寬帶流量清洗解決方案

H3C寬帶流量清洗解決方案FAQ說(shuō)明：該文檔主要描述市場(chǎng)人員常見(jiàn)問(wèn)題，而不是用戶(hù)實(shí)際使用中遇到的操作類(lèi)問(wèn)題。H3C寬帶流量清洗解決方案FAQ 11.Q:流量清洗解決什么問(wèn)題? 22.Q:流量清洗可以給運(yùn)營(yíng)商帶來(lái)哪些利益? 23.Q:城域網(wǎng)用戶(hù)為什么需要運(yùn)營(yíng)商提供流量清洗服務(wù)? 24.Q:運(yùn)營(yíng)商哪些地方需要流量清洗? 25.Q:流量清洗的可運(yùn)營(yíng)、可管理的特性體現(xiàn)在哪里? 36.Q:原來(lái)IPS安全寬帶推廣不成功的原因? 37.Q:流量清洗相對(duì)原來(lái)IPS安全寬帶的改進(jìn)? 38.Q:流量清洗的由哪幾部分組成? 39.Q:流量清洗的工作模型 410.Q:如何實(shí)現(xiàn)流量的動(dòng)態(tài)牽引? 411.Q:如何把清洗后的“干凈”流量回注給用戶(hù)? 412.Q:流量清洗的有哪些部署方式 513.Q:城域網(wǎng)有100G的出口帶寬，是否就需要部署100G的流量清洗平臺(tái)?514.Q:H3C流量清洗相對(duì)于Cisco的同類(lèi)產(chǎn)品有哪些優(yōu)勢(shì)? 615.Q:H3C流量清洗相對(duì)于華賽的同類(lèi)產(chǎn)品有哪些優(yōu)勢(shì)? 616.Q:H3C流量清洗相對(duì)于綠盟的同類(lèi)產(chǎn)品有哪些優(yōu)勢(shì)? 617.Q:如何向運(yùn)營(yíng)商推廣流量清洗? 61.Q:流量清洗解決什么問(wèn)題?A:保護(hù)網(wǎng)絡(luò)及服務(wù)器免受DDoS攻擊，具體包括：針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)備及服務(wù)器的流量型DDoS(如UDPFlood、ICMPFlood等);針對(duì)服務(wù)器的資源耗盡型DDoS,如TCPSynFlood、HTTPGetFlood等；對(duì)異常未知攻擊流量的限速；2.Q:流量清洗可以給運(yùn)營(yíng)商帶來(lái)哪些利益?A:1)、城域網(wǎng)安全加固，緩解流量型DDoS攻擊給城域網(wǎng)設(shè)備帶來(lái)的性能壓力；2)、為城域網(wǎng)用戶(hù)提供流量清洗增值業(yè)務(wù)，增加用戶(hù)ARPU值；包括IDC用戶(hù)、網(wǎng)吧、重要大客戶(hù)等。3)、為運(yùn)營(yíng)支撐網(wǎng)絡(luò)(DCN)提供安全加固3.Q:城域網(wǎng)用戶(hù)為什么需要運(yùn)營(yíng)商提供流量清洗服務(wù)?A:1)、對(duì)于流量型DDoS攻擊，城域網(wǎng)用戶(hù)無(wú)法完全防范，或者說(shuō)，如果要完全防御需要付出很大的代價(jià)，增加租賃帶寬，網(wǎng)絡(luò)擴(kuò)容等，相對(duì)于為垃圾流量賣(mài)單；2)、對(duì)于資源耗盡型DDoS攻擊，雖然可以通過(guò)部署IPS等安全產(chǎn)品來(lái)防范，但存在投入大，利用率低等問(wèn)題，自己建設(shè)不合算；3)、DDoS攻擊并不是經(jīng)常發(fā)生的，選擇流量清洗服務(wù)，相當(dāng)于與其他用戶(hù)共同建設(shè)，分?jǐn)偝杀尽?.Q:運(yùn)營(yíng)商哪些地方需要流量清洗?A:1)、城域網(wǎng)，可以部署在城域網(wǎng)省干、本地網(wǎng)；3)、DCN網(wǎng)絡(luò)出口5.Q:流量清洗的可運(yùn)營(yíng)、可管理的特性體現(xiàn)在哪里?A:1)、直觀、易用的圖形化界面，對(duì)檢測(cè)設(shè)備、防御設(shè)備進(jìn)2)、可以為VIP客戶(hù)預(yù)留檢測(cè)資源及防御資源；3)、可以通過(guò)Email或者短信的方式實(shí)現(xiàn)網(wǎng)絡(luò)異常告警服務(wù)。