宽带流量清洗解决方案

H3C宽带流量清洗解决方案FAQ说明：该文档主要描述市场人员常见问题，而不是用户实际使用中遇到的操作类问题。H3C宽带流量清洗解决方案FAQ 11.Q:流量清洗解决什么问题? 22.Q:流量清洗可以给运营商带来哪些利益? 23.Q:城域网用户为什么需要运营商提供流量清洗服务? 24.Q:运营商哪些地方需要流量清洗? 25.Q:流量清洗的可运营、可管理的特性体现在哪里? 36.Q:原来IPS安全宽带推广不成功的原因? 37.Q:流量清洗相对原来IPS安全宽带的改进? 38.Q:流量清洗的由哪几部分组成? 39.Q:流量清洗的工作模型 410.Q:如何实现流量的动态牵引? 411.Q:如何把清洗后的“干净”流量回注给用户? 412.Q:流量清洗的有哪些部署方式 513.Q:城域网有100G的出口带宽，是否就需要部署100G的流量清洗平台?514.Q:H3C流量清洗相对于Cisco的同类产品有哪些优势? 615.Q:H3C流量清洗相对于华赛的同类产品有哪些优势? 616.Q:H3C流量清洗相对于绿盟的同类产品有哪些优势? 617.Q:如何向运营商推广流量清洗? 61.Q:流量清洗解决什么问题?A:保护网络及服务器免受DDoS攻击，具体包括：针对网络基础设备及服务器的流量型DDoS(如UDPFlood、ICMPFlood等);针对服务器的资源耗尽型DDoS,如TCPSynFlood、HTTPGetFlood等；对异常未知攻击流量的限速；2.Q:流量清洗可以给运营商带来哪些利益?A:1)、城域网安全加固，缓解流量型DDoS攻击给城域网设备带来的性能压力；2)、为城域网用户提供流量清洗增值业务，增加用户ARPU值；包括IDC用户、网吧、重要大客户等。3)、为运营支撑网络(DCN)提供安全加固3.Q:城域网用户为什么需要运营商提供流量清洗服务?A:1)、对于流量型DDoS攻击，城域网用户无法完全防范，或者说，如果要完全防御需要付出很大的代价，增加租赁带宽，网络扩容等，相对于为垃圾流量卖单；2)、对于资源耗尽型DDoS攻击，虽然可以通过部署IPS等安全产品来防范，但存在投入大，利用率低等问题，自己建设不合算；3)、DDoS攻击并不是经常发生的，选择流量清洗服务，相当于与其他用户共同建设，分摊成本。4.Q:运营商哪些地方需要流量清洗?A:1)、城域网，可以部署在城域网省干、本地网；3)、DCN网络出口5.Q:流量清洗的可运营、可管理的特性体现在哪里?A:1)、直观、易用的图形化界面，对检测设备、防御设备进2)、可以为VIP客户预留检测资源及防御资源；3)、可以通过Email或者短信的方式实现网络异常告警服务。4)、定期为用户提供丰富的流量分析报表5)、攻击发生期间，实时监控攻击流量的趋势及防御效果6)、攻击结束后，提供详细的攻击处理报告6.Q:原来IPS安全宽带推广不成功的原因?A:在去年以IPS为主的安全宽带解决方案开了几个局点都不是很成功，最终都没有真正用1)、IPS在防DDoS攻击时，需要双向流量都经过IPS,而城域网一般都是多条链路负载分担的方式，从技术上很难保证双向流量都经过同一台IPS,导致DDoS攻击无法真正防御；2)、IPS不支持动态路由协议，无法实现流量的动态牵引，即相对于IPS都是在线的方3)、缺少运营管理平台；7.Q:流量清洗相对原来IPS安全宽带的改进?A:1)、流量清洗可以实现对城域网流量的“实时探测，按需清洗”,实现对单向流的探测、异常流量动态牵引、清洗等功能，具有部署简单、不引入单点故障、不影响正常业务等2)、具有符合运营商运营、管理需求的业务管理平台；8.Q:流量清洗的由哪几部分组成?2)、异常流量清洗平台；3)、业务管理平台；A:流量清洗的工作模型可以总结成“实时探测，按需清洗”;正常情况下，只是通过镜像或者分光的方式把用户流量复制一份到异常流量探测平台进行检测，在检测到流量异常或者DDoS攻击时，通过手工或者自动的方式来开启异常流量清洗平台的清洗功能，异常流量清洗平台以发布BGP明细路由的方式把受攻击用户的流量牵引过来，过滤掉异常流量后，再回注给用户。当攻击停止后，异常流量清洗平台停止路由的发布，用户的流量不再经过清洗平台，网络恢复正常。