[[175128]]

一、 互聯網出口的新趨勢

隨著云計算、物聯網的大規模應用，企業的業務逐步向數據中心集中，更多的用戶通過統一的互聯網出口來進行業務的訪問。另一方面，許多行業如政務、電力、廣電、教育等為了提高安全性，也在進行統一互聯網出口建設。在用戶側和數據中心側發生的變化，都使互聯網出口的建設由分散出口模式，發展為統一互聯網出口模式。建設模式的變化，給互聯網出口建設帶來了很大的改變。

一方面，網絡規模成倍增加。分散建設出口時，出口的用戶局限于一個或者幾個分支，用戶數有限，出口帶寬也有限。統一互聯網出口之后，通過出口訪問互聯網的用戶成倍增加，網絡規模類似于城域網，出口帶寬倍增，可達到10G甚至更高。訪問的集中同時也使得出口的重要性大大增加，一旦出現故障將造成大范圍的影響。因此，統一互聯網出口建設不但要提供更高的網絡性能，同時還必須要保障不間斷的網絡服務，以滿足高峰期用戶的訪問需求。

另一方面，用戶體驗越來越重要。統一互聯網出口之后，網絡管理員從簡單的網絡管理轉變為網絡運營，需要對所有分支的用戶提供服務，這種角色的轉變，使得網絡管理員需要更多的關注用戶體驗。因此，統一互聯網出口建設需要在改善用戶體驗，提供針對性的安全防護等方面進行更多的考慮。

二、 統一互聯網出口需求要點

■ 運營級高可靠

互聯網出口是整個網絡對外流量的必經之路，互聯網出口是否足夠“強壯”直接影響著整個網絡用戶的上網體驗。傳統方案大多為“串糖葫蘆”式組網，部署防火墻、入侵檢測、防病毒網關、負載均衡、流量控制、行為審計、Web防火墻等設備，不但數量和種類繁多，而且極大的影響了網絡的可靠性。即使設備部署中采用雙機VRRP備份的方式，故障恢復時間也為秒級，而且組網極為復雜。因此，統一互聯網出口的建設首先需要簡化網絡結構，并提高整體的可靠性。

■ 提升用戶體驗

用戶對于帶寬的需求是無止境的，尤其是在統一互聯網出口后用戶數成倍增加的情況下，不論出口帶寬增加到多大，都無法完全滿足用戶的需求。但對客戶來說，出口帶寬的每次增加，都意味著成本的提高。因此，客戶越來越關注帶寬的合理利用，以達到提升帶寬價值的目的。這時傳統方案的局限性凸顯無疑：

1) 用戶投訴網速慢、體驗不佳時，出口帶寬卻往往有富余，甚至某條鏈路空閑，傳統帶寬管理方案對此無能為力。

2) 啟用流控功能為提高帶寬利用率，卻導致帶寬資源的大量損耗。

3) 差異化安全防護。統一互聯網出口后，不同分支對安全防護的需求存在差異，傳統方案只能進行統一的安全防護，無法進行差異化防護。

因此，信息中心需要在用戶體驗和成本間找到平衡點，既讓用戶滿意又不付出過高成本。

■ 精細的行為管理

網絡規模增加后，需要對用戶的行為進行精細化的管理，不然會導致工作狀態無法監控、泄漏公司機密，甚至會出現不符合法律違規等嚴重問題。傳統的行為審計大多是基于IP，無法精確到人，審計細粒度存在局限。此外，互聯網統一出口后，分支的局域網往往通過NAT網關上連至出口，這樣一來，分支的用戶便經過一次或多次NAT后才到達互聯網統一出口，如何在多次NAT后準確定位到人就成了必然要面臨的問題。

因此，新的出口建設需要能審計到人，同時實現多級NAT的精確溯源。

■ 高性能

統一出口建設后，出口帶寬成倍增加，往往到10G甚至更高，這就要求出口設備具備較高的處理性能，滿足業務高峰期需要。

三、 迪普科技融慧管通一體化互聯網出口解決方案

迪普科技基于大量的互聯網出口建設實踐與技術創新，推出了融慧管通一體化互聯網出口解決方案，在傳統方案基礎上結合迪普科技獨特的技術優勢，完美的解決了互聯網出口建設中所面臨的各種困擾。

