【interop tokyo 2015】 sp 03: cisco asr 9000 vsm ddos 対策ソリューション
Post on 30-Jul-2015
119 views
TRANSCRIPT
Cisco ASR 9000 VSM DDOS 対策ソリューション
Teppei Kamata
June 11, 2015
Sr. Systems Engineer
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
3
DDOS攻撃の影響範囲
収容回線
ノード
バックボーン帯域
顧客回線
ノード サービス
ターゲット
サービス 203.0.113.1
CiscoはArbor Networksと協業し、Cisco ASR9000のPlatform上でArbor SP TMSのアンチDDoS
ソリューションを実装いたしました
これによって現在のCoreでDDoSに対応するソリューションのみではなく、EdgeでのDDoS対策を
行うDistributedモデルに容易に対応する事ができるようになりました
ASR9000 Virtualized Service Module(VSM) 一枚あたり40GbpsのDDoSトラフィックに対応可能
となります
また、ターゲットとなるのはSP/Enterprise双方のネットワークです
Arbor TMS on ASR9000のソリューションによってアーキテクチャをシンプルにすることができ、
一元管理を行うことができるようになります
4
Cisco and Arbor Networks: Winning Together
BGPのダミー ルートを広報し、全てのトラフィック (正当及び不正) をドロップする
5
従来のDDoSへの対策 RTBH(Remote Triggered Black Hole Filtering)
ターゲット
サービス 203.0.113.1
203.0.113.1 via
192.0.2.1
192.0.2.1 null0
203.113.1 192.0.2.1
192.0.2.1 null0
203.113.1 192.0.2.1
192.0.2.1 null0
203.113.1 192.0.2.1
BGP、Flowspecを用いてスクラビングデバイスへリダイレクトする
正当及び不正トラフィックを区別し、付随的被害を回避する
VSMで実現するDDoSへの対策 Mitigation
6
ターゲット
サービス 203.0.113.1
203.0.113.1 via
192.0.2.1
192.0.2.1 null0
203.113.1 192.0.2.1
192.0.2.1 null0
203.113.1 192.0.2.1
192.0.2.1 null0
203.113.1 192.0.2.1
Elements
Arbor PeakFlow SP – management and collector
Arbor PeakFlow vTMS on ASR9k VSM- Scrubbing and mitigation
Benefit
DistributedモデルによってEdgeでDDoSをMitigationでき、余計な帯域の
消費を避ける事ができる
VSMあたり40Gbpsまでスケール可能
ASR9kに統合することでRack spaceやPort、Cableを削減可能
VSMは他のアプリにも使用可能なため、投資の保護が可能
管理の一元化が可能
7
DDoS Mitigationの最適化概要
CoreにあるScrubbing Centerにトラフィックをリダイレクト
DDoSトラフィックがBackboneネットワークを経由するため、Backboneネットワークが輻輳する可能性がある
Backboneネットワーク内のRouting Designに注意が必要
8
DDoS Mitigation Centralized approach
Scrubbing
Center
Customer
Centralized existing architecture
Backboneエッジにスクラバー デバイスをインストールすることで、DDoSトラフィックによるバックボーン
ネットワークの輻輳を避ける事が可能
9
DDoS Mitigation Distributed approach
Distributed ASR 9000 based solution
Customer
10
Virtualized Service Module(VSM)
Cisco ASR 9000 VSM
• データセンター コンピュート:
• 4 x Intel 10-core x86 CPU
• ハードウェア ネットワーク処理に2つのTyphoon NPU
• 120 Gbpsの生の処理スループット
• HWアクセラレーション
• 40 Gbpsのハードウェア アシストの
暗号化スループット
• Reg-Exマッチングのハードウェア アシスト
• 仮想化ハイパーバイザ (KVM)
• IOS XRに統合されたサービスVMライフサイクル
マネージメント
OS / Hypervisor
VMM
VM-4
Service
-3
VM-1
Service
-1
VM-3
Service
-4
VM-2
Service
-2
DDoS攻撃はネットワークのあらゆるところに影響する
DDoS攻撃の検知にはインライン デバイスを用いない限りNetflowのチューニングが必須
2つの展開モデル:トポロジと投資要件に応じて集中型と分散型スクラバーが選択可能
本当に効果的なAIシステムへの移行が可能になるまで、DDoSのMitigationはネットワーク エンジニアの
業務になる
高度に訓練されたスタッフによる24/365のチーム
効果的な引き継ぎ手順とインシデント / チケット マネージメント
11
Keys Takeaway