1. IP分配概述与常见规格

（1）常见IPv4分配规格：/29（6个可用IP）、/28（14个可用）、/24（254个可用）；提供商通常以/29起配给独立物理服务器或设备。
（2）IPv6分配策略：面向客户通常下发/48或/56，单主机子网为/64，便于未来扩展。
（3）因IPv4紧缺，香港节点常见NAT或CGNAT共用策略，按并发和端口池计费。
（4）IP申请需提供业务说明与反垃圾/反滥用联系人，APNIC登记与WHOIS信息必须一致。
（5）示例表：常见IPv4块与可用地址数量（供运维参考）。

2. IP分配申请与合规流程

（1）申请流程：提交企业信息、业务场景、预计带宽与端口使用情况，填写滥用联系人和AUP（Acceptable Use Policy）。
（2）资质审查：运营商核验营业执照、技术联系人、反滥用策略，必要时需提供流量基线或峰值预测。
（3）登记要求：必须在APNIC/本地RIR或运营商的IRR中登记路由对象（route/route6），并配置正确的RPKI ROA。
（4）PTR与反向解析：分配IP须支持PTR记录配置，邮件/证书操作常要求PTR一致。通常响应时延需24-48小时。
（5）配额管理：同一客户通常首配/29或/28，扩展需评估使用率与历史违规记录后审批。

3. 路由与BGP管理规范

（1）AS与BGP：客户自持AS可在香港节点做BGP多线，运营商会限制公告前缀数量与最长前缀长度（通常不接受更长于/24的IPv4公告）。
（2）过滤策略：建议配置max-prefix并启用前缀过滤与社区策略，防止劫持与回路。常用值示例：max-prefix 100, 关闭接受/31等异常前缀。
（3）RPKI与ROA：所有公开前缀应创建ROA并在IRR登记，以提高可达性与安全性。
（4）BGP会话冗余：至少两条对等线路（主/备），心跳与Keepalive设定建议60s/30s以快速检测故障。
（5）示例：某客户在香港采用双线BGP，AS65010宣告3个/24，运营商限定每会话最大50个前缀。

4. DDoS防护接入与CDN联动策略

（1）防护能力指标：防护带宽（如上游清洗能力80Gbps）、Packets Per Second（pps）处理能力（如20M pps）是关键评估项。
（2）清洗方式：黑洞（specially routed null0）、流量清洗（scrubbing）与透明代理结合，优先使用流量回收+清洗。
（3）阈值与自动化：运营商常设阈值（例如入站流量超过5Gbps或1M pps触发清洗），并提供自动化工单通知。
（4）CDN与Anycast结合：静态内容通过Anycast CDN分发，减轻源站负载；动态请求保留回源并在清洗链路做智能过滤。
（5）真实案例：某电商在2023年遭遇SYN/UDP混合攻击，攻击峰值25Gbps、1.2M pps，经接入清洗后回源流量稳定在900Mbps，应用可用率维持99.5%。

5. 运维管理与日志、变更规范

（1）变更流程：IP变更或回收必须提前72小时通知，DNS/证书与PTR在变更前同步准备，变更窗口记录并归档。
（2）日志与审计：生产网络需保留netflow/sflow日志至少90天，关键事件（BGP变更、清洗触发）要有审计链路。
（3）监控与告警：建议60s采样的链路监控、5分钟的流量趋势报警和即时DDoS阈值报警。
（4）备份与回滚：路由策略、ACL与防护策略需有版本化配置，回滚时间目标不超过15分钟。
（5）合规要求：涉及用户数据或日志的保存需符合当地隐私法规与客户协议。

6. 配置示例与实机规格参考

（1）源站示例配置：Intel Xeon E-2278G x1，32GB RAM，2x1TB NVMe RAID1，1Gbps 专用口，/29 IP（6可用）。
（2）高防节点规格：清洗节点示例：2 x Xeon Gold, 256GB RAM, 8 x 2TB NVMe + 100Gbps 报文处理链路，清洗峰值能力80Gbps/15M pps。
（3）BGP示例：本地Asn 65020，对等线路1：运营商A（10Gbps），对等线路2：运营商B（10Gbps），分别宣告/24 前缀。
（4）DNS与CDN：主DNS在香港部署Anycast，TTL 60秒；静态通过CDN缓存命中率目标≥90%。
（5）实战结果：该方案在一次峰值22Gbps攻击中，清洗后源站带宽利用率降至0.9Gbps，页面响应时间从2.3s恢复到0.35s。