内部资料 · Internal Use Only · 禁止外发 · Tencent Cloud EdgeOne Product Team
Internal · Technical Reference

EdgeOne L3 Transit
DDoS Mitigation Solution

面向售前 / 交付 / 技术支持团队的内部技术参考手册 —— 涵盖代播机制、隧道参数、高可用架构、防护能力矩阵与完整报价体系。

文档版本 v1.0 来源 EdgeOne Product Team 适用范围 售前 / SA / 交付工程师 更新 2026-07
01 / ARCHITECTURE
整体架构总览
客户 IP 前缀由 EdgeOne 全球清洗节点代播,入站流量经清洗后通过 GRE 隧道回注客户 IDC;出站流量走非对称路由(DSR)直接返回,不经过清洗中心,不增加时延与转发成本。
⚠ 攻击源 Botnet ✓ 正常用户 Internet EdgeOne 清洗中心 全球 Anycast 代播 + 实时拦截 ✕ 拦截 Blocked ✓ 清洗后 Clean 客户 IDC 出站直返 · 不经过清洗中心,不增加时延
入站(Inbound):经 EO 清洗中心,干净流量通过 GRE 隧道转发至客户 IDC。
出站(Outbound):源站原路直返,非对称路由,不占用 EO 出向带宽。
模式:支持 Always-On(常态清洗)与 On-Demand(按需牵引)两种运行模式。
02 / PREFIX ADVERTISEMENT
代播机制详解
"代播"即 EdgeOne 代替客户向上游 ISP 公告 IP 前缀(BGP Announcement),使流量在到达客户 IDC 前先经过清洗。触发代播的方式分为两种:
🖱️
方式一 · 手动控制
Manual Control · 已支持
  • 控制台一键 Start / Stop 代播
  • 支持 API 调用远程触发
  • 后台同步下发至全球 PoP 边界路由器
  • 适合无自动化联动需求的客户
🔁
方式二 · BGP 会话联动
BGP Announcement · Q4 上线
  • EdgeOne 与客户 IDC 建立 eBGP Peering
  • EdgeOne 提供 3 个公网 BGP Peer IP(冗余)
  • 客户侧公告 / 撤回前缀即自动触发 EdgeOne 全网代播 / 撤播
  • 需客户提供 LOA 授权函 + 更新 IRR 路由对象登记
03 / STRATEGY
前缀公告策略对比
利用 BGP「最长前缀匹配 + AS Path 越短越优」的选路规则,引导流量优先经过 EdgeOne,同时保留 IDC 直连路径作为兜底。
方案Edge 侧公告IDC 侧公告收敛速度风险推荐度
Option 1 /24(同长度) /24 + AS Path Prepend ×3 僵尸路由风险低,避免 ISP 重新选路 推荐
Option 2 /24(更具体) /23(更长前缀) 5–10 分钟 撤播时存在僵尸路由与 ISP 路径重查风险 备选
04 / GRE TUNNEL
GRE 隧道参数 & 分组架构
清洗中心到客户 IDC 之间通过点对点 GRE 隧道回注干净流量,隧道按 Priority 分组,组内按 Weight 做负载均衡。
1476
MTU (bytes)
1436
MSS (bytes)
64
TTL
2
EO 侧隧道端点数
Tunnel Group:SG_Primary
Priority 10
  • Tunnel A · Weight 100
  • Tunnel B · Weight 100
  • 组内按权重负载均衡
Tunnel Group:SG_Secondary
Priority 20 · Auto Failover
  • Tunnel C · Weight 100
  • Tunnel D · Weight 100
  • Primary 组全故障后自动切入
05 / HIGH AVAILABILITY
高可用与故障切换
分为「隧道级」与「节点/清洗中心级」两层故障切换机制,均为自动触发,无需人工干预。
🔗
隧道级 Failover
ICMP Reply Health Check
  • 探测周期 10s · 每次探测 15 包
  • 时延阈值 200ms · 丢包阈值 5%
  • 组内隧道全故障才触发切组
  • 恢复防抖动 Dampening 1800s
🌐
节点级 Failover
Regional Anycast
  • 区域划分:APEC / EMEA / AMER
  • 每区域 ≥ 3 个清洗节点
  • 节点故障自动路由收敛至其他健康节点
  • 基于 BGP Anycast 自然就近选路
06 / MITIGATION MATRIX
DDoS 防护能力矩阵
覆盖反射类攻击与 BOTNET 直接攻击两大类,新一代「正安全模型」(流量特征识别)对全部攻击类型均可达 Excellent 评级。
防护手段UDP FloodsTCP FloodsPulse WaveTCP连接耗尽UDP随机流量UDP重放自定义字节模式
传统方式(负安全模型)
客户端校验 / 反射检测●●●●●●
上游 ISP 接入控制●●●●
源端口过滤●●●●●●
0秒主动防护●●●
按客户限速●●●●
TCP连接延迟确认/认证●●●●●
字节级匹配规则●●●●●●●
新一代方式(正安全模型)
流量特征识别 Traffic Signature
同时支持 TCP / UDP,友商 Cloudflare / AWS 无此能力
