1、背景

在當(dāng)今的互聯(lián)世界里，我們?nèi)找嬉蕾嚲W(wǎng)絡(luò)應(yīng)用和支持Web的應(yīng)用來(lái)推動(dòng)社會(huì)生產(chǎn)力的發(fā)展和成本的優(yōu)化。當(dāng)關(guān)鍵業(yè)務(wù)應(yīng)用步履蹣跚時(shí)，我們的業(yè)務(wù)也將躊躇不前。以教育為例，教育信息化的進(jìn)程日漸深化，從允許學(xué)生在網(wǎng)上注冊(cè)和申請(qǐng)獎(jiǎng)學(xué)金到通過(guò)在線學(xué)習(xí)計(jì)劃擴(kuò)大其課堂范圍，教育機(jī)構(gòu)正求助于Web來(lái)優(yōu)化流程并削減成本。

如今，我們面臨的問(wèn)題是如何才能擁有更快的應(yīng)用響應(yīng)時(shí)間、更高的可用性與無(wú)懈可擊的安全性，真正做到事半功倍？以政府為例，政府機(jī)構(gòu)一直試圖優(yōu)化IT基礎(chǔ)設(shè)施，為市民提供便捷的信息和服務(wù)。然而，橫跨政府IT機(jī)構(gòu)的應(yīng)用程序漏洞可能會(huì)給其機(jī)構(gòu)本身及市民帶來(lái)嚴(yán)重后果，比如有關(guān)安全抗攻擊、有關(guān)日志審計(jì)等問(wèn)題。

基于以上這些問(wèn)題，越來(lái)越多的網(wǎng)絡(luò)需要獲得端到端的出口與安全解決方案，期望通過(guò)解決方案實(shí)現(xiàn)以下功能：

1）可靠的應(yīng)用性能。隨著負(fù)載和網(wǎng)絡(luò)條件的變化，對(duì)應(yīng)用活動(dòng)的流量，繼續(xù)智能動(dòng)態(tài)的調(diào)整，并在保障性能的同時(shí)，保證應(yīng)用交付的可靠性，任何故障都不能造成數(shù)據(jù)業(yè)務(wù)的中斷。

2）安全防護(hù)功能。能夠提供對(duì)蠕蟲(chóng)、病毒、拒絕服務(wù)（DoS）以及Web攻擊的防護(hù)。

3）高效的應(yīng)用交付功能。通過(guò)高級(jí)優(yōu)化與負(fù)載均衡方案，提供加速的應(yīng)用性能。

4）統(tǒng)一的監(jiān)管功能?？梢蕴峁┘谢芾恚瑢?shí)時(shí)健康狀態(tài)、性能和安全性的檢測(cè)；可以提供事件日志和廣泛報(bào)告功能，記錄威脅情況。

以上這些可以用通俗的設(shè)備功能來(lái)衡量，即：基本轉(zhuǎn)發(fā)、應(yīng)用識(shí)別、流控、WAN優(yōu)化、應(yīng)用網(wǎng)絡(luò)和安全防護(hù)等。但是，對(duì)于應(yīng)用必經(jīng)之地——網(wǎng)絡(luò)出口而言，這些功能也將造成極大地延遲和性能衰減，如何平衡多業(yè)務(wù)與高性能的問(wèn)題擺在了我們面前。

2、銳捷網(wǎng)絡(luò)出口多業(yè)務(wù)與高性能技術(shù)

銳捷網(wǎng)絡(luò)結(jié)合多年的網(wǎng)絡(luò)出口部署經(jīng)驗(yàn)，綜合解決了多業(yè)務(wù)與高性能平衡的難題。銳捷網(wǎng)絡(luò)采取的平衡策略是：增強(qiáng)、融合。

增強(qiáng)，即強(qiáng)化單體性能，針對(duì)網(wǎng)絡(luò)出口難點(diǎn)的NAT/PBR、DPI識(shí)別、抗攻擊等逐個(gè)突破。

1）高性能NAT/PBR

銳捷網(wǎng)絡(luò)采用REF技術(shù)實(shí)現(xiàn)業(yè)務(wù)交換， REF（Ruijie Express Forwarding）是一種高性能、多業(yè)務(wù)、抗攻擊的高速業(yè)務(wù)交換方式。REF可以直接運(yùn)行在高速硬件平臺(tái)上，獨(dú)立于操作系統(tǒng)，它可以降低操作系統(tǒng)的復(fù)雜性，減少冗余，提高效率。REF快轉(zhuǎn)平臺(tái)是轉(zhuǎn)發(fā)加速平面的核心技術(shù)。VCPU技術(shù)把CPU虛擬為“虛數(shù)據(jù)核”和“虛系統(tǒng)核”，REF快轉(zhuǎn)平臺(tái)直接運(yùn)行在“虛數(shù)據(jù)核”上，相當(dāng)于用軟件把“虛數(shù)據(jù)核”模擬成為了一個(gè)ASIC轉(zhuǎn)發(fā)芯片，與X-Flow結(jié)合后可以識(shí)別和轉(zhuǎn)發(fā)二到七層的相關(guān)網(wǎng)絡(luò)業(yè)務(wù)，實(shí)現(xiàn)業(yè)務(wù)的高速交換。

