打造精細(xì)化園區(qū)網(wǎng)出口——邁普通信網(wǎng)絡(luò)出口解決方案

園區(qū)網(wǎng)絡(luò)出口現(xiàn)狀

國內(nèi)的學(xué)校、企業(yè)等機(jī)構(gòu)經(jīng)過多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的園區(qū)網(wǎng)基礎(chǔ)架構(gòu)、相對豐富的園區(qū)網(wǎng)應(yīng)用平臺。但是，在追求信息共享、資源整合的今天，有一個(gè)問題長期以來一直困擾著大家——這就是園區(qū)網(wǎng)出口區(qū)域。實(shí)踐中會發(fā)現(xiàn)，眾多機(jī)構(gòu)都測試了多個(gè)廠商的設(shè)備，卻未能很好的解決問題，無法取得理想的效果。作為園區(qū)網(wǎng)絡(luò)平臺的“門戶”——出口區(qū)域，承擔(dān)著機(jī)構(gòu)之間相互交流的窗口的重大作用，園區(qū)網(wǎng)出口長期處于“亞健康”狀態(tài)。 

當(dāng)前園區(qū)網(wǎng)出口面臨的挑戰(zhàn)

■ 出口設(shè)備NAT性能瓶頸

出口設(shè)備要支持NAT（地址轉(zhuǎn)換）是已經(jīng)形成共識的。一方面，園區(qū)網(wǎng)使用私有地址的情況，訪問Internet需要進(jìn)行NAT；另一方面，即使園區(qū)網(wǎng)絡(luò)通過電信或者網(wǎng)通的線路訪問外部資源，仍然需要進(jìn)行NAT（地址轉(zhuǎn)換），因?yàn)殡娦潘�分配的地址更有限。NAT（地址轉(zhuǎn)換）等于給出口設(shè)備增加了一項(xiàng)很重要的任務(wù)，但是，從實(shí)際情況來看，NAT卻成為了上網(wǎng)速度慢的一個(gè)重要原因。究其根本，設(shè)備的NAT轉(zhuǎn)發(fā)性能是一個(gè)很大的原因。

■ 帶寬使用失控問題

網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提升，出口帶寬在增加，各種網(wǎng)絡(luò)應(yīng)用也更加豐富。但是，某些用戶或者應(yīng)用（如BT等P2P應(yīng)用）卻在過多的占用著網(wǎng)絡(luò)資源。有實(shí)驗(yàn)證明，出口帶寬無論禁止P2P應(yīng)用還是不禁止P2P應(yīng)用都會跑滿。簡單理解，顯然園區(qū)網(wǎng)在不禁止P2P的情形下，P2P的流量不管大小，都已經(jīng)在影響出口正常流量所占帶寬了。但從另一個(gè)側(cè)面解讀，即使出口帶寬不斷提升，同樣各種P2P應(yīng)用依然會占據(jù)大量出口帶寬。

■ 多出口帶寬利用不充分

當(dāng)前園區(qū)網(wǎng)為了提高訪問速度需要多出口互聯(lián)。電信、網(wǎng)通等運(yùn)營商僅在上海、北京、廣州三地有交互中心，且互聯(lián)帶寬還不夠高。出口線路無法智能選路。造成部分用戶訪問外網(wǎng)速度慢，管理員不得不經(jīng)常跟蹤各ISP新的地址表，在出口設(shè)備上不斷增加路由規(guī)則。

■ 可靠性設(shè)計(jì)不健全

當(dāng)下，對服務(wù)質(zhì)量要求越來越高，用戶對網(wǎng)絡(luò)這一平臺的依賴性和期望值也越來越高，而園區(qū)網(wǎng)出口的不可用將導(dǎo)致整個(gè)園區(qū)與外界的隔斷，園區(qū)內(nèi)與園區(qū)外的任何互訪、信息互通都無法實(shí)現(xiàn)。絕大多數(shù)園區(qū)網(wǎng)出口區(qū)域，單設(shè)備、單鏈路的現(xiàn)象還占據(jù)主要位置。對于設(shè)備的冗余、鏈路的備份，以及在出現(xiàn)任何設(shè)備或者鏈路故障下的自動(dòng)切換，也僅僅是少數(shù)園區(qū)才能達(dá)到的水平。那么，如何打造出口的高可用性？如何實(shí)現(xiàn)出口自動(dòng)調(diào)整對用戶的透明性？即，用戶無需理解復(fù)雜的出口技術(shù)，只需要體驗(yàn)最快的網(wǎng)速。這些問題都擺在了網(wǎng)絡(luò)管理者的面前。

■ 用戶上網(wǎng)行為缺乏管理

《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》在2005年11月23日公安部部長辦公會議通過，并自2006年3月1日起施行。（該規(guī)定簡稱“82號令”）規(guī)定對用戶信息、用戶上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都要記錄。用戶上網(wǎng)行為缺乏事前預(yù)防，事中控制，事后審計(jì)，也給信息中心帶來巨大的管理壓力。 

