可以参考以下案例：
1  检测清洗设备的典型配置举例

1.1  组网需求

某公司流量检测设备和清洗设备采用旁路模式部署在内部网络的出口位置，需要对外部网络访问内部网络地址20.2.0.1的流量进行DDoS攻击检测与防范

图1 盒式清洗检测配置组网图

1.        

1.2  配置注意事项

Ø            管理中心和清洗检测设备路由可达；

Ø  由于检测设备和清洗设备都属于防火墙设备，所以使用到的接口都需要加入安全域，并配置安全策略。

1.3  配置步骤

·            按照图1所示组网接好线后配上各接口IP地址。

·            配置检测设备上的检测模式为镜像模式，配置和管理中心日志相关配置，后续配置可有管理中心下发，无需手动配置。

·            在路由器上配端口镜像将从xg1/1/1进来的流量镜像到xg1/1/3，配置bgp，将流量从xg1/1/2牵引至清洗设备，在接口xg1/1/7上配置策略路由确保清洗过后的流量不会再被牵引从而造成环路。

·            在清洗设备上配置bgp引入guard路由（这里的guard路由可手动配置，也可管理中心下发后续有介绍），静态路由，指定下一跳为xg1/1/7，配置管理中心日志相关配置，后续配置可有管理中心下发，无需手动配置。

1.3.1  配置检测设备

(1)       配置检测设备上的检测模式为镜像模式，配置和管理中心日志相关配置。

<H3C>sys                                                                       

System View: return to User View with Ctrl+Z.                                  

[H3C] anti-ddos detection-mode mirror

[H3C] anti-ddos log-local-ip ip 186.86.49.50

[H3C] anti-ddos log-server-ip ip 186.65.12.23 port 514

(2)       在管理中心上配置相关配置

a.   添加检测设备

b.   配置检测策略模板（可选）

c.    配置检测对象组（如果没有做步骤c，亦可在此处自行添加检测策略，对象组里可添加多个对象）

检测对象中的检测地址为需要检测的目的地址范围，添加检测设备，选取上步骤建立的检测策略模板即可

上述操作做完后管理中心会将相应配置下发至检测设备，配置如下

1.3.2  配置路由器

（1）     在路由器上配端口镜像将从xg1/1/1进来的流量镜像到xg1/1/3

[5800_05]mirroring-group 2 local

[5800_05] mirroring-group 2 mirroring-port Ten-GigabitEthernet1/1/1

[5800_05] mirroring-group 2 monitor-port Ten-GigabitEthernet1/1/3

（2）     配置bgp，将流量从xg1/1/2牵引至清洗设备（清洗设备上也要配置bgp邻居并引入guard路由后面会有介绍）

[5800_05]bgp 65000   

[5800_05-bgp-default] peer 10.1.1.2 as-number 65100 

[5800_05-bgp-default] peer 10.1.1.2 ebgp-max-hop 64 

[5800_05-bgp-default]address-family ipv4 unicast   

       [5800_05-bgp-default-ipv4] peer 10.1.1.2 enable

（3）     在接口xg1/1/7上配置策略路由确保清洗过后的流量不会再被牵引从而造成环路

[5800_05]policy-based-route WDW node 1

[5800_05-pbr-WDW-1] apply next-hop 17.3.3.2（下一跳为交换机上xg1/0/7）

[5800_05]interface Ten-GigabitEthernet 1/1/7

[5800_05-Ten-GigabitEthernet1/1/7] ip policy-based-route WDW （在路由器接口xg1/1/7上引用次策略路由）

1.3.3  配置清洗设备

（1）     在清洗设备上配置bgp引入guard路由，静态路由，指定下一跳为xg1/1/7

[H3C]bgp 65100

[H3C-bgp-default] peer 10.1.1.1 as-number 65000

[H3C-bgp-default]address-family ipv4 unicast

[H3C-bgp-default-ipv4] import-route guard

[H3C-bgp-default-ipv4] peer 10.1.1.1 enable

[H3C]ip route-static 20.2.0.0 24 21.0.0.1

（2）配置管理中心日志相关配置

<H3C>sys                                                                       

System View: return to User View with Ctrl+Z.

[H3C] anti-ddos log-local-ip ip 186.86.48.50

[H3C] anti-ddos log-server-ip ip 186.65.12.23 port 514

（3）在管理中心上配置相关配置

a.添加清洗设备b．配置防护对象组，步骤同配置检测对象组（防护策略模板也可以配了之后引用，这里不再一一截图了）

c.配置静态牵引并启动（启动后会下发guard路由，在后面的配置验证里面会有展示）

 配置完成后清洗设备上下发配置如下：

[H3C-anti-ddos-zone-id-5]dis th                                                

#                                                                              

anti-ddos zone id 5                                                            

 ip-range 20.2.0.1 20.2.0.20                                                   

 syn-flood detection threshold bit-based 10                                    

 ack-flood detection threshold bit-based 10                                    

 syn-ack-flood detection threshold bit-based 10                              

 fingerprint-group apply ip 3   

  https://dmp.h3c.com/sites/tsc/_layouts/15/WopiFrame.aspx?sourcedoc={F78E877F-059B-49FE-83D6-50553FA64FE2}&file=20231013-H3C%20SecPath%20AFC2000-S[M][A][D]%E5%BC%82%E5%B8%B8%E6%B5%81%E9%87%8F%E6%B8%85%E6%B4%97[%E6%A3%80%E6%B5%8B]%E7%B3%BB%E7%BB%9F%E5%BC%80%E5%B1%80%E6%8C%87%E5%AF%BC%E4%B9%A6.pdf&action=default
DMP有相应的开局指导