[[175128]]

一、 互聯(lián)網(wǎng)出口的新趨勢

隨著云計算、物聯(lián)網(wǎng)的大規(guī)模應(yīng)用，企業(yè)的業(yè)務(wù)逐步向數(shù)據(jù)中心集中，更多的用戶通過統(tǒng)一的互聯(lián)網(wǎng)出口來進行業(yè)務(wù)的訪問。另一方面，許多行業(yè)如政務(wù)、電力、廣電、教育等為了提高安全性，也在進行統(tǒng)一互聯(lián)網(wǎng)出口建設(shè)。在用戶側(cè)和數(shù)據(jù)中心側(cè)發(fā)生的變化，都使互聯(lián)網(wǎng)出口的建設(shè)由分散出口模式，發(fā)展為統(tǒng)一互聯(lián)網(wǎng)出口模式。建設(shè)模式的變化，給互聯(lián)網(wǎng)出口建設(shè)帶來了很大的改變。

一方面，網(wǎng)絡(luò)規(guī)模成倍增加。分散建設(shè)出口時，出口的用戶局限于一個或者幾個分支，用戶數(shù)有限，出口帶寬也有限。統(tǒng)一互聯(lián)網(wǎng)出口之后，通過出口訪問互聯(lián)網(wǎng)的用戶成倍增加，網(wǎng)絡(luò)規(guī)模類似于城域網(wǎng)，出口帶寬倍增，可達到10G甚至更高。訪問的集中同時也使得出口的重要性大大增加，一旦出現(xiàn)故障將造成大范圍的影響。因此，統(tǒng)一互聯(lián)網(wǎng)出口建設(shè)不但要提供更高的網(wǎng)絡(luò)性能，同時還必須要保障不間斷的網(wǎng)絡(luò)服務(wù)，以滿足高峰期用戶的訪問需求。

另一方面，用戶體驗越來越重要。統(tǒng)一互聯(lián)網(wǎng)出口之后，網(wǎng)絡(luò)管理員從簡單的網(wǎng)絡(luò)管理轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)運營，需要對所有分支的用戶提供服務(wù)，這種角色的轉(zhuǎn)變，使得網(wǎng)絡(luò)管理員需要更多的關(guān)注用戶體驗。因此，統(tǒng)一互聯(lián)網(wǎng)出口建設(shè)需要在改善用戶體驗，提供針對性的安全防護等方面進行更多的考慮。

二、 統(tǒng)一互聯(lián)網(wǎng)出口需求要點

■ 運營級高可靠

互聯(lián)網(wǎng)出口是整個網(wǎng)絡(luò)對外流量的必經(jīng)之路，互聯(lián)網(wǎng)出口是否足夠“強壯”直接影響著整個網(wǎng)絡(luò)用戶的上網(wǎng)體驗。傳統(tǒng)方案大多為“串糖葫蘆”式組網(wǎng)，部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)、負載均衡、流量控制、行為審計、Web防火墻等設(shè)備，不但數(shù)量和種類繁多，而且極大的影響了網(wǎng)絡(luò)的可靠性。即使設(shè)備部署中采用雙機VRRP備份的方式，故障恢復(fù)時間也為秒級，而且組網(wǎng)極為復(fù)雜。因此，統(tǒng)一互聯(lián)網(wǎng)出口的建設(shè)首先需要簡化網(wǎng)絡(luò)結(jié)構(gòu)，并提高整體的可靠性。

■ 提升用戶體驗

用戶對于帶寬的需求是無止境的，尤其是在統(tǒng)一互聯(lián)網(wǎng)出口后用戶數(shù)成倍增加的情況下，不論出口帶寬增加到多大，都無法完全滿足用戶的需求。但對客戶來說，出口帶寬的每次增加，都意味著成本的提高。因此，客戶越來越關(guān)注帶寬的合理利用，以達到提升帶寬價值的目的。這時傳統(tǒng)方案的局限性凸顯無疑：

1) 用戶投訴網(wǎng)速慢、體驗不佳時，出口帶寬卻往往有富余，甚至某條鏈路空閑，傳統(tǒng)帶寬管理方案對此無能為力。

2) 啟用流控功能為提高帶寬利用率，卻導(dǎo)致帶寬資源的大量損耗。

3) 差異化安全防護。統(tǒng)一互聯(lián)網(wǎng)出口后，不同分支對安全防護的需求存在差異，傳統(tǒng)方案只能進行統(tǒng)一的安全防護，無法進行差異化防護。