迪普科技融慧管通一體化互聯網出口解決方案框架如下圖所示：

迪普科技融慧管通一體化互聯網出口解決方案框架

迪普科技融慧管通一體化互聯網出口解決方案通過融、慧、管、通四大特點，簡化網絡，提升帶寬價值，實現精細化管理、保障網絡的高速暢通。

3.1 眾多需求，從“融”面對

路由、NAT、防火墻、鏈路負載均衡、流控、上網行為管理、入侵防御等功能一體化部署，極大簡化互聯網出口組網結構;各種功能模塊按需擴展，性能平滑擴容，有效保護現有投資。

DPX深度業務交換網關基于DPtech自主知識產權的L2~7融合操作系統ConPlat，集業務交換、網絡安全、應用交付三大功能于一體。在具備豐富網絡特性的基礎上，還可以提供應用防火墻、入侵防御、流控、上網行為管理、異常流量清洗、應用交付、WAF等深度業務的線速處理，是目前業界業務擴展能力最強、處理能力最高的深度業務交換網關。

3.2 智能提升帶寬價值，秀外“慧”中

三大創新技術：應用智能路由、零帶寬損耗、高速內容緩存，綜合提升出口帶寬利用率，智能提升互聯網出口帶寬價值。在相同的帶寬成本投入下，獲得不同的上網體驗!

■ 應用智能路由

ABR(Application-Based Routing)應用智能路由技術，可以依據策略將特定的應用流量調度到合適的鏈路上，從而達到最高效率地使用網絡的多個出口、提高網絡應用體驗、節省帶寬成本等效果。

例如，P2P下載流量是一種對帶寬占用大，但對實時性要求不高的網絡應用流量。如果不對這部分流量采取措施，則P2P下載會對網絡帶寬造成很大壓力，從而會影響其他網絡應用的體驗。ABR可將P2P流量調度到質量較差、價格較便宜、利用率較低的鏈路上。

ABR也可以將HTTP或者網絡游戲這類帶寬占用較小但對實時性要求很高的網絡應用流量牽引到延時和丟包都較小的高質量鏈路上，從而滿足甚至提高這類用戶的網絡使用體驗。

■ 零帶寬損耗

傳統的流控技術采用隊列機制來管理數據包的傳輸，這種方式在上行方向確實適用，但在下行方向上由于收到的數據包已經占用了互聯網出口帶寬，傳統的流控技術采用丟棄已收到數據包的方式，強行降低某些應用的帶寬占用。大量丟棄數據包雖然減緩了下行方向的擁塞，但是卻導致下行帶寬的損失，其損失率最高達到30%左右。

迪普科技零帶寬損耗技術，創新性的采用“提前”限速的技術理念，解決了傳統流控技術因丟包而導致帶寬損耗的難題。通過識別應用協議(如BT、迅雷、網絡視頻、HTTP等)確認協議傳輸模型，從而確認與遠端服務器之間交互方式，動態與服務器協商，調整服務器的發送速率，達到控制帶寬的效果。

這個過程需要消耗大量系統和內存資源，迪普科技通過APP-X硬件平臺很好的承接上述資源消耗，在不影響網絡應用的情況下，啟用流量控制后，整體帶寬幾乎無損耗(5%以內)，真正實現對應用流量的合理、有效、有序的管理。

■ 高速內容緩存

迪普科技DeepCache高速內容緩存系統，可以自動識別熱點資源，通過自動更新下載或定時下載等方式，將外網資源緩存于網絡本地，采用大容量存儲服務器集群部署，用戶無需安裝客戶端或修改配置，透明緩存，在不增加出口帶寬的情況下，極大提升網絡用戶的體驗。

應用支持

■ HTTP在線視頻應用

■ HTTP下載應用

■ 各種主流P2P應用

使用效果

■ 互聯網出口帶寬占用降低15%-20%

■ 熱點資源訪問速度提升10倍以上

3.3 網絡行為，“管”控一體

行為管理可以基于應用而不是端口，基于用戶而不是IP，基于內容而不是數據包，在深度內容識別的基礎上實現上網行為管控一體化。

同時，支持4000+應用識別與靈活的管控策略，網絡流量與上網行為全面可視化，打造秩序井然的網絡環境。

針對多級NAT的溯源，方案通過控件將真實身份信息攜帶至上網行為管理設備，實現上網精確溯源。

應用識別

迪普科技基于對網絡和應用協議的深刻理解，融合DPI與FPI兩種不同的識別技術，自主開發泛協議識別模型CAAR (Context-Aware Application Recognition) 上下文感知應用識別技術。

