一、 互联网出口的新趋势
随着云计算、物联网的大规模应用,企业的业务逐步向数据中心集中,更多的用户通过统一的互联网出口来进行业务的访问。另一方面,许多行业如政务、电力、广电、教育等为了提高安全性,也在进行统一互联网出口建设。在用户侧和数据中心侧发生的变化,都使互联网出口的建设由分散出口模式,发展为统一互联网出口模式。建设模式的变化,给互联网出口建设带来了很大的改变。
一方面,网络规模成倍增加。分散建设出口时,出口的用户局限于一个或者几个分支,用户数有限,出口带宽也有限。统一互联网出口之后,通过出口访问互联网的用户成倍增加,网络规模类似于城域网,出口带宽倍增,可达到10G甚至更高。访问的集中同时也使得出口的重要性大大增加,一旦出现故障将造成大范围的影响。因此,统一互联网出口建设不但要提供更高的网络性能,同时还必须要保障不间断的网络服务,以满足高峰期用户的访问需求。
另一方面,用户体验越来越重要。统一互联网出口之后,网络管理员从简单的网络管理转变为网络运营,需要对所有分支的用户提供服务,这种角色的转变,使得网络管理员需要更多的关注用户体验。因此,统一互联网出口建设需要在改善用户体验,提供针对性的安全防护等方面进行更多的考虑。
二、 统一互联网出口需求要点
■ 运营级高可靠
互联网出口是整个网络对外流量的必经之路,互联网出口是否足够“强壮”直接影响着整个网络用户的上网体验。传统方案大多为“串糖葫芦”式组网,部署防火墙、入侵检测、防病毒网关、负载均衡、流量控制、行为审计、Web防火墙等设备,不但数量和种类繁多,而且极大的影响了网络的可靠性。即使设备部署中采用双机VRRP备份的方式,故障恢复时间也为秒级,而且组网极为复杂。因此,统一互联网出口的建设首先需要简化网络结构,并提高整体的可靠性。
■ 提升用户体验
用户对于带宽的需求是无止境的,尤其是在统一互联网出口后用户数成倍增加的情况下,不论出口带宽增加到多大,都无法完全满足用户的需求。但对客户来说,出口带宽的每次增加,都意味着成本的提高。因此,客户越来越关注带宽的合理利用,以达到提升带宽价值的目的。这时传统方案的局限性凸显无疑:
1) 用户投诉网速慢、体验不佳时,出口带宽却往往有富余,甚至某条链路空闲,传统带宽管理方案对此无能为力。
2) 启用流控功能为提高带宽利用率,却导致带宽资源的大量损耗。
3) 差异化安全防护。统一互联网出口后,不同分支对安全防护的需求存在差异,传统方案只能进行统一的安全防护,无法进行差异化防护。
因此,信息中心需要在用户体验和成本间找到平衡点,既让用户满意又不付出过高成本。
■ 精细的行为管理
网络规模增加后,需要对用户的行为进行精细化的管理,不然会导致工作状态无法监控、泄漏公司机密,甚至会出现不符合法律违规等严重问题。传统的行为审计大多是基于IP,无法精确到人,审计细粒度存在局限。此外,互联网统一出口后,分支的局域网往往通过NAT网关上连至出口,这样一来,分支的用户便经过一次或多次NAT后才到达互联网统一出口,如何在多次NAT后准确定位到人就成了必然要面临的问题。
因此,新的出口建设需要能审计到人,同时实现多级NAT的精确溯源。
■ 高性能
统一出口建设后,出口带宽成倍增加,往往到10G甚至更高,这就要求出口设备具备较高的处理性能,满足业务高峰期需要。
三、 迪普科技融慧管通一体化互联网出口解决方案
迪普科技基于大量的互联网出口建设实践与技术创新,推出了融慧管通一体化互联网出口解决方案,在传统方案基础上结合迪普科技独特的技术优势,完美的解决了互联网出口建设中所面临的各种困扰。
迪普科技融慧管通一体化互联网出口解决方案框架如下图所示:
