C114通信网  |  通信人家园

专题
2009/7/17 15:08

打造精细化园区网出口——迈普通信网络出口解决方案

C114中国通信网  

园区网络出口现状

国内的学校、企业等机构经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的园区网基础架构、相对丰富的园区网应用平台。但是,在追求信息共享、资源整合的今天,有一个问题长期以来一直困扰着大家——这就是园区网出口区域。实践中会发现,众多机构都测试了多个厂商的设备,却未能很好的解决问题,无法取得理想的效果。作为园区网络平台的“门户”——出口区域,承担着机构之间相互交流的窗口的重大作用,园区网出口长期处于“亚健康”状态。 

当前园区网出口面临的挑战

■ 出口设备NAT性能瓶颈

出口设备要支持NAT(地址转换)是已经形成共识的。一方面,园区网使用私有地址的情况,访问Internet需要进行NAT;另一方面,即使园区网络通过电信或者网通的线路访问外部资源,仍然需要进行NAT(地址转换),因为电信所分配的地址更有限。NAT(地址转换)等于给出口设备增加了一项很重要的任务,但是,从实际情况来看,NAT却成为了上网速度慢的一个重要原因。究其根本,设备的NAT转发性能是一个很大的原因。

■ 带宽使用失控问题

网络基础设施在提升,出口带宽在增加,各种网络应用也更加丰富。但是,某些用户或者应用(如BT等P2P应用)却在过多的占用着网络资源。有实验证明,出口带宽无论禁止P2P应用还是不禁止P2P应用都会跑满。简单理解,显然园区网在不禁止P2P的情形下,P2P的流量不管大小,都已经在影响出口正常流量所占带宽了。但从另一个侧面解读,即使出口带宽不断提升,同样各种P2P应用依然会占据大量出口带宽。

■ 多出口带宽利用不充分

当前园区网为了提高访问速度需要多出口互联。电信、网通等运营商仅在上海、北京、广州三地有交互中心,且互联带宽还不够高。出口线路无法智能选路。造成部分用户访问外网速度慢,管理员不得不经常跟踪各ISP新的地址表,在出口设备上不断增加路由规则。

■ 可靠性设计不健全

当下,对服务质量要求越来越高,用户对网络这一平台的依赖性和期望值也越来越高,而园区网出口的不可用将导致整个园区与外界的隔断,园区内与园区外的任何互访、信息互通都无法实现。绝大多数园区网出口区域,单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份,以及在出现任何设备或者链路故障下的自动切换,也仅仅是少数园区才能达到的水平。那么,如何打造出口的高可用性?如何实现出口自动调整对用户的透明性?即,用户无需理解复杂的出口技术,只需要体验最快的网速。这些问题都摆在了网络管理者的面前。

■ 用户上网行为缺乏管理

互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过,并自2006年3月1日起施行。(该规定简称“82号令”)规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都要记录。用户上网行为缺乏事前预防,事中控制,事后审计,也给信息中心带来巨大的管理压力。 

 

迈普精细化出口解决方案

精细化出口方案的实现原理

通过迈普MP7500实现高性能的NAT转发、动态线路负载均衡、出口安全防护、双主控的高可靠性设计等功能。

通过MP流量控制设备实现各类应用的识别、各类应用的带宽控制、上网行为的日志、出口状况的分析与统计等功能。

精细化出口方案的特点

■ 高性能的NAT转发

在启用NAT、策略路由的情况下,双向可以达到8Gbps的线速转发。

每秒30万条的NAT新建连接,每秒达到新建7万条NAT会话。

并发支持200万条的会话数。

■ 多链路间的的负载均衡

通过对每个ISP连接实时的监控,健康检查以及安全和性能的确认保证智能的选择可用链路,分配流量负载,保证关键业务的应用。

■ 出口的安全防护

完善安全机制:数据包过滤、连接状态检测、深度内容检测、动态端口侦测;

全面抗DoS攻击:SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻击防护;

关键服务器保护:基于源/目的协议速率限制、SYN Flood攻击防护;

通过以上机制切断来自外界的安全威胁!  

■ 双主控的高可靠性设计

■ 强大的应用识别功能

○  根据多种方式识别网络用户:用户名、 IP地址、IP网段等(还支持对VLAN Tag、MPLS Tag的识别)。

○  基于IP协议、4层端口号、7层特征值和协议行为等识别网络应用。

○  支持丰富的应用层协议。

P2P协议:BitTorrent、eDonkey、KaZaA、WinMX等

即时通信协议:QQ、MSN、Skype

企业应用:Citrix、OracleERP、CRM 等

VoIP流媒体:RTSP、SIPH.323

网络游戏:天堂-II、魔兽世界、CS反恐精英等

无线应用:WAPMMS

○  识别解析度达到会话数级别(Session level)。

■ 对应用的深入分析及控制

○  应用的监测和分类

( who )是谁: 用户和用户组

( when )什么时候: 连接的开始和持续时间

( what )干什么 :应用的属性 (如 服务类型, 协议类型, 并发连接, 使用 带宽情况等)

( where )什么地方: 端到端行为 (e.g., 终端, 目的地, 起点, 终点等)

( why )什么理由: 执行的策略和 范畴 (如网络,服务,报告等)

○  控制功能

策略条件:用户/用户组、应用/应用组、时间段、物理端口等

控制动作:允许、拒绝、镜像、重定向、统计、限速、最大/最小带宽保证、动态带宽保证、并发连接数限制、QoS功能等。

精细化出口方案的技术优势

■ 出口带宽资源使用完全可控,可基于每内网用户指定带宽使用策略。有效管理P2P应用,保障关键业务的稳定运行。

■ 出口网关NAT与PBR性能经过优化,即使高吞吐量也稳如磐石,始终提供高品质的数据处理能力。

■ 出口线路充分使用,使用动态就近性技术,能实时根据链路负载、延迟判断选路。

■ 出口设备的双主控引擎实现自动切换,提高设备稳定性

■ 流控设备提供完善友好的日志记录,提供基于URL的统计,并可以进行基于URL分类、域名、用户的检索,通过流量统计报表更可以实现网络状况分析和规划依据。

给作者点赞
0 VS 0
写得不太好

免责声明:本文仅代表作者个人观点,与C114通信网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

热门文章
    最新视频
    为您推荐

      C114简介 | 联系我们 | 网站地图 | 手机版

      Copyright©1999-2022 c114 All Rights Reserved | 沪ICP备12002291号

      C114 通信网 版权所有 举报电话:021-54451141