Cisco ASR 9000 VSM DDOS 対策ソリューション

Teppei Kamata

June 11, 2015

Sr. Systems Engineer

* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

2

DDoSトラフィックは絶えず変化していく

http://www.digitalattackmap.com/

3

DDOS攻撃の影響範囲

収容回線

ノード

バックボーン帯域

顧客回線

ノード サービス

ターゲット

サービス 203.0.113.1

CiscoはArbor Networksと協業し、Cisco ASR9000のPlatform上でArbor SP TMSのアンチDDoS

ソリューションを実装いたしました

これによって現在のCoreでDDoSに対応するソリューションのみではなく、EdgeでのDDoS対策を

行うDistributedモデルに容易に対応する事ができるようになりました

ASR9000 Virtualized Service Module(VSM) 一枚あたり40GbｐｓのDDoSトラフィックに対応可能

となります

また、ターゲットとなるのはSP/Enterprise双方のネットワークです

Arbor TMS on ASR9000のソリューションによってアーキテクチャをシンプルにすることができ、

一元管理を行うことができるようになります

4

Cisco and Arbor Networks: Winning Together

BGPのダミー ルートを広報し、全てのトラフィック (正当及び不正) をドロップする

5

従来のDDoSへの対策 RTBH(Remote Triggered Black Hole Filtering)

ターゲット

サービス 203.0.113.1

203.0.113.1 via

192.0.2.1

192.0.2.1 null0

203.113.1 192.0.2.1

192.0.2.1 null0

203.113.1 192.0.2.1

192.0.2.1 null0

203.113.1 192.0.2.1

BGP、Flowspecを用いてスクラビングデバイスへリダイレクトする

正当及び不正トラフィックを区別し、付随的被害を回避する

VSMで実現するDDoSへの対策 Mitigation

6

ターゲット

サービス 203.0.113.1

203.0.113.1 via

192.0.2.1

192.0.2.1 null0

203.113.1 192.0.2.1

192.0.2.1 null0

203.113.1 192.0.2.1

192.0.2.1 null0

203.113.1 192.0.2.1

Elements

Arbor PeakFlow SP – management and collector

Arbor PeakFlow vTMS on ASR9k VSM- Scrubbing and mitigation

Benefit

DistributedモデルによってEdgeでDDoSをMitigationでき、余計な帯域の

消費を避ける事ができる

VSMあたり40Gbpsまでスケール可能

ASR9kに統合することでRack spaceやPort、Cableを削減可能

VSMは他のアプリにも使用可能なため、投資の保護が可能

管理の一元化が可能

7

DDoS Mitigationの最適化概要

CoreにあるScrubbing Centerにトラフィックをリダイレクト

DDoSトラフィックがBackboneネットワークを経由するため、Backboneネットワークが輻輳する可能性がある

Backboneネットワーク内のRouting Designに注意が必要

8

DDoS Mitigation Centralized approach

Scrubbing

Center

Customer

Centralized existing architecture

Backboneエッジにスクラバー デバイスをインストールすることで、DDoSトラフィックによるバックボーン

ネットワークの輻輳を避ける事が可能

9

DDoS Mitigation Distributed approach

Distributed ASR 9000 based solution

Customer

10

Virtualized Service Module(VSM)

Cisco ASR 9000 VSM

• データセンター コンピュート:

• 4 x Intel 10-core x86 CPU

• ハードウェア ネットワーク処理に2つのTyphoon NPU

• 120 Gbpsの生の処理スループット

• HWアクセラレーション

• 40 Gbpsのハードウェア アシストの

暗号化スループット

• Reg-Exマッチングのハードウェア アシスト

• 仮想化ハイパーバイザ (KVM)

• IOS XRに統合されたサービスVMライフサイクル

マネージメント

OS / Hypervisor

VMM

VM-4

Service

-3

VM-1

Service

-1

VM-3

Service

-4

VM-2

Service

-2

DDoS攻撃はネットワークのあらゆるところに影響する

DDoS攻撃の検知にはインライン デバイスを用いない限りNetflowのチューニングが必須

2つの展開モデル：トポロジと投資要件に応じて集中型と分散型スクラバーが選択可能

本当に効果的なAIシステムへの移行が可能になるまで、DDoSのMitigationはネットワーク エンジニアの

業務になる

高度に訓練されたスタッフによる24/365のチーム

効果的な引き継ぎ手順とインシデント / チケット マネージメント

11

Keys Takeaway