中国移动省网异常流量防护指导方案

知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 省网异常流量防护指导方案 文档编号 请输入文档编号 密级 请输入文档密级 版本编号 日期 2010识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 目录 一、 项目概述 . 1 二、 现状分析 . 1 三、 设备部署逻辑拓扑 . 2 四、 路由策略设计 . 3 牵引路由设计 . 3 注入路由设计 . 4 五、 流量检测设计 . 4 置 . 4 署 . 5 六、 署 . 5 七、 内网网管部署 . 5 八、 物理层对接 . 6 九、 设备命名及 址 分配 . 9 设备命名表 . 9 址 . 9 十、 路由部署 . 10 牵引路由 . 10 注入路由 . 10 入路由配置 . 错误 !未定义书签。 640 注入路由配置 . 错误 !未定义书签。 十一、 部署测试 . 10 一、 项目概述 在全球运营商市场竞争日趋激烈的格局下，如何通过优质的差异化服务获得客户认可，从而获得竞争优势、开拓市场空间、扩大市场份额，成为运营商成功与否的关键。 目前， 网中最常见、危害性最大的攻击形式之一。 统瘫痪等严重后果，同时也严重威胁中国移动的基础设施。 由于商业竞争、政治情绪、经济勒索等因素的驱动， 击越来越呈现出组织化、规模化、专业化的特点，攻击流量动辄数 G、数十 G，攻击频率也大有愈演愈烈之势。在这种紧迫形势下，配合中国移动北京公司当前的转型战略，建设专门的 击流量监测和清洗平台是一个必然之选。基于该平台，一方面可以为移动自身的生产网络提供安全保障，有效提高生产网络的健壮性；另一方面 能够结合移动大客户的安全需求提供 击的防护业务，从而达到保存激增的目的。 此次中国移动北京公司网络流量监测清洗项目建设目标对途经 行流量清洗，同时不影响或较少影响正常的业务运营，并根据异常情况生成实时和时段的异常报表。 二、 现状分析 北京移动在 口兼核心的四台 市口两个局址，以口字型互联， 两局址间通过 10G*2 的数据传输互联。 每台核心路由器均通过一条 10路上连至 干；每个局址 的自有业务通过本地一对 台 640组成口字型结构；四台 市口两个局址中各一台 连，承担宽带及专线用户的接入。 北京移动 核心层通过 干上。 三、 设备部署逻辑拓扑 为增加北京移动 络的抗 击能力，按照 护基本思路，将防护设备 群部署于靠近出口的位置，考虑到在实现预期功能的前提下尽量减小在部署中对北京移动原有网络配置的影响，将 群旁路部署在北京移动核心路由器 ，本项目中共两组 群，在望京、菜市口两个局址各部署一组，分别与本地两的两台过 10路互联，通过 进入北京移动网络的流量进行牵引过滤，再将清洗后的流量回送至 转发到目标网络。 为对进入北京移动的流量进行检测，将两台 署于北京移动 络内，通过各种异常流量产生告警，并可根据需要通告 群对异常流量进行牵引过滤。 逻辑部署拓扑图见下图： 图 北京移动 络 署逻辑拓扑 四、 路由策略设计 对流量进行牵引及回注时均涉及到路由器上的路由配置变更，以下将对部署过程中需要的配置进行说明。 牵引路由设计 为使异常流量通过 备进行清洗，需要 过动态路由协议将牵引路由发送到，使 需要牵引的流量送到 考虑牵引使用的路由协议需要较强的控制性及网络资源的申请及分配问题，使用 640 进行牵引路由通告。 在 通过 址与核心层四台 别建立 居关系； 关闭 的 由同步，以使 引路由有效； 进行牵引路由通告时携带 性，将牵引路由限制在核心层，避免对北京移动原有网络产生不必要的影响 由于 清洗过程中需要与客户进行通讯以便验证客户访问的合法性，即客户 A 访问被保护业务 网中考虑路由改造、维护及链路利用率等因素，回城路由采用基于等价路由的负载均衡设计，为保证 每个目标 由一组 告牵引路由，以保证各客户端到达目标流量由同一组 理。 