迪普科技融慧管通一体化互联网出口解决方案框架
迪普科技融慧管通一体化互联网出口解决方案通过融、慧、管、通四大特点,简化网络,提升带宽价值,实现精细化管理、保障网络的高速畅通。
3.1 众多需求,从“融”面对
路由、NAT、防火墙、链路负载均衡、流控、上网行为管理、入侵防御等功能一体化部署,极大简化互联网出口组网结构;各种功能模块按需扩展,性能平滑扩容,有效保护现有投资。
DPX深度业务交换网关基于DPtech自主知识产权的L2~7融合操作系统ConPlat,集业务交换、网络安全、应用交付三大功能于一体。在具备丰富网络特性的基础上,还可以提供应用防火墙、入侵防御、流控、上网行为管理、异常流量清洗、应用交付、WAF等深度业务的线速处理,是目前业界业务扩展能力最强、处理能力最高的深度业务交换网关。
3.2 智能提升带宽价值,秀外“慧”中
三大创新技术:应用智能路由、零带宽损耗、高速内容缓存,综合提升出口带宽利用率,智能提升互联网出口带宽价值。在相同的带宽成本投入下,获得不同的上网体验!
■ 应用智能路由
ABR(Application-Based Routing)应用智能路由技术,可以依据策略将特定的应用流量调度到合适的链路上,从而达到最高效率地使用网络的多个出口、提高网络应用体验、节省带宽成本等效果。
例如,P2P下载流量是一种对带宽占用大,但对实时性要求不高的网络应用流量。如果不对这部分流量采取措施,则P2P下载会对网络带宽造成很大压力,从而会影响其他网络应用的体验。ABR可将P2P流量调度到质量较差、价格较便宜、利用率较低的链路上。
ABR也可以将HTTP或者网络游戏这类带宽占用较小但对实时性要求很高的网络应用流量牵引到延时和丢包都较小的高质量链路上,从而满足甚至提高这类用户的网络使用体验。
■ 零带宽损耗
传统的流控技术采用队列机制来管理数据包的传输,这种方式在上行方向确实适用,但在下行方向上由于收到的数据包已经占用了互联网出口带宽,传统的流控技术采用丢弃已收到数据包的方式,强行降低某些应用的带宽占用。大量丢弃数据包虽然减缓了下行方向的拥塞,但是却导致下行带宽的损失,其损失率最高达到30%左右。
迪普科技零带宽损耗技术,创新性的采用“提前”限速的技术理念,解决了传统流控技术因丢包而导致带宽损耗的难题。通过识别应用协议(如BT、迅雷、网络视频、HTTP等)确认协议传输模型,从而确认与远端服务器之间交互方式,动态与服务器协商,调整服务器的发送速率,达到控制带宽的效果。
这个过程需要消耗大量系统和内存资源,迪普科技通过APP-X硬件平台很好的承接上述资源消耗,在不影响网络应用的情况下,启用流量控制后,整体带宽几乎无损耗(5%以内),真正实现对应用流量的合理、有效、有序的管理。
■ 高速内容缓存
迪普科技DeepCache高速内容缓存系统,可以自动识别热点资源,通过自动更新下载或定时下载等方式,将外网资源缓存于网络本地,采用大容量存储服务器集群部署,用户无需安装客户端或修改配置,透明缓存,在不增加出口带宽的情况下,极大提升网络用户的体验。
应用支持
■ HTTP在线视频应用
■ HTTP下载应用
■ 各种主流P2P应用
使用效果
■ 互联网出口带宽占用降低15%-20%
■ 热点资源访问速度提升10倍以上
3.3 网络行为,“管”控一体
行为管理可以基于应用而不是端口,基于用户而不是IP,基于内容而不是数据包,在深度内容识别的基础上实现上网行为管控一体化。
同时,支持4000+应用识别与灵活的管控策略,网络流量与上网行为全面可视化,打造秩序井然的网络环境。
