2022年2022年链路负载均衡方面的描述 .pdf

《2022年2022年链路负载均衡方面的描述 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年链路负载均衡方面的描述 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1.1 宽带接入安全技术措施1.1.1多出口链路负载均衡山石安全网关取代原NAT 设备以后， 单台的网关设备将同时连接多条链路，山石安全网关通过ECMP（等价路由） 技术， 将自动平衡多条链路的负载；或者通过加权路由技术，根据链路的质量，以及访问数据包的优先级，在多条链路上进行负载分担，从而实现更智能的路由选择。实现多出口链路负载均衡措施后，能够有效解决单条链路故障而造成的部分用户无法上网问题，当单条链路出现故障，山石安全网关可实现自动切换，将原本通过该链路访问互联网的数据包，自动切换到其他可用的链路上，从而提升了宽带接入业务的持续性。1.1.2端口复用提升NAT 能力山石安全网关支持的端口复

2、用技术，将大大提升NAT 的能力。在 P2P 泛滥的今天， 经常可以看到某个内网用户连接互联网的会话数高达上万条，而根据 NAT功能的原理，每个公网IP 只能最多映射出64512个端口。按此推理，内网有6 个会话数达到一万的用户就会占用1 个公网 IP 的所有资源， 导致其他用户无法正常上网。传统的解决方式是扩充更多的公网 IP 来解决问题，而现实中即使地址充裕的运营商和政府也经常出现NAT 资源耗尽问题。山石网科专利技术“端口复用”通过优化NAT 功能可使之前每个公网地址64512个端口映射扩充到882432 ，容量达到之前的十几倍。由此可充分满足用户在公网地址并不宽裕的情况下容纳更多用户不

3、受限制的访问互联网。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案2 / 91.1.3会话限制防范中毒电脑的大并发访问山石安全网关能够针对单个IP 地址配置并发会话限制数量，这样当某一台电脑因感染病毒而大量发送数据包时，网关对超过阀值的会话都将丢弃处理，从而防范中毒电脑发送大量的访问请求，而拥塞了NAT 的资源，影响其他人员正常使用互联网资源。1.1.4更灵活的策略路由保障关键应用使用优质链

4、路山石安全网关可根据源、目标地址配置策略路由，也可以在此基础上对应用配置策略路由，采用该技术措施，对于广电宽带接入业务，可以将重要客户的重要应用，路由到优质链路上转发，从而提升重要客户的满意度，保障重要应用的连续性。1.1.5基于应用的路由实现P2P 引流对于 P2P，由于其采取了动态端口协议技术，因此仅仅在网络层配置路由，是无法实现将此类应用引流到低质量链路上。山石网科支持的深度应用识别，在传统通过协议和端口来分辨应用的基础上，通过应用层的数据特征，对应用进行了进一步的分析，从而能够有效识别出P2P、网游、 IM 、网上视频等应用，对于广电宽带运营商，通过该技术可以将P2P 的相关业务数据包

5、引流到低质量链路上，从而减少对高质量链路的占用。采用该技术后，可以大大节约高质量链路带宽资源，从而减少广电宽带运营商的链路成本；另外节约出来的高质量链路带宽也有助于广电开发新的优质客户，增加广电宽带运营商的收入。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案3 / 91.1.6基于时间的路由解决错峰访问问题在引入安全网关后，可将小区使用的链路和集团用户使用的链路合并为一条，或者在多条上负载均

6、衡，在此基础上利用山石安全网关支持的基于时间的路由策略，使得上班时间将链路更多地分配给集团用户，保障集团用户的访问；下班时间通过路由切换，将链路更多地分配给小区用户，保障小区接入用户的访问，这样可以大大提升互联网链路的全天候利用率，解决错峰访问的问题。提升链路利用率后，也将会大大节约链路资源，降低广电宽带运营商的成本。1.1.7高可靠和高可扩保障业务连续山石安全网关具有良好的可扩展性，通过全并行全冗余架构，提供了极佳的高可靠和高可扩展能力。这种全并行全冗余体现在：设备间冗余： 山石安全网关支持多种HA 模式， 包括 AS 模式和 AA 模式， 接入在广电宽带接入网络转发层，可以确保一旦单台设备