注入 路由设计 在 流量进行清洗后需要回送到 ，为避免 注的清洁流量受牵引路由影响再次被牵引形成路由环路，需保证回注流量在 路由或转发时使用优先级高于全局路由表的路由或转发策略。 可通过在 回注子接口上设置路由转发策略，仅根据 项进行路由转发，保证 将清洗后的流量继续转发到下一层路由器（ 避免 注入流量受牵引路由影响再次被牵引清洗。 由于 理 注流量时根据 项进行路由转发，需保证 注流量送达的路由器上目标 由直接指向下一层路由器，即要求 据目标 分布情况将流量回注到正确的 。 五、 流量检测设计 为对北京移动 流量进行监控检测是否流量有异常情况，可在 上联口上开启 样，对由 干进入城域网的流量进行检测。 在核心路由器 配置 样 对由 干进入城域网的流量进行采样，将送到两台 检测分析。考虑到采样的效率和检测效果，建议采用 1:1000 的采样比率。 本项目中共有两台 流量进行采样分析，两台 主备方式工作，同时接收据，由主 流量进行分析，如需配合 动牵引也由主 行通告。 六、 为数据存储及 部分，数据存储部署于内网交换机上， 管理口与 数据网管防火墙 连接 ， 通过数据整合交换机接入 外提供服务。 七、 内网网管部署 除 所有设备管理口均与本局址的内网管理交换机 560 相连，菜市口局址的 过数据网管防火墙接入网管系统，两台 560 间通过三层路由通讯 。 理口 与 数据网管防火墙 连接 ，与管理内网的 讯。 八、 物理层对接 物理连接方式： 端 1 描述 端口类型 端 2 描述 端口类型 连接介质 长度 备注 望京 理口 1000京 京 内网 网 管交换机 1000000 望京 1 牵引回注接口 , 望京 2 牵引回注接口 , 望京 1 集群通讯口 1000京 群 通讯口 1000000 望京 2 集群通讯口 1000京 群 通讯口 1000000 望京 1群数据通道 京 群 数据通道 000 望京 5群数据通道 京 群 数据通道 000 望京 理口 1000京 京 内网 网 管交换机 1000000 望京 京京000 口 , 菜市口 2 牵引回注接口 , 菜市口1 集群通讯口 1000市口 群 通讯口 1000000 菜市口2 集群通讯口 1000市口 群 通讯口 1000000 菜市口1群数据通道 市口 群 数据通道 000 菜市口5群数据通道 市口 群 数据通道 000 菜市口理口 1000市口 C 3560 内 网 网管 交 换机 1000000 菜市口1000市口, , 合网接入 1000市口 整合网 交换机8508 市 口整 合 网接 入 交换机 1000000 菜市口合网接入 1000市口 整合网 交换机8508 市 口整 合 网接 入 交换机 1000000 菜市口a 互联传输 1000互 联 传输 1000000 0/23 九、 设备命名及 设备命名表 序号 名称 描述 望京 1 群主设备 2 群 3 群 4 网网管交换机 菜市口 1 群主设备 2 群 3 群 4 据存储 6 网网管交换机 网络设备命名表 址、设备名 称、网卡对照表： 内网管理地址在望京、菜市口使用两个网段，望京侧需要 6 个 市口需要 8 个 虑扩容因素 。在每个局址预申请 32 个地址； 两台 560 使用一对互联地址对接。 由于内网地址暂时未得到分配，临时使用 4 网段地址部署， 7，菜市口使用 7，互联使用 0。 十、 路由部署 牵引路由 每个局址的 别与四台 立 居关系，发送路由通告时设置性。 注入路由 置回注路由，保证清洗后的流量回注到目标网络接入的 。 回注子接口上设置路由转发策略，仅根据 由进行转发，避免回注流量的转发受牵引路由影响。 十一、 部署测试 为对部署正确性进行验证，在设备上线后进行