Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

【Interop Tokyo 2015】 SP 03: Cisco ASR 9000 VSM DDOS 対策ソリューション

690 views

Published on

Cisco ASR 9000 VSM DDOS 対策ソリューション

Published in: Technology
  • Be the first to comment

  • Be the first to like this

【Interop Tokyo 2015】 SP 03: Cisco ASR 9000 VSM DDOS 対策ソリューション

  1. 1. Cisco ASR 9000 VSM DDOS 対策ソリューション Teppei Kamata June 11, 2015 Sr. Systems Engineer * 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
  2. 2. 2 DDoSトラフィックは絶えず変化していく http://www.digitalattackmap.com/
  3. 3. 3 DDOS攻撃の影響範囲 収容回線 ノード バックボーン帯域 顧客回線 ノード サービス ターゲット サービス 203.0.113.1
  4. 4.  CiscoはArbor Networksと協業し、Cisco ASR9000のPlatform上でArbor SP TMSのアンチDDoS ソリューションを実装いたしました  これによって現在のCoreでDDoSに対応するソリューションのみではなく、EdgeでのDDoS対策を 行うDistributedモデルに容易に対応する事ができるようになりました  ASR9000 Virtualized Service Module(VSM) 一枚あたり40GbpsのDDoSトラフィックに対応可能 となります  また、ターゲットとなるのはSP/Enterprise双方のネットワークです  Arbor TMS on ASR9000のソリューションによってアーキテクチャをシンプルにすることができ、 一元管理を行うことができるようになります 4 Cisco and Arbor Networks: Winning Together
  5. 5.  BGPのダミー ルートを広報し、全てのトラフィック (正当及び不正) をドロップする 5 従来のDDoSへの対策 RTBH(Remote Triggered Black Hole Filtering) ターゲット サービス 203.0.113.1 203.0.113.1 via 192.0.2.1 192.0.2.1 null0 203.113.1 192.0.2.1 192.0.2.1 null0 203.113.1 192.0.2.1 192.0.2.1 null0 203.113.1 192.0.2.1
  6. 6.  BGP、Flowspecを用いてスクラビングデバイスへリダイレクトする  正当及び不正トラフィックを区別し、付随的被害を回避する VSMで実現するDDoSへの対策 Mitigation 6 ターゲット サービス 203.0.113.1 203.0.113.1 via 192.0.2.1 192.0.2.1 null0 203.113.1 192.0.2.1 192.0.2.1 null0 203.113.1 192.0.2.1 192.0.2.1 null0 203.113.1 192.0.2.1
  7. 7.  Elements  Arbor PeakFlow SP – management and collector  Arbor PeakFlow vTMS on ASR9k VSM- Scrubbing and mitigation  Benefit  DistributedモデルによってEdgeでDDoSをMitigationでき、余計な帯域の 消費を避ける事ができる  VSMあたり40Gbpsまでスケール可能  ASR9kに統合することでRack spaceやPort、Cableを削減可能  VSMは他のアプリにも使用可能なため、投資の保護が可能  管理の一元化が可能 7 DDoS Mitigationの最適化概要
  8. 8.  CoreにあるScrubbing Centerにトラフィックをリダイレクト  DDoSトラフィックがBackboneネットワークを経由するため、Backboneネットワークが輻輳する可能性がある  Backboneネットワーク内のRouting Designに注意が必要 8 DDoS Mitigation Centralized approach Scrubbing Center Customer Centralized existing architecture
  9. 9.  Backboneエッジにスクラバー デバイスをインストールすることで、DDoSトラフィックによるバックボーン ネットワークの輻輳を避ける事が可能 9 DDoS Mitigation Distributed approach Distributed ASR 9000 based solution Customer
  10. 10. 10 Virtualized Service Module(VSM) Cisco ASR 9000 VSM • データセンター コンピュート: • 4 x Intel 10-core x86 CPU • ハードウェア ネットワーク処理に2つのTyphoon NPU • 120 Gbpsの生の処理スループット • HWアクセラレーション • 40 Gbpsのハードウェア アシストの 暗号化スループット • Reg-Exマッチングのハードウェア アシスト • 仮想化ハイパーバイザ (KVM) • IOS XRに統合されたサービスVMライフサイクル マネージメント OS / Hypervisor VMM VM-4 Service -3 VM-1 Service -1 VM-3 Service -4 VM-2 Service -2
  11. 11.  DDoS攻撃はネットワークのあらゆるところに影響する  DDoS攻撃の検知にはインライン デバイスを用いない限りNetflowのチューニングが必須  2つの展開モデル:トポロジと投資要件に応じて集中型と分散型スクラバーが選択可能  本当に効果的なAIシステムへの移行が可能になるまで、DDoSのMitigationはネットワーク エンジニアの 業務になる  高度に訓練されたスタッフによる24/365のチーム  効果的な引き継ぎ手順とインシデント / チケット マネージメント 11 Keys Takeaway

×