挑戰(zhàn)網(wǎng)關(guān)極限——港灣NetHammerG系列路由器

2019-11-05 00:53:37

字體：大中小

供稿：網(wǎng)友

要害詞：

1、NAT：Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換
2、NAPT：Network Address Port Translation，地址及端口轉(zhuǎn)換
3、ALG：application Level Gateway，應(yīng)用網(wǎng)關(guān)
4、BAS：Broadband access Server，寬帶接入服務(wù)器
5、NP：Network PRocessor，網(wǎng)絡(luò)處理器
6、TCAM：Ternary Content Addressable Memory，三態(tài)CAM
7、PPS：Packet Per Second，吞吐率單位，每秒處理報(bào)文數(shù)目
8、BPS：Bit Per Second，帶寬單位，比特每秒
9、CCL：Commit connection limited，承諾連接數(shù)限制
10、NAT-PT：NAT – protocol Translation網(wǎng)絡(luò)地址轉(zhuǎn)換器—協(xié)議的轉(zhuǎn)換器

　　在目前大規(guī)模的校園網(wǎng)建設(shè)中，如何經(jīng)濟(jì)地解決校園網(wǎng)出口的瓶頸，使巨大的網(wǎng)絡(luò)流量不再受出口限制，是用戶比較關(guān)注的一個(gè)問(wèn)題。港灣網(wǎng)絡(luò)有限公司的NetHammerG系列路由器綜合考慮用戶目前實(shí)際需求和將來(lái)的發(fā)展，徹底消除網(wǎng)絡(luò)瓶頸，并提供強(qiáng)大的防病毒能力和豐富的策略支持，從而為用戶營(yíng)造安全、高效、經(jīng)濟(jì)的校園網(wǎng)絡(luò)提供了可靠的保障。
　　校園網(wǎng)網(wǎng)關(guān)應(yīng)用現(xiàn)狀
　　由于網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等相關(guān)應(yīng)用技術(shù)的發(fā)展，Internet和Intranet在全社會(huì)得到了廣泛的應(yīng)用，教育、高校作為中國(guó)信息化建設(shè)最前沿行業(yè)，其網(wǎng)絡(luò)建設(shè)受到前所未有的關(guān)注。學(xué)校的對(duì)外學(xué)術(shù)合作、國(guó)家級(jí)學(xué)術(shù)研究項(xiàng)目溝通、國(guó)際校校合作、遠(yuǎn)程教育、資源共享等等，這些對(duì)高校越來(lái)越重要的應(yīng)用幾乎都是建立在校際的網(wǎng)絡(luò)互連基礎(chǔ)上。校園網(wǎng)作為CERNET（中國(guó)教育科研計(jì)算機(jī)網(wǎng)）引入最終用戶的觸手，將成為教育網(wǎng)建設(shè)的重中之重，也是提升學(xué)校競(jìng)爭(zhēng)力的重要因素之一。種種理由證實(shí)校園網(wǎng)出口的位置正變的前所未有的重要和要害。
　　由于ipv4地址短缺，校園網(wǎng)內(nèi)部用戶一般都使用私網(wǎng)IP地址，這就需要校園網(wǎng)出口位置的設(shè)備必須支持NAT功能。
　　現(xiàn)在大多數(shù)校園網(wǎng)都存在出口帶寬不足的問(wèn)題，許多學(xué)校計(jì)劃增加出口鏈路和升級(jí)出口帶寬，也有部分學(xué)校已經(jīng)對(duì)校園網(wǎng)出口帶寬完成了升級(jí)，但因?yàn)榫W(wǎng)關(guān)設(shè)備性能不足，實(shí)際上出口帶寬的緊張情況并沒(méi)有緩解，反而在日益猖獗的病毒攻擊和流量增加的情況下網(wǎng)關(guān)設(shè)備的可靠性和可用性甚至不比以前。
　　校園網(wǎng)因?yàn)槠浞欠残裕谠S多方面的需求非常苛刻，對(duì)網(wǎng)關(guān)設(shè)備提出很高的挑戰(zhàn)。集中表現(xiàn)在以下方面：
　　1. 流量大，而且大流量的持續(xù)時(shí)間長(zhǎng)
　　相對(duì)于其他上網(wǎng)人群，大學(xué)生的上網(wǎng)時(shí)間比較多，而且業(yè)務(wù)主要以視頻點(diǎn)播、軟件下載為主，流量大而且持續(xù)時(shí)間長(zhǎng)。現(xiàn)在許多大學(xué)的出口鏈路為1個(gè)以上百兆或155M鏈路，有的甚至使用千兆出口，這對(duì)出口網(wǎng)關(guān)的性能要求很高。
