腾锐网络可视化助力硅谷数据中心搭建智能高防平台

一家知名的数据中心运营商在全球拥有30+数据中心,遍布4大洲,采用优质海缆互联互通。其旗下的这个数据中心机房坐落于北美圣何塞拥有多家运营商、600G接入带宽,目前已成功装备了“智能高防平台”,帮助客户从繁重的安防工作中脱离出来,从而更好的应对自身业务发展带来挑战。

在当初建设DDoS防御系统的过程中,这家数据中心反复考量了分析系统与统计数据流量的监控网络整合方案,对网络的建设和改造提出了几个必须满足的需求:

* 需求1.网络设备性能完全足够接入来自不同运营商的600G互联网流量;

* 需求2.该数据中心能够给客户提供四个B类地址,总共近26万个IP地址,如此庞大的IP地址需要网络设备对四个B类地址的流量信息分别进行精准分析和统计,如PPS、bps等;

* 需求3.在对四个B类地址的流量信息进行精准分析、统计的过程中,将出现问题的报文流发往后端的报文存储系统与报文分析系统;

* 需求4.网络架构能够与现有运营系统的DevOps对接,支持自动化运维。

后来建设成功的“智能高防平台”是如何一一解决这些需求呢,我们来逐一解析:

针对需求1的解决方案

建设一套1+4的Fabric,在确保数据采集的准确性和完整性以及不影响现有网络的稳定性和安全性的前提下,通过分光器把位于不同运营商线路上的数据进行分光和数据采集;然后,将分光过来的流量(100G/40G)全部接入到1台网络可视交换机上,并标识流量的入端口信息(即运营商线路信息),按照不同的DIP(Destination IP)段转发到下层的4台分流设备。

0.jpg

这样就可以实现来自不同运营商的600G流量接入,在确保数据采集的准确性和完整性的同时,且不影响现有网络的稳定性和安全性。

针对需求2的解决方案

被采集到的600G流量全部接入到网络可视交换机后,数据中心的运维人员根据预先设置的规则将流量按照4个不同的B类地址,分配给不同的二层分流设备进行分析和统计,每一个二层设备分析和统计64K地址。系统针对每个具体的DIP进行流量统计,确保在海量数据中精确定位到被攻击目的。

针对需求3的解决方案

二层分流设备通过提供API将流量统计结果提供给DDoS系统,在进行报文的深入检测后将出现问题的流量发往后端的存储系统。同时,二层分流设备按照预先设置的策略,将运营商特别关注的数据流量过滤出来,也发往后端的存储系统,做好日志存储,为后续的运维提供数据支持。报文分析系统从报文存储系统中获取需要进行分析的数据信息,完成深度关联分析工作。这样有选择性的流量存储和分析,可降低存储系统和分析系统的负荷,避免不必要的流量对系统性能的损耗。

针对需求4的解决方案

部署方案中使用的两层设备全部是腾锐Teraspek的网络可视化产品,均支持通过RESTful API实现与DDoS防御系统的对接。DDoS系统可直接下发规则给二层分流设备,网络可视化设备能够根据下发的规则执行流量的相关处理。例如,当DDoS检测到有一个攻击流量,DDoS会下发一个屏蔽该流量的策略路由到交换机,交换机就会执行屏蔽指令了。

部署的优点显而易见,可归纳为以下几点:

– DIP检测精准、实时,基于全面详实的数据,不漏过任何一次DDoS攻击;

– 所有检测/统计事宜全部由AMF(ActionMessage Format,动作消息格式)自动完成,后端运维仅仅通过API获取最终数据即可,无额外的编程、运维压力;

– 高密度、高速率端口的组合,超高的性价比;

– 按需、横向可扩展性,从64K DIP的容量开始,按照项目进展、线路数量、DIP数量按需横向扩展AMF容量,降低一次性投入,并且扩容不需要调整原有部署;

– 性能无损的报文截短能力,只为后端服务器提供报文头信息,提升整体系统性能,降低后端服务器的投资规模,并且满足合规要求(不保存、识别用户的流量)。

名词解释

* DevOps(Development和Operations的组合词)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。它是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。

* DDoS(Distributed Denial of Service,分布式拒绝服务)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。