CMNET流量?jī)?yōu)化和安全策略集團(tuán)公司網(wǎng)絡(luò)部2005年6月目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路CMNET網(wǎng)絡(luò)規(guī)模高速增長(zhǎng)（承載組）CMNET流量本網(wǎng)率達(dá)到94.1%，較2011年增長(zhǎng)37.4%。CMNET骨干網(wǎng)絡(luò)容量已達(dá)14.5T，為2011年的4.4倍；預(yù)計(jì)2015年底將再翻倍。TCMNET手機(jī)點(diǎn)擊本網(wǎng)率達(dá)到83.1%，較2014年一季度增長(zhǎng)12.7%。CMN某省市總流量已達(dá)7.3Tbps，為2011年的10.4倍，目前月增長(zhǎng)率保持在5%以上。Tbps2011年至今中國(guó)某著名企業(yè)骨干網(wǎng)容量擴(kuò)大4.4倍，2015年底將再擴(kuò)容1倍達(dá)到28Tbps；流量規(guī)模擴(kuò)大到10.4倍；點(diǎn)擊本網(wǎng)率和流量本網(wǎng)率指標(biāo)也逐年穩(wěn)步增長(zhǎng)。CMNET網(wǎng)絡(luò)現(xiàn)狀分析--CMNET的業(yè)務(wù)定位手機(jī)用戶數(shù)據(jù)卡用戶2G用戶TD用戶2G數(shù)據(jù)卡TD數(shù)據(jù)卡LTE數(shù)據(jù)卡LTE用戶GSM網(wǎng)絡(luò)TD網(wǎng)絡(luò)WLAN網(wǎng)絡(luò)LTE網(wǎng)絡(luò)物聯(lián)網(wǎng)用戶個(gè)人用戶家庭寬帶用戶集團(tuán)專線用戶CMNET流量有線接入網(wǎng)絡(luò)中國(guó)某著名企業(yè)互聯(lián)網(wǎng)（以下簡(jiǎn)稱為CMNET）建成于2001年，2014年底完成7期擴(kuò)容，目前某省市際帶寬14.5T。中國(guó)某著名企業(yè)CMNet定位于開放的信息承載網(wǎng)絡(luò)，主要承載以下數(shù)據(jù)業(yè)務(wù)：用戶接入的承載固定互聯(lián)網(wǎng)接入，包括家庭寬帶互聯(lián)網(wǎng)接入和集團(tuán)客戶的專線互聯(lián)網(wǎng)接入；WLAN接入業(yè)務(wù)；GPRS/TD/LTE用戶接入互聯(lián)網(wǎng)以及核心網(wǎng)元的承載；內(nèi)容的承載某著名企業(yè)數(shù)據(jù)中心IDC業(yè)務(wù)；以及各類基地業(yè)務(wù)：某著名企業(yè)夢(mèng)網(wǎng)的信息服務(wù)業(yè)務(wù)：主要包括中國(guó)某著名企業(yè)WAP網(wǎng)關(guān)、短信網(wǎng)關(guān)、多媒體消息業(yè)務(wù)中心、139郵件系統(tǒng)、飛信系統(tǒng)等提供業(yè)務(wù)。4各省CM某省市網(wǎng)/城域網(wǎng)CMNET骨干網(wǎng)全國(guó)IDC/業(yè)務(wù)基地省IDC139/飛信等WAP/MMSC/SMSC等省IDC/業(yè)務(wù)基地核心網(wǎng)元等CMNET網(wǎng)絡(luò)現(xiàn)狀分析--CMNET的網(wǎng)絡(luò)結(jié)構(gòu)骨干接入節(jié)點(diǎn)A-CSCF省網(wǎng)匯接層骨干接入節(jié)點(diǎn)骨干接入節(jié)點(diǎn)骨干接入節(jié)點(diǎn)、重慶接入節(jié)點(diǎn)國(guó)際互聯(lián)節(jié)點(diǎn)國(guó)際互聯(lián)節(jié)點(diǎn)國(guó)內(nèi)互聯(lián)節(jié)點(diǎn)省網(wǎng)匯接節(jié)點(diǎn)1省網(wǎng)匯接節(jié)點(diǎn)2省網(wǎng)接入/城域核心節(jié)點(diǎn)BRAS/SRBRAS/SR骨干網(wǎng)省網(wǎng)/城域網(wǎng)武漢南京沈陽(yáng)國(guó)內(nèi)互聯(lián)節(jié)點(diǎn)國(guó)際互聯(lián)節(jié)點(diǎn)北京上海核心層接入層省網(wǎng)接入/城域核心節(jié)點(diǎn)城域網(wǎng)業(yè)務(wù)接入控制層網(wǎng)間互聯(lián)國(guó)內(nèi)互聯(lián)節(jié)點(diǎn)成都西安廣州節(jié)點(diǎn)1節(jié)點(diǎn)2杭州國(guó)內(nèi)互聯(lián)節(jié)點(diǎn)國(guó)內(nèi)互聯(lián)節(jié)點(diǎn)國(guó)際互聯(lián)節(jié)點(diǎn)CMNET為骨某省市網(wǎng)兩級(jí)自治域、多層結(jié)構(gòu)：骨干網(wǎng)分為骨干核心層、骨干接入層；某省市網(wǎng)出口流量均通某省市網(wǎng)匯接節(jié)某省市的骨干網(wǎng)節(jié)點(diǎn)互聯(lián)國(guó)內(nèi)網(wǎng)間互聯(lián)：在北京、上海、廣州、武漢、南京、沈陽(yáng)、成都、西安、重慶、10個(gè)互聯(lián)點(diǎn)與對(duì)端運(yùn)營(yíng)商互聯(lián)；某省市網(wǎng)開通國(guó)內(nèi)第三方出口國(guó)際網(wǎng)間互聯(lián)：設(shè)在北京、上海、廣州；分為國(guó)際匯聚層、國(guó)際互聯(lián)層；CMNET網(wǎng)絡(luò)現(xiàn)狀分析--CMNET的內(nèi)容源建設(shè)情況數(shù)據(jù)中心建設(shè)情況一類IDC：設(shè)置在北京、上海、廣東、江蘇、四川、浙江、重慶等公司；某省市IDC為二類IDC；其中福建、湖南、安徽、江西、某省市IDC作為一類IDC的補(bǔ)充；集中化大型數(shù)據(jù)中心:哈爾濱和呼和浩特；9大增值業(yè)務(wù)基地建設(shè)情況廣東互聯(lián)網(wǎng)基地、四川音樂(lè)基地、遼寧位置基地、上海視頻基地、江蘇游戲基地、浙江閱讀基地、福建動(dòng)漫基地、湖南電子商務(wù)基地、重慶物聯(lián)網(wǎng)基地Web/P2PCache系統(tǒng)建設(shè)情況集團(tuán)WebCache節(jié)點(diǎn)：3個(gè)，北京、上海、廣州省級(jí)WebCache節(jié)點(diǎn)：全某省市建設(shè)（自建和租用）省級(jí)P2PCache節(jié)點(diǎn)：全某省市建設(shè)CDN系統(tǒng)為滿足互聯(lián)網(wǎng)電視(OTV)業(yè)務(wù)的試點(diǎn)需求，2012年底視頻基地及其他8某省市公司開展了CDN部署?，F(xiàn)階段部署方式以自建為主，少量合某省市份也正在規(guī)劃自建。預(yù)計(jì)2015年底完成全網(wǎng)CDN系統(tǒng)的建設(shè)。目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路10個(gè)局向忙時(shí)帶寬利用率超過(guò)70%；涉及北京、四川、新疆、山東、陜西、江蘇、江西、上海、安某省市份。CMNET骨干網(wǎng)當(dāng)前擁塞局向?yàn)?0個(gè)，占比為6%。當(dāng)前骨干網(wǎng)帶寬13.9T，但由某省市份流量增長(zhǎng)快，通過(guò)緊急擴(kuò)容及流量?jī)?yōu)化調(diào)整后，目前還有10個(gè)擁塞局向，年底前擁塞形勢(shì)依然嚴(yán)峻。骨干網(wǎng)6期工程實(shí)施，擁塞有所緩解?，F(xiàn)網(wǎng)挖潛，優(yōu)先擴(kuò)容擁塞局向，擁塞有所緩解。業(yè)務(wù)量增長(zhǎng)，擁塞加劇。骨干網(wǎng)7期工程實(shí)施及流量?jī)?yōu)化，擁塞緩解。擁塞緩解主要措施擁塞局向優(yōu)先擴(kuò)容：挖潛現(xiàn)網(wǎng)資源調(diào)度冗余傳輸，對(duì)擁塞局向優(yōu)先安排擴(kuò)容。加大熱點(diǎn)本地緩存：對(duì)擁塞鏈路進(jìn)行流量流向分析，針對(duì)性進(jìn)行熱點(diǎn)本地緩存。流量調(diào)度優(yōu)化：對(duì)嚴(yán)重?fù)砣窒虿渴餞E隧道，進(jìn)行骨干網(wǎng)流量疏通優(yōu)化，有效提升網(wǎng)絡(luò)疏通效率。CMNET網(wǎng)忙時(shí)部分局向擁塞近年由于DNS安全事件引發(fā)的局部互聯(lián)網(wǎng)癱瘓故障頻發(fā)DNS安全事件頻發(fā)百度劫持事件域名服務(wù)器故障事件頂級(jí)域名服務(wù)器故障事件2003201020132014暴風(fēng)網(wǎng)站的域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊出現(xiàn)故障。同時(shí)引發(fā)導(dǎo)致某著名企業(yè)運(yùn)營(yíng)企業(yè)的遞歸域名解析服務(wù)器擁塞。百度被黑客組織入侵，網(wǎng)站的域名被更換至雅虎屬下的兩個(gè)域名服務(wù)器。引發(fā)百度網(wǎng)站無(wú)法登陸。8月25日凌晨域名出現(xiàn)大面積故障。NIC稱故障是由于國(guó)家域名解析節(jié)點(diǎn)受到拒絕服務(wù)攻擊。

