寬帶流量清洗解決方案

H3C寬帶流量清洗解決方案FAQ說明：該文檔主要描述市場人員常見問題，而不是用戶實(shí)際使用中遇到的操作類問題。H3C寬帶流量清洗解決方案FAQ 11.Q:流量清洗解決什么問題? 22.Q:流量清洗可以給運(yùn)營商帶來哪些利益? 23.Q:城域網(wǎng)用戶為什么需要運(yùn)營商提供流量清洗服務(wù)? 24.Q:運(yùn)營商哪些地方需要流量清洗? 25.Q:流量清洗的可運(yùn)營、可管理的特性體現(xiàn)在哪里? 36.Q:原來IPS安全寬帶推廣不成功的原因? 37.Q:流量清洗相對原來IPS安全寬帶的改進(jìn)? 38.Q:流量清洗的由哪幾部分組成? 39.Q:流量清洗的工作模型 410.Q:如何實(shí)現(xiàn)流量的動(dòng)態(tài)牽引? 411.Q:如何把清洗后的“干凈”流量回注給用戶? 412.Q:流量清洗的有哪些部署方式 513.Q:城域網(wǎng)有100G的出口帶寬，是否就需要部署100G的流量清洗平臺?514.Q:H3C流量清洗相對于Cisco的同類產(chǎn)品有哪些優(yōu)勢? 615.Q:H3C流量清洗相對于華賽的同類產(chǎn)品有哪些優(yōu)勢? 616.Q:H3C流量清洗相對于綠盟的同類產(chǎn)品有哪些優(yōu)勢? 617.Q:如何向運(yùn)營商推廣流量清洗? 61.Q:流量清洗解決什么問題?A:保護(hù)網(wǎng)絡(luò)及服務(wù)器免受DDoS攻擊，具體包括：針對網(wǎng)絡(luò)基礎(chǔ)設(shè)備及服務(wù)器的流量型DDoS(如UDPFlood、ICMPFlood等);針對服務(wù)器的資源耗盡型DDoS,如TCPSynFlood、HTTPGetFlood等；對異常未知攻擊流量的限速；2.Q:流量清洗可以給運(yùn)營商帶來哪些利益?A:1)、城域網(wǎng)安全加固，緩解流量型DDoS攻擊給城域網(wǎng)設(shè)備帶來的性能壓力；2)、為城域網(wǎng)用戶提供流量清洗增值業(yè)務(wù)，增加用戶ARPU值；包括IDC用戶、網(wǎng)吧、重要大客戶等。3)、為運(yùn)營支撐網(wǎng)絡(luò)(DCN)提供安全加固3.Q:城域網(wǎng)用戶為什么需要運(yùn)營商提供流量清洗服務(wù)?A:1)、對于流量型DDoS攻擊，城域網(wǎng)用戶無法完全防范，或者說，如果要完全防御需要付出很大的代價(jià)，增加租賃帶寬，網(wǎng)絡(luò)擴(kuò)容等，相對于為垃圾流量賣單；2)、對于資源耗盡型DDoS攻擊，雖然可以通過部署IPS等安全產(chǎn)品來防范，但存在投入大，利用率低等問題，自己建設(shè)不合算；3)、DDoS攻擊并不是經(jīng)常發(fā)生的，選擇流量清洗服務(wù)，相當(dāng)于與其他用戶共同建設(shè)，分?jǐn)偝杀尽?.Q:運(yùn)營商哪些地方需要流量清洗?A:1)、城域網(wǎng)，可以部署在城域網(wǎng)省干、本地網(wǎng)；3)、DCN網(wǎng)絡(luò)出口5.Q:流量清洗的可運(yùn)營、可管理的特性體現(xiàn)在哪里?A:1)、直觀、易用的圖形化界面，對檢測設(shè)備、防御設(shè)備進(jìn)2)、可以為VIP客戶預(yù)留檢測資源及防御資源；3)、可以通過Email或者短信的方式實(shí)現(xiàn)網(wǎng)絡(luò)異常告警服務(wù)。