園區網絡出口現狀
國內的學校、企業等機構經過多年持續不斷的基礎設施建設和應用提升,已經形成了較為穩定的園區網基礎架構、相對豐富的園區網應用平臺。但是,在追求信息共享、資源整合的今天,有一個問題長期以來一直困擾著大家——這就是園區網出口區域。實踐中會發現,眾多機構都測試了多個廠商的設備,卻未能很好的解決問題,無法取得理想的效果。作為園區網絡平臺的“門戶”——出口區域,承擔著機構之間相互交流的窗口的重大作用,園區網出口長期處于“亞健康”狀態。
當前園區網出口面臨的挑戰
■ 出口設備NAT性能瓶頸
出口設備要支持NAT(地址轉換)是已經形成共識的。一方面,園區網使用私有地址的情況,訪問Internet需要進行NAT;另一方面,即使園區網絡通過電信或者網通的線路訪問外部資源,仍然需要進行NAT(地址轉換),因為電信所分配的地址更有限。NAT(地址轉換)等于給出口設備增加了一項很重要的任務,但是,從實際情況來看,NAT卻成為了上網速度慢的一個重要原因。究其根本,設備的NAT轉發性能是一個很大的原因。
■ 帶寬使用失控問題
網絡基礎設施在提升,出口帶寬在增加,各種網絡應用也更加豐富。但是,某些用戶或者應用(如BT等P2P應用)卻在過多的占用著網絡資源。有實驗證明,出口帶寬無論禁止P2P應用還是不禁止P2P應用都會跑滿。簡單理解,顯然園區網在不禁止P2P的情形下,P2P的流量不管大小,都已經在影響出口正常流量所占帶寬了。但從另一個側面解讀,即使出口帶寬不斷提升,同樣各種P2P應用依然會占據大量出口帶寬。
■ 多出口帶寬利用不充分
當前園區網為了提高訪問速度需要多出口互聯。電信、網通等運營商僅在上海、北京、廣州三地有交互中心,且互聯帶寬還不夠高。出口線路無法智能選路。造成部分用戶訪問外網速度慢,管理員不得不經常跟蹤各ISP新的地址表,在出口設備上不斷增加路由規則。
■ 可靠性設計不健全
當下,對服務質量要求越來越高,用戶對網絡這一平臺的依賴性和期望值也越來越高,而園區網出口的不可用將導致整個園區與外界的隔斷,園區內與園區外的任何互訪、信息互通都無法實現。絕大多數園區網出口區域,單設備、單鏈路的現象還占據主要位置。對于設備的冗余、鏈路的備份,以及在出現任何設備或者鏈路故障下的自動切換,也僅僅是少數園區才能達到的水平。那么,如何打造出口的高可用性?如何實現出口自動調整對用戶的透明性?即,用戶無需理解復雜的出口技術,只需要體驗最快的網速。這些問題都擺在了網絡管理者的面前。
■ 用戶上網行為缺乏管理
《互聯網安全保護技術措施規定》在2005年11月23日公安部部長辦公會議通過,并自2006年3月1日起施行。(該規定簡稱“82號令”)規定對用戶信息、用戶上網記錄、地址轉換記錄、設備狀態記錄等都要記錄。用戶上網行為缺乏事前預防,事中控制,事后審計,也給信息中心帶來巨大的管理壓力。
邁普精細化出口解決方案
精細化出口方案的實現原理
通過邁普MP7500實現高性能的NAT轉發、動態線路負載均衡、出口安全防護、雙主控的高可靠性設計等功能。
通過MP流量控制設備實現各類應用的識別、各類應用的帶寬控制、上網行為的日志、出口狀況的分析與統計等功能。
精細化出口方案的特點
■ 高性能的NAT轉發
在啟用NAT、策略路由的情況下,雙向可以達到8Gbps的線速轉發。
每秒30萬條的NAT新建連接,每秒達到新建7萬條NAT會話。
并發支持200萬條的會話數。
■ 多鏈路間的的負載均衡
通過對每個ISP連接實時的監控,健康檢查以及安全和性能的確認保證智能的選擇可用鏈路,分配流量負載,保證關鍵業務的應用。
■ 出口的安全防護
完善安全機制:數據包過濾、連接狀態檢測、深度內容檢測、動態端口偵測;
全面抗DoS攻擊:SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻擊防護;
關鍵服務器保護:基于源/目的協議速率限制、SYN Flood攻擊防護;
通過以上機制切斷來自外界的安全威脅!
■ 雙主控的高可靠性設計
■ 強大的應用識別功能
○ 根據多種方式識別網絡用戶:用戶名、 IP地址、IP網段等(還支持對VLAN Tag、MPLS Tag的識別)。
○ 基于IP協議、4層端口號、7層特征值和協議行為等識別網絡應用。
○ 支持豐富的應用層協議。
P2P協議:BitTorrent、eDonkey、KaZaA、WinMX等
網絡游戲:天堂-II、魔獸世界、CS反恐精英等
○ 識別解析度達到會話數級別(Session level)。
■ 對應用的深入分析及控制
○ 應用的監測和分類
( who )是誰: 用戶和用戶組
( when )什么時候: 連接的開始和持續時間
( what )干什么 :應用的屬性 (如 服務類型, 協議類型, 并發連接, 使用 帶寬情況等)
( where )什么地方: 端到端行為 (e.g., 終端, 目的地, 起點, 終點等)
( why )什么理由: 執行的策略和 范疇 (如網絡,服務,報告等)
○ 控制功能
策略條件:用戶/用戶組、應用/應用組、時間段、物理端口等
控制動作:允許、拒絕、鏡像、重定向、統計、限速、最大/最小帶寬保證、動態帶寬保證、并發連接數限制、QoS功能等。
精細化出口方案的技術優勢
■ 出口帶寬資源使用完全可控,可基于每內網用戶指定帶寬使用策略。有效管理P2P應用,保障關鍵業務的穩定運行。
■ 出口網關NAT與PBR性能經過優化,即使高吞吐量也穩如磐石,始終提供高品質的數據處理能力。
■ 出口線路充分使用,使用動態就近性技術,能實時根據鏈路負載、延遲判斷選路。
■ 出口設備的雙主控引擎實現自動切換,提高設備穩定性
■ 流控設備提供完善友好的日志記錄,提供基于URL的統計,并可以進行基于URL分類、域名、用戶的檢索,通過流量統計報表更可以實現網絡狀況分析和規劃依據。 