针对多级NAT的溯源,方案通过控件将真实身份信息携带至上网行为管理设备,实现上网精确溯源。
应用识别
迪普科技基于对网络和应用协议的深刻理解,融合DPI与FPI两种不同的识别技术,自主开发泛协议识别模型CAAR (Context-Aware Application Recognition) 上下文感知应用识别技术。
■ DPI(Deep Packet Inspection深度包检测)在进行分析报文头的基础上,结合不同的应用协议的“指纹”综合判断所属的应用。
■ FPI(Flow Pattern Inspection流模型检测)是一种基于流量行为的协议识别技术。
CAAR 采取优化的AC(Alfred V.Aho和Margaret J.Corasick)多模匹配算法,支持流匹配方式,使得协议的识别更确切。迪普科技在泛协议识别模型CAAR的基础上,通过应用协议快速自学习技术有效降低DPI/FPI的高性能耗费问题。在已经识别网络应用的基础上,同一网络内存在较多的相同流量,那么此协议经过一次识别后,提取此协议对应的“IP+PORT”即可实现协议的快速分类,还不降低协议识别的精度,与其他技术配合,可有效解决识别深度和性能的矛盾。
流量控制
■ 多维度组合流量控制
可以基于接口、用户、实名帐号、应用和时间等进行组合流量控制
■ 带宽预留
确保队列独享带宽,为指定业务或通道提供有效保障
■ 链路带宽动态管控
根据带宽占用情况,动态调节带宽限速策略,最大效率地利用带宽
■ 应用控制
支持按照流量所属的应用层协议或服务,为不同用户的不同服务定义不同的控制策略,实现了基于服务的网络流量细分管理
■ 行为管理
支持Web应用、Web搜索、Web下载、论坛、邮件、FTP应用、IM应用、远程控制等应用的上网行为管理。
3.4 高速稳定,畅“通”无阻
高性能的硬件架构、领先的虚拟化技术、强大的网络适应能力、支持IPv4/IPv6双栈,为网络提供高速、可靠的出口通道。
■ 高效硬件架构
迪普科技APP-X硬件平台采用了多核处理器+大规模FPGA+高性能交换芯片架构实现。数据处理方面还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大地降低了报文处理的时延,大大提升了用户体验。
■ 产品软件架构
迪普科技采用自主研发的ConPlat软件平台,是专门针对深度业务识别和网络安全进行构架的安全操作系统。ConPlat软件平台的底层在进程调度、内存管理、总线控制、磁盘管理等方面针对APP-X硬件架构进行了深度优化,并能调度FPGA硬件引擎的资源,实现高性能。并在此基础之上进行硬件虚拟化管理,可以实现操作系统级或者应用级的虚拟化。
ConPlat软件平台的核心采用控制、业务与转发三平面分离架构。控制平面主要实现由路由协议(IPv4/ IPv6)、STP/VLAN/ARP、组播、MPLS等,负责生成转发表项。业务平面主要实现状态表管理、应用识别、应用控制、威胁识别、应用审计等应用层功能,根据策略对状态表进行管理。转发平面主要是根据控制平面生成的转发表及业务平面生成的状态表,对数据流进行转发、限流及阻断等操作。
四、 统一互联网出口解决方案设计
统一互联网出口解决方案的设计综合融、慧、管、通四大特点,通过采用DPX融合式网关设备,部署负载均衡、防火墙、入侵防御、流控审计业务板卡,实现出口防护所需的功能,提升带宽价值。方案拓扑如下图所示:
统一互联网出口解决方案设计
方案的设计要点如下:
■ 融:众多需求,从“融”面对
■ 慧:智能提升带宽价值,秀外“慧”中
■ 管:网络行为,“管”控一体
■ 通:高速稳定,畅“通”无阻