園區(qū)網(wǎng)絡(luò)出口現(xiàn)狀
國(guó)內(nèi)的學(xué)校、企業(yè)等機(jī)構(gòu)經(jīng)過(guò)多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升,已經(jīng)形成了較為穩(wěn)定的園區(qū)網(wǎng)基礎(chǔ)架構(gòu)、相對(duì)豐富的園區(qū)網(wǎng)應(yīng)用平臺(tái)。但是,在追求信息共享、資源整合的今天,有一個(gè)問(wèn)題長(zhǎng)期以來(lái)一直困擾著大家——這就是園區(qū)網(wǎng)出口區(qū)域。實(shí)踐中會(huì)發(fā)現(xiàn),眾多機(jī)構(gòu)都測(cè)試了多個(gè)廠商的設(shè)備,卻未能很好的解決問(wèn)題,無(wú)法取得理想的效果。作為園區(qū)網(wǎng)絡(luò)平臺(tái)的“門(mén)戶(hù)”——出口區(qū)域,承擔(dān)著機(jī)構(gòu)之間相互交流的窗口的重大作用,園區(qū)網(wǎng)出口長(zhǎng)期處于“亞健康”狀態(tài)。
當(dāng)前園區(qū)網(wǎng)出口面臨的挑戰(zhàn)
■ 出口設(shè)備N(xiāo)AT性能瓶頸
出口設(shè)備要支持NAT(地址轉(zhuǎn)換)是已經(jīng)形成共識(shí)的。一方面,園區(qū)網(wǎng)使用私有地址的情況,訪(fǎng)問(wèn)Internet需要進(jìn)行NAT;另一方面,即使園區(qū)網(wǎng)絡(luò)通過(guò)電信或者網(wǎng)通的線(xiàn)路訪(fǎng)問(wèn)外部資源,仍然需要進(jìn)行NAT(地址轉(zhuǎn)換),因?yàn)殡娦潘峙涞牡刂犯邢。NAT(地址轉(zhuǎn)換)等于給出口設(shè)備增加了一項(xiàng)很重要的任務(wù),但是,從實(shí)際情況來(lái)看,NAT卻成為了上網(wǎng)速度慢的一個(gè)重要原因。究其根本,設(shè)備的NAT轉(zhuǎn)發(fā)性能是一個(gè)很大的原因。
■ 帶寬使用失控問(wèn)題
網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提升,出口帶寬在增加,各種網(wǎng)絡(luò)應(yīng)用也更加豐富。但是,某些用戶(hù)或者應(yīng)用(如BT等P2P應(yīng)用)卻在過(guò)多的占用著網(wǎng)絡(luò)資源。有實(shí)驗(yàn)證明,出口帶寬無(wú)論禁止P2P應(yīng)用還是不禁止P2P應(yīng)用都會(huì)跑滿(mǎn)。簡(jiǎn)單理解,顯然園區(qū)網(wǎng)在不禁止P2P的情形下,P2P的流量不管大小,都已經(jīng)在影響出口正常流量所占帶寬了。但從另一個(gè)側(cè)面解讀,即使出口帶寬不斷提升,同樣各種P2P應(yīng)用依然會(huì)占據(jù)大量出口帶寬。
■ 多出口帶寬利用不充分
當(dāng)前園區(qū)網(wǎng)為了提高訪(fǎng)問(wèn)速度需要多出口互聯(lián)。電信、網(wǎng)通等運(yùn)營(yíng)商僅在上海、北京、廣州三地有交互中心,且互聯(lián)帶寬還不夠高。出口線(xiàn)路無(wú)法智能選路。造成部分用戶(hù)訪(fǎng)問(wèn)外網(wǎng)速度慢,管理員不得不經(jīng)常跟蹤各ISP新的地址表,在出口設(shè)備上不斷增加路由規(guī)則。
■ 可靠性設(shè)計(jì)不健全
當(dāng)下,對(duì)服務(wù)質(zhì)量要求越來(lái)越高,用戶(hù)對(duì)網(wǎng)絡(luò)這一平臺(tái)的依賴(lài)性和期望值也越來(lái)越高,而園區(qū)網(wǎng)出口的不可用將導(dǎo)致整個(gè)園區(qū)與外界的隔斷,園區(qū)內(nèi)與園區(qū)外的任何互訪(fǎng)、信息互通都無(wú)法實(shí)現(xiàn)。絕大多數(shù)園區(qū)網(wǎng)出口區(qū)域,單設(shè)備、單鏈路的現(xiàn)象還占據(jù)主要位置。對(duì)于設(shè)備的冗余、鏈路的備份,以及在出現(xiàn)任何設(shè)備或者鏈路故障下的自動(dòng)切換,也僅僅是少數(shù)園區(qū)才能達(dá)到的水平。那么,如何打造出口的高可用性?如何實(shí)現(xiàn)出口自動(dòng)調(diào)整對(duì)用戶(hù)的透明性?即,用戶(hù)無(wú)需理解復(fù)雜的出口技術(shù),只需要體驗(yàn)最快的網(wǎng)速。這些問(wèn)題都擺在了網(wǎng)絡(luò)管理者的面前。
■ 用戶(hù)上網(wǎng)行為缺乏管理
《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》在2005年11月23日公安部部長(zhǎng)辦公會(huì)議通過(guò),并自2006年3月1日起施行。(該規(guī)定簡(jiǎn)稱(chēng)“82號(hào)令”)規(guī)定對(duì)用戶(hù)信息、用戶(hù)上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都要記錄。用戶(hù)上網(wǎng)行為缺乏事前預(yù)防,事中控制,事后審計(jì),也給信息中心帶來(lái)巨大的管理壓力。
