电脑技术学习

挑战网关极限——港湾NetHammerG系列路由器

dn001
要害词:

1、NAT:Network Address Translation,网络地址转换
2、NAPT:Network Address Port Translation,地址及端口转换
3、ALG:Application Level Gateway,应用网关
4、BAS:Broadband Access Server,宽带接入服务器
5、NP:Network Processor,网络处理器
6、TCAM:Ternary Content Addressable Memory,三态CAM
7、PPS:Packet Per Second,吞吐率单位,每秒处理报文数目
8、BPS:Bit Per Second,带宽单位,比特每秒
9、CCL:Commit connection limited,承诺连接数限制
10、NAT-PT:NAT – protocol Translation网络地址转换器—协议的转换器

  在目前大规模的校园网建设中,如何经济地解决校园网出口的瓶颈,使巨大的网络流量不再受出口限制,是用户比较关注的一个问题。港湾网络有限公司的NetHammerG系列路由器综合考虑用户目前实际需求和将来的发展,彻底消除网络瓶颈,并提供强大的防病毒能力和丰富的策略支持,从而为用户营造安全、高效、经济的校园网络提供了可靠的保障。
  校园网网关应用现状
  由于网络、数据库等相关应用技术的发展,Internet和Intranet在全社会得到了广泛的应用,教育、高校作为中国信息化建设最前沿行业,其网络建设受到前所未有的关注。学校的对外学术合作、国家级学术研究项目沟通、国际校校合作、远程教育、资源共享等等,这些对高校越来越重要的应用几乎都是建立在校际的网络互连基础上。校园网作为CERNET(中国教育科研计算机网)引入最终用户的触手,将成为教育网建设的重中之重,也是提升学校竞争力的重要因素之一。种种理由证实校园网出口的位置正变的前所未有的重要和要害。
  由于IPv4地址短缺,校园网内部用户一般都使用私网IP地址,这就需要校园网出口位置的设备必须支持NAT功能。
  现在大多数校园网都存在出口带宽不足的问题,许多学校计划增加出口链路和升级出口带宽,也有部分学校已经对校园网出口带宽完成了升级,但因为网关设备性能不足,实际上出口带宽的紧张情况并没有缓解,反而在日益猖獗的病毒攻击和流量增加的情况下网关设备的可靠性和可用性甚至不比以前。
  校园网因为其非凡性,在许多方面的需求非常苛刻,对网关设备提出很高的挑战。集中表现在以下方面:
  1. 流量大,而且大流量的持续时间长
  相对于其他上网人群,大学生的上网时间比较多,而且业务主要以视频点播、软件下载为主,流量大而且持续时间长。现在许多大学的出口链路为1个以上百兆或155M链路,有的甚至使用千兆出口,这对出口网关的性能要求很高。
  2. 病毒种类繁多,由此引起的攻击非常频繁
  学校网络如同一个实验场,学生对自己机器的防范不怎么重视,所以病毒很难得到有效控制。学生使用的软件大都是网上下载,病毒的源头很难根除。这些病毒绝大多数都是网络病毒,以端口扫描、群发mail为主要特征,造成网络流量风暴、网关每秒新建session数狂增,假如没有采取有效措施防范突发流量,即使性能很高的NAT网关也可能忽然宕机。另外,校园里有一定数量的恶意攻击者,也是网络的潜在威胁。
  3. 有许多基于资源利用和节约成本的复杂策略需要配置
  校园网有许多业务必须从教育网才能访问,而且用教育网访问国内站点价格很低廉;而从公众网访问非教育网节点和国外网站速度快,价格便宜。为了有效利用资源节约成本,出口网关处需要配置复杂的策略路由,也就是需要配置很多条访问控制列表(ACL)。许多大型校园网出口网关上需要配置的ACL数目超过了1000条。假如没有强大的ACL协处理能力,网关设备在ACL数量不到百条就会严重影响性能甚至不可用。
  4. 应国家安全机构的要求,学校往往需要提供强大的全天候日志数据
  网络病毒日益猖獗,网络犯罪也是五花八门、层出不穷。为了能有效防范并严厉打击网络犯罪,公安机关要求网络建设者必须能够提供详尽完整的日志信息以便侦破网络犯罪案件时供查。在具有成千甚至上万信息点的校园网里做全天候日志备份,每月的数据量高达数十个G,又不能影响正常业务的性能,这对网关设备的要求相当高,必须是硬件处理才可以满足。
  5. 校园网要害网络设备必须有IPv6的支持和扩展能力
  高校及教育网是我国IPv6实验网的主力军和先行者,虽然现在IPv6只开始建骨干网,但考虑到1、2年内大多数高校就需要连入到IPv6网,假如现在采购的设备不能支持IPv6扩展势必造成投资的极大浪费。
  总的来讲,目前市场上绝大多数定位于校园网网关的设备,其实无法胜任校园网出口的位置,因为这些产品的并不是针对校园网的特点设计的。港湾网络有限公司充分熟悉到校园网市场对国内数据通信市场的重要性,在进行了详尽的需求分析和理论研究之后,推出了针对校园网网关市场的产品NetHammerG系列路由器网关版,真正解决校园网出口的难题。
  解决方案
  NetHammer G系列路由器采用先进的汇聚型交换网+NP+TCAM集中式处理的体系结构,并为专门针对NAT网关应用量身定制软件版本和系统流程,消除瓶颈,并提供强化治理功能。NetHammer G系列路由器网关版本的特点主要体现在以下方面:
  1. 彻底消除作NAT网关时的各种瓶颈:
  Nethammer G908路由器包转发性能高达6Mpps,做NAT网关时性能出色,全面超越国内外厂商同类产品。
  会话保持能力:NetHammerG系列路由器系统内存为512M,可支持1000000会话数。
  NAT吞吐率:NetHammerG系列路由器用NP完成所有NAT特性以及NAT相关特性,包括session建立与删除、业务识别、地址及端口号替换、调整校验和等, NAT启动时系统包转发性能影响不大。
  强大的ACL支持能力:NetHammerG系列路由器使用TCAM技术处理ACL。TCAM芯片提供高达9M的容量,可存储数万条ACL条目,TCAM技术保证所有内容查找一次命中,使得复杂业务支持不再成为瓶颈。
  会话建立能力:现在也有一些厂商采用NP来做NAT,但会话的建立删除等操作却必须由CPU来完成,当病毒引起的大量扫描报文经过NAT网关时将导致CPU利用率过高,正常业务的延迟增大,甚至有可能使CPU利用率到100%,系统宕机。NetHammerG系列路由器打破NP的被动工作方式,由NP独立完成会话建立和删除,不需要CPU干预。NetHammerG每秒可建立并删除2万会话,同时不影响NAT吞吐率。
  2. 强大的会话治理及防病毒功能:
  NetHammerG系列路由器采用业务与控制分离的设计架构,支持逐用户的会话治理和实时监控阻止非法会话占用处理能力、内存资源和出口带宽,实时察看任意用户的业务、会话数量、通信量等,基于行为判定,可以防止已知病毒的攻击,还可以对所有未知的病毒进行有效防范,保障网络安全。
  智能的自我保护,所有复杂业务由NP处理,CPU通过流控向NP反馈负载程度,负载过高时NP智能丢弃需要CPU处理的低优先级报文,始终保证主要业务不受影响。
  独有的CCL(承诺连接数限制)技术,支持基于用户IP的会话连接数量的控制,可配置将会话数量限制在5-10240之间,在一定程度上限制了网络中的非法代理、黑户网吧、病毒大量传播等破坏网络正常运行行为。并且在开启了CCL功能之后,对NAT性能没有影响。
  3. NetHammerG系列路由器独有的SmartLink特性:
  SmartLink特性融合了策略路由功能、基于应用的NAT功能和链路均衡策略,综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本,使用户充分享到经过优化的服务和极快的响应时间。
  SmartLink特性还可降低用户网络运营成本和传统多链路网络解决方案的复杂性。配置与多ISP的冗余Internet连接一般需要使用复杂的路由协议(如多个ISP属于同一AS,则采用MOSPF即可。如各ISP属于不同AS,则需申请AS号,并采用BGP-4)和聘请高级技术人员来维护网络。SmartLink通过简单的用户配置就可以利用优化的链路提供透明的流量重定向。从而使路由变得简单而高效,避免了在不同ISP之间进行复杂的协调。
  另外,G系列路由器使用港湾Application NAT (基于应用的网络地址翻译)技术以保证在网络之间进行的不中断的分组传递。
  4. 强大NAT日志功能
  传统网关用CPU收集分类日志信息,流量很大的时候严重影响性能,一般需要另外购买昂贵的日志服务器系统,使建设成本成倍增加。
  NetHammerG系列路由器屏弃了传统日志处理方法,采用全新技术,在NP上直接处理二进制日志信息,并提供服务器端软件,即使大流量下日志处理也不影响系统性能。服务器端软件支持高速存储、日志查询、辅助分析等功能,可以提供每个月全天24小时完全日志记录和存储。月处理日志数据量可达上百G,对全网所有流量了如指掌。
  5. 支持IPv6扩展能力
  我们对Internet由IPv4向IPv6的过渡做了分析,利用业界最先进的技术,综合考虑保护用户投资和平滑融入IPv6网络,提出了自己的解决方案。
  解决过渡问题的基本技术主要有三种:双协议栈、隧道技术和NAT-PT。
  隧道技术的实现比较复杂,所以可靠性要差一些,而且头部封装还造成传输效率的降低,我们提出的方案基于NAT-PT,有成熟的技术支持,并且不影响效率。
  NAT在IPv4环境下已经得到了广泛的应用, NAT-PT就是在做IPv4/IPv6地址转换(NAT)的同时在IPv4分组和IPv6分组之间进行报头和语义的翻译(PT)。对于一些内嵌地址信息的高层协议(如FTP),NAT-PT需要和ALG(应用层网关)协作来完成翻译。在NAT-PT的基础上利用端口信息,就可以实现NAPT-PT,这点同目前IPv4下的NAPT没有本质区别。
NetHammer G系列路由器基于NP,可以通过升级NP微代码支持IPv4/IPv6双协议栈;同时只需要对NAT部分的微代码进行修改升级即可支持NAT-PT,所以用户可以在现有网络的基础上无须另行投资即可平滑过渡到支持IPv6网络。
  典型案例
  人民大学校园网原使用某国外厂商设备作为出口网关,后因扩容和接入信息点增多导致性能不能满足需求,于是采用NetHammer G系列路由器来承载流量最大的公众网出口,配置了复杂的防病毒及策略路由访问控制列表,大大提高了学校网络出口速度,获得了用户好评。



  结束语
  “挑战校园网网关”,NetHammer G系列路由器立足于卓越性能和先进技术,向校园网网关的种种需求提出挑战,彻底解决各种问题,并从发展的角度考虑,对未来网络的需求保留丰富的可扩展性,使校园网不再有瓶颈、沟通变的更加高效。