背景
随着各种业务对Internet依赖程度的日益加强,运营商、企业及政府机构各种应用服务的安全性与稳定性成为目前面临的挑战,对于未知流量与异常流量的清洗成为当前紧要解决的问题.且目前大多数网络设备不能直接处理这些大流量的数据。因此提出分流器通过串接将数据负载均衡或者提取部分交给后端监测系统,由后端监测系统处理完之后,在返回到原线路当中的串接解决方案.
解决方案
恒扬科技自主知识产权的分流器可以完成10G乃至40G链路的接入与过滤。分流器采用串接方式接入网络中,分流器负责完成流量提取、负载均衡和转发的功能。前端可以采用光旁路保护设备在链路故障时,完成自动切换,从而提高链路的稳定性。
图1 串接方式解决方案
串接解决方案一
恒扬科技分流器串接在网络中为例,报文从链路中接入分流器,分流器根据设定的提取流量规则将特定的数据转发给服务器组处理,同时将其他数据全部转发到原线路,待服务器将特定的数据进行清洗或阻断后,返还给分流器,再由分流器返还到原线路.其中服务器对于网络是透明的.
串接解决方案二
恒扬科技分流器串接在网络中为例,报文从链路中接入分流器,分流器将所有的数据负载均衡给后端服务起处理,待服务器将所有数据进行阻断、更改后,返还给分流器,再由分流器返还到原线路。其中服务器对于网络是透明的。
设备处理流程:
① 配置in-line server模式
② 数据进入分流器,通过定义的ACL去过滤指定的内容输出到服务器组.
③ 服务器处理完之后,将数据返回到分流器,分流器根据in-line server 配置输出至原链路.
④ inline-server工作原理
如上图所示,报文从device1进入FC设备,然后通过server处理后返回给FC设备,然后再发送给device2。其中server对整个网络来说是透明的。要完成上述的报文转发,需要如下配置:
mdu# interface 3 mode inline backepif 5
mdu# interface 5 mode inline backepif 3
mdu# interface 4 mode inline-server
mdu# crosslink interface 3 inline-server interface 4
mdu# crosslink interface 5 inline-server interface 4
上面命令是:首先将接口3设定为inline模式,并且指定服务器返回的报文从接口5发出去;然后设定接口4为inline-server模式;然后配置转发动作,将接口3进入的报文转发到接口4.这样即可以将device1发出的报文转发到server处,并且被server处理后返回来的报文转发到device2。同时device2发回的报文从接口5进入后,也会转发到接口4去,报文经过server处理后在交给接口3.