A:事先与城域网核心路由器建立BGP邻居关系，需要对用户流量进行清洗时，把这个用户的IP地址作为一条明细路由发布给城域网核心路由器，其下一跳为异常流量清洗平台的IP地址，这样城域网核心路由器上就会有多条到达受攻击用户的路由，由于异常流量清洗平台发布的用户明细路由具有精度高(掩码长)、优先级高等特点，当城域网核心路由器收到目的地址为这个用户的报文时，会优先选择这条路由，把报文发给异常流量清洗平台，从而达当要停止对用户流量的牵引时，只需要停止明细路由的发布就可以了，操作相当简单；另外，明细路由是有存活期的，一般为秒级，在牵引过程中，清洗平台需要不断地发布该明细路由来维持；如果清洗平台出现故障时，城域网核心路由器就收不到该路由，从而会走原来的路由，不再经过清洗平台，这种机制保证了清洗平台不会形成单点故障。11.Q:如何把清洗后的“干净”流量回注给用户?A:如果把清洗后的“干净”流量简单地再通过原先的线路送回给城域网核心路由器，由于城域网核心路由器存在着清洗平台发布过去的明细路由，会导致城域网核心路由器又把这些策略路由回注方式：在城域网核心路由器上设置策略路由，使清洗平台回送的干净流量到达城域网的下一级设备中。策略路由的配置可以有多种方式，我们推荐使用基于VLAN子接口的策略路由方式，在城域网核心路由器上设置多个VLAN子接口，从每个VLAN子接口过来的流量都能固定流到相对应的汇聚路由器上。这种方式具有对核心路由器改动小，配置工作量少等特点，而且只需要在部署时一次配好，后续开展业务时不用再改核心路由器上的配置。MPLSVPN回注方式：通过清洗平台与城域网的业务路由器上建立MPLSVPN的隧道，清洗后的流量可直接走这条隧道到达业务路由器，业务路由器弹出MPLS标签后，再送还给用户。GREVPN回注方式：通过清洗平台与探测平台(或者业务路由器)之间建立GREVPN隧道，清洗后的流量可直接走这条隧道到达业务路由器，业务路由器剥离GRE封装后，再送还给用户。这种方式对城域网设备的改动是最少的，但成本相对较高，只适合探测平台部署在汇聚层或者接入层的情况；探测平台支持GREVPN的功能是我们的一大优势，其他厂家都不多链路回注方式：清洗平台直接与汇聚路由器直接光纤相连，清洗后的流量直接流到汇聚路由器上。这种方式需要额外占用光纤资源，而且占用较多的城域网汇聚路由器的端口资源。A:1)、异常流量清洗平台部署在城域网核心层，而探测平台部署在城域网接入层；2)、异常流量清洗平台和探测平台都部署在城域网核心层；3)、异常流量清洗平台和探测平台都部署在城域网接入层；A:不需要，城域网的大部分流量都是正常流量，而且同时好几个用户同时发生DDoS攻击的概率极小，正常用户的流量是不需要经过清洗平台处理的。一般情况下，出口带宽与清洗容量间可以采用10:1的收敛比，如100G的出口带宽只需要10G的清洗能力；14.Q:H3C流量清洗相对于Cisco的同类产品有哪些优势?A:1)、H3C具有符合运营商需求的可运营可管理的业务管理平台，而Cisco的管理软件只能做一些简单的设备管理。2)、H3C异常流量探测平台同时可以作为VPN网关，部署起来比较方便，Cisco不具备15.Q:H3C流量清洗相对于华赛的同类产品有哪些优势?A:1)、华赛直接用E8040、E8080设备作为清洗设备，清洗能力最高只能达到3Gbps,扩展性较差，而H3C一个机框最高可支持20Gbps的清洗能力；2)、华赛的异常流量探测平台需要对双向报文都进行探测，而H3C支持单向报文探测，部署较为简单，而且由于少处理一半的流量，性能能够做得较高；3)、H3C异常流量探测平台同时可以作为VPN网关，部署起来比较方便，华赛不具备16.Q:H3C流量清洗相对于绿盟的同类产品有哪些优势?A:1)、H3C可以支持千兆、万兆以太接口及POS接口，接口数量可以达到几十个，而绿盟只支持千兆接口，而且接口数量少，其最高端的4000D也只能支持8个千兆口，2)、绿盟最高端的4000D清洗设备只能应对3Gbps以下的攻击流量，性能较低，而H3C可以单机框可以支持20Gbps的攻击流量清洗；3)、H3C流量牵引、回注可以共用一个接口，而绿盟需要用不同的接口，需要额外占用城域网宝贵的端口资源(核心路由器的每接口的价格都在10万以上)4)、H3C可