1月21日下午，中國(guó)境內(nèi)大量知名

網(wǎng)站無(wú)法訪問(wèn)。NIC稱事件是由于網(wǎng)絡(luò)攻擊導(dǎo)致我國(guó)境內(nèi)用戶通過(guò)國(guó)際頂級(jí)域名服務(wù)解析異常。12月10日包括骨干遞歸DNS在內(nèi)、江西、江蘇等某省市公司DNS遭受DDOS攻擊。2009暴風(fēng)影音事件近年來(lái)，DNS系統(tǒng)安全事件頻發(fā)，嚴(yán)重影響用戶使用互聯(lián)網(wǎng)業(yè)務(wù)。除影響用戶感之外，在流量經(jīng)營(yíng)占據(jù)愈加重要地位的當(dāng)下，DNS系統(tǒng)的故障將直接給公司造成嚴(yán)重的經(jīng)濟(jì)損失。網(wǎng)間攻擊流量嚴(yán)重影響業(yè)務(wù)質(zhì)量進(jìn)入2015年以來(lái)，CMNET網(wǎng)間攻擊流量呈現(xiàn)全面爆發(fā)趨勢(shì)，直接導(dǎo)致晚忙時(shí)單電路丟包率超過(guò)40%，業(yè)務(wù)不可用引發(fā)大量投訴。流量快速增長(zhǎng)：攻擊流量半年增長(zhǎng)了198%，丟包率達(dá)到43%。晚忙時(shí)丟包率達(dá)到43%感染范圍擴(kuò)大：攻擊源頭某省市份增加至某省市份。2014年12月攻擊流量

（Mbps）山東3048.38湖南2059.57江蘇2017.97云南1461.96河南1312.05四川821.59廣東821.202015年5月攻擊流量（Mbps）2015年5月攻擊流量（Mbps）四川4343.50安徽1424.57河南4116.40江蘇1420.90

4070.90河北1352.43福建2497.14黑龍江1037.07浙江2432.64遼寧877.25山東2417.00山西868.30廣東1840.35西藏668.64湖北1722.71重慶616.484江西1626.00青海585.85湖南1572.54

注：以攻擊流量>500Mbps為標(biāo)準(zhǔn)。目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路