4)、定期為用戶提供豐富的流量分析報(bào)表5)、攻擊發(fā)生期間，實(shí)時(shí)監(jiān)控攻擊流量的趨勢及防御效果6)、攻擊結(jié)束后，提供詳細(xì)的攻擊處理報(bào)告6.Q:原來IPS安全寬帶推廣不成功的原因?A:在去年以IPS為主的安全寬帶解決方案開了幾個(gè)局點(diǎn)都不是很成功，最終都沒有真正用1)、IPS在防DDoS攻擊時(shí)，需要雙向流量都經(jīng)過IPS,而城域網(wǎng)一般都是多條鏈路負(fù)載分擔(dān)的方式，從技術(shù)上很難保證雙向流量都經(jīng)過同一臺IPS,導(dǎo)致DDoS攻擊無法真正防御；2)、IPS不支持動(dòng)態(tài)路由協(xié)議，無法實(shí)現(xiàn)流量的動(dòng)態(tài)牽引，即相對于IPS都是在線的方3)、缺少運(yùn)營管理平臺；7.Q:流量清洗相對原來IPS安全寬帶的改進(jìn)?A:1)、流量清洗可以實(shí)現(xiàn)對城域網(wǎng)流量的“實(shí)時(shí)探測，按需清洗”,實(shí)現(xiàn)對單向流的探測、異常流量動(dòng)態(tài)牽引、清洗等功能，具有部署簡單、不引入單點(diǎn)故障、不影響正常業(yè)務(wù)等2)、具有符合運(yùn)營商運(yùn)營、管理需求的業(yè)務(wù)管理平臺；8.Q:流量清洗的由哪幾部分組成?2)、異常流量清洗平臺；3)、業(yè)務(wù)管理平臺；A:流量清洗的工作模型可以總結(jié)成“實(shí)時(shí)探測，按需清洗”;正常情況下，只是通過鏡像或者分光的方式把用戶流量復(fù)制一份到異常流量探測平臺進(jìn)行檢測，在檢測到流量異?；蛘逥DoS攻擊時(shí)，通過手工或者自動(dòng)的方式來開啟異常流量清洗平臺的清洗功能，異常流量清洗平臺以發(fā)布BGP明細(xì)路由的方式把受攻擊用戶的流量牽引過來，過濾掉異常流量后，再回注給用戶。當(dāng)攻擊停止后，異常流量清洗平臺停止路由的發(fā)布，用戶的流量不再經(jīng)過清洗平臺，網(wǎng)絡(luò)恢復(fù)正常。A:事先與城域網(wǎng)核心路由器建立BGP鄰居關(guān)系，需要對用戶流量進(jìn)行清洗時(shí)，把這個(gè)用戶的IP地址作為一條明細(xì)路由發(fā)布給城域網(wǎng)核心路由器，其下一跳為異常流量清洗平臺的IP地址，這樣城域網(wǎng)核心路由器上就會有多條到達(dá)受攻擊用戶的路由，由于異常流量清洗平臺發(fā)布的用戶明細(xì)路由具有精度高(掩碼長)、優(yōu)先級高等特點(diǎn)，當(dāng)城域網(wǎng)核心路由器收到目的地址為這個(gè)用戶的報(bào)文時(shí)，會優(yōu)先選擇這條路由，把報(bào)文發(fā)給異常流量清洗平臺，從而達(dá)當(dāng)要停止對用戶流量的牽引時(shí)，只需要停止明細(xì)路由的發(fā)布就可以了，操作相當(dāng)簡單；另外，明細(xì)路由是有存活期的，一般為秒級，在牽引過程中，清洗平臺需要不斷地發(fā)布該明細(xì)路由來維持；如果清洗平臺出現(xiàn)故障時(shí)，城域網(wǎng)核心路由器就收不到該路由，從而會走原來的路由，不再經(jīng)過清洗平臺，這種機(jī)制保證了清洗平臺不會形成單點(diǎn)故障。11.Q:如何把清洗后的“干凈”流量回注給用戶?A:如果把清洗后的“干凈”流量簡單地再通過原先的線路送回給城域網(wǎng)核心路由器，由于城域網(wǎng)核心路由器存在著清洗平臺發(fā)布過去的明細(xì)路由，會導(dǎo)致城域網(wǎng)核心路由器又把這些策略路由回注方式：在城域網(wǎng)核心路由器上設(shè)置策略路由，使清洗平臺回送的干凈流量到達(dá)城域網(wǎng)的下一級設(shè)備中。