01 / ARCHITECTURE
整体架构总览
客户 IP 前缀由 EdgeOne 全球清洗节点代播,入站流量经清洗后通过 GRE 隧道回注客户 IDC;出站流量走非对称路由(DSR)直接返回,不经过清洗中心,不增加时延与转发成本。
入站(Inbound):经 EO 清洗中心,干净流量通过 GRE 隧道转发至客户 IDC。
出站(Outbound):源站原路直返,非对称路由,不占用 EO 出向带宽。
模式:支持 Always-On(常态清洗)与 On-Demand(按需牵引)两种运行模式。
02 / PREFIX ADVERTISEMENT
代播机制详解
"代播"即 EdgeOne 代替客户向上游 ISP 公告 IP 前缀(BGP Announcement),使流量在到达客户 IDC 前先经过清洗。触发代播的方式分为两种:
🖱️
方式一 · 手动控制
Manual Control · 已支持
- 控制台一键 Start / Stop 代播
- 支持 API 调用远程触发
- 后台同步下发至全球 PoP 边界路由器
- 适合无自动化联动需求的客户
🔁
方式二 · BGP 会话联动
BGP Announcement · Q4 上线
- EdgeOne 与客户 IDC 建立 eBGP Peering
- EdgeOne 提供 3 个公网 BGP Peer IP(冗余)
- 客户侧公告 / 撤回前缀即自动触发 EdgeOne 全网代播 / 撤播
- 需客户提供 LOA 授权函 + 更新 IRR 路由对象登记
03 / STRATEGY
前缀公告策略对比
利用 BGP「最长前缀匹配 + AS Path 越短越优」的选路规则,引导流量优先经过 EdgeOne,同时保留 IDC 直连路径作为兜底。
| 方案 | Edge 侧公告 | IDC 侧公告 | 收敛速度 | 风险 | 推荐度 |
| Option 1 |
/24(同长度) |
/24 + AS Path Prepend ×3 |
快 |
僵尸路由风险低,避免 ISP 重新选路 |
推荐 |
| Option 2 |
/24(更具体) |
/23(更长前缀) |
5–10 分钟 |
撤播时存在僵尸路由与 ISP 路径重查风险 |
备选 |
04 / GRE TUNNEL
GRE 隧道参数 & 分组架构
清洗中心到客户 IDC 之间通过点对点 GRE 隧道回注干净流量,隧道按 Priority 分组,组内按 Weight 做负载均衡。
①
Tunnel Group:SG_Primary
Priority 10
- Tunnel A · Weight 100
- Tunnel B · Weight 100
- 组内按权重负载均衡
②
Tunnel Group:SG_Secondary
Priority 20 · Auto Failover
- Tunnel C · Weight 100
- Tunnel D · Weight 100
- Primary 组全故障后自动切入
05 / HIGH AVAILABILITY
高可用与故障切换
分为「隧道级」与「节点/清洗中心级」两层故障切换机制,均为自动触发,无需人工干预。
🔗
隧道级 Failover
ICMP Reply Health Check
- 探测周期 10s · 每次探测 15 包
- 时延阈值 200ms · 丢包阈值 5%
- 组内隧道全故障才触发切组
- 恢复防抖动 Dampening 1800s
🌐
节点级 Failover
Regional Anycast
- 区域划分:APEC / EMEA / AMER
- 每区域 ≥ 3 个清洗节点
- 节点故障自动路由收敛至其他健康节点
- 基于 BGP Anycast 自然就近选路
06 / MITIGATION MATRIX
DDoS 防护能力矩阵
覆盖反射类攻击与 BOTNET 直接攻击两大类,新一代「正安全模型」(流量特征识别)对全部攻击类型均可达 Excellent 评级。
| 防护手段 | UDP Floods | TCP Floods | Pulse Wave | TCP连接耗尽 | UDP随机流量 | UDP重放 | 自定义字节模式 |
| 传统方式(负安全模型) |
| 客户端校验 / 反射检测 | ●●● | ●●● | — | — | — | — | — |
| 上游 ISP 接入控制 | ●● | ●● | — | — | — | — | — |
| 源端口过滤 | ●●● | ●●● | — | — | — | — | — |
| 0秒主动防护 | — | — | ●●● | — | — | — | — |
| 按客户限速 | — | — | — | ●● | ●● | — | — |
| TCP连接延迟确认/认证 | — | — | — | ●●● | — | ●● | — |
| 字节级匹配规则 | — | — | — | — | ●●● | ●● | ●● |
| 新一代方式(正安全模型) |
流量特征识别 Traffic Signature 同时支持 TCP / UDP,友商 Cloudflare / AWS 无此能力 |
●●●● | ●●●● | ●●●● | ●●●● | ●●●● | ●●●● | ●●●● |
● = Works ●●● = Excellent ●●●● = Excellent(正安全模型全类型覆盖) — = 不适用该场景
07 / FEATURE LIST
完整功能清单
📡
网络前缀管理
- 预置策略 / On-demand API·GUI 控制
- 前缀长度支持 /24
- 区域 & ASN 来源过滤
- IRR / LOA 校验