流量分析安全防范CMNET重點(diǎn)工作關(guān)注點(diǎn)網(wǎng)絡(luò)能力故障管理

做好流量預(yù)測(cè)，提前規(guī)劃儲(chǔ)備網(wǎng)絡(luò)容量。按照總部要求，建立紅橙黃藍(lán)擁塞應(yīng)急響應(yīng)機(jī)制。某省市網(wǎng)流量流向分析、拓?fù)淞髁繐砣O(jiān)控、資源和質(zhì)量分析監(jiān)控。充分使用網(wǎng)管手段，建立互聯(lián)網(wǎng)端到端質(zhì)量問(wèn)題監(jiān)測(cè)機(jī)制。做好重大故障和影響業(yè)務(wù)故障的分析和總結(jié)，排除以往故障隱患。按照總部要求，做好路由條目和路由疏通策略監(jiān)控，降低路由震蕩風(fēng)險(xiǎn)。按照3個(gè)方面，9項(xiàng)要求，做好DNS安全防護(hù)工作。按照“骨干某省市網(wǎng)定某省市攔截”的思路某省市網(wǎng)間攻擊流量溯源整治。CMNET今年重點(diǎn)工作思路為充分應(yīng)對(duì)流量高速增長(zhǎng)的挑戰(zhàn)，今年CMNET需從網(wǎng)絡(luò)能力、流量分析、故障管理、安全防范幾方面開展工作，全面保障網(wǎng)絡(luò)暢通、高效、安全。新版互聯(lián)網(wǎng)健康度指標(biāo)說(shuō)明互聯(lián)網(wǎng)健康度評(píng)估體系，通過(guò)某省市內(nèi)容和網(wǎng)絡(luò)協(xié)同發(fā)展來(lái)保障網(wǎng)絡(luò)服務(wù)質(zhì)量，包含“網(wǎng)絡(luò)好”、“效果佳”、“質(zhì)量?jī)?yōu)”3大類，共9項(xiàng)指某省市互聯(lián)網(wǎng)重點(diǎn)工作進(jìn)行評(píng)估如下：網(wǎng)絡(luò)好QoS隊(duì)列質(zhì)量：某省市QoS隊(duì)列（2G/3G/LTE上網(wǎng)某省市間互訪質(zhì)量，保障高優(yōu)先級(jí)業(yè)務(wù)質(zhì)量。網(wǎng)絡(luò)負(fù)荷：某省市省內(nèi)中繼鏈路負(fù)荷情況，保證網(wǎng)絡(luò)容量能某省市業(yè)務(wù)發(fā)展情況。網(wǎng)間攻擊流量：某省市至骨干網(wǎng)間（某著名企業(yè)，某著名企業(yè)，鐵通）攻擊流量，提升CMNET攻擊分析和防范能力。質(zhì)量?jī)?yōu)TOP1000網(wǎng)站首屏打開時(shí)延：某省市訪問(wèn)熱點(diǎn)網(wǎng)站首頁(yè)的時(shí)延感知，提升熱點(diǎn)網(wǎng)站訪問(wèn)速度。TOP12視頻首幀質(zhì)量：某省市訪問(wèn)熱點(diǎn)視頻的打開速度感知，減少用戶等待時(shí)長(zhǎng)，提升用戶感知。TOP12視頻卡頓次數(shù)：某省市訪問(wèn)熱點(diǎn)視頻的流暢度感知，提升用戶視頻播放感知。效果佳手機(jī)點(diǎn)擊本網(wǎng)率：考察并某省市熱點(diǎn)內(nèi)容資源的IDC引入程度、WebCache和CDN服務(wù)手機(jī)用戶的能力。點(diǎn)擊本網(wǎng)率：考察并某省市熱點(diǎn)內(nèi)容資源的IDC引入程度、WebCache和CDN服務(wù)手機(jī)和固網(wǎng)用戶的能力。本省內(nèi)容滿足率：某省市用戶需求流某省市IDC，Cache及鐵通直連解決的比重，降低骨干網(wǎng)絡(luò)疏通壓力。目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路流量預(yù)測(cè)方法和網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)現(xiàn)網(wǎng)流量?jī)?yōu)化DNS安全能力提升攻擊流量整治和URPF策略部署行業(yè)環(huán)境分析“寬帶中國(guó)”戰(zhàn)略：201某省市家庭平均接入帶寬達(dá)到20Mbps以上，農(nóng)村家庭平均接入帶寬4Mbps以上；互聯(lián)網(wǎng)寬帶接入用戶超過(guò)2.5億戶，互聯(lián)網(wǎng)寬帶接入用戶家庭普及率達(dá)到57某省市家庭普及率達(dá)到60%，農(nóng)村家庭普及率達(dá)到32%。202某省市寬帶接入速率超過(guò)50M，農(nóng)村超過(guò)8某省市家庭普及率達(dá)到77%，農(nóng)村達(dá)到51%。全球平均：2.6Mbps全球互聯(lián)網(wǎng)發(fā)展迅速固定寬帶普及率加快，但我國(guó)目前“寬帶不寬”近幾年互聯(lián)網(wǎng)從終端到某著名企業(yè)產(chǎn)品到用戶規(guī)模都產(chǎn)生了巨大的變化。2009年初，某著名企業(yè)流量在整體互聯(lián)網(wǎng)流量中的占比只有1%，截止目前已達(dá)14.2%。中某著名企業(yè)絡(luò)速度遠(yuǎn)落后于發(fā)達(dá)國(guó)家水平：2012年3月中國(guó)平均寬帶連接速度1.5Mbps，低于全球平均寬帶連接速度。韓國(guó)是全球網(wǎng)速最快的國(guó)家，平均接入速率達(dá)15.7Mbps。至2012年初，我國(guó)寬帶普及率達(dá)到11.7%，超過(guò)8.3%的全球平均水平，但遠(yuǎn)低于發(fā)達(dá)國(guó)家25.1%Mbps億戶骨干網(wǎng)流量預(yù)測(cè)骨干網(wǎng)流量預(yù)測(cè)：用戶接入骨干網(wǎng)流量＝用戶數(shù)×并發(fā)率×并發(fā)用戶忙時(shí)平均使用速率×流量錯(cuò)峰系某省市網(wǎng)比例；參數(shù)取定依據(jù)：某省市上報(bào)及集團(tuán)三滾規(guī)劃提供的各類業(yè)務(wù)用戶數(shù)預(yù)測(cè)、現(xiàn)網(wǎng)統(tǒng)計(jì)數(shù)據(jù)、業(yè)務(wù)發(fā)展預(yù)期；內(nèi)容源流量預(yù)測(cè)：參數(shù)取定依據(jù)：某省市流量統(tǒng)計(jì)及預(yù)測(cè)調(diào)研結(jié)果；骨干網(wǎng)流量分為以下兩部分：用戶接入流量：即家寬、集客、WLAN、2/3/4G用戶產(chǎn)生的流量，包括用戶訪問(wèn)網(wǎng)內(nèi)/網(wǎng)間的IDC/Cache/CDN等內(nèi)容源以及用戶之間P2P流量；內(nèi)容源流量：包括網(wǎng)內(nèi)/網(wǎng)間IDC/CACHE/CDN等內(nèi)容源同步、流量分發(fā)、服務(wù)用戶及服務(wù)外網(wǎng)用戶流量。用戶接入骨干網(wǎng)流量預(yù)測(cè)用戶模型預(yù)測(cè)法--關(guān)鍵參數(shù)取定2014年統(tǒng)計(jì)值2017年預(yù)測(cè)值家寬用戶家寬并發(fā)用戶的平均速率（Mbps）0.512.26家寬的用戶并發(fā)率42.90%47.50%家寬用戶數(shù)（萬(wàn)戶）33067728家寬用戶流量需求（Tbps）

83TLTE用戶LTE并發(fā)用戶的平均速率（Mbps）0.060.782LTE的并發(fā)率6%20%LTE用戶數(shù)（萬(wàn)戶）700055783LTE用戶流量需求（Tbps）

87.2TWALN用戶流量需求（Tbps）

14T2G/3G用戶流量需求（Tbps）

2.3T集客專線用戶流量需求（Tbps）

36.7TCMN某省市總流量需求合計(jì)（Tbps）5.1223.1出省比例32.70%35%流量錯(cuò)峰系數(shù)--70.00%CMNET骨干網(wǎng)用戶接入流量需求（Tbps）--54.7內(nèi)容源流量預(yù)測(cè)某省市用戶提供服務(wù)產(chǎn)生的骨干網(wǎng)流量需求（Tbps）

19.1CMNET骨干網(wǎng)流量需求（Tbps）

73.8中繼帶寬預(yù)測(cè)骨干網(wǎng)點(diǎn)到點(diǎn)流量的計(jì)某省市接入骨干網(wǎng)某省市間互訪系數(shù)=骨干網(wǎng)點(diǎn)到點(diǎn)流量網(wǎng)內(nèi)流量互訪系數(shù)

