這樣就可以實(shí)現(xiàn)來(lái)自不同運(yùn)營(yíng)商的600G流量接入，在確保數(shù)據(jù)采集的準(zhǔn)確性和完整性的同時(shí)，且不影響現(xiàn)有網(wǎng)絡(luò)的穩(wěn)定性和安全性。

針對(duì)需求2的解決方案

被采集到的600G流量全部接入到網(wǎng)絡(luò)可視交換機(jī)后，數(shù)據(jù)中心的運(yùn)維人員根據(jù)預(yù)先設(shè)置的規(guī)則將流量按照4個(gè)不同的B類(lèi)地址，分配給不同的二層分流設(shè)備進(jìn)行分析和統(tǒng)計(jì)，每一個(gè)二層設(shè)備分析和統(tǒng)計(jì)64K地址。系統(tǒng)針對(duì)每個(gè)具體的DIP進(jìn)行流量統(tǒng)計(jì)，確保在海量數(shù)據(jù)中精確定位到被攻擊目的。

針對(duì)需求3的解決方案

二層分流設(shè)備通過(guò)提供API將流量統(tǒng)計(jì)結(jié)果提供給DDoS系統(tǒng)，在進(jìn)行報(bào)文的深入檢測(cè)后將出現(xiàn)問(wèn)題的流量發(fā)往后端的存儲(chǔ)系統(tǒng)。同時(shí)，二層分流設(shè)備按照預(yù)先設(shè)置的策略，將運(yùn)營(yíng)商特別關(guān)注的數(shù)據(jù)流量過(guò)濾出來(lái)，也發(fā)往后端的存儲(chǔ)系統(tǒng)，做好日志存儲(chǔ)，為后續(xù)的運(yùn)維提供數(shù)據(jù)支持。報(bào)文分析系統(tǒng)從報(bào)文存儲(chǔ)系統(tǒng)中獲取需要進(jìn)行分析的數(shù)據(jù)信息，完成深度關(guān)聯(lián)分析工作。這樣有選擇性的流量存儲(chǔ)和分析，可降低存儲(chǔ)系統(tǒng)和分析系統(tǒng)的負(fù)荷，避免不必要的流量對(duì)系統(tǒng)性能的損耗。

針對(duì)需求4的解決方案

部署方案中使用的兩層設(shè)備全部是騰銳Teraspek的網(wǎng)絡(luò)可視化產(chǎn)品，均支持通過(guò)RESTful API實(shí)現(xiàn)與DDoS防御系統(tǒng)的對(duì)接。DDoS系統(tǒng)可直接下發(fā)規(guī)則給二層分流設(shè)備，網(wǎng)絡(luò)可視化設(shè)備能夠根據(jù)下發(fā)的規(guī)則執(zhí)行流量的相關(guān)處理。例如，當(dāng)DDoS檢測(cè)到有一個(gè)攻擊流量，DDoS會(huì)下發(fā)一個(gè)屏蔽該流量的策略路由到交換機(jī)，交換機(jī)就會(huì)執(zhí)行屏蔽指令了。

部署的優(yōu)點(diǎn)顯而易見(jiàn)，可歸納為以下幾點(diǎn)：

– DIP檢測(cè)精準(zhǔn)、實(shí)時(shí)，基于全面詳實(shí)的數(shù)據(jù)，不漏過(guò)任何一次DDoS攻擊；

– 所有檢測(cè)/統(tǒng)計(jì)事宜全部由AMF（ActionMessage Format，動(dòng)作消息格式）自動(dòng)完成，后端運(yùn)維僅僅通過(guò)API獲取最終數(shù)據(jù)即可，無(wú)額外的編程、運(yùn)維壓力；

– 高密度、高速率端口的組合，超高的性?xún)r(jià)比；

– 按需、橫向可擴(kuò)展性，從64K DIP的容量開(kāi)始，按照項(xiàng)目進(jìn)展、線(xiàn)路數(shù)量、DIP數(shù)量按需橫向擴(kuò)展AMF容量，降低一次性投入，并且擴(kuò)容不需要調(diào)整原有部署；

– 性能無(wú)損的報(bào)文截短能力，只為后端服務(wù)器提供報(bào)文頭信息，提升整體系統(tǒng)性能，降低后端服務(wù)器的投資規(guī)模，并且滿(mǎn)足合規(guī)要求（不保存、識(shí)別用戶(hù)的流量）。

名詞解釋

* DevOps（Development和Operations的組合詞）是一組過(guò)程、方法與系統(tǒng)的統(tǒng)稱(chēng)，用于促進(jìn)開(kāi)發(fā)（應(yīng)用程序/軟件工程）、技術(shù)運(yùn)營(yíng)和質(zhì)量保障（QA）部門(mén)之間的溝通、協(xié)作與整合。它是一種重視“軟件開(kāi)發(fā)人員（Dev）”和“IT運(yùn)維技術(shù)人員（Ops）”之間溝通合作的文化、運(yùn)動(dòng)或慣例。透過(guò)自動(dòng)化“軟件交付”和“架構(gòu)變更”的流程，來(lái)使得構(gòu)建、測(cè)試、發(fā)布軟件能夠更加地快捷、頻繁和可靠。

* DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊指借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

xiesc