- 源端口过滤(自定义 src/dest ip-port)
🛡️
DDoS 防护
- 自动识别并缓解已知攻击
- TCP 连接保护 / 异常连接过滤
- 连接耗尽防护
- 字节级自定义规则匹配
- 0 秒主动防护(Always-On 可选)
🔌
源站连接
- 全球边缘节点回注流量
- Premium 骨干网传输
- GRE 隧道协议 · 托管服务
- MTU 1476 / MSS 1436
- ICMP 健康检查
📊
分析与日志 / 连接策略
- 控制台事件日志
- 清洗前后流量分析
- 攻击类型 / 来源IP / 峰值带宽
- 多隧道分组 + 优先级 + 权重
- 2 个 Anycast GRE 隧道端点
08 / PRICING
完整报价体系(内部)
以下为标准 List Price(美元),实际报价以商务审批为准,禁止外发原始表格。
| 类别 | 项目 | 计费方式 | 计费周期 | List Price (USD) |
| EO(含2条GRE隧道) | Enterprise Edition | Postpaid | Monthly | $1,300 |
| Premium Edition | Prepaid | Monthly | $5,000 |
| DDoS Defender 防护 Add-On | 1条保护前缀 + 100Mbps清洗流量(含)· Global 不含中国大陆 | Prepaid | Monthly | $1,400 |
| 超量 Overage | 超出的保护资源 | Postpaid | Monthly | $140 /项 |
| 数据传输 - 带宽 | Prepaid 基础带宽 | Prepaid | Monthly | $4 |
| Postpaid [0, 1 Gbps) | Postpaid | Monthly | $20 /Gbps |
| Postpaid [1, 5 Gbps) | Postpaid | Monthly | $18 /Gbps |
| Postpaid [5, 100 Gbps) | Postpaid | Monthly | $15 /Gbps |
| Postpaid [100 Gbps, ∞) | Postpaid | Monthly | $10 /Gbps |
| GRE 隧道 | 额外隧道(超出2条含量) | Postpaid | Monthly | $2,000 /条 |
| 接入服务 Onboarding | 一次性开通实施服务 | Prepaid | One-off | $10,000 |
带宽阶梯计费为超额累进制,超出免费额度部分按对应区间单价计算;GRE 隧道超出含量部分单独计费。
费用结构拆解 —— 5 类计费项的关系
报价表实际由 5 种不同性质的计费项组成,理清各项之间的关系是准确报价 / 讲解账单构成的关键:
①
一次性费用
One-off · 只收一次
- Onboarding Service $10,000
- 用于接入实施 / 隧道配置 / LOA&IRR 授权登记
②
月度平台费
Platform Fee · 二选一
- Enterprise $1,300/月(Postpaid)
- Premium $5,000/月(Prepaid,服务等级更高)
- 均含 2 条 GRE 隧道,买的是"平台使用资格"
③
月度防护包
Protection Add-On · 含量制
- $1,400/月
- 含 1 条保护前缀 + 100Mbps 清洗流量额度
- 买的是"实际防护能力",与②叠加计费
④
超量计费
Overage · 按量补差价
- 超出前缀/资源:$140 /项 /月
- 超出带宽:阶梯价 $10~$20 /Gbps(用量越大单价越低)
- 仅在实际用量超过③的含量时产生
⑤
可选增值
Optional Add-on
- 额外 GRE 隧道 $2,000 /条 /月
- 超出②默认含的 2 条隧道时按需加购
Worked Example
账单构成示例(用于向客户讲解报价逻辑)
| 场景 | 计费项 | 数量 | 单价 | 小计 |
场景A 标准起步,无超量 |
Enterprise Edition | 1 | $1,300 | $1,300 |
| DDoS 防护 Add-On | 1 | $1,400 | $1,400 |
| 月度合计(不含首月开通费) | — | — | $2,700/月 |
场景B 业务扩容后 |
Enterprise Edition + Add-On(同上) | — | — | $2,700 |
| 超量保护前缀 | 2 | $140 | $280 |
| 额外 GRE 隧道 | 1 | $2,000 | $2,000 |
| 超量清洗带宽(假设峰值 3Gbps,按对应阶梯累计) | ~3Gbps | $18~20/Gbps | ≈$56 |
| 月度合计 | — | — | ≈$5,036/月 |
首月账单需额外加上一次性 Onboarding 费用 $10,000;带宽阶梯为累进制估算示例,实际以计费系统结算为准。
09 / REFERENCE CASE
客户案例:网宿科技(Wangsu)· 技术视角
Case Study
网宿科技(Wangsu)是全球领先的CDN与边缘安全服务商,服务金融、游戏、互联网等行业客户。其海外自建清洗能力无法应对超大流量攻击,接入 EdgeOne L3 Transit 方案后:
🌍
隧道部署
- 香港 + 法兰克福两地 GRE 隧道
- Anycast 前缀经腾讯 EO 清洗中心公告
📈
防护成果
- 最高 Tbps 级攻击成功缓解
- 累计 30+ 次重大攻击事件