运营商城域网核心网络流量净化方案
解决方案概述
业务挑战
伴随着几大运营商竞争的加剧,接入用户对 SLA(服务等级)的要求也越来越高。电信运营商有责任也必
须保证城域网客户网络的可用性、安全性以及带宽的利用率,这样才能在日益激烈的竞争中占得先机。在
城域网骨干的抗拒绝服务需求中,对流量净化的要求要高于对攻击完全防护的要求。应该说,在城域网骨
干碰到的抗拒绝服务攻击主要以抵御流量型攻击为主,大流量的攻击会拥塞网络带宽,抢占网络设备的处
理能力,使得网络带宽的整体利用率降低,从而对多种业务构成威胁。大规模 DDoS 攻击对城域网核心网
络的影响主要表现在如下方面:
核心网络的通信链路被 DDoS 攻击流量占用
DDoS 攻击造成链路中网络设备的负载过高
大客户业务受 DDoS 影响服务质量急剧下降
解决之道
绿盟科技长期专注于如何在城域网环境中抵御 DDoS 流量,利用业界知名的绿盟抗拒绝服务系统,制定了
绿盟科技 ADS 流量净化矩阵的解决方案——NC2M(NSFOCUS Collapsar CleanMatrix)。该方案采用多层
的攻击流量检测、防护、过滤机制,及时发现背景流量中各种类型的攻击流量,以基于流量牵引技术的旁
路方式,在城域网中迅速对攻击流量进行过滤,保证核心网络的正常运行。
1)部署专用高性能抗 DDoS 设备进行防护,并采用特定的旁路工作方式。由于城域网骨干中的业务流量具
有复杂多样的特点,而且流量很大,对链路带宽的依赖性强,因此很容易受到 DDoS 攻击的影响。要想做
到全面的防护,推荐使用绿盟科技基于专用 NP 硬件架构的抗拒绝服务系统,并采用旁路或旁路集群部署
的方式,以做到在应对海量 DDoS 攻击时,保证城域骨干网的高可靠性。
2)运营商城域网的全网环境中分层次全面部署,满足不同力度的防护需求。在整个城域网甚至未来从骨干
层开始的 DDoS 攻击防护工作,不能寄希望于在一点能够解决所有的问题,而应建立多层次的梯度防护,
不同的防护层次完成不同的任务。在核心网络首先要做到的是对海量 DDoS 攻击的净化,以保证核心链路
的畅通与带宽利用率,而针对 IDC、大客户接入等的保护更加重视对于重点客户及应用层的攻击防护。
3)通过 DataCenter 对净化设备进行集中管理,针对 DDoS 事件统一分析。
图:绿盟科技 ADS 流量净化矩阵——城域网分层次流量净化
方案优势
绿盟科技 ADS 流量净化矩阵的解决方案——NC2M(NSFOCUS CleanMatrix)在针对城域网核心网络的流
量净化中具有如下优势:
集中的异常流量监控和管理机制,全面掌握城域网全网的 DDoS 动态 对城域网中抗 DDoS 设备的
集中监控、管理机制不仅便于网络运维部门对此类设备的便捷管理,能够在攻击发生时进行高效
的监控;还能够集中收集整理城域网全网中各个抗 DDoS 检测、防护设备所获得的攻击处理数据,
以便于未来运营分析的需求。
以攻击检测、应急防护和事后分析的三重服务包形成新的业务增长点 电信运营商可以为其不同级
别的客户提供不同级别的抗 DDoS 服务,如提供 DDoS 异常流量检测、流量净化防护、取证等服
务包,并将防护水平按不同客户要求划分等级,形成完整、灵活的增值服务形式。
完善的运行维护、服务支持与应急响应是绿盟 DDoS 防护的重要保障 一套好的抗拒绝服务解决方
案,不仅仅是提供设备,而且需要完整的运行维护、服务支持与应急响应方案。绿盟科技不仅具
备完善的产品方案,同时具有强大的技术支持服务能力、快速应急响应能力以及对网络安全深入
的研究能力,真正为城域网运营商提供完备易用的抗拒绝服务系统。