因此，信息中心需要在用戶體驗和成本間找到平衡點，既讓用戶滿意又不付出過高成本。

■ 精細的行為管理

網(wǎng)絡(luò)規(guī)模增加后，需要對用戶的行為進行精細化的管理，不然會導(dǎo)致工作狀態(tài)無法監(jiān)控、泄漏公司機密，甚至?xí)霈F(xiàn)不符合法律違規(guī)等嚴重問題。傳統(tǒng)的行為審計大多是基于IP，無法精確到人，審計細粒度存在局限。此外，互聯(lián)網(wǎng)統(tǒng)一出口后，分支的局域網(wǎng)往往通過NAT網(wǎng)關(guān)上連至出口，這樣一來，分支的用戶便經(jīng)過一次或多次NAT后才到達互聯(lián)網(wǎng)統(tǒng)一出口，如何在多次NAT后準確定位到人就成了必然要面臨的問題。

因此，新的出口建設(shè)需要能審計到人，同時實現(xiàn)多級NAT的精確溯源。

■ 高性能

統(tǒng)一出口建設(shè)后，出口帶寬成倍增加，往往到10G甚至更高，這就要求出口設(shè)備具備較高的處理性能，滿足業(yè)務(wù)高峰期需要。

三、 迪普科技融慧管通一體化互聯(lián)網(wǎng)出口解決方案

迪普科技基于大量的互聯(lián)網(wǎng)出口建設(shè)實踐與技術(shù)創(chuàng)新，推出了融慧管通一體化互聯(lián)網(wǎng)出口解決方案，在傳統(tǒng)方案基礎(chǔ)上結(jié)合迪普科技獨特的技術(shù)優(yōu)勢，完美的解決了互聯(lián)網(wǎng)出口建設(shè)中所面臨的各種困擾。

迪普科技融慧管通一體化互聯(lián)網(wǎng)出口解決方案框架如下圖所示：

迪普科技融慧管通一體化互聯(lián)網(wǎng)出口解決方案框架

迪普科技融慧管通一體化互聯(lián)網(wǎng)出口解決方案通過融、慧、管、通四大特點，簡化網(wǎng)絡(luò)，提升帶寬價值，實現(xiàn)精細化管理、保障網(wǎng)絡(luò)的高速暢通。

3.1 眾多需求，從“融”面對

路由、NAT、防火墻、鏈路負載均衡、流控、上網(wǎng)行為管理、入侵防御等功能一體化部署，極大簡化互聯(lián)網(wǎng)出口組網(wǎng)結(jié)構(gòu);各種功能模塊按需擴展，性能平滑擴容，有效保護現(xiàn)有投資。

DPX深度業(yè)務(wù)交換網(wǎng)關(guān)基于DPtech自主知識產(chǎn)權(quán)的L2~7融合操作系統(tǒng)ConPlat，集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體。在具備豐富網(wǎng)絡(luò)特性的基礎(chǔ)上，還可以提供應(yīng)用防火墻、入侵防御、流控、上網(wǎng)行為管理、異常流量清洗、應(yīng)用交付、WAF等深度業(yè)務(wù)的線速處理，是目前業(yè)界業(yè)務(wù)擴展能力最強、處理能力最高的深度業(yè)務(wù)交換網(wǎng)關(guān)。

3.2 智能提升帶寬價值，秀外“慧”中

三大創(chuàng)新技術(shù)：應(yīng)用智能路由、零帶寬損耗、高速內(nèi)容緩存，綜合提升出口帶寬利用率，智能提升互聯(lián)網(wǎng)出口帶寬價值。在相同的帶寬成本投入下，獲得不同的上網(wǎng)體驗!

■ 應(yīng)用智能路由

ABR(Application-Based Routing)應(yīng)用智能路由技術(shù)，可以依據(jù)策略將特定的應(yīng)用流量調(diào)度到合適的鏈路上，從而達到最高效率地使用網(wǎng)絡(luò)的多個出口、提高網(wǎng)絡(luò)應(yīng)用體驗、節(jié)省帶寬成本等效果。

例如，P2P下載流量是一種對帶寬占用大，但對實時性要求不高的網(wǎng)絡(luò)應(yīng)用流量。如果不對這部分流量采取措施，則P2P下載會對網(wǎng)絡(luò)帶寬造成很大壓力，從而會影響其他網(wǎng)絡(luò)應(yīng)用的體驗。ABR可將P2P流量調(diào)度到質(zhì)量較差、價格較便宜、利用率較低的鏈路上。

ABR也可以將HTTP或者網(wǎng)絡(luò)游戲這類帶寬占用較小但對實時性要求很高的網(wǎng)絡(luò)應(yīng)用流量牽引到延時和丟包都較小的高質(zhì)量鏈路上，從而滿足甚至提高這類用戶的網(wǎng)絡(luò)使用體驗。

