结合P2DR模型，说明如何通过流量清洗技术保护IDC。

开始的时候Guard不对被保护对象进行保护，没有任何数据流流经Guard，此时Guard为离线设备。Detector收到交换机通过端口镜像过来的通往被保护对象的数据流后，通过算法分析和策略匹配，发现被保护对象正受到攻击；

Detector建立起到Guard的SSH连接，通知Guard对被保护对象进行保护；

Guard通过BGP路由更新告知与它相连的BGP对等体，路由器将目的地为被保护对象的数据流发往Guard。目的地不是被保护对象的数据流则正常流动，不受影响；

通过策略匹配和算法分析，识别正在进行的攻击类型，并对数据流进行处理（识别伪造源地址、过滤非法数据包、速率限制等），在此阶段，攻击数据被清除；

被过滤过的数据流被再次发回与它相连的BGP对等体（或者是该对等体下游的其它三层设备），因此，合法的数据流连接仍然正常工作。

高手楼上