中国移动省网异常流量防护指导方案.doc

知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除） 百度一下“知识水坝“ 省网异常流量防护指导方案省网异常流量防护指导方案 文档编号文档编号 请输入文档编号 密级密级 请输入文档密级 版本编号版本编号1.1 日期日期2010-06-25 知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除） 百度一下“知识水坝“ 目录目录 一、项目概述 .1 二、现状分析 .1 三、设备部署逻辑拓扑2 四、路由策略设计3 4.1.牵引路由设计 .3 4.2.注入路由设计 .4 五、流量检测设计4 5.1.netflow配置.4 5.2.nta 部署 .5 六、ads-m 部署.5 七、内网网管部署5 八、物理层对接 .6 九、设备命名及 ip 地址分配.9 9.1.设备命名表 .9 9.2.ip 地址.9 十、路由部署 .11 10.1.牵引路由.11 10.2.注入路由.12 10.2.1 ads 注入路由配置.12 10.2.2 t640 注入路由配置26 十一、部署测试.26 一、一、项目概述项目概述 在全球运营商市场竞争日趋激烈的格局下，如何通过优质的差异化服务获得客户认可，在全球运营商市场竞争日趋激烈的格局下，如何通过优质的差异化服务获得客户认可， 从而获得竞争优势、开拓市场空间、扩大市场份额，成为运营商成功与否的关键。从而获得竞争优势、开拓市场空间、扩大市场份额，成为运营商成功与否的关键。 目前，ddos 攻击已经逐渐成为了互联网中最常见、危害性最大的攻击形式之一。 ddos 攻击不但能够给各类互联网用户和服务提供商造成业务中断、系统瘫痪等严重后果， 同时也严重威胁中国移动的基础设施。 由于商业竞争、政治情绪、经济勒索等因素的驱动，ddos 攻击越来越呈现出组织化、 规模化、专业化的特点，攻击流量动辄数 g、数十 g，攻击频率也大有愈演愈烈之势。在这 种紧迫形势下，配合中国移动北京公司当前的转型战略，建设专门的 ddos 攻击流量监测和 清洗平台是一个必然之选。基于该平台，一方面可以为移动自身的生产网络提供安全保障， 有效提高生产网络的健壮性；另一方面能够结合移动大客户的安全需求提供 ddos 攻击的防 护业务，从而达到保存激增的目的。 此次中国移动北京公司网络流量监测清洗项目建设目标对途经 cmnet 北京省网核心层 的异常流量（ddos）进行流量清洗，同时不影响或较少影响正常的业务运营，并根据异常 情况生成实时和时段的异常报表。 二、二、现状分析现状分析 北京移动在 cmnet 网络出口改造后，出口兼核心的四台 t640 路由器分别部署在望京、 菜市口两个局址，以口字型互联，t640 在两局址间通过 10g*2 的数据传输互联。 每台核心路由器均通过一条 10ge 链路上连至 cmnet 骨干；每个局址的自有业务通过 本地一对 m320 接入，两台 m320 与本地的两台 t640 组成口字型结构；四台 mx960 作为 sr 与望京、菜市口两个局址中各一台 t640 相连，承担宽带及专线用户的接入。 北京移动 cmnet 内部的互联路由及业务路由全部通过 igp 承载，在核心层通过 bgp 发布到 cment 骨干上。 三、三、设备部署逻辑拓扑设备部署逻辑拓扑 为增加北京移动 cmnet 网络的抗 ddos 攻击能力，按照 ddos 防护基本思路，将防护 设备ads 集群部署于靠近出口的位置，考虑到在实现预期功能的前提下尽量减小在部署 中对北京移动原有网络配置的影响，将 ads 集群旁路部署在北京移动核心路由器 t640 上， 本项目中共两组 ads 集群，在望京、菜市口两个局址各部署一组，分别与本地两的两台 t640 通过 10ge 链路互联，通过 ibgp 对进入北京移动网络的流量进行牵引过滤，再将清洗 后的流量回送至 t640 后转发到目标网络。 为对进入北京移动的流量进行检测，将两台 nta 部署于北京移动 cmnet 网络内，通 过 netflow 对网络中的特定流量进行采样并进行分析，对各种异常流量产生告警，并可根据 需要通告 ads 集群对异常流量进行牵引过滤。 逻辑部署拓扑图见下图： 图 1.1 北京移动 cmnet 网络 ads 部署逻辑拓扑 四、四、路由策略设计路由策略设计 ads 在对流量进行牵引及回注时均涉及到路由器上的路由配置变更，以下将对部署过程 中需要的配置进行说明。 4.1.牵引路由设计牵引路由设计 为使异常流量通过 ads 设备进行清洗，需要 ads 通过动态路由协议将牵引路由发送到 t640 上，使 t640 将需要牵引的流量送到 ads。 考虑牵引使用的路由协议需要较强的控制性及网络资源的申请及分配问题，使用 ibgp 协议对 t640 进行牵引路由通告。 