打造精細化園區(qū)網出口——邁普通信網絡出口解決方案

園區(qū)網絡出口現(xiàn)狀

國內的學校、企業(yè)等機構經過多年持續(xù)不斷的基礎設施建設和應用提升，已經形成了較為穩(wěn)定的園區(qū)網基礎架構、相對豐富的園區(qū)網應用平臺。但是，在追求信息共享、資源整合的今天，有一個問題長期以來一直困擾著大家——這就是園區(qū)網出口區(qū)域。實踐中會發(fā)現(xiàn)，眾多機構都測試了多個廠商的設備，卻未能很好的解決問題，無法取得理想的效果。作為園區(qū)網絡平臺的“門戶”——出口區(qū)域，承擔著機構之間相互交流的窗口的重大作用，園區(qū)網出口長期處于“亞健康”狀態(tài)。 

當前園區(qū)網出口面臨的挑戰(zhàn)

■ 出口設備NAT性能瓶頸

出口設備要支持NAT（地址轉換）是已經形成共識的。一方面，園區(qū)網使用私有地址的情況，訪問Internet需要進行NAT；另一方面，即使園區(qū)網絡通過電信或者網通的線路訪問外部資源，仍然需要進行NAT（地址轉換），因為電信所分配的地址更有限。NAT（地址轉換）等于給出口設備增加了一項很重要的任務，但是，從實際情況來看，NAT卻成為了上網速度慢的一個重要原因。究其根本，設備的NAT轉發(fā)性能是一個很大的原因。

■ 帶寬使用失控問題

網絡基礎設施在提升，出口帶寬在增加，各種網絡應用也更加豐富。但是，某些用戶或者應用（如BT等P2P應用）卻在過多的占用著網絡資源。有實驗證明，出口帶寬無論禁止P2P應用還是不禁止P2P應用都會跑滿。簡單理解，顯然園區(qū)網在不禁止P2P的情形下，P2P的流量不管大小，都已經在影響出口正常流量所占帶寬了。但從另一個側面解讀，即使出口帶寬不斷提升，同樣各種P2P應用依然會占據大量出口帶寬。

■ 多出口帶寬利用不充分

當前園區(qū)網為了提高訪問速度需要多出口互聯(lián)。電信、網通等運營商僅在上海、北京、廣州三地有交互中心，且互聯(lián)帶寬還不夠高。出口線路無法智能選路。造成部分用戶訪問外網速度慢，管理員不得不經常跟蹤各ISP新的地址表，在出口設備上不斷增加路由規(guī)則。

■ 可靠性設計不健全

當下，對服務質量要求越來越高，用戶對網絡這一平臺的依賴性和期望值也越來越高，而園區(qū)網出口的不可用將導致整個園區(qū)與外界的隔斷，園區(qū)內與園區(qū)外的任何互訪、信息互通都無法實現(xiàn)。絕大多數(shù)園區(qū)網出口區(qū)域，單設備、單鏈路的現(xiàn)象還占據主要位置。對于設備的冗余、鏈路的備份，以及在出現(xiàn)任何設備或者鏈路故障下的自動切換，也僅僅是少數(shù)園區(qū)才能達到的水平。那么，如何打造出口的高可用性？如何實現(xiàn)出口自動調整對用戶的透明性？即，用戶無需理解復雜的出口技術，只需要體驗最快的網速。這些問題都擺在了網絡管理者的面前。

■ 用戶上網行為缺乏管理

《互聯(lián)網安全保護技術措施規(guī)定》在2005年11月23日公安部部長辦公會議通過，并自2006年3月1日起施行。（該規(guī)定簡稱“82號令”）規(guī)定對用戶信息、用戶上網記錄、地址轉換記錄、設備狀態(tài)記錄等都要記錄。用戶上網行為缺乏事前預防，事中控制，事后審計，也給信息中心帶來巨大的管理壓力。 