4)、定期為用戶(hù)提供豐富的流量分析報(bào)表5)、攻擊發(fā)生期間，實(shí)時(shí)監(jiān)控攻擊流量的趨勢(shì)及防御效果6)、攻擊結(jié)束后，提供詳細(xì)的攻擊處理報(bào)告6.Q:原來(lái)IPS安全寬帶推廣不成功的原因?A:在去年以IPS為主的安全寬帶解決方案開(kāi)了幾個(gè)局點(diǎn)都不是很成功，最終都沒(méi)有真正用1)、IPS在防DDoS攻擊時(shí)，需要雙向流量都經(jīng)過(guò)IPS,而城域網(wǎng)一般都是多條鏈路負(fù)載分擔(dān)的方式，從技術(shù)上很難保證雙向流量都經(jīng)過(guò)同一臺(tái)IPS,導(dǎo)致DDoS攻擊無(wú)法真正防御；2)、IPS不支持動(dòng)態(tài)路由協(xié)議，無(wú)法實(shí)現(xiàn)流量的動(dòng)態(tài)牽引，即相對(duì)于IPS都是在線的方3)、缺少運(yùn)營(yíng)管理平臺(tái)；7.Q:流量清洗相對(duì)原來(lái)IPS安全寬帶的改進(jìn)?A:1)、流量清洗可以實(shí)現(xiàn)對(duì)城域網(wǎng)流量的“實(shí)時(shí)探測(cè)，按需清洗”,實(shí)現(xiàn)對(duì)單向流的探測(cè)、異常流量動(dòng)態(tài)牽引、清洗等功能，具有部署簡(jiǎn)單、不引入單點(diǎn)故障、不影響正常業(yè)務(wù)等2)、具有符合運(yùn)營(yíng)商運(yùn)營(yíng)、管理需求的業(yè)務(wù)管理平臺(tái)；8.Q:流量清洗的由哪幾部分組成?2)、異常流量清洗平臺(tái)；3)、業(yè)務(wù)管理平臺(tái)；A:流量清洗的工作模型可以總結(jié)成“實(shí)時(shí)探測(cè)，按需清洗”;正常情況下，只是通過(guò)鏡像或者分光的方式把用戶(hù)流量復(fù)制一份到異常流量探測(cè)平臺(tái)進(jìn)行檢測(cè)，在檢測(cè)到流量異?；蛘逥DoS攻擊時(shí)，通過(guò)手工或者自動(dòng)的方式來(lái)開(kāi)啟異常流量清洗平臺(tái)的清洗功能，異常流量清洗平臺(tái)以發(fā)布BGP明細(xì)路由的方式把受攻擊用戶(hù)的流量牽引過(guò)來(lái)，過(guò)濾掉異常流量后，再回注給用戶(hù)。當(dāng)攻擊停止后，異常流量清洗平臺(tái)停止路由的發(fā)布，用戶(hù)的流量不再經(jīng)過(guò)清洗平臺(tái)，網(wǎng)絡(luò)恢復(fù)正常。A:事先與城域網(wǎng)核心路由器建立BGP鄰居關(guān)系，需要對(duì)用戶(hù)流量進(jìn)行清洗時(shí)，把這個(gè)用戶(hù)的IP地址作為一條明細(xì)路由發(fā)布給城域網(wǎng)核心路由器，其下一跳為異常流量清洗平臺(tái)的IP地址，這樣城域網(wǎng)核心路由器上就會(huì)有多條到達(dá)受攻擊用戶(hù)的路由，由于異常流量清洗平臺(tái)發(fā)布的用戶(hù)明細(xì)路由具有精度高(掩碼長(zhǎng))、優(yōu)先級(jí)高等特點(diǎn)，當(dāng)城域網(wǎng)核心路由器收到目的地址為這個(gè)用戶(hù)的報(bào)文時(shí)，會(huì)優(yōu)先選擇這條路由，把報(bào)文發(fā)給異常流量清洗平臺(tái)，從而達(dá)當(dāng)要停止對(duì)用戶(hù)流量的牽引時(shí)，只需要停止明細(xì)路由的發(fā)布就可以了，操作相當(dāng)簡(jiǎn)單；另外，明細(xì)路由是有存活期的，一般為秒級(jí)，在牽引過(guò)程中，清洗平臺(tái)需要不斷地發(fā)布該明細(xì)路由來(lái)維持；如果清洗平臺(tái)出現(xiàn)故障時(shí)，城域網(wǎng)核心路由器就收不到該路由，從而會(huì)走原來(lái)的路由，不再經(jīng)過(guò)清洗平臺(tái)，這種機(jī)制保證了清洗平臺(tái)不會(huì)形成單點(diǎn)故障。11.Q:如何把清洗后的“干凈”流量回注給用戶(hù)?A:如果把清洗后的“干凈”流量簡(jiǎn)單地再通過(guò)原先的線路送回給城域網(wǎng)核心路由器，由于城域網(wǎng)核心路由器存在著清洗平臺(tái)發(fā)布過(guò)去的明細(xì)路由，會(huì)導(dǎo)致城域網(wǎng)核心路由器又把這些策略路由回注方式：在城域網(wǎng)核心路由器上設(shè)置策略路由，使清洗平臺(tái)回送的干凈流量到達(dá)城域網(wǎng)的下一級(jí)設(shè)備中。