7、故障，通过另一台设备仍然可以持续运行，保障了业务的连续性；设备自身冗余：对于边界隔离设备，自身的冗余主要指业务处理的冗余能力；山石安全网关的多核技术，设备运行中如果因某个业务处理核发生故障，调度系统会将该处理核的负载均摊到其他核中， 保障数据可以持续被处理；在此技术上山石高端平台安全网关还支持多个业务板卡，并且提供板卡间的冗余，如果某个板卡出现故障，可自动将相关的负载均摊到其他业务板卡，保障访问的连续性；山石高端平台安全网关还支持主控板冗余，一旦主控系统出现故障，备份主控板进入工作，保障设备的连续工作能力；设备业务能力扩展：山石安全网关支持业务板卡的扩展，在扩展业务板卡后，设备的总处理能名师资

8、料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案4 / 9力可以得到提升，对于广电宽带运营商，初期可以按照当前业务负载较少配置业务板卡，随后随着业务的增长，在一定的负载范围内，仅需要扩展业务板卡，便能够保障安全网关的处理能力达到新的负载要求，无需做整体淘汰，从而大大保护了前期的投资；业务接口扩展：山石安全网关也支持接口的扩展，这样当广电宽带运营商增加接入用户，导致上、下行链路增加时，设备通过扩展接口

9、来支撑更多的访问链路；设备性能扩展：山石安全网关还支持性能的扩展，支持最大并发数的扩展，当广电宽带接入用户增加时，可以通过最大并发连接能力的升级来支撑更多的用户访问，保护广电宽带运营商投资。1.1.8提供可追溯的日志以应对监察对于 NAT 设备日志追查难的问题，在采用了山石网科安全网关后，将得到很大的改善。首先山石网科安全网关数量较少，因此其日志信息相对集中，大大方便对记录进行查询；山石安全网关的NAT 日志，除了记录访问源地址的转换关系，还记录了当时发起的应用发起访问的时间等，这样在提供相关日志的时候，可提供更加精确的定位方式。2 山石网科安全网关技术优势对于广电宽带运营商，选择山石网科安全

10、网关，除了能够解决其常见的安全问题，保障宽带运营商稳定可靠的运行环境，其特有安全技术优势也往往成为类似项目用户选择山石网科的原因，具体包括：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案5 / 92.1 高性能的安全网关山石网科全线产品采用了创新的新一代网络安全架构，硬件平台采用64 位高性能的多核处理器Multi-Core CPU（多达 16 核） ，内部传输采用高达960Gbps高速交换

11、总线，其网络安全的处理能力达到了一个新的起点。以山石SG-6000-X6150为例，其最大吞吐量可达到100Gbps ，最大并发会话数可以达到5000 万个， 新建并发也可达到100 万 /秒，完全可以满足新疆移动当前和未来扩展的需求， 同时由于新一代64 位多核处理器Multi-Core CPU集成了 IPSec VPN 、SSL VPN 、TCP、QoS 、压缩 /解压缩以及其他安全功能的芯片级硬件加速功能，使得山石网科产品具有强大高效的应用层安全处理能力。采用创新的新一代网络安全架构的山石网科产品提供了更高、更可靠、更稳定和更安全的综合处理能力，开创了新一代网络安全的新纪元。2.2强健的

12、专用实时操作系统山石网科全线产品采用专用多线程实时64 位并行操作系统，多线程的并行处理能力和模块化的结构易于集成和扩展安全功能，专用的安全加固的64 位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固，极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制，为山石网科新一代的网络安全系统提供了极大的可扩展能力，包括支持更多核处理器和集成更多安全功能。众所周知，操作系统是整个安全设备的核心和基础，安全产品的操作系统必须具有很强的抗攻击能力，而基于软件的安全系统采用的是通用的操作系统，通用操作系统会暴露大量的操作系统漏洞，安全系统再强大，操作系统的漏洞会直接导致这