一個(gè)31X31的矩陣，參考現(xiàn)網(wǎng)統(tǒng)計(jì)數(shù)據(jù)，并根據(jù)建設(shè)某省市業(yè)務(wù)發(fā)展情況進(jìn)行適當(dāng)調(diào)整；國(guó)內(nèi)/國(guó)際網(wǎng)間流量互訪系數(shù)：分別是10X31、3X31的矩陣；參考現(xiàn)網(wǎng)統(tǒng)計(jì)數(shù)據(jù)，并根據(jù)本期流量規(guī)劃方案進(jìn)行調(diào)整；鏈路利用率取定省際中繼帶寬利用率：核心節(jié)點(diǎn)之間為70%；接入節(jié)點(diǎn)上連核心節(jié)點(diǎn)為80%；網(wǎng)間互聯(lián)鏈路利用率：國(guó)內(nèi)互聯(lián)為85%、國(guó)際互聯(lián)為80%；省網(wǎng)出口上聯(lián)骨干網(wǎng)鏈路：70%。中繼帶寬設(shè)置策略長(zhǎng)途中繼鏈路：中繼鏈路盡量平均分配在多個(gè)異址節(jié)點(diǎn)上；新增鏈路采用以太端口，流量大的采用100GE；骨某省市網(wǎng)互聯(lián)鏈路：優(yōu)先使用100GE和10GEWAN鏈路，減少10GPOS鏈路擴(kuò)容；同省的骨干節(jié)點(diǎn)間互聯(lián)鏈路：原則上設(shè)置較小帶寬，不承擔(dān)單側(cè)鏈路故障時(shí)的流量疏導(dǎo)。中繼帶寬（Tbps）8期后到達(dá)9期到達(dá)9期新增CMNET骨干網(wǎng)流量需求—73.8

CMNET骨干網(wǎng)帶寬（對(duì)應(yīng)流量需求）148其它特殊業(yè)務(wù)預(yù)留帶寬(合計(jì))32省際中繼33.8180146.22014.2～2015.2網(wǎng)間流量占比變化趨勢(shì)圖網(wǎng)間流量預(yù)測(cè)方法網(wǎng)間流量=骨干網(wǎng)流量*網(wǎng)間流量占比國(guó)內(nèi)網(wǎng)間流量預(yù)測(cè)國(guó)內(nèi)網(wǎng)間流量占骨干網(wǎng)總流量比例逐年降低：2011年為46.7%、2012年為26%、2013年為21.8%；2014年為12.2%；IDC內(nèi)容源引入初期，出網(wǎng)流量比例明顯降低，預(yù)計(jì)后續(xù)降幅放緩；取定2017年國(guó)內(nèi)網(wǎng)間流量占比為10.2%。國(guó)際網(wǎng)間流量預(yù)測(cè)國(guó)際網(wǎng)間流量占骨干網(wǎng)總流量比例逐年降低：2011為7.9%，2012為6.4%，2013年為4.0%，2014年為3.5%；國(guó)際出口鏈路長(zhǎng)期擁塞，國(guó)際網(wǎng)間流量需求增長(zhǎng)受到抑制，預(yù)計(jì)帶寬擴(kuò)容后占比增加；取定2017年底國(guó)際流量占比為5.3%。國(guó)內(nèi)、國(guó)際網(wǎng)間流量預(yù)測(cè)Gbps低中高國(guó)內(nèi)網(wǎng)間流量預(yù)測(cè)4,844.87,523.510,409.1國(guó)際網(wǎng)間流量預(yù)測(cè)2518393054122017年底國(guó)內(nèi)、國(guó)際網(wǎng)間流量預(yù)測(cè)結(jié)果網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)10G和100G平面：CMNET9期工程基本采用100G設(shè)備和傳輸；骨干層面雙通道。扁平化：網(wǎng)絡(luò)結(jié)構(gòu)扁平化路由協(xié)議扁平化協(xié)議層次扁平化業(yè)務(wù)流量扁平化維護(hù)管理扁平化隨著網(wǎng)絡(luò)規(guī)模擴(kuò)容，推動(dòng)網(wǎng)絡(luò)扁平化為減少流量轉(zhuǎn)發(fā)跳數(shù)，提升轉(zhuǎn)發(fā)效某省市網(wǎng)絡(luò)投資，總部網(wǎng)絡(luò)部協(xié)同計(jì)劃建設(shè)部推動(dòng)CMNET網(wǎng)絡(luò)結(jié)構(gòu)扁平化，主要措施包括IDC直掛骨干、城域網(wǎng)直掛骨干、新增類核心節(jié)點(diǎn)。并通過(guò)制定相應(yīng)標(biāo)準(zhǔn)，在CMNET網(wǎng)技術(shù)體制中進(jìn)行明確。IDC直掛骨干–業(yè)務(wù)流量直上骨干當(dāng)數(shù)據(jù)中某省市服務(wù)帶寬超過(guò)20G，某省市提供流量不小于總流量的50%時(shí)，可同時(shí)接入CMNET骨干網(wǎng)和CM某省市網(wǎng)集團(tuán)統(tǒng)一建設(shè)或統(tǒng)一規(guī)劃使用的數(shù)據(jù)中心省內(nèi)自建五星級(jí)數(shù)據(jù)中心城域網(wǎng)直掛骨干–用戶流量直上骨干城域某省市某省市總帶寬大于1000G，且城某省市帶寬需求大于200G，某省市骨干新增類核心節(jié)點(diǎn)–減少骨干網(wǎng)跳數(shù)定義節(jié)點(diǎn)間流量較大的山西、福建、山東、江西、湖南、河南、重某省市份的骨干接入節(jié)點(diǎn)為類核心節(jié)點(diǎn)類核心節(jié)點(diǎn)間的直連帶寬需求達(dá)到120G時(shí)建議開通直連鏈路骨干核心層，引入高速平面隨骨干核心節(jié)點(diǎn)從2節(jié)點(diǎn)到4節(jié)點(diǎn)的結(jié)構(gòu)演進(jìn)中，在骨干核心層之上引入100G高速平面某省市際大流量快速轉(zhuǎn)發(fā)，并與原有10G平面互通。高速平面與原有平面間采用平行連接，簡(jiǎn)化網(wǎng)絡(luò)邏輯結(jié)構(gòu)

R1R2R3R4R1R2B省R1B省R2A省R1A省R2R3R4POP2POP1B省MED=10C省MED=30MED=20C省R1C省R2A省MED=10C省MED=30MED=20MED=20R1R2R3R4R1R2R5R6R3R4R7R8原有POP點(diǎn)是2臺(tái)設(shè)備新增2臺(tái)設(shè)備原有POP點(diǎn)是4臺(tái)設(shè)備新增4臺(tái)設(shè)備采用平行鏈路設(shè)計(jì)高速平面采用BGP

