中国移动省网异常流量防护指导方案

1、知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）百度一下知识水坝省网异常流量防护指导方案省网异常流量防护指导方案 文档编号文档编号请输入文档编号 密级密级请输入文档密级 版本编号版本编号1.1 日期日期2010-06-25 知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）百度一下知识水坝目录目录一、项目概述 .1二、现状分析 .1三、设备部署逻辑拓扑.2四、路由策略设计.34.1.牵引路由设计 .34.2.注入路由设计 .4五、流量检测设计.45.1.netflow配置.45.2.nta 部署 .5六、ads-m 部署.5七、内网网管部署.5八、物理层对

2、接 .6九、设备命名及 ip 地址分配.99.1.设备命名表 .99.2.ip 地址.9十、路由部署 .1110.1.牵引路由.1110.2.注入路由.1210.2.1 ads 注入路由配置.1210.2.2 t640 注入路由配置.26十一、部署测试.26一、一、项目概述项目概述在全球运营商市场竞争日趋激烈的格局下，如何通过优质的差异化服务获得客户认可，在全球运营商市场竞争日趋激烈的格局下，如何通过优质的差异化服务获得客户认可，从而获得竞争优势、开拓市场空间、扩大市场份额，成为运营商成功与否的关键。从而获得竞争优势、开拓市场空间、扩大市场份额，成为运营商成功与否的关键。目前，ddos 攻击已

3、经逐渐成为了互联网中最常见、危害性最大的攻击形式之一。ddos 攻击不但能够给各类互联网用户和服务提供商造成业务中断、系统瘫痪等严重后果，同时也严重威胁中国移动的基础设施。由于商业竞争、政治情绪、经济勒索等因素的驱动，ddos 攻击越来越呈现出组织化、规模化、专业化的特点，攻击流量动辄数 g、数十 g，攻击频率也大有愈演愈烈之势。在这种紧迫形势下，配合中国移动北京公司当前的转型战略，建设专门的 ddos 攻击流量监测和清洗平台是一个必然之选。基于该平台，一方面可以为移动自身的生产网络提供安全保障，有效提高生产网络的健壮性；另一方面能够结合移动大客户的安全需求提供 ddos 攻击的防护业务，从而

4、达到保存激增的目的。此次中国移动北京公司网络流量监测清洗项目建设目标对途经 cmnet 北京省网核心层的异常流量（ddos）进行流量清洗，同时不影响或较少影响正常的业务运营，并根据异常情况生成实时和时段的异常报表。二、二、现状分析现状分析北京移动在 cmnet 网络出口改造后，出口兼核心的四台 t640 路由器分别部署在望京、菜市口两个局址，以口字型互联，t640 在两局址间通过 10g*2 的数据传输互联。每台核心路由器均通过一条 10ge 链路上连至 cmnet 骨干；每个局址的自有业务通过本地一对 m320 接入，两台 m320 与本地的两台 t640 组成口字型结构；四台 mx960

5、作为sr 与望京、菜市口两个局址中各一台 t640 相连，承担宽带及专线用户的接入。北京移动 cmnet 内部的互联路由及业务路由全部通过 igp 承载，在核心层通过 bgp发布到 cment 骨干上。三、三、设备部署逻辑拓扑设备部署逻辑拓扑为增加北京移动 cmnet 网络的抗 ddos 攻击能力，按照 ddos 防护基本思路，将防护设备ads 集群部署于靠近出口的位置，考虑到在实现预期功能的前提下尽量减小在部署中对北京移动原有网络配置的影响，将 ads 集群旁路部署在北京移动核心路由器 t640 上，本项目中共两组 ads 集群，在望京、菜市口两个局址各部署一组，分别与本地两的两台t640

6、通过 10ge 链路互联，通过 ibgp 对进入北京移动网络的流量进行牵引过滤，再将清洗后的流量回送至 t640 后转发到目标网络。 为对进入北京移动的流量进行检测，将两台 nta 部署于北京移动 cmnet 网络内，通过 netflow 对网络中的特定流量进行采样并进行分析，对各种异常流量产生告警，并可根据需要通告 ads 集群对异常流量进行牵引过滤。 逻辑部署拓扑图见下图：图 1.1 北京移动 cmnet 网络 ads 部署逻辑拓扑四、四、路由策略设计路由策略设计ads 在对流量进行牵引及回注时均涉及到路由器上的路由配置变更，以下将对部署过程中需要的配置进行说明。4.1.牵引路由设计牵引路