■ DPI(Deep Packet Inspection深度包檢測)在進行分析報文頭的基礎上，結合不同的應用協議的“指紋”綜合判斷所屬的應用。

■ FPI(Flow Pattern Inspection流模型檢測)是一種基于流量行為的協議識別技術。

CAAR 采取優化的AC(Alfred V.Aho和Margaret J.Corasick)多模匹配算法，支持流匹配方式，使得協議的識別更確切。迪普科技在泛協議識別模型CAAR的基礎上，通過應用協議快速自學習技術有效降低DPI/FPI的高性能耗費問題。在已經識別網絡應用的基礎上，同一網絡內存在較多的相同流量，那么此協議經過一次識別后，提取此協議對應的“IP+PORT”即可實現協議的快速分類，還不降低協議識別的精度，與其他技術配合，可有效解決識別深度和性能的矛盾。

流量控制

■ 多維度組合流量控制

可以基于接口、用戶、實名帳號、應用和時間等進行組合流量控制

■ 帶寬預留

確保隊列獨享帶寬，為指定業務或通道提供有效保障

■ 鏈路帶寬動態管控

根據帶寬占用情況，動態調節帶寬限速策略，最大效率地利用帶寬

■ 應用控制

支持按照流量所屬的應用層協議或服務，為不同用戶的不同服務定義不同的控制策略，實現了基于服務的網絡流量細分管理

■ 行為管理

支持Web應用、Web搜索、Web下載、論壇、郵件、FTP應用、IM應用、遠程控制等應用的上網行為管理。

3.4 高速穩定，暢“通”無阻

高性能的硬件架構、領先的虛擬化技術、強大的網絡適應能力、支持IPv4/IPv6雙棧，為網絡提供高速、可靠的出口通道。

■ 高效硬件架構

迪普科技APP-X硬件平臺采用了多核處理器+大規模FPGA+高性能交換芯片架構實現。數據處理方面還采用了管理平面和數據平面相分離技術，這種的分離式雙通道設計，不僅消除了管理通道與數據通道間相互耦合的影響，極大提升了系統的健壯性，并且數據通道獨特的大規模并發處理機制，極大地降低了報文處理的時延，大大提升了用戶體驗。

■ 產品軟件架構

迪普科技采用自主研發的ConPlat軟件平臺，是專門針對深度業務識別和網絡安全進行構架的安全操作系統。ConPlat軟件平臺的底層在進程調度、內存管理、總線控制、磁盤管理等方面針對APP-X硬件架構進行了深度優化，并能調度FPGA硬件引擎的資源，實現高性能。并在此基礎之上進行硬件虛擬化管理，可以實現操作系統級或者應用級的虛擬化。

ConPlat軟件平臺的核心采用控制、業務與轉發三平面分離架構。控制平面主要實現由路由協議(IPv4/ IPv6)、STP/VLAN/ARP、組播、MPLS等，負責生成轉發表項。業務平面主要實現狀態表管理、應用識別、應用控制、威脅識別、應用審計等應用層功能，根據策略對狀態表進行管理。轉發平面主要是根據控制平面生成的轉發表及業務平面生成的狀態表，對數據流進行轉發、限流及阻斷等操作。

四、 統一互聯網出口解決方案設計

統一互聯網出口解決方案的設計綜合融、慧、管、通四大特點，通過采用DPX融合式網關設備，部署負載均衡、防火墻、入侵防御、流控審計業務板卡，實現出口防護所需的功能，提升帶寬價值。方案拓撲如下圖所示：

統一互聯網出口解決方案設計

方案的設計要點如下：

■ 融：眾多需求，從“融”面對

■ 慧：智能提升帶寬價值，秀外“慧”中

■ 管：網絡行為，“管”控一體

■ 通：高速穩定，暢“通”無阻