的地址为专线用户地址，流量会优先送到防火墙，防火墙因检测不到用户访问攻击者的session信息，攻击流量会被直接丢弃。

● 专线用户访问同城的用户（同一个AS且不具备防护功能），流量会先匹配策略1并经过GRE隧道到达防火墙，防火墙记录该session会话，然后通过目的用户的地址公网转发数据，回包数据流量会匹配策略2到达163骨干网，因为防火墙发布了用户的细路由，所以回包会送回防火墙，然后通过GRE隧道送回专线用户（如图4所示）。

图4 同AS访问流量图I

专线用户访问同城的用户（同一个AS且同时具备防护功能），流量会先匹配策略1经过GRE隧道到达防火墙，防火墙记录该session会话，然后再通过GRE隧道送回目的地；回包数据也会先匹配策略1经过GRE隧道送至防火墙，然后再通过GRE隧道送回专线用户（如图5所示）。

图5 同AS访问流量图II

对于同城的攻击流量（同一个AS的攻击者），流量会先匹配策略2先送至防火墙，防火墙因检测不到用户访问攻击者的session信息，攻击流量会被直接丢弃。

本文提出的方法相比于现有技术，具备以下优点：

● 部署简单，只需要在GRE网关设备配置策略1和策略2即可，不需要对专线用户做任何MPLS VPN的配置。

● 维护简单，风险小，防火墙M9000或者GRE网关设备出现单点故障，GRE网关设备配置的策略路由中指向M9000的GRE接口地址不可达，策略1立即失效，用户可根据公网正常访问，城域网内的设备无需做任何配置改动。

● 实现了被防护用户之间互访也具备双向流量牵引防护功能。

本方案在实施时，城域网至少需要一台路由器设备具备建立GRE隧道的能力。

二、江苏电信城域网配置实例

以江苏电信基于集中式防护的双向流量牵引进行实施说明。

图6 江苏电信网络拓扑图

● 城域网两台CRS核心出口路由器同时作为城域网内的GRE网关，与跨域的防火墙建立GRE隧道。

● 防火墙通过静态路由将去往用户的地址指向GRE网关的GRE接口地址，同时发布用户/30位的细路由，通过省IDC汇聚宣告给163骨干网设备。

● 城域网内，用户上联的BRAS/SR设备发布/ 30位的细路由，CRS将细路由汇总成/24位的粗路由宣告给163骨干网 。

● 城域网CR设备下联BRAS/SR设备接口调用如下acl策略：

1 permit ipv4 用户/30 any nexthop1 ipv4 防火墙GRE接口地址

2 permit ipv4 any 用户/30 nexthop1 ipv4 163骨干网与CR互联的接口地址 。

上述配置就可以实现基于集中式防护的双向流量牵引。

结束语

本方案规避了城域网内MPLS VPN的配置，无需在BRAS/SR侧做任何配置即可实现流量双向牵引的调度能力；且维护容易，高防网络一旦出问题用户可平滑切换至公网访问；更重要的是可以实现同城同防护用户之间的流量攻击防护。