●●●●●●●●●●●●●●●●●●●●●●●●●●●●
● = Works ●●● = Excellent ●●●● = Excellent(正安全模型全类型覆盖) — = 不适用该场景
07 / FEATURE LIST
完整功能清单
📡
网络前缀管理
  • 预置策略 / On-demand API·GUI 控制
  • 前缀长度支持 /24
  • 区域 & ASN 来源过滤
  • IRR / LOA 校验
  • 源端口过滤(自定义 src/dest ip-port)
🛡️
DDoS 防护
  • 自动识别并缓解已知攻击
  • TCP 连接保护 / 异常连接过滤
  • 连接耗尽防护
  • 字节级自定义规则匹配
  • 0 秒主动防护(Always-On 可选)
🔌
源站连接
  • 全球边缘节点回注流量
  • Premium 骨干网传输
  • GRE 隧道协议 · 托管服务
  • MTU 1476 / MSS 1436
  • ICMP 健康检查
📊
分析与日志 / 连接策略
  • 控制台事件日志
  • 清洗前后流量分析
  • 攻击类型 / 来源IP / 峰值带宽
  • 多隧道分组 + 优先级 + 权重
  • 2 个 Anycast GRE 隧道端点
08 / PRICING
完整报价体系(内部)
以下为标准 List Price(美元),实际报价以商务审批为准,禁止外发原始表格。
类别项目计费方式计费周期List Price (USD)
EO(含2条GRE隧道)Enterprise EditionPostpaidMonthly$1,300
Premium EditionPrepaidMonthly$5,000
DDoS Defender 防护 Add-On1条保护前缀 + 100Mbps清洗流量(含)· Global 不含中国大陆PrepaidMonthly$1,400
超量 Overage超出的保护资源PostpaidMonthly$140 /项
数据传输 - 带宽Prepaid 基础带宽PrepaidMonthly$4
Postpaid [0, 1 Gbps)PostpaidMonthly$20 /Gbps
Postpaid [1, 5 Gbps)PostpaidMonthly$18 /Gbps
Postpaid [5, 100 Gbps)PostpaidMonthly$15 /Gbps
Postpaid [100 Gbps, ∞)PostpaidMonthly$10 /Gbps
GRE 隧道额外隧道(超出2条含量)PostpaidMonthly$2,000 /条
接入服务 Onboarding一次性开通实施服务PrepaidOne-off$10,000
带宽阶梯计费为超额累进制,超出免费额度部分按对应区间单价计算;GRE 隧道超出含量部分单独计费。
费用结构拆解 —— 5 类计费项的关系
报价表实际由 5 种不同性质的计费项组成,理清各项之间的关系是准确报价 / 讲解账单构成的关键:
一次性费用
One-off · 只收一次
  • Onboarding Service $10,000
  • 用于接入实施 / 隧道配置 / LOA&IRR 授权登记
月度平台费
Platform Fee · 二选一
  • Enterprise $1,300/月(Postpaid)
  • Premium $5,000/月(Prepaid,服务等级更高)
  • 均含 2 条 GRE 隧道,买的是"平台使用资格"
月度防护包
Protection Add-On · 含量制
  • $1,400/月
  • 含 1 条保护前缀 + 100Mbps 清洗流量额度
  • 买的是"实际防护能力",与②叠加计费
超量计费
Overage · 按量补差价
  • 超出前缀/资源:$140 /项 /月
  • 超出带宽:阶梯价 $10~$20 /Gbps(用量越大单价越低)
  • 仅在实际用量超过③的含量时产生
可选增值
Optional Add-on
  • 额外 GRE 隧道 $2,000 /条 /月
  • 超出②默认含的 2 条隧道时按需加购
账单构成示例(用于向客户讲解报价逻辑)
场景计费项数量单价小计
场景A
标准起步,无超量
Enterprise Edition1$1,300$1,300
DDoS 防护 Add-On1$1,400$1,400
月度合计(不含首月开通费)$2,700/月
场景B
业务扩容后
Enterprise Edition + Add-On(同上)$2,700
超量保护前缀2$140$280
额外 GRE 隧道1$2,000$2,000
超量清洗带宽(假设峰值 3Gbps,按对应阶梯累计)~3Gbps$18~20/Gbps≈$56
月度合计≈$5,036/月

首月账单需额外加上一次性 Onboarding 费用 $10,000;带宽阶梯为累进制估算示例,实际以计费系统结算为准。

09 / REFERENCE CASE
客户案例:网宿科技(Wangsu)· 技术视角

网宿科技(Wangsu)是全球领先的CDN与边缘安全服务商,服务金融、游戏、互联网等行业客户。其海外自建清洗能力无法应对超大流量攻击,接入 EdgeOne L3 Transit 方案后:

🌍
隧道部署
  • 香港 + 法兰克福两地 GRE 隧道
  • Anycast 前缀经腾讯 EO 清洗中心公告
🎯
策略调优
  • 主动式 DDoS 防护策略实时调优
📈
防护成果
  • 最高 Tbps 级攻击成功缓解
  • 累计 30+ 次重大攻击事件