　　2. 病毒種類繁多，由此引起的攻擊非常頻繁
　　學(xué)校網(wǎng)絡(luò)如同一個(gè)實(shí)驗(yàn)場(chǎng)，學(xué)生對(duì)自己機(jī)器的防范不怎么重視，所以病毒很難得到有效控制。學(xué)生使用的軟件大都是網(wǎng)上下載，病毒的源頭很難根除。這些病毒絕大多數(shù)都是網(wǎng)絡(luò)病毒，以端口掃描、群發(fā)mail為主要特征，造成網(wǎng)絡(luò)流量風(fēng)暴、網(wǎng)關(guān)每秒新建session數(shù)狂增，假如沒(méi)有采取有效措施防范突發(fā)流量，即使性能很高的NAT網(wǎng)關(guān)也可能忽然宕機(jī)。另外，校園里有一定數(shù)量的惡意攻擊者，也是網(wǎng)絡(luò)的潛在威脅。
　　3. 有許多基于資源利用和節(jié)約成本的復(fù)雜策略需要配置
　　校園網(wǎng)有許多業(yè)務(wù)必須從教育網(wǎng)才能訪問(wèn)，而且用教育網(wǎng)訪問(wèn)國(guó)內(nèi)站點(diǎn)價(jià)格很低廉；而從公眾網(wǎng)訪問(wèn)非教育網(wǎng)節(jié)點(diǎn)和國(guó)外網(wǎng)站速度快，價(jià)格便宜。為了有效利用資源節(jié)約成本，出口網(wǎng)關(guān)處需要配置復(fù)雜的策略路由，也就是需要配置很多條訪問(wèn)控制列表（ACL）。許多大型校園網(wǎng)出口網(wǎng)關(guān)上需要配置的ACL數(shù)目超過(guò)了1000條。假如沒(méi)有強(qiáng)大的ACL協(xié)處理能力，網(wǎng)關(guān)設(shè)備在ACL數(shù)量不到百條就會(huì)嚴(yán)重影響性能甚至不可用。
　　4. 應(yīng)國(guó)家安全機(jī)構(gòu)的要求，學(xué)校往往需要提供強(qiáng)大的全天候日志數(shù)據(jù)
　　網(wǎng)絡(luò)病毒日益猖獗，網(wǎng)絡(luò)犯罪也是五花八門、層出不窮。為了能有效防范并嚴(yán)厲打擊網(wǎng)絡(luò)犯罪，公安機(jī)關(guān)要求網(wǎng)絡(luò)建設(shè)者必須能夠提供詳盡完整的日志信息以便偵破網(wǎng)絡(luò)犯罪案件時(shí)供查。在具有成千甚至上萬(wàn)信息點(diǎn)的校園網(wǎng)里做全天候日志備份，每月的數(shù)據(jù)量高達(dá)數(shù)十個(gè)G，又不能影響正常業(yè)務(wù)的性能，這對(duì)網(wǎng)關(guān)設(shè)備的要求相當(dāng)高，必須是硬件處理才可以滿足。
　　5. 校園網(wǎng)要害網(wǎng)絡(luò)設(shè)備必須有IPv6的支持和擴(kuò)展能力
　　高校及教育網(wǎng)是我國(guó)IPv6實(shí)驗(yàn)網(wǎng)的主力軍和先行者，雖然現(xiàn)在IPv6只開(kāi)始建骨干網(wǎng)，但考慮到1、2年內(nèi)大多數(shù)高校就需要連入到IPv6網(wǎng)，假如現(xiàn)在采購(gòu)的設(shè)備不能支持IPv6擴(kuò)展勢(shì)必造成投資的極大浪費(fèi)。
　　總的來(lái)講，目前市場(chǎng)上絕大多數(shù)定位于校園網(wǎng)網(wǎng)關(guān)的設(shè)備，其實(shí)無(wú)法勝任校園網(wǎng)出口的位置，因?yàn)檫@些產(chǎn)品的并不是針對(duì)校園網(wǎng)的特點(diǎn)設(shè)計(jì)的。港灣網(wǎng)絡(luò)有限公司充分熟悉到校園網(wǎng)市場(chǎng)對(duì)國(guó)內(nèi)數(shù)據(jù)通信市場(chǎng)的重要性，在進(jìn)行了詳盡的需求分析和理論研究之后，推出了針對(duì)校園網(wǎng)網(wǎng)關(guān)市場(chǎng)的產(chǎn)品NetHammerG系列路由器網(wǎng)關(guān)版，真正解決校園網(wǎng)出口的難題。
　　解決方案