13、个系统的崩溃。目前，专用定制的操作系统被广泛采用。 山石网科SA 系列产品均采用定制的专用操作系统HSOS 。HSOS 具有 64 位实时并行处理能力，其核心针对山石网科SA 硬件产品进行了全面优化，使得系统具有更高的处理效率和稳定名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案6 / 9性。模块化的系统结构易于继承更多的安全功能，系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不

14、会影响整个系统的运行。2.3 多链路负载均衡山石网科安全网关支持多链路Outbound流量的负载均衡， 并可针对每条链路建立全路径健康检查，从而实现链路监控和智能切换，保障出口链路的稳定性。在本方案中通过ECMP ，实现了多链路的负载均衡，最大化保障了出口链路的利用率。山石网科安全网关能够提供从150Mbps到 20Gbps的全系列网络安全网关产品，能够满足用户在不同网络环境下的各种业务需求。同时山石网科安全网关采用创新的64 位多核处理器， 每秒能够提供最高达20 万的 Full TCP 会话请求能力。对网络流量巨大、应用环境复杂、具有大量突发流量的网络来说，山石网科安全网关能够为其带来最优

15、秀的网络体验及最优的性价比。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案7 / 92.4高可靠性和稳定性积累多年被证实的专业硬件安全产品研发和市场经验，山石网科新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性，这为网络流量和网络攻击日益膨胀的企业IT 环境提供了强大的保障。山石网科产品最大程度上确保企业关键业务的不间断运行，提高用户的竞

16、争力。2.5最低的总体拥有成本山石网科全线产品提供了非常友好的使用和管理界面，部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力，最大化地保护用户投资。2.6 高性能的应用层管控能力安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -

17、- - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案8 / 9数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。山石网科安全网关具有丰富的应用层管控能力，包括URL 地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等，能够通过简单的配置来实现敏感的URL 地址、敏感关键字以及敏感文件等内容过滤，防止潜在的安全风险。此外，山石网科安全网关均采用多核系统架构，在性能上具有很高的处理能力，能

18、够实现大并发处理。3 方案效果总结对于四川广电宽带接入业务而言，在边界引入山石安全网关，取代原有多台NAT 设备，将从提升链路可用性、提高链路利用率、降低管理运维难度的角度发挥作用，包括：通过基于地址的策略路由，将特定地址的访问自动切换到优质链路上，使VIP 客户的上网更加流畅；通过链路负载均衡，实现多出口链路的故障时全自动切换，以及平时的负载均名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 四川广电在线宽带接入网络安全解决方案

19、9 / 9衡，保障客户上网的连续性；通过端口复用技术，防范地址不足造成无法正常的NAT ，造成无法正常访问外网； 通过会话限制， 防止某些接入用户在中毒后大量发送上网连接请求，导致其他人无法使用网络的情况；以上措施保障了VIP 用户更加顺畅地访问互联网，保障了 VIP 客户的满意度；通过基于时间的策略路由，实现错峰的负载重新分配；通过基于应用的策略路由，将 P2P2等应用引流到低质量链路上。有效提升了链路的利用率，使得广电宽带运营商在不增加链路的前提下，可节省出更多的带宽资源，用以发展更多的接入用户；山石安全网关支持高性能的NAT 转发， 因此可以用较少的设备取代原有较多的NAT 设备，从而大

20、大降低了管理成本；山石安全网关提供的NAT 及 IM 上线先日志，提供可追溯的行为日志记录，符合监管部门的要求。4 对未来的展望对比电信运营商，广电的优势在于：基础网络接入端链路质量很高；随着数字电视普及拥有相当的客户资源；可提供更丰富的内容。随着互联网技术的发展，以及三网融合的推动，广电通过骨干网开展接入业务，并凭借自己的优势提供更多影音、视频、多媒体等内容为主的增值服务，可以有效吸引更多的接入用户，伴随而来的就是更高的安全可靠性要求，对此建议四川广电在线在考虑引入安全设备的时候，要考虑系统能够支撑的扩展能力，能够在未来更好地支撑业务同时，还能够有效保护投资。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -