中科曙光Sugon

首页 >解决方案>解决方案概览>安全和流计算解决方案

串行监管解决方案

导言

骨干网流量监控系统主要是针对省级网络运营商规模的网络进行监控,流量一般都在100G以上。监控系统部署方式根据位置不同有:旁路监听和串行监控。旁路监听,利用分光器或者其他流复制设备在不影响骨干网流量的情况下,将骨干网流量复制一份到旁路监听设备,旁路监听设备对复制的流量进行分析和处理,由于旁路监听的特点,监听的流量都非实时流量,仅仅是对复制过来的流量进行分析和处理,而对骨干网实时流量无任何约束和处理动作。这就带来一个问题,怎么能够直接、及时和有效地对骨干网流量进行实时的管控。

串行网络监控管理系统能够实现流量管理的直接性、及时性和有效性;系统架构与传统的防火墙(Firewall) 类似,监控设备串行在骨干网上,主动对网络流量进行处理和转发,解决了旁路监听的非实时性,骨干网流量在流入串行设备到流出串行设备到骨干网中,串行设备已经对流量进行清洗、过滤和阻截等在线动作;重定向在线流量到后端分析系统,支持后端分析系统“离线流量”注入到骨干网。同时由于设备是串行到骨干网中,而骨干网流量不允许有任何的丢包,设备必须做到绝对安全,能够在设备出现故障时迅速切换保证网络流量的连续性。

方案架构

曙光骨干网流量串行管理方案主要分为三个部分:骨干网链路保护机构,保证骨干网流量的连续性和正确性;串行流量分析设备,实现对流量的处理和分析;后端分析系统,在线流量(重定向)分析和“离线”流量注入。

系统架构如下

方案特色

串行流量分析系统Flowfirm - X

串行流量分析设备Flowfirm - X分为2个部分:骨干网流量保护机构;串行流量分析设备。

骨干网流量光保护机构

光保护机构为无源设备,和串行分流设备一起集成,以后插板形式提供给用户,可以为设备提供光保护功能,满足回流重定向应用的需要。

光保护原理为:光保护处在流量进入串行设备之前,根据串行设备的状态有不同通路。

1)当串行设备正常工作,链路无异常,Rx接口开关处于串行设备接入状态,骨干网光路经过光保护Tx口接入,流量分光为两份,其中一份进入串行设备处理,处理后的流量进过光保护Rx回到骨干网中。如下图:

2)当出现串行设备不能正常工作,或者链路异常,Rx接口开关瞬间自动切换到光路直通状态,骨干网光路经过光保护Tx接入,流量分光为两份,其中一份通过光路直通从Tx直接回到骨干网中。这时对串行设备任何操作,不会影响到骨干网中的流量。如下图:

光保护机构有以下特性:

1)保护骨干网流量连续性

当串行分析设备失效时,能够在第一时间对链路进行保护,降低对骨干网链路的影响,保证流量的持续性。

2)设备升级更换对骨干网流量无影响

在线设备需要升级或者更换时,必须保证对在线流量有任何影响。在设备操作之前,将网络流量切换为光保护模式,设备升级或者更换完成后,重新切换光保护模式。整个过程,光保护机构保证骨干网流量无影响。

3)光保护切换时间短、影响小

光保护提供多种保护切换方式:断电保护,故障保护,手动切换,远程切换等。切换延迟大约在35μs以类。

下图为光保护机构,能够对1条光链路进行接入保护

 

图 光保护机构

串行流量分析设备Flowfirm – X

骨干网中采用串行设备进行流量控制和清洗,是最直接、最有效、最及时的方式。但同时对设备的性能、可靠性等方面有很高要求。

Flowfirm - X设备处理平台是针对目前互联网海量数据接入处理应用需求而量身定制的高可靠、高可用、高性能、高管理、高扩展新一代万兆ATCA平台,适用于电信级业务应用等。