MED的方式疏導(dǎo)流量，這種方式已在某著名企業(yè)169部署100GE10GE高速平面實(shí)現(xiàn)10G到100G技術(shù)的平穩(wěn)過(guò)渡。高速平面解決網(wǎng)絡(luò)擴(kuò)容瓶頸（規(guī)模、機(jī)房、設(shè)備等）。高速平面具有更好的性價(jià)比，降低網(wǎng)絡(luò)總體投資。離線路徑計(jì)算網(wǎng)絡(luò)可視在線控制分階段的CMNET骨干網(wǎng)SDN引入在CMNET適當(dāng)引入SDN等新流量調(diào)優(yōu)技術(shù)，按照長(zhǎng)遠(yuǎn)的全局戰(zhàn)略規(guī)劃，逐步推進(jìn)，由。1：網(wǎng)絡(luò)可視加強(qiáng)網(wǎng)管能力，進(jìn)行網(wǎng)絡(luò)建模和流量流向分析，實(shí)現(xiàn)網(wǎng)絡(luò)的可視化。2：路徑計(jì)算實(shí)現(xiàn)分業(yè)務(wù)流量轉(zhuǎn)發(fā)路徑的離線計(jì)算，進(jìn)行手工部署。3：在線控制實(shí)現(xiàn)SDN在線控制，提供DC-廣域網(wǎng)及CMNET和其他海外運(yùn)營(yíng)商端到端彈性管道服務(wù)。目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路流量預(yù)測(cè)方法和網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)現(xiàn)網(wǎng)流量?jī)?yōu)化DNS安全能力提升攻擊流量整治和URPF策略部署加強(qiáng)流量監(jiān)控分析，建立質(zhì)量監(jiān)測(cè)機(jī)制根據(jù)某著名企業(yè)[2015]83號(hào)文“關(guān)于開展2015年CMNET和IP承載網(wǎng)管理支撐能力提升專項(xiàng)工作的通知某省市需在10月底前某省市流量和質(zhì)量監(jiān)控視圖，推動(dòng)拓?fù)浜土髁勘O(jiān)控、流量流向分析、內(nèi)容質(zhì)量和資源分布，建立互聯(lián)網(wǎng)端到端質(zhì)量問(wèn)題監(jiān)測(cè)機(jī)制。某省市網(wǎng)流量和拓?fù)浔O(jiān)控核查結(jié)某省市CMNET拓?fù)浔O(jiān)控整體質(zhì)量較好，資源拓?fù)洹⒘髁恐笜?biāo)相對(duì)完整，但西藏、新疆、某省市目前進(jìn)展較慢，需加快進(jìn)度。各省需充分利用以上網(wǎng)管監(jiān)控手段，某省市互聯(lián)網(wǎng)端到端質(zhì)量監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)處理網(wǎng)絡(luò)擁塞和質(zhì)量問(wèn)題。骨干網(wǎng)流量監(jiān)控省網(wǎng)流量監(jiān)控建立擁塞分級(jí)響應(yīng)機(jī)制，完善紅橙黃藍(lán)應(yīng)急流程完善互聯(lián)網(wǎng)流量和質(zhì)量監(jiān)控視圖建立紅橙黃藍(lán)擁塞分級(jí)響應(yīng)機(jī)制各省需按總部要求某省市流量和質(zhì)量監(jiān)控視圖，推動(dòng)流量流向、內(nèi)容質(zhì)量和資源分布可視化，建立互聯(lián)網(wǎng)端到端質(zhì)量問(wèn)題監(jiān)測(cè)機(jī)制通過(guò)完善流量監(jiān)控視圖，建立擁塞分級(jí)響應(yīng)機(jī)制，采用擁塞預(yù)警、優(yōu)先擴(kuò)容、流量調(diào)優(yōu)、內(nèi)容下沉、業(yè)務(wù)限流等措施，不斷提升互聯(lián)網(wǎng)疏通能力。級(jí)別判別條件（忙時(shí)利用率）措施紅橙黃藍(lán)綠60%90%80%70%總某省市每日分析鏈路流量各省對(duì)超過(guò)60%擁塞鏈路納入重點(diǎn)關(guān)注，每日手工核實(shí)鏈路流量數(shù)據(jù)準(zhǔn)確性，并進(jìn)行流量預(yù)測(cè)和擁塞預(yù)警。各省配合總部提交緊急擴(kuò)容需求，要求工程優(yōu)先實(shí)施；同時(shí)分析擁塞鏈路流量組成及流向，推動(dòng)內(nèi)容與網(wǎng)絡(luò)協(xié)同，對(duì)熱點(diǎn)內(nèi)容進(jìn)行下沉訪問(wèn)。具備流量繞遠(yuǎn)優(yōu)化條某省市配合總部實(shí)施TE優(yōu)化方案，使部分流量繞遠(yuǎn)通過(guò)空閑局向進(jìn)行疏導(dǎo)；不具備TE部署某省市公司需采取業(yè)務(wù)限流措施限制低價(jià)值流量。各某省市網(wǎng)到骨干網(wǎng)的BGP流量?jī)?yōu)化，某省市不同局向流量。各省需配合總部建立CM某省市某省市省內(nèi)鏈路擁塞分級(jí)響應(yīng)機(jī)制，針對(duì)不同擁塞程度，采用以下紅橙黃藍(lán)預(yù)案措施，緩解擁塞，保障高優(yōu)先級(jí)業(yè)務(wù)質(zhì)量。部署流量工程，進(jìn)行網(wǎng)絡(luò)資源挖潛CMNet骨干網(wǎng)擁塞局向部署流量工程，網(wǎng)絡(luò)流量疏導(dǎo)原則由最短距離優(yōu)先調(diào)整為緩解擁塞優(yōu)先，充分挖潛現(xiàn)網(wǎng)空閑局向疏導(dǎo)能力，緩解擁塞及提升CMNET網(wǎng)絡(luò)承載能力和網(wǎng)絡(luò)利用率。制定并實(shí)施《CMNET網(wǎng)擁塞緩解紅橙黃藍(lán)綠分級(jí)處理流程》，規(guī)范擁塞緩解分級(jí)處理措施?？偛堪才艑?duì)安徽、北京、福建、廣東、河南、湖北、江西、遼寧、山東、山西、陜西、上海、四川、新疆、浙江某省市份通過(guò)流量繞轉(zhuǎn)方某省市際擁塞局向優(yōu)化，有效緩解骨干網(wǎng)26個(gè)擁塞局向。全網(wǎng)部署動(dòng)態(tài)QoS，分優(yōu)先級(jí)轉(zhuǎn)發(fā)隨著LTE業(yè)務(wù)大發(fā)展，受CMNET骨干8期工程實(shí)施滯后影響，預(yù)期2015年12月前CMNET骨干網(wǎng)持續(xù)擁塞，形勢(shì)嚴(yán)峻?？偛堪才胚M(jìn)行全網(wǎng)動(dòng)態(tài)QoS部署，按業(yè)務(wù)價(jià)值重要性，劃分8個(gè)不同轉(zhuǎn)發(fā)優(yōu)先級(jí)的隊(duì)列；網(wǎng)絡(luò)擁塞時(shí)，對(duì)高優(yōu)先級(jí)隊(duì)列數(shù)據(jù)進(jìn)行優(yōu)選轉(zhuǎn)發(fā)，優(yōu)先保障LTE、集客等高價(jià)值業(yè)務(wù)。B省用戶金銀銅A省靜態(tài)管道根據(jù)靜態(tài)IP地址配置QOS標(biāo)識(shí)骨干網(wǎng)省網(wǎng)/城域網(wǎng)骨干網(wǎng)動(dòng)態(tài)管道某著名企業(yè)/某著名企業(yè)根據(jù)動(dòng)態(tài)路由信息配置QOS標(biāo)識(shí)路由信息數(shù)據(jù)流各省QoS部署情況截止14年底某省市已經(jīng)基本完成全網(wǎng)QoS部署，整體完成度為95.35%，其某省市份完成度在95%以上。華為設(shè)備硬件板卡不支持QPPB某省市份未能完成QoS部署某省市協(xié)調(diào)計(jì)劃建設(shè)部進(jìn)行板卡更換。QoS部署效果選取嚴(yán)重?fù)砣溌?，進(jìn)行HTTP、FTP和視頻業(yè)務(wù)的QoS部署效果驗(yàn)證，有效改善LTE用戶的業(yè)務(wù)訪問(wèn)感知，達(dá)到預(yù)期效果。指標(biāo)未部署QoS部署QoS改善度Http頁(yè)面下載時(shí)間(msFTP傳輸速率(kbps)1023257960%視頻中斷次數(shù)(次)4.50100%視頻緩沖時(shí)間(ms)390340289%按某省市際直連，緩解擁塞省際直連鏈路開通條件省際直連鏈路撤銷條件兩省份流量疏導(dǎo)路徑上某條鏈路的忙時(shí)利用率達(dá)到80某省市份間忙時(shí)互訪流量超過(guò)5Gbps，并且1個(gè)月內(nèi)不能安排骨干工程擴(kuò)容，某省市某省市際應(yīng)急直連鏈路。省際應(yīng)急直連鏈路優(yōu)先通過(guò)骨干節(jié)點(diǎn)直連，若骨干節(jié)點(diǎn)不具備資源，可某省市網(wǎng)核心節(jié)點(diǎn)進(jìn)行某省市網(wǎng)核心節(jié)點(diǎn)間某省市際直連某省市公司需要通過(guò)數(shù)某省市部接口上報(bào)鏈路流量數(shù)據(jù)。省際應(yīng)急直連鏈路優(yōu)先通過(guò)一干傳輸電路開通，若一干傳輸電路不能滿足條件，某省市內(nèi)二干轉(zhuǎn)接提供傳輸電路。省際直連鏈路的最小粒度為10Gbps。省際直連鏈路啟用EBGP協(xié)議進(jìn)行路由發(fā)布，路由掩碼長(zhǎng)度應(yīng)小于或等于24位。根據(jù)2014年下發(fā)的《中國(guó)某著名企業(yè)某省市際直連鏈路管理辦法》，明某省市為緩解擁塞，應(yīng)急臨某省市際直連鏈路標(biāo)準(zhǔn)和開通原則，某省市際應(yīng)急直連鏈路緊急開通流程，為中國(guó)某著名企業(yè)CMNE某省市際直連鏈路管理工作提供依據(jù)。骨干工程擴(kuò)容后，當(dāng)估算撤消之前某省市際應(yīng)急直連鏈路某省市份間骨干鏈路忙時(shí)利用率仍小于50%時(shí)，撤消某省市際應(yīng)急直連鏈路。目前已開某省市份的某省市際直連，具體見Excel。目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路流量預(yù)測(cè)方法和網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)現(xiàn)網(wǎng)流量?jī)?yōu)化DNS安全能力提升攻擊流量整治和URPF策略部署根DNS頂級(jí)DNS權(quán)威DNS由管理機(jī)構(gòu)掌控由ICP掌控其中，運(yùn)營(yíng)商自有網(wǎng)站的DNS由運(yùn)營(yíng)商掌控。由管理機(jī)構(gòu)掌控大多數(shù)由基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)商掌控遞歸DNS用戶終端解析器位于用戶終端，受操作系統(tǒng)管理。配置通常由ISP下發(fā)，也可由用戶指定。DNS--互聯(lián)網(wǎng)的“神經(jīng)元“DNS系統(tǒng)為用戶提供域名解析服務(wù)。它采用分布式數(shù)據(jù)庫(kù)架構(gòu)為互聯(lián)網(wǎng)應(yīng)用層資源的尋址服務(wù)，是其他絕大多數(shù)互聯(lián)網(wǎng)絡(luò)應(yīng)用服務(wù)的基礎(chǔ)。DNS系統(tǒng)風(fēng)險(xiǎn)分析及應(yīng)對(duì)思路從上圖DNS解析流程可以看出，DNS解析的大量環(huán)節(jié)均不受運(yùn)營(yíng)商控制，因此對(duì)于直接面向用戶提供服務(wù)的運(yùn)營(yíng)商來(lái)說(shuō)，DNS的業(yè)務(wù)存在不可控風(fēng)險(xiǎn)！>qq服務(wù)器:[07]服務(wù)器:[03]非權(quán)威應(yīng)答:名稱:qqAddress:78異常情況>qq服務(wù)器:[07]服務(wù)器:[03]名稱:qqAddress:13正常情況故障過(guò)程分析：本地域名服務(wù)器正確的qq域名服務(wù)器根域名服務(wù)器