邁普精細(xì)化出口解決方案

精細(xì)化出口方案的實(shí)現(xiàn)原理

通過邁普MP7500實(shí)現(xiàn)高性能的NAT轉(zhuǎn)發(fā)、動(dòng)態(tài)線路負(fù)載均衡、出口安全防護(hù)、雙主控的高可靠性設(shè)計(jì)等功能。

通過MP流量控制設(shè)備實(shí)現(xiàn)各類應(yīng)用的識別、各類應(yīng)用的帶寬控制、上網(wǎng)行為的日志、出口狀況的分析與統(tǒng)計(jì)等功能。

精細(xì)化出口方案的特點(diǎn)

■ 高性能的NAT轉(zhuǎn)發(fā)

在啟用NAT、策略路由的情況下，雙向可以達(dá)到8Gbps的線速轉(zhuǎn)發(fā)。

每秒30萬條的NAT新建連接，每秒達(dá)到新建7萬條NAT會話。

并發(fā)支持200萬條的會話數(shù)。

■ 多鏈路間的的負(fù)載均衡

通過對每個(gè)ISP連接實(shí)時(shí)的監(jiān)控,健康檢查以及安全和性能的確認(rèn)保證智能的選擇可用鏈路，分配流量負(fù)載,保證關(guān)鍵業(yè)務(wù)的應(yīng)用。

■ 出口的安全防護(hù)

完善安全機(jī)制：數(shù)據(jù)包過濾、連接狀態(tài)檢測、深度內(nèi)容檢測、動(dòng)態(tài)端口偵測；

全面抗DoS攻擊：SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻擊防護(hù)；

關(guān)鍵服務(wù)器保護(hù)：基于源/目的協(xié)議速率限制、SYN Flood攻擊防護(hù)；

通過以上機(jī)制切斷來自外界的安全威脅！  

■ 雙主控的高可靠性設(shè)計(jì)

■ 強(qiáng)大的應(yīng)用識別功能

○  根據(jù)多種方式識別網(wǎng)絡(luò)用戶：用戶名、 IP地址、IP網(wǎng)段等（還支持對VLAN Tag、MPLS Tag的識別）。

○  基于IP協(xié)議、4層端口號、7層特征值和協(xié)議行為等識別網(wǎng)絡(luò)應(yīng)用。

○  支持豐富的應(yīng)用層協(xié)議。

P2P協(xié)議：BitTorrent、eDonkey、KaZaA、WinMX等

即時(shí)通信協(xié)議：QQ、MSN、Skype等

企業(yè)應(yīng)用：Citrix、Oracle、ERP、CRM 等

VoIP和流媒體：RTSP、SIP、H.323等

網(wǎng)絡(luò)游戲：天堂-II、魔獸世界、CS反恐精英等

無線應(yīng)用：WAP、MMS等

○  識別解析度達(dá)到會話數(shù)級別（Session level）。

■ 對應(yīng)用的深入分析及控制

○  應(yīng)用的監(jiān)測和分類

（ who ）是誰: 用戶和用戶組

（ when ）什么時(shí)候: 連接的開始和持續(xù)時(shí)間

（ what ）干什么 :應(yīng)用的屬性 (如 服務(wù)類型, 協(xié)議類型, 并發(fā)連接, 使用 帶寬情況等)

（ where ）什么地方: 端到端行為 (e.g., 終端, 目的地, 起點(diǎn), 終點(diǎn)等)

（ why ）什么理由: 執(zhí)行的策略和 范疇 (如網(wǎng)絡(luò)，服務(wù)，報(bào)告等)

○  控制功能

策略條件：用戶/用戶組、應(yīng)用/應(yīng)用組、時(shí)間段、物理端口等

控制動(dòng)作：允許、拒絕、鏡像、重定向、統(tǒng)計(jì)、限速、最大/最小帶寬保證、動(dòng)態(tài)帶寬保證、并發(fā)連接數(shù)限制、QoS功能等。

精細(xì)化出口方案的技術(shù)優(yōu)勢

■ 出口帶寬資源使用完全可控，可基于每內(nèi)網(wǎng)用戶指定帶寬使用策略。有效管理P2P應(yīng)用，保障關(guān)鍵業(yè)務(wù)的穩(wěn)定運(yùn)行。

■ 出口網(wǎng)關(guān)NAT與PBR性能經(jīng)過優(yōu)化，即使高吞吐量也穩(wěn)如磐石，始終提供高品質(zhì)的數(shù)據(jù)處理能力。

■ 出口線路充分使用，使用動(dòng)態(tài)就近性技術(shù)，能實(shí)時(shí)根據(jù)鏈路負(fù)載、延遲判斷選路。

■ 出口設(shè)備的雙主控引擎實(shí)現(xiàn)自動(dòng)切換，提高設(shè)備穩(wěn)定性

■ 流控設(shè)備提供完善友好的日志記錄，提供基于URL的統(tǒng)計(jì)，并可以進(jìn)行基于URL分類、域名、用戶的檢索，通過流量統(tǒng)計(jì)報(bào)表更可以實(shí)現(xiàn)網(wǎng)絡(luò)狀況分析和規(guī)劃依據(jù)。