邁普精細(xì)化出口解決方案
精細(xì)化出口方案的實(shí)現(xiàn)原理
通過(guò)邁普MP7500實(shí)現(xiàn)高性能的NAT轉(zhuǎn)發(fā)、動(dòng)態(tài)線(xiàn)路負(fù)載均衡、出口安全防護(hù)、雙主控的高可靠性設(shè)計(jì)等功能。
通過(guò)MP流量控制設(shè)備實(shí)現(xiàn)各類(lèi)應(yīng)用的識(shí)別、各類(lèi)應(yīng)用的帶寬控制、上網(wǎng)行為的日志、出口狀況的分析與統(tǒng)計(jì)等功能。
精細(xì)化出口方案的特點(diǎn)
■ 高性能的NAT轉(zhuǎn)發(fā)
在啟用NAT、策略路由的情況下,雙向可以達(dá)到8Gbps的線(xiàn)速轉(zhuǎn)發(fā)。
每秒30萬(wàn)條的NAT新建連接,每秒達(dá)到新建7萬(wàn)條NAT會(huì)話(huà)。
并發(fā)支持200萬(wàn)條的會(huì)話(huà)數(shù)。
■ 多鏈路間的的負(fù)載均衡
通過(guò)對(duì)每個(gè)ISP連接實(shí)時(shí)的監(jiān)控,健康檢查以及安全和性能的確認(rèn)保證智能的選擇可用鏈路,分配流量負(fù)載,保證關(guān)鍵業(yè)務(wù)的應(yīng)用。
■ 出口的安全防護(hù)
完善安全機(jī)制:數(shù)據(jù)包過(guò)濾、連接狀態(tài)檢測(cè)、深度內(nèi)容檢測(cè)、動(dòng)態(tài)端口偵測(cè);
全面抗DoS攻擊:SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻擊防護(hù);
關(guān)鍵服務(wù)器保護(hù):基于源/目的協(xié)議速率限制、SYN Flood攻擊防護(hù);
通過(guò)以上機(jī)制切斷來(lái)自外界的安全威脅!
■ 雙主控的高可靠性設(shè)計(jì)
■ 強(qiáng)大的應(yīng)用識(shí)別功能
○ 根據(jù)多種方式識(shí)別網(wǎng)絡(luò)用戶(hù):用戶(hù)名、 IP地址、IP網(wǎng)段等(還支持對(duì)VLAN Tag、MPLS Tag的識(shí)別)。
○ 基于IP協(xié)議、4層端口號(hào)、7層特征值和協(xié)議行為等識(shí)別網(wǎng)絡(luò)應(yīng)用。
○ 支持豐富的應(yīng)用層協(xié)議。
P2P協(xié)議:BitTorrent、eDonkey、KaZaA、WinMX等
即時(shí)通信協(xié)議:QQ、MSN、Skype等
企業(yè)應(yīng)用:Citrix、Oracle、ERP、CRM 等
網(wǎng)絡(luò)游戲:天堂-II、魔獸世界、CS反恐精英等
○ 識(shí)別解析度達(dá)到會(huì)話(huà)數(shù)級(jí)別(Session level)。
■ 對(duì)應(yīng)用的深入分析及控制
○ 應(yīng)用的監(jiān)測(cè)和分類(lèi)
( who )是誰(shuí): 用戶(hù)和用戶(hù)組
( when )什么時(shí)候: 連接的開(kāi)始和持續(xù)時(shí)間
( what )干什么 :應(yīng)用的屬性 (如 服務(wù)類(lèi)型, 協(xié)議類(lèi)型, 并發(fā)連接, 使用 帶寬情況等)
( where )什么地方: 端到端行為 (e.g., 終端, 目的地, 起點(diǎn), 終點(diǎn)等)
( why )什么理由: 執(zhí)行的策略和 范疇 (如網(wǎng)絡(luò),服務(wù),報(bào)告等)
○ 控制功能
策略條件:用戶(hù)/用戶(hù)組、應(yīng)用/應(yīng)用組、時(shí)間段、物理端口等
控制動(dòng)作:允許、拒絕、鏡像、重定向、統(tǒng)計(jì)、限速、最大/最小帶寬保證、動(dòng)態(tài)帶寬保證、并發(fā)連接數(shù)限制、QoS功能等。
精細(xì)化出口方案的技術(shù)優(yōu)勢(shì)
■ 出口帶寬資源使用完全可控,可基于每?jī)?nèi)網(wǎng)用戶(hù)指定帶寬使用策略。有效管理P2P應(yīng)用,保障關(guān)鍵業(yè)務(wù)的穩(wěn)定運(yùn)行。
■ 出口網(wǎng)關(guān)NAT與PBR性能經(jīng)過(guò)優(yōu)化,即使高吞吐量也穩(wěn)如磐石,始終提供高品質(zhì)的數(shù)據(jù)處理能力。
■ 出口線(xiàn)路充分使用,使用動(dòng)態(tài)就近性技術(shù),能實(shí)時(shí)根據(jù)鏈路負(fù)載、延遲判斷選路。
■ 出口設(shè)備的雙主控引擎實(shí)現(xiàn)自動(dòng)切換,提高設(shè)備穩(wěn)定性
■ 流控設(shè)備提供完善友好的日志記錄,提供基于URL的統(tǒng)計(jì),并可以進(jìn)行基于URL分類(lèi)、域名、用戶(hù)的檢索,通過(guò)流量統(tǒng)計(jì)報(bào)表更可以實(shí)現(xiàn)網(wǎng)絡(luò)狀況分析和規(guī)劃依據(jù)。