中科曙光Sugon

        首頁 >解決方案>解決方案概覽>安全和流計算解決方案

        串行監管解決方案

        導言

        骨干網流量監控系統主要是針對省級網絡運營商規模的網絡進行監控,流量一般都在100G以上。監控系統部署方式根據位置不同有:旁路監聽和串行監控。旁路監聽,利用分光器或者其他流復制設備在不影響骨干網流量的情況下,將骨干網流量復制一份到旁路監聽設備,旁路監聽設備對復制的流量進行分析和處理,由于旁路監聽的特點,監聽的流量都非實時流量,僅僅是對復制過來的流量進行分析和處理,而對骨干網實時流量無任何約束和處理動作。這就帶來一個問題,怎么能夠直接、及時和有效地對骨干網流量進行實時的管控。

        串行網絡監控管理系統能夠實現流量管理的直接性、及時性和有效性;系統架構與傳統的防火墻(Firewall) 類似,監控設備串行在骨干網上,主動對網絡流量進行處理和轉發,解決了旁路監聽的非實時性,骨干網流量在流入串行設備到流出串行設備到骨干網中,串行設備已經對流量進行清洗、過濾和阻截等在線動作;重定向在線流量到后端分析系統,支持后端分析系統“離線流量”注入到骨干網。同時由于設備是串行到骨干網中,而骨干網流量不允許有任何的丟包,設備必須做到絕對安全,能夠在設備出現故障時迅速切換保證網絡流量的連續性。

        方案架構

        曙光骨干網流量串行管理方案主要分為三個部分:骨干網鏈路保護機構,保證骨干網流量的連續性和正確性;串行流量分析設備,實現對流量的處理和分析;后端分析系統,在線流量(重定向)分析和“離線”流量注入。

        系統架構如下

        方案特色

        串行流量分析系統Flowfirm - X

        串行流量分析設備Flowfirm - X分為2個部分:骨干網流量保護機構;串行流量分析設備。

        骨干網流量光保護機構

        光保護機構為無源設備,和串行分流設備一起集成,以后插板形式提供給用戶,可以為設備提供光保護功能,滿足回流重定向應用的需要。

        光保護原理為:光保護處在流量進入串行設備之前,根據串行設備的狀態有不同通路。

        1)當串行設備正常工作,鏈路無異常,Rx接口開關處于串行設備接入狀態,骨干網光路經過光保護Tx口接入,流量分光為兩份,其中一份進入串行設備處理,處理后的流量進過光保護Rx回到骨干網中。如下圖:

        2)當出現串行設備不能正常工作,或者鏈路異常,Rx接口開關瞬間自動切換到光路直通狀態,骨干網光路經過光保護Tx接入,流量分光為兩份,其中一份通過光路直通從Tx直接回到骨干網中。這時對串行設備任何操作,不會影響到骨干網中的流量。如下圖:

        光保護機構有以下特性:

        1)保護骨干網流量連續性

        當串行分析設備失效時,能夠在第一時間對鏈路進行保護,降低對骨干網鏈路的影響,保證流量的持續性。

        2)設備升級更換對骨干網流量無影響

        在線設備需要升級或者更換時,必須保證對在線流量有任何影響。在設備操作之前,將網絡流量切換為光保護模式,設備升級或者更換完成后,重新切換光保護模式。整個過程,光保護機構保證骨干網流量無影響。

        3)光保護切換時間短、影響小

        光保護提供多種保護切換方式:斷電保護,故障保護,手動切換,遠程切換等。切換延遲大約在35μs以類。

        下圖為光保護機構,能夠對1條光鏈路進行接入保護

         

        圖 光保護機構

        串行流量分析設備Flowfirm – X

        骨干網中采用串行設備進行流量控制和清洗,是最直接、最有效、最及時的方式。但同時對設備的性能、可靠性等方面有很高要求。

        Flowfirm - X設備處理平臺是針對目前互聯網海量數據接入處理應用需求而量身定制的高可靠、高可用、高性能、高管理、高擴展新一代萬兆ATCA平臺,適用于電信級業務應用等。