邁普精細化出口解決方案

精細化出口方案的實現(xiàn)原理

通過邁普MP7500實現(xiàn)高性能的NAT轉發(fā)、動態(tài)線路負載均衡、出口安全防護、雙主控的高可靠性設計等功能。

通過MP流量控制設備實現(xiàn)各類應用的識別、各類應用的帶寬控制、上網行為的日志、出口狀況的分析與統(tǒng)計等功能。

精細化出口方案的特點

■ 高性能的NAT轉發(fā)

在啟用NAT、策略路由的情況下，雙向可以達到8Gbps的線速轉發(fā)。

每秒30萬條的NAT新建連接，每秒達到新建7萬條NAT會話。

并發(fā)支持200萬條的會話數(shù)。

■ 多鏈路間的的負載均衡

通過對每個ISP連接實時的監(jiān)控,健康檢查以及安全和性能的確認保證智能的選擇可用鏈路，分配流量負載,保證關鍵業(yè)務的應用。

■ 出口的安全防護

完善安全機制：數(shù)據包過濾、連接狀態(tài)檢測、深度內容檢測、動態(tài)端口偵測；

全面抗DoS攻擊：SYN/SYN flood 代理、Land Attack/ Arp Spoof// IP Fragment Attack等攻擊防護；

關鍵服務器保護：基于源/目的協(xié)議速率限制、SYN Flood攻擊防護；

通過以上機制切斷來自外界的安全威脅！  

■ 雙主控的高可靠性設計

■ 強大的應用識別功能

○  根據多種方式識別網絡用戶：用戶名、 IP地址、IP網段等（還支持對VLAN Tag、MPLS Tag的識別）。

○  基于IP協(xié)議、4層端口號、7層特征值和協(xié)議行為等識別網絡應用。

○  支持豐富的應用層協(xié)議。

P2P協(xié)議：BitTorrent、eDonkey、KaZaA、WinMX等

即時通信協(xié)議：QQ、MSN、Skype等

企業(yè)應用：Citrix、Oracle、ERP、CRM 等

VoIP和流媒體：RTSP、SIP、H.323等

網絡游戲：天堂-II、魔獸世界、CS反恐精英等

無線應用：WAP、MMS等

○  識別解析度達到會話數(shù)級別（Session level）。

■ 對應用的深入分析及控制

○  應用的監(jiān)測和分類

（ who ）是誰: 用戶和用戶組

（ when ）什么時候: 連接的開始和持續(xù)時間

（ what ）干什么 :應用的屬性 (如 服務類型, 協(xié)議類型, 并發(fā)連接, 使用 帶寬情況等)

（ where ）什么地方: 端到端行為 (e.g., 終端, 目的地, 起點, 終點等)

（ why ）什么理由: 執(zhí)行的策略和 范疇 (如網絡，服務，報告等)

○  控制功能

策略條件：用戶/用戶組、應用/應用組、時間段、物理端口等

控制動作：允許、拒絕、鏡像、重定向、統(tǒng)計、限速、最大/最小帶寬保證、動態(tài)帶寬保證、并發(fā)連接數(shù)限制、QoS功能等。

精細化出口方案的技術優(yōu)勢

■ 出口帶寬資源使用完全可控，可基于每內網用戶指定帶寬使用策略。有效管理P2P應用，保障關鍵業(yè)務的穩(wěn)定運行。

■ 出口網關NAT與PBR性能經過優(yōu)化，即使高吞吐量也穩(wěn)如磐石，始終提供高品質的數(shù)據處理能力。

■ 出口線路充分使用，使用動態(tài)就近性技術，能實時根據鏈路負載、延遲判斷選路。

■ 出口設備的雙主控引擎實現(xiàn)自動切換，提高設備穩(wěn)定性

■ 流控設備提供完善友好的日志記錄，提供基于URL的統(tǒng)計，并可以進行基于URL分類、域名、用戶的檢索，通過流量統(tǒng)計報表更可以實現(xiàn)網絡狀況分析和規(guī)劃依據。