匯聚分流專用設備
1,、產(chǎn)品外觀
2,、 產(chǎn)品概述
匯聚分流專用設備(簡稱BLBR1000)系列產(chǎn)品是針對電信級網(wǎng)絡業(yè)務需求的專用分流設備,處理各類以太網(wǎng),、SDH/POS流量的接入采集,、協(xié)議轉換,、匹配過濾、業(yè)務分類,、匯聚分流,、負載均衡等。該產(chǎn)品作為業(yè)界領先的超大容量骨干鏈路分流解決方案,,可滿足當前各種應用監(jiān)控系統(tǒng)的復雜流量解析匹配與應用分流需求,,可應用于安全機構的骨干網(wǎng)鏈路監(jiān)控審計系統(tǒng)、電信運營商承建的合法監(jiān)聽系統(tǒng),、電信城域網(wǎng)的增值業(yè)務等系統(tǒng),。
BLBR1000由機箱、交換板,、接入載板,、接口載卡等多個模塊組成,支持6槽,、14槽等多種機箱規(guī)格,,分別支持320G,、960G的處理能力,,可依據(jù)用戶需求進行靈活配置。此外,,通過增加多核應用處理板,,BLBR1000以強大的DPI功能,,支持大容量的會話連接、實現(xiàn)應用層內容識別,、復雜協(xié)議的識別,、支持細粒度動態(tài)負載均衡分流等。
3,、 產(chǎn)品特點
3.1 電信級系統(tǒng)架構
符合PICMG3.0/3.1系列國際開放電信設備標準(ATCA),,提供高可靠性和可維護性,板卡,、電源模塊和風扇等組件均支持熱插拔,,支持符合標準的IPMB管理與電源管理,能夠很好的與第三方標準ATCA板卡兼容,,是整個系統(tǒng)能夠長期演進的保證,。
3.2 豐富的接口類型支持
● 支持包括OC3/OC12/OC48/OC192/OC768等多種速率的POS接口;
● 支持包括GE,、10GE LAN/WAN,、40GE等多種速率的以太網(wǎng)接口;
● 支持混合接入,、高密度接入,。
3.3 各種2層/3層封裝及隧道協(xié)議的識別
● 包括ETHERNETII、802.3 LLC/SNAP,;
● 支持IPv4,、IPv6、IPv4 over v6,、IPv6 over IPv4,、IPv4 in IPv4、IPv6 in IPv6,;
● 支持TCP/UDP/ICMP,;
● 支持多級MPLS、多級VLAN,、GRE,、GTP、IPSEC,、L2TP/PPTP等,。
3.4 大容量鏈路流量接入與輸出
● 單板支持最大80G的流量接入;
● 整機支持最大960G的流量輸入,;
● 整機支持最大1440G的流量輸出,;
● 靈活的輸入輸出流量配比。
3.5 高效靈活的匹配篩選功能
● 支持基于IP五元組完全規(guī)則方式;
● 支持基于IP五元組的掩碼規(guī)則方式,;
● 支持基于TCP Flag與載荷長度規(guī)則方式,;
● 支持固定位置特征碼方式;
● 支持窗口浮動特征碼方式,;
● 支持全包浮動特征碼方式,;
● 支持五元組復合固定位置特征碼方式,。
3.6 強大的分流機制
● 基于L3-L7信息的分類,;
● 獨特的多級流量處理機制;
● 支持對流量的過濾,;
● 負載均衡轉發(fā)和匯聚,;
● 支持對流量的復制。
3.7 多種維護及管理方式
● 支持多用戶管理,;
● 提供標準串口終端管理方式,;
● 提供包括telnet、rsh和ssh等遠程管理方式,;
● 提供 RPC API調用接口,。
4、產(chǎn)品功能
BLBR1000的數(shù)據(jù)處理功能,,包含多種接口的流量接入,、協(xié)議轉換、數(shù)據(jù)包匹配分類,、流量過濾,、流量匯聚分發(fā)和負載均衡、流量復制,、數(shù)據(jù)包再封裝等,。
4.1 流量接入
● 流量接入:BLBR1000通過支持各種接口子卡,可接入40G POS,、10G POS,、10GE WAN/LAN、2.5G POS,、622M POS,、155M POS、GE/FE多種流量,,可支持混合接入,、高密度接入。單機箱(16U)最大可接入960G流量,。
● 協(xié)議轉換:主要針對POS接口,,通過解析HDLC,、PPP、MPLS等封裝,,提取IP數(shù)據(jù)包,再進行后續(xù)處理,。兼容各種底層封裝參數(shù),。
● 支持單纖接入。
4.2 包過濾和分類
數(shù)據(jù)包匹配分類:
● 支持五元組,、TCP Flag,、包長度、用戶自定義的應用層內容匹配,。
