打造精細(xì)化園區(qū)網(wǎng)出口——邁普通信網(wǎng)絡(luò)出口解決方案

園區(qū)網(wǎng)絡(luò)出口現(xiàn)狀

國(guó)內(nèi)的學(xué)校、企業(yè)等機(jī)構(gòu)經(jīng)過(guò)多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的園區(qū)網(wǎng)基礎(chǔ)架構(gòu)、相對(duì)豐富的園區(qū)網(wǎng)應(yīng)用平臺(tái)。但是，在追求信息共享、資源整合的今天，有一個(gè)問(wèn)題長(zhǎng)期以來(lái)一直困擾著大家——這就是園區(qū)網(wǎng)出口區(qū)域。實(shí)踐中會(huì)發(fā)現(xiàn)，眾多機(jī)構(gòu)都測(cè)試了多個(gè)廠(chǎng)商的設(shè)備，卻未能很好的解決問(wèn)題，無(wú)法取得理想的效果。作為園區(qū)網(wǎng)絡(luò)平臺(tái)的“門(mén)戶(hù)”——出口區(qū)域，承擔(dān)著機(jī)構(gòu)之間相互交流的窗口的重大作用，園區(qū)網(wǎng)出口長(zhǎng)期處于“亞健康”狀態(tài)。 

當(dāng)前園區(qū)網(wǎng)出口面臨的挑戰(zhàn)

■ 出口設(shè)備N(xiāo)AT性能瓶頸

出口設(shè)備要支持NAT（地址轉(zhuǎn)換）是已經(jīng)形成共識(shí)的。一方面，園區(qū)網(wǎng)使用私有地址的情況，訪(fǎng)問(wèn)Internet需要進(jìn)行NAT；另一方面，即使園區(qū)網(wǎng)絡(luò)通過(guò)電信或者網(wǎng)通的線(xiàn)路訪(fǎng)問(wèn)外部資源，仍然需要進(jìn)行NAT（地址轉(zhuǎn)換），因?yàn)殡娦潘�分配的地址更有限。NAT（地址轉(zhuǎn)換）等于給出口設(shè)備增加了一項(xiàng)很重要的任務(wù)，但是，從實(shí)際情況來(lái)看，NAT卻成為了上網(wǎng)速度慢的一個(gè)重要原因。究其根本，設(shè)備的NAT轉(zhuǎn)發(fā)性能是一個(gè)很大的原因。

■ 帶寬使用失控問(wèn)題

網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提升，出口帶寬在增加，各種網(wǎng)絡(luò)應(yīng)用也更加豐富。但是，某些用戶(hù)或者應(yīng)用（如BT等P2P應(yīng)用）卻在過(guò)多的占用著網(wǎng)絡(luò)資源。有實(shí)驗(yàn)證明，出口帶寬無(wú)論禁止P2P應(yīng)用還是不禁止P2P應(yīng)用都會(huì)跑滿(mǎn)。簡(jiǎn)單理解，顯然園區(qū)網(wǎng)在不禁止P2P的情形下，P2P的流量不管大小，都已經(jīng)在影響出口正常流量所占帶寬了。但從另一個(gè)側(cè)面解讀，即使出口帶寬不斷提升，同樣各種P2P應(yīng)用依然會(huì)占據(jù)大量出口帶寬。

■ 多出口帶寬利用不充分

當(dāng)前園區(qū)網(wǎng)為了提高訪(fǎng)問(wèn)速度需要多出口互聯(lián)。電信、網(wǎng)通等運(yùn)營(yíng)商僅在上海、北京、廣州三地有交互中心，且互聯(lián)帶寬還不夠高。出口線(xiàn)路無(wú)法智能選路。造成部分用戶(hù)訪(fǎng)問(wèn)外網(wǎng)速度慢，管理員不得不經(jīng)常跟蹤各ISP新的地址表，在出口設(shè)備上不斷增加路由規(guī)則。

■ 可靠性設(shè)計(jì)不健全

當(dāng)下，對(duì)服務(wù)質(zhì)量要求越來(lái)越高，用戶(hù)對(duì)網(wǎng)絡(luò)這一平臺(tái)的依賴(lài)性和期望值也越來(lái)越高，而園區(qū)網(wǎng)出口的不可用將導(dǎo)致整個(gè)園區(qū)與外界的隔斷，園區(qū)內(nèi)與園區(qū)外的任何互訪(fǎng)、信息互通都無(wú)法實(shí)現(xiàn)。絕大多數(shù)園區(qū)網(wǎng)出口區(qū)域，單設(shè)備、單鏈路的現(xiàn)象還占據(jù)主要位置。對(duì)于設(shè)備的冗余、鏈路的備份，以及在出現(xiàn)任何設(shè)備或者鏈路故障下的自動(dòng)切換，也僅僅是少數(shù)園區(qū)才能達(dá)到的水平。那么，如何打造出口的高可用性？如何實(shí)現(xiàn)出口自動(dòng)調(diào)整對(duì)用戶(hù)的透明性？即，用戶(hù)無(wú)需理解復(fù)雜的出口技術(shù)，只需要體驗(yàn)最快的網(wǎng)速。這些問(wèn)題都擺在了網(wǎng)絡(luò)管理者的面前。

■ 用戶(hù)上網(wǎng)行為缺乏管理

《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》在2005年11月23日公安部部長(zhǎng)辦公會(huì)議通過(guò)，并自2006年3月1日起施行。（該規(guī)定簡(jiǎn)稱(chēng)“82號(hào)令”）規(guī)定對(duì)用戶(hù)信息、用戶(hù)上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都要記錄。用戶(hù)上網(wǎng)行為缺乏事前預(yù)防，事中控制，事后審計(jì)，也給信息中心帶來(lái)巨大的管理壓力。 

