打造精细化园区网出口——迈普通信网络出口解决方案

园区网络出口现状

国内的学校、企业等机构经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的园区网基础架构、相对丰富的园区网应用平台。但是，在追求信息共享、资源整合的今天，有一个问题长期以来一直困扰着大家——这就是园区网出口区域。实践中会发现，众多机构都测试了多个厂商的设备，却未能很好的解决问题，无法取得理想的效果。作为园区网络平台的“门户”——出口区域，承担着机构之间相互交流的窗口的重大作用，园区网出口长期处于“亚健康”状态。 

当前园区网出口面临的挑战

■ 出口设备NAT性能瓶颈

出口设备要支持NAT（地址转换）是已经形成共识的。一方面，园区网使用私有地址的情况，访问Internet需要进行NAT；另一方面，即使园区网络通过电信或者网通的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分配的地址更有限。NAT（地址转换）等于给出口设备增加了一项很重要的任务，但是，从实际情况来看，NAT却成为了上网速度慢的一个重要原因。究其根本，设备的NAT转发性能是一个很大的原因。

■ 带宽使用失控问题

网络基础设施在提升，出口带宽在增加，各种网络应用也更加丰富。但是，某些用户或者应用（如BT等P2P应用）却在过多的占用着网络资源。有实验证明，出口带宽无论禁止P2P应用还是不禁止P2P应用都会跑满。简单理解，显然园区网在不禁止P2P的情形下，P2P的流量不管大小，都已经在影响出口正常流量所占带宽了。但从另一个侧面解读，即使出口带宽不断提升，同样各种P2P应用依然会占据大量出口带宽。

■ 多出口带宽利用不充分

当前园区网为了提高访问速度需要多出口互联。电信、网通等运营商仅在上海、北京、广州三地有交互中心，且互联带宽还不够高。出口线路无法智能选路。造成部分用户访问外网速度慢，管理员不得不经常跟踪各ISP新的地址表，在出口设备上不断增加路由规则。

■ 可靠性设计不健全

当下，对服务质量要求越来越高，用户对网络这一平台的依赖性和期望值也越来越高，而园区网出口的不可用将导致整个园区与外界的隔断，园区内与园区外的任何互访、信息互通都无法实现。绝大多数园区网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数园区才能达到的水平。那么，如何打造出口的高可用性？如何实现出口自动调整对用户的透明性？即，用户无需理解复杂的出口技术，只需要体验最快的网速。这些问题都摆在了网络管理者的面前。

■ 用户上网行为缺乏管理

《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起施行。（该规定简称“82号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都要记录。用户上网行为缺乏事前预防，事中控制，事后审计，也给信息中心带来巨大的管理压力。 

迈普精细化出口解决方案

精细化出口方案的实现原理

通过迈普MP7500实现高性能的NAT转发、动态线路负载均衡、出口安全防护、双主控的高可靠性设计等功能。

通过MP流量控制设备实现各类应用的识别、各类应用的带宽控制、上网行为的日志、出口状况的分析与统计等功能。

精细化出口方案的特点

■ 高性能的NAT转发

在启用NAT、策略路由的情况下，双向可以达到8Gbps的线速转发。

每秒30万条的NAT新建连接，每秒达到新建7万条NAT会话。

并发支持200万条的会话数。

■ 多链路间的的负载均衡

通过对每个ISP连接实时的监控,健康检查以及安全和性能的确认保证智能的选择可用链路，分配流量负载,保证关键业务的应用。

■ 出口的安全防护

完善安全机制：数据包过滤、连接状态检测、深度内容检测、动态端口侦测；

全面抗DoS攻击：SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻击防护；

关键服务器保护：基于源/目的协议速率限制、SYN Flood攻击防护；

通过以上机制切断来自外界的安全威胁！  

■ 双主控的高可靠性设计

■ 强大的应用识别功能

○  根据多种方式识别网络用户：用户名、 IP地址、IP网段等（还支持对VLAN Tag、MPLS Tag的识别）。

○  基于IP协议、4层端口号、7层特征值和协议行为等识别网络应用。

○  支持丰富的应用层协议。

P2P协议：BitTorrent、eDonkey、KaZaA、WinMX等

即时通信协议：QQ、MSN、Skype等

企业应用：Citrix、Oracle、ERP、CRM 等

VoIP和流媒体：RTSP、SIP、H.323等

网络游戏：天堂-II、魔兽世界、CS反恐精英等

无线应用：WAP、MMS等

○  识别解析度达到会话数级别（Session level）。

■ 对应用的深入分析及控制

○  应用的监测和分类

（ who ）是谁: 用户和用户组

（ when ）什么时候: 连接的开始和持续时间

（ what ）干什么 :应用的属性 (如 服务类型, 协议类型, 并发连接, 使用 带宽情况等)

（ where ）什么地方: 端到端行为 (e.g., 终端, 目的地, 起点, 终点等)

（ why ）什么理由: 执行的策略和 范畴 (如网络，服务，报告等)

○  控制功能

策略条件：用户/用户组、应用/应用组、时间段、物理端口等

控制动作：允许、拒绝、镜像、重定向、统计、限速、最大/最小带宽保证、动态带宽保证、并发连接数限制、QoS功能等。

精细化出口方案的技术优势

■ 出口带宽资源使用完全可控，可基于每内网用户指定带宽使用策略。有效管理P2P应用，保障关键业务的稳定运行。

■ 出口网关NAT与PBR性能经过优化，即使高吞吐量也稳如磐石，始终提供高品质的数据处理能力。

■ 出口线路充分使用，使用动态就近性技术，能实时根据链路负载、延迟判断选路。

■ 出口设备的双主控引擎实现自动切换，提高设备稳定性

■ 流控设备提供完善友好的日志记录，提供基于URL的统计，并可以进行基于URL分类、域名、用户的检索，通过流量统计报表更可以实现网络状况分析和规划依据。