在 ads 上通过 loopback 地址与核心层四台 t640 分别建立 ibgp 邻居关系； 关闭 t640 上的 ibgp 路由同步，以使 ibgp 牵引路由有效； 进行牵引路由通告时携带 no-advertise 属性，将牵引路由限制在核心层，避免对北京 移动原有网络产生不必要的影响 由于 ads 在清洗过程中需要与客户进行通讯以便验证客户访问的合法性，即客户 a 访 问被保护业务 x 时的流量在牵引后始终要经过同一组 ads 清洗设备；现网中考虑路由改造、 维护及链路利用率等因素，回城路由采用基于等价路由的负载均衡设计，为保证 ads 在现 网环境中可正常工作，对每个目标 ip 仅由一组 ads 通告牵引路由，以保证各客户端到达目 标 ip 的流量由同一组 ads 处理。 4.2.注入路由设计注入路由设计 在 ads 对流量进行清洗后需要回送到 t640 上，为避免 ads 回注的清洁流量受牵引路 由影响再次被牵引形成路由环路，需保证回注流量在 t640 上路由或转发时使用优先级高于 全局路由表的路由或转发策略。 可通过在 t640 的回注子接口上设置路由转发策略，仅根据 igp 表项进行路由转发，保 证 t640 可将清洗后的流量继续转发到下一层路由器（m320、mx960），避免 ads 的注入 流量受牵引路由影响再次被牵引清洗。 由于 t640 处理 ads 回注流量时根据 igp 表项进行路由转发，需保证 ads 回注流量送 达的路由器上目标 ip 的 igp 路由直接指向下一层路由器，即要求 ads 根据目标 ip 的分布 情况将流量回注到正确的 t640 上。 五、五、流量检测设计流量检测设计 为对北京移动 cmnet 的流量进行监控检测是否流量有异常情况，可在 t640 的上联口 上开启 flow 采样，对由 cmnet 骨干进入城域网的流量进行检测。 5.1.netflow 配置配置 在核心路由器 t640 上配置 netflow 采样对由 cmnet 骨干进入城域网的流量进行采样，将 flow 发送到两台 nta 供检测分析。考虑到采样的效率和检测效果，建议采用 1:1000 的采样 比率。 5.2.nta 部署部署 本项目中共有两台 nta 对流量进行采样分析，两台 nta 以主备方式工作，同时接收 flow 数据，由主 nta 对流量进行分析，如需配合 ads 自动牵引也由主 nta 向 ads 进行 通告。 六、六、ads-m 部署部署 ads-m 分为数据存储及 portal 两部分，数据存储部署于内网交换机上，portal 的管理 口与数据网管防火墙连接，portal 的 e1 口通过数据整合交换机接入 m320 对外提供服务。 七、七、内网网管部署内网网管部署 除 ads-m portal 外所有设备管理口均与本局址的内网管理交换机 cisco 3560 相连，菜 市口局址的 cisco3560 通过数据网管防火墙接入网管系统，两台 cisco 3560 间通过三层路 由通讯。 ads-m portal 管理口与数据网管防火墙连接，与管理内网的 ads-m data 通讯。 八、八、物理层对接物理层对接 物理连接方式：物理连接方式： 端端 1 描述描述端口类型端口类型 端端 2 描述描述端口类型端口类型连接介质连接介质长度长度备注备注 望京 ads man config 管理 口 1000base-tx 望京 c3560 望京内 网网管 交换机 1000base-tx1000base-tm 望京 ads man t1 牵引 回注 接口 xfp-10ge- lx10-sm1310 wj- t640-01 xe-0/2/0 望京 cmnet 核心交 换机 xfp-10g-lr10gbase-lr/lw smf, lc-lc m 望京 ads man t2 牵引 回注 接口 xfp-10ge- lx10-sm1310 wj- t640-02 xe-0/2/0 望京 cmnet 核心交 换机 xfp-10g-lr10gbase-lr/lw smf, lc-lc m 望京 ads man e1 集群 通讯 口 1000base-tx 望京 ads slave a e1 集群通 讯口 1000base-tx1000base-tm 望京 ads man e2 集群 通讯 口 1000base-tx 望京 ads slave b e1 集群通 讯口 1000base-tx1000base-tm 望京 ads man f1- f4 集群 数据 通道 sfp-ge- sx550-mm850 望京 ads slave a f1-f4 集群数 据通道 sfp-ge- sx550- mm850 1000base-sx mmf, lc-lc m 望京 ads man f5- f8 集群 数据 通道 sfp-ge- sx550-mm850 望京 ads slave b f5-f8 集群数 据通道 sfp-ge- sx550- mm850 1000base-sx mmf, lc-lc m 望京 nta config 管理 口 1000base-tx 望京 c3560 望京内 网网管 交换机 1000base-tx1000base-tm 望京 nta ext1 flow 接收 口 1000base-tx 望京 m320-02 