域名服務(wù)器正確的qq服務(wù)器①②③④⑤⑥⑦⑧⑨⑩客戶端錯(cuò)誤授權(quán)服務(wù)器美國(guó)

78錯(cuò)誤網(wǎng)站IP

美國(guó)78頂級(jí)域名服務(wù)器解析異常用戶訪問(wèn)異常2014年1月21日下午15點(diǎn)全國(guó)范圍內(nèi)發(fā)生DNS解析服務(wù)故障（主要原因是DNS攻擊或DNS劫持），多家知名網(wǎng)站無(wú)法訪問(wèn)，錯(cuò)誤的解析IP地址為78（美國(guó)地址）。全網(wǎng)故障歷時(shí)約2.5小時(shí)，于17:00左右恢復(fù)，期間CMNET骨干出口流量較日常值下降10%左右從該典型案例中看出，全球頂級(jí)域名服務(wù)器出現(xiàn)解析異常時(shí)，骨干DNS系統(tǒng)運(yùn)行是正常的，但是由于無(wú)法通過(guò)頂級(jí)域名服務(wù)器獲得相應(yīng)域名的IP地址信息，從而也無(wú)法向用戶提供解析服務(wù)，導(dǎo)致了用戶訪問(wèn)大量互聯(lián)網(wǎng)業(yè)務(wù)出現(xiàn)異常。DNS系統(tǒng)風(fēng)險(xiǎn)分析及應(yīng)對(duì)思路典型案例1--1月21日大范圍域名反射攻擊事件>xx.arkhamnetwork服務(wù)器:[07]服務(wù)器:[03]非權(quán)威應(yīng)答:名稱xx.arkhamnetwork