7、由设计为使异常流量通过 ads 设备进行清洗，需要 ads 通过动态路由协议将牵引路由发送到t640 上，使 t640 将需要牵引的流量送到 ads。考虑牵引使用的路由协议需要较强的控制性及网络资源的申请及分配问题，使用 ibgp协议对 t640 进行牵引路由通告。在 ads 上通过 loopback 地址与核心层四台 t640 分别建立 ibgp 邻居关系；关闭 t640 上的 ibgp 路由同步，以使 ibgp 牵引路由有效；进行牵引路由通告时携带 no-advertise 属性，将牵引路由限制在核心层，避免对北京移动原有网络产生不必要的影响由于 ads 在清洗过程中需要与客户进行通讯以便

8、验证客户访问的合法性，即客户 a 访问被保护业务 x 时的流量在牵引后始终要经过同一组 ads 清洗设备；现网中考虑路由改造、维护及链路利用率等因素，回城路由采用基于等价路由的负载均衡设计，为保证 ads 在现网环境中可正常工作，对每个目标 ip 仅由一组 ads 通告牵引路由，以保证各客户端到达目标 ip 的流量由同一组 ads 处理。4.2.注入路由设计注入路由设计在 ads 对流量进行清洗后需要回送到 t640 上，为避免 ads 回注的清洁流量受牵引路由影响再次被牵引形成路由环路，需保证回注流量在 t640 上路由或转发时使用优先级高于全局路由表的路由或转发策略。可通过在 t640 的

9、回注子接口上设置路由转发策略，仅根据 igp 表项进行路由转发，保证 t640 可将清洗后的流量继续转发到下一层路由器（m320、mx960），避免 ads 的注入流量受牵引路由影响再次被牵引清洗。由于 t640 处理 ads 回注流量时根据 igp 表项进行路由转发，需保证 ads 回注流量送达的路由器上目标 ip 的 igp 路由直接指向下一层路由器，即要求 ads 根据目标 ip 的分布情况将流量回注到正确的 t640 上。五、五、流量检测设计流量检测设计为对北京移动 cmnet 的流量进行监控检测是否流量有异常情况，可在 t640 的上联口上开启 flow 采样，对由 cmnet 骨干

10、进入城域网的流量进行检测。5.1.netflow 配置配置在核心路由器 t640 上配置 netflow 采样对由 cmnet 骨干进入城域网的流量进行采样，将flow 发送到两台 nta 供检测分析。考虑到采样的效率和检测效果，建议采用 1:1000 的采样比率。5.2.nta 部署部署本项目中共有两台 nta 对流量进行采样分析，两台 nta 以主备方式工作，同时接收flow 数据，由主 nta 对流量进行分析，如需配合 ads 自动牵引也由主 nta 向 ads 进行通告。六、六、ads-m 部署部署ads-m 分为数据存储及 portal 两部分，数据存储部署于内网交换机上，porta

11、l 的管理口与数据网管防火墙连接，portal 的 e1 口通过数据整合交换机接入 m320 对外提供服务。七、七、内网网管部署内网网管部署除 ads-m portal 外所有设备管理口均与本局址的内网管理交换机 cisco 3560 相连，菜市口局址的 cisco3560 通过数据网管防火墙接入网管系统，两台 cisco 3560 间通过三层路由通讯。ads-m portal 管理口与数据网管防火墙连接，与管理内网的 ads-m data 通讯。八、八、物理层对接物理层对接物理连接方式：物理连接方式：端端 1描述描述端口类型端口类型端端 2描述描述端口类型端口类型连接介质连接介质长度长度备注

12、备注望京 ads man config管理口1000base-tx望京c3560望京内网网管交换机1000base-tx1000base-tm望京 ads man t1牵引回注接口xfp-10ge-lx10-sm1310wj-t640-01 xe-0/2/0望京cmnet核心交换机xfp-10g-lr10gbase-lr/lwsmf, lc-lcm望京 ads man t2牵引回注接口xfp-10ge-lx10-sm1310wj-t640-02 xe-0/2/0望京cmnet核心交换机xfp-10g-lr10gbase-lr/lwsmf, lc-lcm望京 ads man e1集群通讯口100