该平台符合ATCA规范,兼容性强;采用高度集成设计,功能覆盖全面;系统采用双星型冗余架构,关键部件都进行冗余设计,可靠性极高;系统散热性好,功耗低;可灵活配置各种处理器如x86、DSP、PowerPC及NP等刀片;极大地的降低IT运营及维护成本。

图 Flowfirm – X

流量分析设备Flowfirm - X具有以下功能:

1)流量接入:支持各种接口子卡,支持OC3,OC12,OC48,OC192,GE,XE的单模,多模光纤链路,可接入40G POS、10G POS、10GE、2.5G POS、622M POS、155M POS、GE/FE多种流量,可支持混合接入、高密度接入,单板接入密度达到1路40G 或4路10G或16路2.5G。支持单纤的收和发。

2)交换协议支持:主要针对POS接口,支持基于SDH/SONET的以太,PPP和CHDLC封装的报文;支持MPLS封装,VLAN封装的IPV4/IPV6格式报文,并可剥离;通过解析HDLC、PPP、MPLS等封装,提取IP数据包,再进行后续处理。兼容各种底层封装参数。

3)数据包匹配分类:同时支持IPv4和IPv6流量,支持MPLS的标签匹配,支持4元组、TCP Flag、包长度、用户自定义的应用层内容匹配(DPI)。所有匹配均支持掩码或范围方式。支持规则之间的互联。

4)ACL:快速大容量ACL规则匹配查找,采用TCAM高速存储芯片提供快速的规则匹配,采用大容量的外部DDR SDRAM,提供百万级的规则;同时支持IPv4和IPv6规则;支持灵活五元组(源地址、目的地址、源端口、目的端口、协议)过滤和带掩码的五元组规则;支持白名单功能和黑名单功能;支持带DPI功能的扩展ACL;支持ACL动态加载,动态删除,老化,时间可配,老化延时秒级等。支持用户定义的六种灵活五元组规则200万条(IPV4),100万条(IPV6);支持掩码规则60万(IPV4),20万(IPV6);支持不同规则种类间的32种优先级;支持标准ACL和扩展ACL之间的绑定;

5)网络透明性:分析设备Flowfirm - X串行于骨干网络,对于两端路由设备来说,不会感知到分析设备的存在,相当于透明。

6)流量重定向:根据ACL,对“关心流量”进行重定向输入到后端分析系统;支持负载均衡模式和冷备模式;负载均衡模式下支持32个分组,每组支持256个后端服务器地址;采用ARP协议,动态检测后端服务器的工作状态,以动态调整均衡组,动态探测精度在100ms以内;保持同源同宿功能;不同的重定向组可以定义不同的优先级和老化时间;负载均衡算法支持按SIP,DIP,SIP+DIP进行Hash,后插板端口支持20个GE。

7)流量“注入”:后端分析系统的“离线流量”能够通过分析设备注入到骨干网中,实现相应的流控功效。

8)网管功能:支持SNMP、Telnet和ssh等网管功能。


后端分析系统

后端分析系统运行业务系统,一方面对来自实时“关心”重定向流量进行分析;另外一方面,需要生产“离线流量”并实现对在线网络进行注入。

后端分析系统推荐采用曙光高性能网络处理一体机,曙光高性能网络处理一体机可以将骨干网监控方案中的流量处理探针和二级处理平台集成为一台一体机,单台一体机提供10片双路多核处理机的计算能力,配置6片Netfirm,可以支持24根GE,或者6根10GE流量的监控。配置4片videospeed协处理卡,可以进行这些流量的二级处理。也可以全部配置Netfirm进行10GE流量的处理,最多提供单台一体机100G流量的处理能力,具有极高的性价比。

图 高性能网络处理一体机



close

尊敬的客户您好:
由于本公司(曙光信息产业股份有限公司)日常研发出来的新产品、新部件数量较多,如果由于未能对官网的产品信息及时更新,而给广大用户带来不便,敬请谅解。如果您有购买需求,请联系本公司400-810-0466进行电话咨询或联系本公司销售人员进行询问。