Waitingfortimeout異常情況>xx.arkhamnetwork服務(wù)器:[07]服務(wù)器:[03]非權(quán)威應(yīng)答:名稱:xx.arkhamnetworkNs:7（美國(guó)）正常情況故障過(guò)程分析：本地域名服務(wù)器根域名服務(wù)器①②③④⑤⑥⑦⑩客戶端網(wǎng)站授權(quán)服務(wù)器ns.cloudflare太多了，收到各種運(yùn)營(yíng)商SP針對(duì)不存在域名的查詢請(qǐng)求，忙壞了??！用戶請(qǐng)求無(wú)響應(yīng)

、org、net域名服務(wù)器2014年12月10日早5:30開始全國(guó)范圍內(nèi)發(fā)生針對(duì)*.arkhamnetwork、*.、*.等域名的分布式遞歸反射攻擊。故障范圍包括中國(guó)某著名企業(yè)、某著名企業(yè)、某著名企業(yè)等各運(yùn)營(yíng)商網(wǎng)絡(luò)，中國(guó)某著名企業(yè)某省市DNS和骨干DNS均受影響某省市份DNS有癱瘓，骨干DNS解析時(shí)延增大，業(yè)務(wù)未受影響。從該典型案例中看出，中國(guó)某著名企業(yè)等運(yùn)營(yíng)商的DNS成為了網(wǎng)站授權(quán)服務(wù)器被攻擊的反射器，通過(guò)反射所有攻擊流量都指向了網(wǎng)站授權(quán)服務(wù)器，導(dǎo)致亞歷山大的授權(quán)服務(wù)器癱瘓。DNS系統(tǒng)風(fēng)險(xiǎn)分析及應(yīng)對(duì)思路典型案例2--12月10日大范圍域名反射攻擊事件壓力大壓力山大從近年DNS故障情況可以看出，DNS故障主要分為兩類，一類是可控的ISPDNS故障，一類是不可控的管理機(jī)構(gòu)和ICPDNS故障。CMNETDNS應(yīng)該從以下兩個(gè)方面入手，尋找對(duì)策：提升自有DNS安全性和容災(zāi)能力，保障用戶感知。研究應(yīng)急備份技術(shù)，規(guī)避外部故障（管理機(jī)構(gòu)和ICPDNS故障），降低故障對(duì)用戶的影響應(yīng)對(duì)思路DNS系統(tǒng)風(fēng)險(xiǎn)分析及應(yīng)對(duì)思路自有DNS風(fēng)險(xiǎn)外部DNS風(fēng)險(xiǎn)

直接代應(yīng)答

代替根/頂級(jí)域DNS應(yīng)答由自有DNS直接向用戶應(yīng)答正確的解析結(jié)果建設(shè)根/定級(jí)域備份節(jié)點(diǎn)，在遞歸流程中代替原有根/頂級(jí)域DNS應(yīng)答，向網(wǎng)站授權(quán)DNS請(qǐng)求正確的解析結(jié)果

主機(jī)容災(zāi)

節(jié)點(diǎn)容災(zāi)功能容災(zāi)網(wǎng)絡(luò)容災(zāi)業(yè)務(wù)容災(zāi)

鏈路容災(zāi)交換機(jī)容災(zāi)

策略容災(zāi)多管齊下，提升DNS安全防范能力某著名企業(yè)用戶CMNET交換機(jī)DNS請(qǐng)求DNS響應(yīng)業(yè)務(wù)接入交換機(jī)流量牽引流量回注流量清洗①⑤⑦⑧⑨②③SP授權(quán)DNS服務(wù)器省DNS網(wǎng)絡(luò)安全看似簡(jiǎn)單，網(wǎng)絡(luò)攻擊實(shí)則無(wú)孔不入且手段多樣，2014年已發(fā)生多起DNS攻擊導(dǎo)致互聯(lián)網(wǎng)業(yè)務(wù)大面積受阻故某省市需從DNS系統(tǒng)建設(shè)能力、系統(tǒng)維護(hù)能力、結(jié)構(gòu)優(yōu)化能力三方面切實(shí)落實(shí)安全防范要求，全面提升DNS安全防范能力。某省市份某省市份⑥④大容量備份節(jié)點(diǎn)系統(tǒng)建設(shè)能力需滿足攻擊防范帶寬和容量需要

系統(tǒng)容量：必須達(dá)到至少滿足3倍峰值冗余；

接入帶寬：接入鏈路可承載超20倍日常請(qǐng)求流量；

備份節(jié)點(diǎn)：大容量備份節(jié)點(diǎn),緊急情況接管業(yè)務(wù)。系統(tǒng)維護(hù)能力需具備對(duì)攻擊流量的快速處置能力

流量清洗：攻擊流量超閾值自動(dòng)進(jìn)行流量清洗；

域名防護(hù)：域名/IP攻擊檢測(cè)和錯(cuò)誤重定向功能；

訪問(wèn)控制：系統(tǒng)配置端口+IP段的服務(wù)acl策略。結(jié)構(gòu)優(yōu)化能力需實(shí)現(xiàn)負(fù)載分擔(dān)和動(dòng)態(tài)路由保護(hù)機(jī)制

負(fù)載分擔(dān)：節(jié)點(diǎn)內(nèi)主機(jī)負(fù)載均衡業(yè)務(wù)分擔(dān)；

路由保護(hù)：節(jié)點(diǎn)間完全Anycast組網(wǎng)路由保護(hù)；

分離部署：緩存和遞歸分離，定期緩存域名。提升DNS安全能力功能點(diǎn)從主機(jī)、網(wǎng)絡(luò)、節(jié)點(diǎn)等層面進(jìn)行應(yīng)對(duì)主機(jī)層面設(shè)備主要部件冗余配置系統(tǒng)容量超過(guò)峰值3倍★具備重要進(jìn)程守護(hù)功能異常自監(jiān)測(cè)自恢復(fù)★遞歸主機(jī)取消防火墻★網(wǎng)絡(luò)層面防火墻、交換機(jī)熱備份，支持自動(dòng)切換★節(jié)點(diǎn)層面授權(quán)、遞歸分離★節(jié)點(diǎn)遞歸、緩存分離（大業(yè)務(wù)量需要）★異局點(diǎn)備份節(jié)點(diǎn)建設(shè)緊急情況下接管業(yè)務(wù)★雙節(jié)點(diǎn)異地保護(hù)，實(shí)現(xiàn)IPAnycast動(dòng)態(tài)路由切換★應(yīng)對(duì)外部故障層面域名/IP攻擊檢測(cè)和錯(cuò)誤遞歸域名重定向功能★具備類似DNS緩存的功能★★必備功能★建議功能