● 支持支持多達128K掩碼匹配表項,,以及150萬非掩碼五元組匹配表項。
● 同時支持IPv4和IPv6,,支持MPLS的標簽匹配,。
● 所有匹配表項都支持動態(tài)設置。
● 分類規(guī)則按規(guī)則集方式進行管理,,用戶可創(chuàng)建并設置多個規(guī)則集,,并將規(guī)則集綁定到多個接口之上。
4.3 流量分發(fā)和復制
● 可基于分類的結果,,對流量進行過濾或轉發(fā),。分發(fā)策略的最小配置單位為單條規(guī)則;
● 多個單板接入的流量,,通過中心交換通道進行匯聚后再分發(fā),,實現(xiàn)同源同宿;
● 負載均衡機制包括RoundRobin,、各種Hash算法等,。
● 負載均衡的Hash算法支持基于源IP地址、基于目的IP地址,,基于IP對,,以及基于四元組(源IP、目的IP,、源端口,、目的口)的各種組合;
● 支持包采樣,、流采樣功能,,采樣比控制粒度為1/100;
● 支持同一規(guī)則的流量復制:即為符合某條規(guī)則的流量指定復制方式,,在不影響這條流量的分發(fā)策略的前提下,,可以將流量復制到另一個或一批端口輸出,。
4.4 數(shù)據(jù)包處理
數(shù)據(jù)包再封裝:
● 對處理的IP包進行最后的符合標準以太網(wǎng)的再封裝,并可攜帶多種信息,,包括:
● 輸入端口號
● 匹配規(guī)則ID
● 輸出端口組ID
● 五元組hash值
● 支持對輸出數(shù)據(jù)包進行截短,、提取有用頭部。
● 支持數(shù)據(jù)包頭部剝離,,包括剝離vlan,、mpls標簽等,。
4.5 數(shù)據(jù)處理性能
BLBR1000的數(shù)據(jù)處理完全達到線速,,并且處理性能不受分類表項的大小的影響,即當分類表項配滿時,,仍然具有相同的性能,。
由此也保證了各種情況下不會造成丟包,只要系統(tǒng)配置時輸出端口的輸出流量不超過極限,,BLBR1000在內部的各種處理不會造成丟包,。
4.6 IPv6網(wǎng)絡隧道協(xié)議識別
目前的IPv6網(wǎng)絡中,有較多的IPv4/IPv6雙棧和IPv4/IPv6隧道的情況出現(xiàn),。對IPv6的支持如果僅僅提供單純IPv6的協(xié)議識別的話,,是遠遠不夠的。
BLBR1000能夠智能的識別網(wǎng)絡中可能出現(xiàn)的v4/v6雙棧和隧道數(shù)據(jù)包,,包括:
● IPv6 over IPv4 如6to4,、6in4、Teredo等封裝格式
● IPv4 over IPv6
● IPv6 over IPv6
● IPv4 over IPv4
BLBR1000能夠在識別此類協(xié)議的基礎上,,提供如下功能:
● 用戶可選擇使用隧道數(shù)據(jù)包的外層IP包頭還是內層IP包頭進行過濾匹配
● 用戶可選擇使用隧道數(shù)據(jù)包的外層IP包頭還是內層IP包頭進行負載均衡
● 用戶可選擇輸出時是否剝離外層IP包頭
4.7 輸出端口自動failover功能
BLBR1000與后端服務器池相連時,能夠支持服務器的自動failover,。當某臺 服務器down掉時,,能夠將分發(fā)到該服務器的流量自動負載分擔到其他的服務器,避免局部業(yè)務長時間中斷,。
當一臺服務器down掉時,,并不會導致其他服務器的流量全部重新進行負載分擔,只對該服務器的相關流量進行再分配,。
4.8 流維護功能
目前眾多的網(wǎng)絡應用和協(xié)議中,,大部分其可識別的特征僅存在于整個會話過程中的一個或幾個數(shù)據(jù)包中,而同一個會話中的其他數(shù)據(jù)包并無可識別的特征,。
因此現(xiàn)在的大部分業(yè)務都需要分流設備能夠將符合特征的數(shù)據(jù)包其所在的會話的所有報文全部轉發(fā)到后端服務器處理,。這就需要分流設備提供“流維護”的功能。
BLBR1000提供流表維護的功能,,實現(xiàn)自動建流,、自動拆流,、流自動老化、高速流鎖定,。
5,、 典型部署
典型部署方式如上圖所示,移動核心網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)通過分光或者通過交換機鏡像的流量輸入到BLBR1000,,通過高速匹配,,將匹配到分流規(guī)則的數(shù)據(jù)轉發(fā)到后端分析系統(tǒng),其余數(shù)據(jù)丟棄,。
