某集团汇聚层部署流量清洗系统

近日与客户交流，客户提出这样的需求：

在城域网的层级，进行流量清洗。接入路由器上行出口为70G带宽，7个万兆捆绑而成，下行为多个GE接口，通过双归属连接到最近的两个核心路由器。

部署方式有两种：旁挂和串接

现在业界的某盟采用旁挂的方式，整套系统分为三个组件（异常流量检测\异常流量清洗\管理平台)，这样可以一次卖三个产品进去。检测可以通过分光的方式将骨干来的流量导入到旁挂的检测设备上，在经过约30秒的分析后可以判定是否包含DDoS攻击，而后通知清洗平台发布主机路由给路由器将流量牵引过来进行清洗。清洗完成的流量再通过多种方式定向回注给下一层级的设备，实现对网络侧的流量清洗。

也可以通过串接的方式仅将清洗设备接入网络，通过对所有流量的实时分析，可以知道是否存在DDoS攻击，但是这种方式会不会影响原有系统的吞吐量？需要进一步验证