fe-1/1/2 望京 cmnet 内网业 务汇聚 1000base-tx1000base-tm 交换机 望京 c3560 互联 传输 1000base-tx 互联传 输 1000base-tx1000base-t 菜市口 ads man config 管理 口 1000base-tx 菜市口 c3560 菜市口 内网网 管交换 机 1000base-tx1000base-tm 菜市口 ads man t1 牵引 回注 接口 xfp-10ge- lx10-sm1310 csk- t640-01 xe-0/2/0 菜市口 cmnet 核心交 换机 xfp-10g-lr10gbase-lr/lw smf, lc-lc m 菜市口 ads man t2 牵引 回注 接口 xfp-10ge- lx10-sm1310 csk- t640-02 xe-0/2/0 菜市口 cmnet 核心交 换机 xfp-10g-lr10gbase-lr/lw smf, lc-lc m 菜市口 ads man e1 集群 通讯 口 1000base-tx 菜市口 ads slave a e1 集群通 讯口 1000base-tx1000base-tm 菜市口 ads man e2 集群 通讯 口 1000base-tx 菜市口 ads slave b e1 集群通 讯口 1000base-tx1000base-tm 菜市口 ads man f1-f4 集群 数据 通道 sfp-ge- sx550-mm850 菜市口 ads slave a f1-f4 集群数 据通道 sfp-ge- sx550- mm850 1000base-sx mmf, lc-lc m 菜市口 ads man f5-f8 集群 数据 通道 sfp-ge- sx550-mm850 菜市口 ads slave b f5-f8 集群数 据通道 sfp-ge- sx550- mm850 1000base-sx mmf, lc-lc m 菜市口 nta config 管理 口 1000base-tx菜市口 c 3560 内网网 管交换 机 1000base-tx1000base-tm 菜市口 nta ext1 flow 接收 口 1000base-tx 菜市口 m320-02 fe-1/1/2 菜市口 cmnet 内网业 务汇聚 交换机 1000base-tx1000base-tm 菜市口 ads-m data config 管理 口 1000base-tx菜市口 c 3560 菜市口 内网网 管交换 机 1000base-tx1000base-tm 菜市口 ads-m portal config 管理 口 1000base-tx 菜市口 fw 菜市口 网管网 fw 1000base-tx1000base-tm 菜市口 ads-m portal e1 portal 业务 接入 1000base-tx 菜市口 c3560 菜市口 整合网 接入 1000base-tx1000base-tm 菜市口 c3560, fa 0/22 数据 网管 网接 入 1000base-tx 菜市口数 据网管 fw 菜市口 数据网 管接入 1000base-tx1000base-tm 菜市口 c3560, fa 整合 网接 入 1000base-tx 菜市口整 合网交换 机 8508- 01 菜市口 整合网 接入交 换机 1000base-tx1000base-tm 菜市口 c3560, fa 整合 网接 入 1000base-tx 菜市口整 合网交换 机 8508- 02 菜市口 整合网 接入交 换机 1000base-tx1000base-tm 菜市口 c3560 fa 0/23 互联 传输 1000base-tx 互联传 输 1000base-tx1000base-tm 九、九、设备命名及设备命名及 ip 地址分配地址分配 9.1.设备命名表设备命名表 序号序号名称名称描述描述 望京望京 1 bjwj-pb-cmnet- ads-01 ads 集群主设备 2bjwj-pb-cmnet-ads 集群 slave a ads-02 3 bjwj-pb-cmnet- ads-03 ads 集群 slave b 4bjwj-pb-cmnet-ntanta 5 bjwj-pb-cmnet- ads-c3560 内网网管交换机 菜市口菜市口 1 bjcsk-pb-cmnet- ads-01 ads 集群主设备 2 bjcsk-pb-cmnet- ads-02 ads 集群 slave a 3 bjcsk-pb-cmnet- ads-03 ads 集群 slave b 4 bjcsk-pb-cmnet- nta nta 5 bjcsk-pb-cmnet- adsm-data ads-m 数据存储 6 bjcsk-pb-cmnet- adsm-portal ads-m protal 7 bjcsk-pb-cmnet- ads-c3560 内网网管交换机 网络设备命名表 9.2.ip 地址地址 ip 地址、设备名称、网卡对照表： 内网管理地址在