策略路由的配置可以有多種方式，我們推薦使用基于VLAN子接口的策略路由方式，在城域網(wǎng)核心路由器上設(shè)置多個(gè)VLAN子接口，從每個(gè)VLAN子接口過(guò)來(lái)的流量都能固定流到相對(duì)應(yīng)的匯聚路由器上。這種方式具有對(duì)核心路由器改動(dòng)小，配置工作量少等特點(diǎn)，而且只需要在部署時(shí)一次配好，后續(xù)開(kāi)展業(yè)務(wù)時(shí)不用再改核心路由器上的配置。MPLSVPN回注方式：通過(guò)清洗平臺(tái)與城域網(wǎng)的業(yè)務(wù)路由器上建立MPLSVPN的隧道，清洗后的流量可直接走這條隧道到達(dá)業(yè)務(wù)路由器，業(yè)務(wù)路由器彈出MPLS標(biāo)簽后，再送還給用戶(hù)。GREVPN回注方式：通過(guò)清洗平臺(tái)與探測(cè)平臺(tái)(或者業(yè)務(wù)路由器)之間建立GREVPN隧道，清洗后的流量可直接走這條隧道到達(dá)業(yè)務(wù)路由器，業(yè)務(wù)路由器剝離GRE封裝后，再送還給用戶(hù)。這種方式對(duì)城域網(wǎng)設(shè)備的改動(dòng)是最少的，但成本相對(duì)較高，只適合探測(cè)平臺(tái)部署在匯聚層或者接入層的情況；探測(cè)平臺(tái)支持GREVPN的功能是我們的一大優(yōu)勢(shì)，其他廠家都不多鏈路回注方式：清洗平臺(tái)直接與匯聚路由器直接光纖相連，清洗后的流量直接流到匯聚路由器上。這種方式需要額外占用光纖資源，而且占用較多的城域網(wǎng)匯聚路由器的端口資源。A:1)、異常流量清洗平臺(tái)部署在城域網(wǎng)核心層，而探測(cè)平臺(tái)部署在城域網(wǎng)接入層；2)、異常流量清洗平臺(tái)和探測(cè)平臺(tái)都部署在城域網(wǎng)核心層；3)、異常流量清洗平臺(tái)和探測(cè)平臺(tái)都部署在城域網(wǎng)接入層；A:不需要，城域網(wǎng)的大部分流量都是正常流量，而且同時(shí)好幾個(gè)用戶(hù)同時(shí)發(fā)生DDoS攻擊的概率極小，正常用戶(hù)的流量是不需要經(jīng)過(guò)清洗平臺(tái)處理的。一般情況下，出口帶寬與清洗容量間可以采用10:1的收斂比，如100G的出口帶寬只需要10G的清洗能力；14.Q:H3C流量清洗相對(duì)于Cisco的同類(lèi)產(chǎn)品有哪些優(yōu)勢(shì)?A:1)、H3C具有符合運(yùn)營(yíng)商需求的可運(yùn)營(yíng)可管理的業(yè)務(wù)管理平臺(tái)，而Cisco的管理軟件只能做一些簡(jiǎn)單的設(shè)備管理。2)、H3C異常流量探測(cè)平臺(tái)同時(shí)可以作為VPN網(wǎng)關(guān)，部署起來(lái)比較方便，Cisco不具備15.Q:H3C流量清洗相對(duì)于華賽的同類(lèi)產(chǎn)品有哪些優(yōu)勢(shì)?A:1)、華賽直接用E8040、E8080設(shè)備作為清洗設(shè)備，清洗能力最高只能達(dá)到3Gbps,擴(kuò)展性較差，而H3C一個(gè)機(jī)框最高可支持20Gbps的清洗能力；2)、華賽的異常流量探測(cè)平臺(tái)需要對(duì)雙向報(bào)文都進(jìn)行探測(cè)，而H3C支持單向報(bào)文探測(cè)，部署較為簡(jiǎn)單，而且由于少處理一半的流量，性能能夠做得較高；3)、H3C異常流量探測(cè)平臺(tái)同時(shí)可以作為VPN網(wǎng)關(guān)，部署起來(lái)比較方便，華賽不具備16.Q:H3C流量清洗相對(duì)于綠盟的同類(lèi)產(chǎn)品有哪些優(yōu)勢(shì)?A:1)、H3C可以支持千兆、萬(wàn)兆以太接口及POS接口，接口數(shù)量可以達(dá)到幾十個(gè)，而綠盟只支持千兆接口，而且接口數(shù)量少，其最高端的4000D也只能支持8個(gè)千兆口，2)、綠盟最高端的4000D清洗設(shè)備只能應(yīng)對(duì)3Gbps以下的攻擊流量，性能較低，而H3C可以單機(jī)框可以支持20Gbps的攻擊流量清洗；3)、H3C流量牽引、回注可以共用一個(gè)接口，而綠盟需要用不同的接口，需要額外占用城域網(wǎng)寶貴的端口資源(核心路由器的每接口的價(jià)格都在10萬(wàn)以上)4)、H3C可