13、0base-tx望京ads slave a e1集群通讯口1000base-tx1000base-tm望京 ads man e2集群通讯口1000base-tx望京ads slave b e1集群通讯口1000base-tx1000base-tm望京 ads man f1-f4集群数据通道sfp-ge-sx550-mm850望京ads slave a f1-f4集群数据通道sfp-ge-sx550-mm8501000base-sxmmf, lc-lcm望京 ads man f5-f8集群数据通道sfp-ge-sx550-mm850望京ads slave b f5-f8集群数据通道sfp-ge-

14、sx550-mm8501000base-sxmmf, lc-lcm望京 nta config管理口1000base-tx望京c3560望京内网网管交换机1000base-tx1000base-tm望京 nta ext1flow接收口1000base-tx望京m320-02 fe-1/1/2望京cmnet内网业务汇聚1000base-tx1000base-tm交换机望京c3560互联传输1000base-tx互联传输1000base-tx1000base-t菜市口ads man config管理口1000base-tx菜市口c3560菜市口内网网管交换机1000base-tx1000base-t

15、m菜市口 ads man t1牵引回注接口xfp-10ge-lx10-sm1310csk-t640-01 xe-0/2/0菜市口cmnet核心交换机xfp-10g-lr10gbase-lr/lwsmf, lc-lcm菜市口 ads man t2牵引回注接口xfp-10ge-lx10-sm1310csk-t640-02 xe-0/2/0菜市口cmnet核心交换机xfp-10g-lr10gbase-lr/lwsmf, lc-lcm菜市口ads man e1集群通讯口1000base-tx菜市口ads slave a e1集群通讯口1000base-tx1000base-tm菜市口ads man e

16、2集群通讯口1000base-tx菜市口ads slave b e1集群通讯口1000base-tx1000base-tm菜市口ads man f1-f4集群数据通道sfp-ge-sx550-mm850菜市口ads slave a f1-f4集群数据通道sfp-ge-sx550-mm8501000base-sxmmf, lc-lcm菜市口ads man f5-f8集群数据通道sfp-ge-sx550-mm850菜市口ads slave b f5-f8集群数据通道sfp-ge-sx550-mm8501000base-sxmmf, lc-lcm菜市口nta config管理口1000base-tx

17、菜市口 c 3560内网网管交换机1000base-tx1000base-tm菜市口nta ext1flow接收口1000base-tx菜市口m320-02 fe-1/1/2菜市口cmnet内网业务汇聚交换机1000base-tx1000base-tm菜市口ads-m data config管理口1000base-tx菜市口 c 3560菜市口内网网管交换机1000base-tx1000base-tm菜市口ads-m portal config管理口1000base-tx菜市口fw菜市口网管网fw1000base-tx1000base-tm菜市口ads-m portal e1portal业务接

18、入1000base-tx菜市口c3560菜市口整合网接入1000base-tx1000base-tm菜市口c3560, fa 0/22数据网管网接入1000base-tx菜市口数据网管fw菜市口数据网管接入1000base-tx1000base-tm菜市口c3560, fa整合网接入1000base-tx菜市口整合网交换机 8508-01菜市口整合网接入交换机1000base-tx1000base-tm菜市口c3560, fa整合网接入1000base-tx菜市口整合网交换机 8508-02菜市口整合网接入交换机1000base-tx1000base-tm菜市口c3560 fa 0/23互联传

19、输1000base-tx互联传输1000base-tx1000base-tm九、九、设备命名及设备命名及 ip 地址分配地址分配9.1.设备命名表设备命名表序号序号名称名称描述描述望京望京1bjwj-pb-cmnet-ads-01ads 集群主设备2bjwj-pb-cmnet-ads 集群 slave aads-023bjwj-pb-cmnet-ads-03ads 集群 slave b4bjwj-pb-cmnet-ntanta5bjwj-pb-cmnet-ads-c3560内网网管交换机菜市口菜市口1bjcsk-pb-cmnet-ads-01ads 集群主设备2bjcsk-pb-cmnet-ads-02ads 集群 slave a3bjcsk-pb-cmnet-ads-03ads 集群 slave b4bjcsk-pb-cmnet-ntanta5bjcsk-pb-cmnet-adsm-dataads-m 数据存储6bjcsk-pb-cmnet-adsm-portalads-m protal7bjcsk-pb-cmnet-ads-c3560内网网管交换机网络设备命名表9.2.ip 地址地址ip 地址、设备名称、网卡对照表：内网管理地址在望京、菜市口使用两个网段，望京侧需要 6 个 ip，菜市口需要