运营商城域网核心网络.PDF

运营商城域网核心网络 解决方案概述 业务挑战 伴随着几大运营商竞争的加剧，接入用户对SLA （服务等级）的要求也越来越高。电信运营商有责任 也必须保证城域网客户网络的可用性、安全性以及带宽的利用率，这样才能在日益激烈的竞争中占得 先机。在城域网骨干的抗拒绝服务需求中，对流量净化的要求要高于对攻击完全防护的要求。应该 说，在城域网骨干碰到的抗拒绝服务攻击主要以抵御流量型攻击为主，大流量的攻击会拥塞网络带 宽，抢占网络设备的处理能力，使得网络带宽的整体利用率降低，从而对多种业务构成威胁。大规模 DDoS 攻击对城域网核心网络的影响主要表现在如下方面：  核心网络的通信链路被DDoS 攻击流量占用  DDoS 攻击造成链路中网络设备的负载过高  大客户业务受DDoS 影响服务质量急剧下降 解决之道 绿盟科技长期专注于如何在城域网环境中抵御DDoS 流量，利用业界知名的绿盟抗拒绝服务系 2 统，制定了绿盟科技ADS 流量净化矩阵的解决方案——NC M （NSFOCUS Collapsar CleanMatrix）。该方案采用多层的攻击流量检测、防护、过滤机制，及时发现背景流量中各种 类型的攻击流量，以基于流量牵引技术的旁路方式，在城域网中迅速对攻击流量进行过滤，保 证核心网络的正常运行。 1) 部署专用高性能抗DDoS 设备进行防护，并采用特定的旁路工作方式。由于城域网骨干中的 业务流量具有复杂多样的特点，而且流量很大，对链路带宽的依赖性强，因此很容易受到 DDoS 攻击的影响。要想做到全面的防护，推荐使用绿盟科技基于专用NP 硬件架构的抗拒绝 服务系统，并采用旁路或旁路集群部署的方式，以做到在应对海量DDoS 攻击时，保证城域 骨干网的高可靠性。 2) 运营商城域网的全网环境中分层次全面部署，满足不同力度的防护需求。在整个城域网甚 至未来从骨干层开始的DDoS 攻击防护工作，不能寄希望于在一点能够解决所有的问题，而 应建立多层次的梯度防护，不同的防护层次完成不同的任务。在核心网络首先要做到的是 对海量DDoS 攻击的净化，以保证核心链路的畅通与带宽利用率，而针对IDC、大客户接入 等的保护更加重视对于重点客户及应用层的攻击防护。 3) 通过DataCenter 对净化设备进行集中管理，针对DDoS 事件统一分析。 图：绿盟科技ADS 流量 净化矩阵——城域网分层次流量净化 方案优势 2 绿盟科技ADS 流量净化矩阵的解决方案——NC M （NSFOCUS CleanMatrix）在针对城域网核心网 络的流量净化中具有如下优势：  集中的异常流量监控和管理机制，全面掌握城域网全网的DDoS 动态 对城域网中抗 DDoS 设备的集中监控、管理机制不仅便于网络运维部门对此类设备的便捷管理，能够 在攻击发生时进行高效的监控；还能够集中收集整理城域网全网中各个抗DDoS 检测、 防护设备所获得的攻击处理数据，以便于未来运营分析的需求。  以攻击检测、应急防护和事后分析的三重服务包形成新的业务增长点 电信运营商可以 为其不同级别的客户提供不同级别的抗DDoS 服务，如提供DDoS 异常流量检测、流量 净化防护、取证等服务包，并将防护水平按不同客户要求划分等级，形成完整、灵活 的增值服务形式。  完善的运行维护、服务支持与应急响应是绿盟DDoS 防护的重要保障 一套好的抗拒绝 服务解决方案，不仅仅是提供设备，而且需要完整的运行维护、服务支持与应急响应 方案。绿盟科技不仅具备完善的产品方案，同时具有强大的技术支持服务能力、快速 应急响应能力以及对网络安全深入的研究能力，真正为城域网运营商提供完备易用的 抗拒绝服务系统。 为什么选择绿盟科技 绿盟科技信息技术有限公司 ( NSFOCUS Information Technology Co.,Ltd. )，公司成立于 2000 年4 月，是国内最早从事网络安全的高科技企业之一。 绿盟科技基于多