配置53端口和網(wǎng)管等端口acl策略★業(yè)務(wù)接入交換機(jī)帶寬超過(guò)歷史峰值請(qǐng)求流量20倍★正解反解分級(jí)保障★落實(shí)路由組織原則配置服務(wù)ACL★DNS安全能力提升手段根DNS統(tǒng)一備份（集團(tuán)1000萬(wàn)Qps節(jié)點(diǎn)建設(shè)中）DNS解析某省市內(nèi)DNS無(wú)法提供服務(wù)時(shí)，引導(dǎo)用戶DNS流量到備份節(jié)點(diǎn)提供DNS解析服務(wù)根/頂級(jí)域備份：根/頂級(jí)域故障時(shí)某省市內(nèi)DNS遞歸流量到到備份節(jié)點(diǎn)提供根/頂級(jí)域?qū)ぶ贩?wù)某省市網(wǎng)路由器上配置路由策略將用戶流量引導(dǎo)到備份節(jié)點(diǎn)。備份節(jié)點(diǎn)每日自動(dòng)備份百萬(wàn)量級(jí)域名：在綜合平衡設(shè)備性能和業(yè)務(wù)能力的情況下，可覆蓋約10%的根/頂級(jí)域名，滿足約99%的互聯(lián)網(wǎng)流量訪問(wèn)需求。DNS備份節(jié)點(diǎn)定位當(dāng)任某省市公司DNS系統(tǒng)發(fā)生故障時(shí)，DNS備份節(jié)點(diǎn)某省市公司DNS系統(tǒng)的解析工作，備份節(jié)點(diǎn)應(yīng)能滿足業(yè)務(wù)某省市份的備份需求，容量選取為緩存1000萬(wàn)QPS，遞歸100萬(wàn)QPS；備份節(jié)點(diǎn)需要具備抵御各類DNS攻擊能力，特別是防御DDoS攻擊的能力。根據(jù)網(wǎng)絡(luò)部需求，需能夠防御1000萬(wàn)QOS的DDoS攻擊。CMNETINTERNET本地DNS本地DNS根/定級(jí)域DNS備份節(jié)點(diǎn)備份節(jié)點(diǎn)某省用戶某省用戶CMNET目錄當(dāng)前主要問(wèn)題和挑戰(zhàn)CMNET網(wǎng)絡(luò)整體情況介紹今年CMNET網(wǎng)絡(luò)的工作重點(diǎn)重點(diǎn)關(guān)注點(diǎn)和工作思路流量預(yù)測(cè)方法和網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)現(xiàn)網(wǎng)流量?jī)?yōu)化DNS安全能力提升攻擊流量整治和URPF策略部署攻擊溯源工作進(jìn)展（1/2）自2014年12月開始，總部牽頭從發(fā)現(xiàn)、定位、整治三個(gè)方面，展開攻擊溯源整治工作。發(fā)現(xiàn)方面：督促流控設(shè)備廠家增加病毒庫(kù)，提升攻擊流量識(shí)別度。曾經(jīng)的無(wú)法識(shí)別的流量已確認(rèn)為SYNFlood類型攻擊流量。從疑似到確認(rèn)定位方某省市公司、國(guó)際公司協(xié)同合作，在故障發(fā)生期間分析定位攻擊源頭。

以4月15日攻擊事件為例，總部發(fā)現(xiàn)攻擊事件后請(qǐng)國(guó)際公司（CMI）配合定位源IP，確認(rèn)某省市公司找到具體設(shè)備歸屬，進(jìn)行設(shè)備掃描、加固。

2014年12月2015年5月總部：發(fā)現(xiàn)國(guó)際方向攻擊CMI：分析攻擊源頭省公司：定位設(shè)備，進(jìn)行整治攻擊溯源工作進(jìn)展（2/2）自2014年12月開始，總部牽頭從發(fā)現(xiàn)、定位、整治三個(gè)方面，展開攻擊溯源整治工作。整治方面：總部經(jīng)過(guò)分析SYN報(bào)文特征，以及攻擊流量與正常流量的主要區(qū)別，在CMNET國(guó)內(nèi)、國(guó)際出口部署了攔截策略，對(duì)超大、超小報(bào)文進(jìn)行攔截丟棄。

通過(guò)整治，網(wǎng)間攻擊流量從51Gb迅速下降至26Gbps。從疑似到確認(rèn)整治前：51Gbps整治后：26Gbps攻擊行為正在改變2015年5月，針對(duì)SYNFlood攻擊防護(hù)措施上線后，網(wǎng)間攻擊流量得到短時(shí)間抑制，但新的攻擊行為正在出現(xiàn)轉(zhuǎn)變。一、新類型攻擊流量正在增長(zhǎng)。SYNFlood攻擊流量被抑制后，利用NTP服務(wù)漏洞的攻擊頻次及流量正日子增多，以6月20日為例，NTP服務(wù)攻擊流量已達(dá)到9Gbps。二、入境攻擊流量開始增加。

長(zhǎng)期以來(lái)，“某著名企業(yè)->某著名企業(yè)”方向的SYNFlood攻擊流量是網(wǎng)間擁塞的主要原因，但6月以來(lái)，“某著名企業(yè)->某著名企業(yè)”方向的攻擊流量正快速增長(zhǎng)，需要我方加強(qiáng)對(duì)入網(wǎng)流量進(jìn)行深入監(jiān)控。攻擊流量整治后續(xù)工作計(jì)劃互聯(lián)網(wǎng)攻擊整治是長(zhǎng)效工作，在專用系統(tǒng)上線前，將按照“骨干某省市網(wǎng)定某省市攔截”的思路進(jìn)行防護(hù)。省公司工作：基于現(xiàn)有的網(wǎng)管手段，針對(duì)攻擊特性建立分析模型，加強(qiáng)攻擊事件監(jiān)控。省網(wǎng)管分析能力完某省市數(shù)據(jù)網(wǎng)管，需能夠針對(duì)單某省市、IDC出口、業(yè)務(wù)系統(tǒng)交換機(jī)等主要流量接入點(diǎn)，進(jìn)行全面數(shù)據(jù)分析。增補(bǔ)數(shù)據(jù)網(wǎng)管統(tǒng)計(jì)指某省市需增加對(duì)于包轉(zhuǎn)發(fā)速率、平均包長(zhǎng)等數(shù)據(jù)指標(biāo)的統(tǒng)計(jì)，增加包轉(zhuǎn)發(fā)能力門限告警。增強(qiáng)流控系統(tǒng)分析能力：針對(duì)目前常見的SYNFlood攻擊、NTP服務(wù)漏洞攻擊某省市網(wǎng)出口流控廠家完成特征庫(kù)更新，提升攻擊發(fā)現(xiàn)、溯源能力?？偛抗ぷ鳎杭訌?qiáng)攻擊事件分析，控制攻擊影響范圍，保證網(wǎng)間業(yè)務(wù)暢通。加強(qiáng)攻擊流量來(lái)源分析：總部將通過(guò)網(wǎng)間流控系統(tǒng)，定期對(duì)出網(wǎng)攻擊流量來(lái)源某省市統(tǒng)計(jì)，某省市（攻擊流量超過(guò)500Mbp某省市份將派發(fā)工單核查。控制攻擊影響范圍：對(duì)于2能有效控制攻擊某省市的省份，在干網(wǎng)層面將下調(diào)其流量?jī)?yōu)先級(jí)，避免攻擊流量擠占網(wǎng)間帶寬資源，影某省市業(yè)務(wù)質(zhì)量。加強(qiáng)運(yùn)營(yíng)