　　NetHammer G系列路由器采用先進(jìn)的匯聚型交換網(wǎng)+NP+TCAM集中式處理的體系結(jié)構(gòu)，并為專門針對(duì)NAT網(wǎng)關(guān)應(yīng)用量身定制軟件版本和系統(tǒng)流程，消除瓶頸，并提供強(qiáng)化治理功能。NetHammer G系列路由器網(wǎng)關(guān)版本的特點(diǎn)主要體現(xiàn)在以下方面：
　　1. 徹底消除作NAT網(wǎng)關(guān)時(shí)的各種瓶頸：
　　Nethammer G908路由器包轉(zhuǎn)發(fā)性能高達(dá)6Mpps，做NAT網(wǎng)關(guān)時(shí)性能出色，全面超越國(guó)內(nèi)外廠商同類產(chǎn)品。
　　會(huì)話保持能力：NetHammerG系列路由器系統(tǒng)內(nèi)存為512M，可支持1000000會(huì)話數(shù)。
　　NAT吞吐率：NetHammerG系列路由器用NP完成所有NAT特性以及NAT相關(guān)特性，包括session建立與刪除、業(yè)務(wù)識(shí)別、地址及端口號(hào)替換、調(diào)整校驗(yàn)和等， NAT啟動(dòng)時(shí)系統(tǒng)包轉(zhuǎn)發(fā)性能影響不大。
　　強(qiáng)大的ACL支持能力：NetHammerG系列路由器使用TCAM技術(shù)處理ACL。TCAM芯片提供高達(dá)9M的容量，可存儲(chǔ)數(shù)萬(wàn)條ACL條目，TCAM技術(shù)保證所有內(nèi)容查找一次命中，使得復(fù)雜業(yè)務(wù)支持不再成為瓶頸。
　　會(huì)話建立能力：現(xiàn)在也有一些廠商采用NP來(lái)做NAT，但會(huì)話的建立刪除等操作卻必須由CPU來(lái)完成，當(dāng)病毒引起的大量掃描報(bào)文經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)將導(dǎo)致CPU利用率過(guò)高，正常業(yè)務(wù)的延遲增大，甚至有可能使CPU利用率到100%，系統(tǒng)宕機(jī)。NetHammerG系列路由器打破NP的被動(dòng)工作方式，由NP獨(dú)立完成會(huì)話建立和刪除，不需要CPU干預(yù)。NetHammerG每秒可建立并刪除2萬(wàn)會(huì)話，同時(shí)不影響NAT吞吐率。
　　2. 強(qiáng)大的會(huì)話治理及防病毒功能：
　　NetHammerG系列路由器采用業(yè)務(wù)與控制分離的設(shè)計(jì)架構(gòu)，支持逐用戶的會(huì)話治理和實(shí)時(shí)監(jiān)控阻止非法會(huì)話占用處理能力、內(nèi)存資源和出口帶寬，實(shí)時(shí)察看任意用戶的業(yè)務(wù)、會(huì)話數(shù)量、通信量等，基于行為判定，可以防止已知病毒的攻擊，還可以對(duì)所有未知的病毒進(jìn)行有效防范，保障網(wǎng)絡(luò)安全。
　　智能的自我保護(hù)，所有復(fù)雜業(yè)務(wù)由NP處理，CPU通過(guò)流控向NP反饋負(fù)載程度，負(fù)載過(guò)高時(shí)NP智能丟棄需要CPU處理的低優(yōu)先級(jí)報(bào)文，始終保證主要業(yè)務(wù)不受影響。
　　獨(dú)有的CCL（承諾連接數(shù)限制）技術(shù)，支持基于用戶IP的會(huì)話連接數(shù)量的控制，可配置將會(huì)話數(shù)量限制在5-10240之間，在一定程度上限制了網(wǎng)絡(luò)中的非法代理、黑戶網(wǎng)吧、病毒大量傳播等破壞網(wǎng)絡(luò)正常運(yùn)行行為。并且在開(kāi)啟了CCL功能之后，對(duì)NAT性能沒(méi)有影響。
　　3. NetHammerG系列路由器獨(dú)有的SmartLink特性：
　　SmartLink特性融合了策略路由功能、基于應(yīng)用的NAT功能和鏈路均衡策略，綜合考慮與請(qǐng)求內(nèi)容的網(wǎng)絡(luò)就近性、鏈路的實(shí)時(shí)負(fù)載與鏈路的成本，使用戶充分享到經(jīng)過(guò)優(yōu)化的服務(wù)和極快的響應(yīng)時(shí)間。
　　SmartLink特性還可降低用戶網(wǎng)絡(luò)運(yùn)營(yíng)成本和傳統(tǒng)多鏈路網(wǎng)絡(luò)解決方案的復(fù)雜性。配置與多ISP的冗余Internet連接一般需要使用復(fù)雜的路由協(xié)議(如多個(gè)ISP屬于同一AS，則采用MOSPF即可。如各ISP屬于不同AS，則需申請(qǐng)AS號(hào)，并采用BGP-4)和聘請(qǐng)高級(jí)技術(shù)人員來(lái)維護(hù)網(wǎng)絡(luò)。SmartLink通過(guò)簡(jiǎn)單的用戶配置就可以利用優(yōu)化的鏈路提供透明的流量重定向。從而使路由變得簡(jiǎn)單而高效，避免了在不同ISP之間進(jìn)行復(fù)雜的協(xié)調(diào)。