■ 零帶寬損耗

傳統(tǒng)的流控技術(shù)采用隊列機制來管理數(shù)據(jù)包的傳輸，這種方式在上行方向確實適用，但在下行方向上由于收到的數(shù)據(jù)包已經(jīng)占用了互聯(lián)網(wǎng)出口帶寬，傳統(tǒng)的流控技術(shù)采用丟棄已收到數(shù)據(jù)包的方式，強行降低某些應(yīng)用的帶寬占用。大量丟棄數(shù)據(jù)包雖然減緩了下行方向的擁塞，但是卻導(dǎo)致下行帶寬的損失，其損失率最高達到30%左右。

迪普科技零帶寬損耗技術(shù)，創(chuàng)新性的采用“提前”限速的技術(shù)理念，解決了傳統(tǒng)流控技術(shù)因丟包而導(dǎo)致帶寬損耗的難題。通過識別應(yīng)用協(xié)議(如BT、迅雷、網(wǎng)絡(luò)視頻、HTTP等)確認協(xié)議傳輸模型，從而確認與遠端服務(wù)器之間交互方式，動態(tài)與服務(wù)器協(xié)商，調(diào)整服務(wù)器的發(fā)送速率，達到控制帶寬的效果。

這個過程需要消耗大量系統(tǒng)和內(nèi)存資源，迪普科技通過APP-X硬件平臺很好的承接上述資源消耗，在不影響網(wǎng)絡(luò)應(yīng)用的情況下，啟用流量控制后，整體帶寬幾乎無損耗(5%以內(nèi))，真正實現(xiàn)對應(yīng)用流量的合理、有效、有序的管理。

■ 高速內(nèi)容緩存

迪普科技DeepCache高速內(nèi)容緩存系統(tǒng)，可以自動識別熱點資源，通過自動更新下載或定時下載等方式，將外網(wǎng)資源緩存于網(wǎng)絡(luò)本地，采用大容量存儲服務(wù)器集群部署，用戶無需安裝客戶端或修改配置，透明緩存，在不增加出口帶寬的情況下，極大提升網(wǎng)絡(luò)用戶的體驗。

應(yīng)用支持

■ HTTP在線視頻應(yīng)用

■ HTTP下載應(yīng)用

■ 各種主流P2P應(yīng)用

使用效果

■ 互聯(lián)網(wǎng)出口帶寬占用降低15%-20%

■ 熱點資源訪問速度提升10倍以上

3.3 網(wǎng)絡(luò)行為，“管”控一體

行為管理可以基于應(yīng)用而不是端口，基于用戶而不是IP，基于內(nèi)容而不是數(shù)據(jù)包，在深度內(nèi)容識別的基礎(chǔ)上實現(xiàn)上網(wǎng)行為管控一體化。

同時，支持4000+應(yīng)用識別與靈活的管控策略，網(wǎng)絡(luò)流量與上網(wǎng)行為全面可視化，打造秩序井然的網(wǎng)絡(luò)環(huán)境。

針對多級NAT的溯源，方案通過控件將真實身份信息攜帶至上網(wǎng)行為管理設(shè)備，實現(xiàn)上網(wǎng)精確溯源。

應(yīng)用識別

迪普科技基于對網(wǎng)絡(luò)和應(yīng)用協(xié)議的深刻理解，融合DPI與FPI兩種不同的識別技術(shù)，自主開發(fā)泛協(xié)議識別模型CAAR (Context-Aware Application Recognition) 上下文感知應(yīng)用識別技術(shù)。

■ DPI(Deep Packet Inspection深度包檢測)在進行分析報文頭的基礎(chǔ)上，結(jié)合不同的應(yīng)用協(xié)議的“指紋”綜合判斷所屬的應(yīng)用。

■ FPI(Flow Pattern Inspection流模型檢測)是一種基于流量行為的協(xié)議識別技術(shù)。

CAAR 采取優(yōu)化的AC(Alfred V.Aho和Margaret J.Corasick)多模匹配算法，支持流匹配方式，使得協(xié)議的識別更確切。迪普科技在泛協(xié)議識別模型CAAR的基礎(chǔ)上，通過應(yīng)用協(xié)議快速自學(xué)習(xí)技術(shù)有效降低DPI/FPI的高性能耗費問題。在已經(jīng)識別網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)上，同一網(wǎng)絡(luò)內(nèi)存在較多的相同流量，那么此協(xié)議經(jīng)過一次識別后，提取此協(xié)議對應(yīng)的“IP+PORT”即可實現(xiàn)協(xié)議的快速分類，還不降低協(xié)議識別的精度，與其他技術(shù)配合，可有效解決識別深度和性能的矛盾。