邁普精細(xì)化出口解決方案

精細(xì)化出口方案的實(shí)現(xiàn)原理

通過(guò)邁普MP7500實(shí)現(xiàn)高性能的NAT轉(zhuǎn)發(fā)、動(dòng)態(tài)線(xiàn)路負(fù)載均衡、出口安全防護(hù)、雙主控的高可靠性設(shè)計(jì)等功能。

通過(guò)MP流量控制設(shè)備實(shí)現(xiàn)各類(lèi)應(yīng)用的識(shí)別、各類(lèi)應(yīng)用的帶寬控制、上網(wǎng)行為的日志、出口狀況的分析與統(tǒng)計(jì)等功能。

精細(xì)化出口方案的特點(diǎn)

■ 高性能的NAT轉(zhuǎn)發(fā)

在啟用NAT、策略路由的情況下，雙向可以達(dá)到8Gbps的線(xiàn)速轉(zhuǎn)發(fā)。

每秒30萬(wàn)條的NAT新建連接，每秒達(dá)到新建7萬(wàn)條NAT會(huì)話(huà)。

并發(fā)支持200萬(wàn)條的會(huì)話(huà)數(shù)。

■ 多鏈路間的的負(fù)載均衡

通過(guò)對(duì)每個(gè)ISP連接實(shí)時(shí)的監(jiān)控,健康檢查以及安全和性能的確認(rèn)保證智能的選擇可用鏈路，分配流量負(fù)載,保證關(guān)鍵業(yè)務(wù)的應(yīng)用。

■ 出口的安全防護(hù)

完善安全機(jī)制：數(shù)據(jù)包過(guò)濾、連接狀態(tài)檢測(cè)、深度內(nèi)容檢測(cè)、動(dòng)態(tài)端口偵測(cè)；

全面抗DoS攻擊：SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻擊防護(hù)；

關(guān)鍵服務(wù)器保護(hù)：基于源/目的協(xié)議速率限制、SYN Flood攻擊防護(hù)；

通過(guò)以上機(jī)制切斷來(lái)自外界的安全威脅！  

■ 雙主控的高可靠性設(shè)計(jì)

■ 強(qiáng)大的應(yīng)用識(shí)別功能

○  根據(jù)多種方式識(shí)別網(wǎng)絡(luò)用戶(hù)：用戶(hù)名、 IP地址、IP網(wǎng)段等（還支持對(duì)VLAN Tag、MPLS Tag的識(shí)別）。

○  基于IP協(xié)議、4層端口號(hào)、7層特征值和協(xié)議行為等識(shí)別網(wǎng)絡(luò)應(yīng)用。

○  支持豐富的應(yīng)用層協(xié)議。

P2P協(xié)議：BitTorrent、eDonkey、KaZaA、WinMX等

即時(shí)通信協(xié)議：QQ、MSN、Skype等

企業(yè)應(yīng)用：Citrix、Oracle、ERP、CRM 等

VoIP和流媒體：RTSP、SIP、H.323等

網(wǎng)絡(luò)游戲：天堂-II、魔獸世界、CS反恐精英等

無(wú)線(xiàn)應(yīng)用：WAP、MMS等

○  識(shí)別解析度達(dá)到會(huì)話(huà)數(shù)級(jí)別（Session level）。

■ 對(duì)應(yīng)用的深入分析及控制

○  應(yīng)用的監(jiān)測(cè)和分類(lèi)

（ who ）是誰(shuí): 用戶(hù)和用戶(hù)組

（ when ）什么時(shí)候: 連接的開(kāi)始和持續(xù)時(shí)間

（ what ）干什么 :應(yīng)用的屬性 (如 服務(wù)類(lèi)型, 協(xié)議類(lèi)型, 并發(fā)連接, 使用 帶寬情況等)

（ where ）什么地方: 端到端行為 (e.g., 終端, 目的地, 起點(diǎn), 終點(diǎn)等)

（ why ）什么理由: 執(zhí)行的策略和 范疇 (如網(wǎng)絡(luò)，服務(wù)，報(bào)告等)

○  控制功能

策略條件：用戶(hù)/用戶(hù)組、應(yīng)用/應(yīng)用組、時(shí)間段、物理端口等

控制動(dòng)作：允許、拒絕、鏡像、重定向、統(tǒng)計(jì)、限速、最大/最小帶寬保證、動(dòng)態(tài)帶寬保證、并發(fā)連接數(shù)限制、QoS功能等。

精細(xì)化出口方案的技術(shù)優(yōu)勢(shì)

■ 出口帶寬資源使用完全可控，可基于每?jī)?nèi)網(wǎng)用戶(hù)指定帶寬使用策略。有效管理P2P應(yīng)用，保障關(guān)鍵業(yè)務(wù)的穩(wěn)定運(yùn)行。

■ 出口網(wǎng)關(guān)NAT與PBR性能經(jīng)過(guò)優(yōu)化，即使高吞吐量也穩(wěn)如磐石，始終提供高品質(zhì)的數(shù)據(jù)處理能力。

■ 出口線(xiàn)路充分使用，使用動(dòng)態(tài)就近性技術(shù)，能實(shí)時(shí)根據(jù)鏈路負(fù)載、延遲判斷選路。

■ 出口設(shè)備的雙主控引擎實(shí)現(xiàn)自動(dòng)切換，提高設(shè)備穩(wěn)定性

■ 流控設(shè)備提供完善友好的日志記錄，提供基于URL的統(tǒng)計(jì)，并可以進(jìn)行基于URL分類(lèi)、域名、用戶(hù)的檢索，通過(guò)流量統(tǒng)計(jì)報(bào)表更可以實(shí)現(xiàn)網(wǎng)絡(luò)狀況分析和規(guī)劃依據(jù)。