2）高性能DPI引擎

銳捷網(wǎng)絡(luò)采用基于正則表達(dá)式的DPI引擎，并用DFA算法代替了傳統(tǒng)的NFA算法，最終實(shí)現(xiàn)基于硬件的DFA引擎，它可以做到：

在線IP的數(shù)量與設(shè)備性能無(wú)關(guān)；

并發(fā)SESSION的數(shù)量與設(shè)備性能無(wú)關(guān)；

控制策略的條目數(shù)與設(shè)備性能無(wú)關(guān)；

虛擬通道的數(shù)目與設(shè)備性能無(wú)關(guān)；

實(shí)現(xiàn)加載的協(xié)議數(shù)量與設(shè)備性能無(wú)關(guān)性。

3）多核高性能，提升安全防護(hù)性能

銳捷網(wǎng)絡(luò)的防火墻、IDS、WebGuard均采用多核處理器架構(gòu)。安全類設(shè)備采用多核處理器之后，多項(xiàng)復(fù)雜功能就可以同時(shí)開(kāi)啟使用。在單核架構(gòu)下，如果同時(shí)進(jìn)行開(kāi)啟防火墻的包過(guò)濾和應(yīng)用層入侵檢測(cè)，記錄URL日志，流量統(tǒng)計(jì)等多項(xiàng)功能時(shí)，發(fā)現(xiàn)網(wǎng)絡(luò)的速度馬上下降50%甚至更低。但是，如果使用多核架構(gòu)，每個(gè)核可以分別處理不同的數(shù)據(jù)包，同比性能可以提升30%-70%。同時(shí)，多核架構(gòu)使得設(shè)備的穩(wěn)定性和擴(kuò)展性得到很大的提高。

融合，即綜合功能與性能的關(guān)系，融合部分功能，如流控與網(wǎng)關(guān)認(rèn)證、路由與智能選路。

1）流控與網(wǎng)關(guān)認(rèn)證的融合

根據(jù)國(guó)家建設(shè)和諧網(wǎng)絡(luò)的大方向，結(jié)合網(wǎng)絡(luò)出口帶寬資源有效控制的原則，進(jìn)行互聯(lián)網(wǎng)接入控制是十分必要的。通過(guò)對(duì)網(wǎng)絡(luò)出口進(jìn)行準(zhǔn)出控制，加上日志記錄可以滿足公安部82號(hào)令要求，實(shí)現(xiàn)實(shí)名制網(wǎng)絡(luò)準(zhǔn)入。通過(guò)準(zhǔn)出控制，可以防止非本單位人員訪問(wèn)Internet資源，占用出口帶寬。傳統(tǒng)做法是通過(guò)架設(shè)專門(mén)的認(rèn)證網(wǎng)關(guān)來(lái)進(jìn)行，這在無(wú)形中改變了既有網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)增加了單點(diǎn)故障。銳捷網(wǎng)絡(luò)采用創(chuàng)新技術(shù)，將網(wǎng)絡(luò)必備的流控設(shè)備與網(wǎng)關(guān)認(rèn)證進(jìn)行融合，實(shí)現(xiàn)了基于用戶身份的帶寬分配、流量?jī)?yōu)化和應(yīng)用控制。舉例來(lái)說(shuō)：某領(lǐng)導(dǎo)A認(rèn)證入網(wǎng)后，帶寬5M，能下迅雷；某學(xué)生B認(rèn)證入網(wǎng)后，帶寬1M，不能下BT。

2）路由、NAT與智能選路融合

出口的基礎(chǔ)是數(shù)據(jù)轉(zhuǎn)發(fā)，也就是路由?；趪?guó)內(nèi)的現(xiàn)狀，NAT功能是出口必不可少的功能，也同時(shí)需要考慮到如何充分利用多ISP鏈路。我們通常需要串接一臺(tái)專門(mén)的多鏈路負(fù)載均衡設(shè)備，這樣做既增加了投資，又使得出口架構(gòu)變得復(fù)雜。銳捷網(wǎng)絡(luò)通過(guò)在NPE網(wǎng)絡(luò)出口引擎這樣的出口專用設(shè)備上，納入多鏈路負(fù)載均衡功能，實(shí)現(xiàn)了轉(zhuǎn)發(fā)與選路的融合。

3、結(jié)語(yǔ)

多業(yè)務(wù)與高性能是一對(duì)矛盾體，但今天的網(wǎng)絡(luò)恰恰更加講求高速、高效、安全的應(yīng)用交付服務(wù)。那么高性能的考慮必不可少，NAT高性能、DPI高性能、安全高性能、日志審計(jì)高性能、WAN優(yōu)化高性能都必須納入考慮范疇。銳捷網(wǎng)絡(luò)通過(guò)增強(qiáng)單體性能和融合相近性功能的策略，打造了一個(gè)融合多業(yè)務(wù)、保證高性能的網(wǎng)絡(luò)出口解決方案。