策略路由的配置可以有多種方式，我們推薦使用基于VLAN子接口的策略路由方式，在城域網(wǎng)核心路由器上設(shè)置多個(gè)VLAN子接口，從每個(gè)VLAN子接口過來的流量都能固定流到相對應(yīng)的匯聚路由器上。這種方式具有對核心路由器改動(dòng)小，配置工作量少等特點(diǎn)，而且只需要在部署時(shí)一次配好，后續(xù)開展業(yè)務(wù)時(shí)不用再改核心路由器上的配置。MPLSVPN回注方式：通過清洗平臺與城域網(wǎng)的業(yè)務(wù)路由器上建立MPLSVPN的隧道，清洗后的流量可直接走這條隧道到達(dá)業(yè)務(wù)路由器，業(yè)務(wù)路由器彈出MPLS標(biāo)簽后，再送還給用戶。GREVPN回注方式：通過清洗平臺與探測平臺(或者業(yè)務(wù)路由器)之間建立GREVPN隧道，清洗后的流量可直接走這條隧道到達(dá)業(yè)務(wù)路由器，業(yè)務(wù)路由器剝離GRE封裝后，再送還給用戶。這種方式對城域網(wǎng)設(shè)備的改動(dòng)是最少的，但成本相對較高，只適合探測平臺部署在匯聚層或者接入層的情況；探測平臺支持GREVPN的功能是我們的一大優(yōu)勢，其他廠家都不多鏈路回注方式：清洗平臺直接與匯聚路由器直接光纖相連，清洗后的流量直接流到匯聚路由器上。這種方式需要額外占用光纖資源，而且占用較多的城域網(wǎng)匯聚路由器的端口資源。A:1)、異常流量清洗平臺部署在城域網(wǎng)核心層，而探測平臺部署在城域網(wǎng)接入層；2)、異常流量清洗平臺和探測平臺都部署在城域網(wǎng)核心層；3)、異常流量清洗平臺和探測平臺都部署在城域網(wǎng)接入層；A:不需要，城域網(wǎng)的大部分流量都是正常流量，而且同時(shí)好幾個(gè)用戶同時(shí)發(fā)生DDoS攻擊的概率極小，正常用戶的流量是不需要經(jīng)過清洗平臺處理的。一般情況下，出口帶寬與清洗容量間可以采用10:1的收斂比，如100G的出口帶寬只需要10G的清洗能力；14.Q:H3C流量清洗相對于Cisco的同類產(chǎn)品有哪些優(yōu)勢?A:1)、H3C具有符合運(yùn)營商需求的可運(yùn)營可管理的業(yè)務(wù)管理平臺，而Cisco的管理軟件只能做一些簡單的設(shè)備管理。2)、H3C異常流量探測平臺同時(shí)可以作為VPN網(wǎng)關(guān)，部署起來比較方便，Cisco不具備15.Q:H3C流量清洗相對于華賽的同類產(chǎn)品有哪些優(yōu)勢?A:1)、華賽直接用E8040、E8080設(shè)備作為清洗設(shè)備，清洗能力最高只能達(dá)到3Gbps,擴(kuò)展性較差，而H3C一個(gè)機(jī)框最高可支持20Gbps的清洗能力；2)、華賽的異常流量探測平臺需要對雙向報(bào)文都進(jìn)行探測，而H3C支持單向報(bào)文探測，部署較為簡單，而且由于少處理一半的流量，性能能夠做得較高；3)、H3C異常流量探測平臺同時(shí)可以作為VPN網(wǎng)關(guān)，部署起來比較方便，華賽不具備16.Q:H3C流量清洗相對于綠盟的同類產(chǎn)品有哪些優(yōu)勢?A:1)、H3C可以支持千兆、萬兆以太接口及POS接口，接口數(shù)量可以達(dá)到幾十個(gè)，而綠盟只支持千兆接口，而且接口數(shù)量少，其最高端的4000D也只能支持8個(gè)千兆口，2)、綠盟最高端的4000D清洗設(shè)備只能應(yīng)對3Gbps以下的攻擊流量，性能較低，而H3C可以單機(jī)框可以支持20Gbps的攻擊流量清洗；3)、H3C流量牽引、回注可以共用一個(gè)接口，而綠盟需要用不同的接口，需要額外占用城域網(wǎng)寶貴的端口資源(核心路由器的每接口的價(jià)格都在10萬以上)4)、H3C可