1、背景

在當今的互聯世界里，我們日益依賴網絡應用和支持Web的應用來推動社會生產力的發展和成本的優化。當關鍵業務應用步履蹣跚時，我們的業務也將躊躇不前。以教育為例，教育信息化的進程日漸深化，從允許學生在網上注冊和申請獎學金到通過在線學習計劃擴大其課堂范圍，教育機構正求助于Web來優化流程并削減成本。

如今，我們面臨的問題是如何才能擁有更快的應用響應時間、更高的可用性與無懈可擊的安全性，真正做到事半功倍？以政府為例，政府機構一直試圖優化IT基礎設施，為市民提供便捷的信息和服務。然而，橫跨政府IT機構的應用程序漏洞可能會給其機構本身及市民帶來嚴重后果，比如有關安全抗攻擊、有關日志審計等問題。

基于以上這些問題，越來越多的網絡需要獲得端到端的出口與安全解決方案，期望通過解決方案實現以下功能：

1）可靠的應用性能。隨著負載和網絡條件的變化，對應用活動的流量，繼續智能動態的調整，并在保障性能的同時，保證應用交付的可靠性，任何故障都不能造成數據業務的中斷。

2）安全防護功能。能夠提供對蠕蟲、病毒、拒絕服務（DoS）以及Web攻擊的防護。

3）高效的應用交付功能。通過高級優化與負載均衡方案，提供加速的應用性能。

4）統一的監管功能。可以提供集中化管理，實時健康狀態、性能和安全性的檢測；可以提供事件日志和廣泛報告功能，記錄威脅情況。

以上這些可以用通俗的設備功能來衡量，即：基本轉發、應用識別、流控、WAN優化、應用網絡和安全防護等。但是，對于應用必經之地——網絡出口而言，這些功能也將造成極大地延遲和性能衰減，如何平衡多業務與高性能的問題擺在了我們面前。

2、銳捷網絡出口多業務與高性能技術

銳捷網絡結合多年的網絡出口部署經驗，綜合解決了多業務與高性能平衡的難題。銳捷網絡采取的平衡策略是：增強、融合。

增強，即強化單體性能，針對網絡出口難點的NAT/PBR、DPI識別、抗攻擊等逐個突破。

1）高性能NAT/PBR

銳捷網絡采用REF技術實現業務交換， REF（Ruijie Express Forwarding）是一種高性能、多業務、抗攻擊的高速業務交換方式。REF可以直接運行在高速硬件平臺上，獨立于操作系統，它可以降低操作系統的復雜性，減少冗余，提高效率。REF快轉平臺是轉發加速平面的核心技術。VCPU技術把CPU虛擬為“虛數據核”和“虛系統核”，REF快轉平臺直接運行在“虛數據核”上，相當于用軟件把“虛數據核”模擬成為了一個ASIC轉發芯片，與X-Flow結合后可以識別和轉發二到七層的相關網絡業務，實現業務的高速交換。

2）高性能DPI引擎

銳捷網絡采用基于正則表達式的DPI引擎，并用DFA算法代替了傳統的NFA算法，最終實現基于硬件的DFA引擎，它可以做到：

在線IP的數量與設備性能無關；

并發SESSION的數量與設備性能無關；

控制策略的條目數與設備性能無關；

虛擬通道的數目與設備性能無關；

實現加載的協議數量與設備性能無關性。

3）多核高性能，提升安全防護性能

銳捷網絡的防火墻、IDS、WebGuard均采用多核處理器架構。安全類設備采用多核處理器之后，多項復雜功能就可以同時開啟使用。在單核架構下，如果同時進行開啟防火墻的包過濾和應用層入侵檢測，記錄URL日志，流量統計等多項功能時，發現網絡的速度馬上下降50%甚至更低。但是，如果使用多核架構，每個核可以分別處理不同的數據包，同比性能可以提升30%-70%。同時，多核架構使得設備的穩定性和擴展性得到很大的提高。

融合，即綜合功能與性能的關系，融合部分功能，如流控與網關認證、路由與智能選路。

1）流控與網關認證的融合

根據國家建設和諧網絡的大方向，結合網絡出口帶寬資源有效控制的原則，進行互聯網接入控制是十分必要的。通過對網絡出口進行準出控制，加上日志記錄可以滿足公安部82號令要求，實現實名制網絡準入。通過準出控制，可以防止非本單位人員訪問Internet資源，占用出口帶寬。傳統做法是通過架設專門的認證網關來進行，這在無形中改變了既有網絡結構，同時增加了單點故障。銳捷網絡采用創新技術，將網絡必備的流控設備與網關認證進行融合，實現了基于用戶身份的帶寬分配、流量優化和應用控制。舉例來說：某領導A認證入網后，帶寬5M，能下迅雷；某學生B認證入網后，帶寬1M，不能下BT。

2）路由、NAT與智能選路融合

出口的基礎是數據轉發，也就是路由?；趪鴥鹊默F狀，NAT功能是出口必不可少的功能，也同時需要考慮到如何充分利用多ISP鏈路。我們通常需要串接一臺專門的多鏈路負載均衡設備，這樣做既增加了投資，又使得出口架構變得復雜。銳捷網絡通過在NPE網絡出口引擎這樣的出口專用設備上，納入多鏈路負載均衡功能，實現了轉發與選路的融合。

3、結語

多業務與高性能是一對矛盾體，但今天的網絡恰恰更加講求高速、高效、安全的應用交付服務。那么高性能的考慮必不可少，NAT高性能、DPI高性能、安全高性能、日志審計高性能、WAN優化高性能都必須納入考慮范疇。銳捷網絡通過增強單體性能和融合相近性功能的策略，打造了一個融合多業務、保證高性能的網絡出口解決方案。