        該平臺符合ATCA規范,兼容性強;采用高度集成設計,功能覆蓋全面;系統采用雙星型冗余架構,關鍵部件都進行冗余設計,可靠性極高;系統散熱性好,功耗低;可靈活配置各種處理器如x86、DSP、PowerPC及NP等刀片;極大地的降低IT運營及維護成本。

        圖 Flowfirm – X

        流量分析設備Flowfirm - X具有以下功能:

        1)流量接入:支持各種接口子卡,支持OC3,OC12,OC48,OC192,GE,XE的單模,多模光纖鏈路,可接入40G POS、10G POS、10GE、2.5G POS、622M POS、155M POS、GE/FE多種流量,可支持混合接入、高密度接入,單板接入密度達到1路40G 或4路10G或16路2.5G。支持單纖的收和發。

        2)交換協議支持:主要針對POS接口,支持基于SDH/SONET的以太,PPP和CHDLC封裝的報文;支持MPLS封裝,VLAN封裝的IPV4/IPV6格式報文,并可剝離;通過解析HDLC、PPP、MPLS等封裝,提取IP數據包,再進行后續處理。兼容各種底層封裝參數。

        3)數據包匹配分類:同時支持IPv4和IPv6流量,支持MPLS的標簽匹配,支持4元組、TCP Flag、包長度、用戶自定義的應用層內容匹配(DPI)。所有匹配均支持掩碼或范圍方式。支持規則之間的互聯。

        4)ACL:快速大容量ACL規則匹配查找,采用TCAM高速存儲芯片提供快速的規則匹配,采用大容量的外部DDR SDRAM,提供百萬級的規則;同時支持IPv4和IPv6規則;支持靈活五元組(源地址、目的地址、源端口、目的端口、協議)過濾和帶掩碼的五元組規則;支持白名單功能和黑名單功能;支持帶DPI功能的擴展ACL;支持ACL動態加載,動態刪除,老化,時間可配,老化延時秒級等。支持用戶定義的六種靈活五元組規則200萬條(IPV4),100萬條(IPV6);支持掩碼規則60萬(IPV4),20萬(IPV6);支持不同規則種類間的32種優先級;支持標準ACL和擴展ACL之間的綁定;

        5)網絡透明性:分析設備Flowfirm - X串行于骨干網絡,對于兩端路由設備來說,不會感知到分析設備的存在,相當于透明。

        6)流量重定向:根據ACL,對“關心流量”進行重定向輸入到后端分析系統;支持負載均衡模式和冷備模式;負載均衡模式下支持32個分組,每組支持256個后端服務器地址;采用ARP協議,動態檢測后端服務器的工作狀態,以動態調整均衡組,動態探測精度在100ms以內;保持同源同宿功能;不同的重定向組可以定義不同的優先級和老化時間;負載均衡算法支持按SIP,DIP,SIP+DIP進行Hash,后插板端口支持20個GE。

        7)流量“注入”:后端分析系統的“離線流量”能夠通過分析設備注入到骨干網中,實現相應的流控功效。

        8)網管功能:支持SNMP、Telnet和ssh等網管功能。


        后端分析系統

        后端分析系統運行業務系統,一方面對來自實時“關心”重定向流量進行分析;另外一方面,需要生產“離線流量”并實現對在線網絡進行注入。

        后端分析系統推薦采用曙光高性能網絡處理一體機,曙光高性能網絡處理一體機可以將骨干網監控方案中的流量處理探針和二級處理平臺集成為一臺一體機,單臺一體機提供10片雙路多核處理機的計算能力,配置6片Netfirm,可以支持24根GE,或者6根10GE流量的監控。配置4片videospeed協處理卡,可以進行這些流量的二級處理。也可以全部配置Netfirm進行10GE流量的處理,最多提供單臺一體機100G流量的處理能力,具有極高的性價比。

        圖 高性能網絡處理一體機



        close

        尊敬的客戶您好:
        由于本公司(曙光信息產業股份有限公司)日常研發出來的新產品、新部件數量較多,如果由于未能對官網的產品信息及時更新,而給廣大用戶帶來不便,敬請諒解。如果您有購買需求,請聯系本公司400-810-0466進行電話咨詢或聯系本公司銷售人員進行詢問。

        手机在线看片1024免费