　　另外，G系列路由器使用港灣Application NAT (基于應(yīng)用的網(wǎng)絡(luò)地址翻譯)技術(shù)以保證在網(wǎng)絡(luò)之間進(jìn)行的不中斷的分組傳遞。
　　4. 強(qiáng)大NAT日志功能
　　傳統(tǒng)網(wǎng)關(guān)用CPU收集分類日志信息，流量很大的時(shí)候嚴(yán)重影響性能，一般需要另外購(gòu)買昂貴的日志服務(wù)器系統(tǒng)，使建設(shè)成本成倍增加。
　　NetHammerG系列路由器屏棄了傳統(tǒng)日志處理方法，采用全新技術(shù)，在NP上直接處理二進(jìn)制日志信息，并提供服務(wù)器端軟件，即使大流量下日志處理也不影響系統(tǒng)性能。服務(wù)器端軟件支持高速存儲(chǔ)、日志查詢、輔助分析等功能，可以提供每個(gè)月全天24小時(shí)完全日志記錄和存儲(chǔ)。月處理日志數(shù)據(jù)量可達(dá)上百G，對(duì)全網(wǎng)所有流量了如指掌。
　　5. 支持IPv6擴(kuò)展能力
　　我們對(duì)Internet由IPv4向IPv6的過(guò)渡做了分析，利用業(yè)界最先進(jìn)的技術(shù)，綜合考慮保護(hù)用戶投資和平滑融入IPv6網(wǎng)絡(luò)，提出了自己的解決方案。
　　解決過(guò)渡問(wèn)題的基本技術(shù)主要有三種：雙協(xié)議棧、隧道技術(shù)和NAT-PT。
　　隧道技術(shù)的實(shí)現(xiàn)比較復(fù)雜，所以可靠性要差一些，而且頭部封裝還造成傳輸效率的降低，我們提出的方案基于NAT-PT，有成熟的技術(shù)支持，并且不影響效率。
　　NAT在IPv4環(huán)境下已經(jīng)得到了廣泛的應(yīng)用， NAT-PT就是在做IPv4/IPv6地址轉(zhuǎn)換(NAT)的同時(shí)在IPv4分組和IPv6分組之間進(jìn)行報(bào)頭和語(yǔ)義的翻譯(PT)。對(duì)于一些內(nèi)嵌地址信息的高層協(xié)議（如FTP），NAT-PT需要和ALG（應(yīng)用層網(wǎng)關(guān)）協(xié)作來(lái)完成翻譯。在NAT-PT的基礎(chǔ)上利用端口信息，就可以實(shí)現(xiàn)NAPT-PT，這點(diǎn)同目前IPv4下的NAPT沒(méi)有本質(zhì)區(qū)別。
NetHammer G系列路由器基于NP，可以通過(guò)升級(jí)NP微代碼支持IPv4/IPv6雙協(xié)議棧；同時(shí)只需要對(duì)NAT部分的微代碼進(jìn)行修改升級(jí)即可支持NAT-PT，所以用戶可以在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上無(wú)須另行投資即可平滑過(guò)渡到支持IPv6網(wǎng)絡(luò)。
　　典型案例
　　人民大學(xué)校園網(wǎng)原使用某國(guó)外廠商設(shè)備作為出口網(wǎng)關(guān)，后因擴(kuò)容和接入信息點(diǎn)增多導(dǎo)致性能不能滿足需求，于是采用NetHammer G系列路由器來(lái)承載流量最大的公眾網(wǎng)出口，配置了復(fù)雜的防病毒及策略路由訪問(wèn)控制列表，大大提高了學(xué)校網(wǎng)絡(luò)出口速度，獲得了用戶好評(píng)。

　　結(jié)束語(yǔ)
　　“挑戰(zhàn)校園網(wǎng)網(wǎng)關(guān)”，NetHammer G系列路由器立足于卓越性能和先進(jìn)技術(shù)，向校園網(wǎng)網(wǎng)關(guān)的種種需求提出挑戰(zhàn)，徹底解決各種問(wèn)題，并從發(fā)展的角度考慮，對(duì)未來(lái)網(wǎng)絡(luò)的需求保留豐富的可擴(kuò)展性，使校園網(wǎng)不再有瓶頸、溝通變的更加高效。

上一篇：基于硬件的協(xié)同轉(zhuǎn)發(fā)結(jié)構(gòu)構(gòu)建大容量核心路由器平臺(tái)

下一篇：ZXB10寬帶多業(yè)務(wù)路由交換系統(tǒng)應(yīng)用實(shí)例