流量控制

■ 多維度組合流量控制

可以基于接口、用戶、實名帳號、應(yīng)用和時間等進行組合流量控制

■ 帶寬預(yù)留

確保隊列獨享帶寬，為指定業(yè)務(wù)或通道提供有效保障

■ 鏈路帶寬動態(tài)管控

根據(jù)帶寬占用情況，動態(tài)調(diào)節(jié)帶寬限速策略，最大效率地利用帶寬

■ 應(yīng)用控制

支持按照流量所屬的應(yīng)用層協(xié)議或服務(wù)，為不同用戶的不同服務(wù)定義不同的控制策略，實現(xiàn)了基于服務(wù)的網(wǎng)絡(luò)流量細分管理

■ 行為管理

支持Web應(yīng)用、Web搜索、Web下載、論壇、郵件、FTP應(yīng)用、IM應(yīng)用、遠程控制等應(yīng)用的上網(wǎng)行為管理。

3.4 高速穩(wěn)定，暢“通”無阻

高性能的硬件架構(gòu)、領(lǐng)先的虛擬化技術(shù)、強大的網(wǎng)絡(luò)適應(yīng)能力、支持IPv4/IPv6雙棧，為網(wǎng)絡(luò)提供高速、可靠的出口通道。

■ 高效硬件架構(gòu)

迪普科技APP-X硬件平臺采用了多核處理器+大規(guī)模FPGA+高性能交換芯片架構(gòu)實現(xiàn)。數(shù)據(jù)處理方面還采用了管理平面和數(shù)據(jù)平面相分離技術(shù)，這種的分離式雙通道設(shè)計，不僅消除了管理通道與數(shù)據(jù)通道間相互耦合的影響，極大提升了系統(tǒng)的健壯性，并且數(shù)據(jù)通道獨特的大規(guī)模并發(fā)處理機制，極大地降低了報文處理的時延，大大提升了用戶體驗。

■ 產(chǎn)品軟件架構(gòu)

迪普科技采用自主研發(fā)的ConPlat軟件平臺，是專門針對深度業(yè)務(wù)識別和網(wǎng)絡(luò)安全進行構(gòu)架的安全操作系統(tǒng)。ConPlat軟件平臺的底層在進程調(diào)度、內(nèi)存管理、總線控制、磁盤管理等方面針對APP-X硬件架構(gòu)進行了深度優(yōu)化，并能調(diào)度FPGA硬件引擎的資源，實現(xiàn)高性能。并在此基礎(chǔ)之上進行硬件虛擬化管理，可以實現(xiàn)操作系統(tǒng)級或者應(yīng)用級的虛擬化。

ConPlat軟件平臺的核心采用控制、業(yè)務(wù)與轉(zhuǎn)發(fā)三平面分離架構(gòu)?？刂破矫嬷饕獙崿F(xiàn)由路由協(xié)議(IPv4/ IPv6)、STP/VLAN/ARP、組播、MPLS等，負責(zé)生成轉(zhuǎn)發(fā)表項。業(yè)務(wù)平面主要實現(xiàn)狀態(tài)表管理、應(yīng)用識別、應(yīng)用控制、威脅識別、應(yīng)用審計等應(yīng)用層功能，根據(jù)策略對狀態(tài)表進行管理。轉(zhuǎn)發(fā)平面主要是根據(jù)控制平面生成的轉(zhuǎn)發(fā)表及業(yè)務(wù)平面生成的狀態(tài)表，對數(shù)據(jù)流進行轉(zhuǎn)發(fā)、限流及阻斷等操作。

四、 統(tǒng)一互聯(lián)網(wǎng)出口解決方案設(shè)計

統(tǒng)一互聯(lián)網(wǎng)出口解決方案的設(shè)計綜合融、慧、管、通四大特點，通過采用DPX融合式網(wǎng)關(guān)設(shè)備，部署負載均衡、防火墻、入侵防御、流控審計業(yè)務(wù)板卡，實現(xiàn)出口防護所需的功能，提升帶寬價值。方案拓撲如下圖所示：

統(tǒng)一互聯(lián)網(wǎng)出口解決方案設(shè)計

方案的設(shè)計要點如下：

■ 融：眾多需求，從“融”面對

■ 慧：智能提升帶寬價值，秀外“慧”中

■ 管：網(wǎng)絡(luò)行為，“管”控一體

■ 通：高速穩(wěn)定，暢“通”無阻