匯聚分流專用設備
1、產品外觀
2、 產品概述
匯聚分流專用設備(簡稱BLBR1000)系列產品是針對電信級網絡業務需求的專用分流設備,處理各類以太網、SDH/POS流量的接入采集、協議轉換、匹配過濾、業務分類、匯聚分流、負載均衡等。該產品作為業界領先的超大容量骨干鏈路分流解決方案,可滿足當前各種應用監控系統的復雜流量解析匹配與應用分流需求,可應用于安全機構的骨干網鏈路監控審計系統、電信運營商承建的合法監聽系統、電信城域網的增值業務等系統。
BLBR1000由機箱、交換板、接入載板、接口載卡等多個模塊組成,支持6槽、14槽等多種機箱規格,分別支持320G、960G的處理能力,可依據用戶需求進行靈活配置。此外,通過增加多核應用處理板,BLBR1000以強大的DPI功能,支持大容量的會話連接、實現應用層內容識別、復雜協議的識別、支持細粒度動態負載均衡分流等。
3、 產品特點
3.1 電信級系統架構
符合PICMG3.0/3.1系列國際開放電信設備標準(ATCA),提供高可靠性和可維護性,板卡、電源模塊和風扇等組件均支持熱插拔,支持符合標準的IPMB管理與電源管理,能夠很好的與第三方標準ATCA板卡兼容,是整個系統能夠長期演進的保證。
3.2 豐富的接口類型支持
● 支持包括OC3/OC12/OC48/OC192/OC768等多種速率的POS接口;
● 支持包括GE、10GE LAN/WAN、40GE等多種速率的以太網接口;
● 支持混合接入、高密度接入。
3.3 各種2層/3層封裝及隧道協議的識別
● 包括ETHERNETII、802.3 LLC/SNAP;
● 支持IPv4、IPv6、IPv4 over v6、IPv6 over IPv4、IPv4 in IPv4、IPv6 in IPv6;
● 支持TCP/UDP/ICMP;
● 支持多級MPLS、多級VLAN、GRE、GTP、IPSEC、L2TP/PPTP等。
3.4 大容量鏈路流量接入與輸出
● 單板支持最大80G的流量接入;
● 整機支持最大960G的流量輸入;
● 整機支持最大1440G的流量輸出;
● 靈活的輸入輸出流量配比。
3.5 高效靈活的匹配篩選功能
● 支持基于IP五元組完全規則方式;
● 支持基于IP五元組的掩碼規則方式;
● 支持基于TCP Flag與載荷長度規則方式;
● 支持固定位置特征碼方式;
● 支持窗口浮動特征碼方式;
● 支持全包浮動特征碼方式;
● 支持五元組復合固定位置特征碼方式。
3.6 強大的分流機制
● 基于L3-L7信息的分類;
● 獨特的多級流量處理機制;
● 支持對流量的過濾;
● 負載均衡轉發和匯聚;
● 支持對流量的復制。
3.7 多種維護及管理方式
● 支持多用戶管理;
● 提供標準串口終端管理方式;
● 提供包括telnet、rsh和ssh等遠程管理方式;
● 提供 RPC API調用接口。
4、產品功能
BLBR1000的數據處理功能,包含多種接口的流量接入、協議轉換、數據包匹配分類、流量過濾、流量匯聚分發和負載均衡、流量復制、數據包再封裝等。
4.1 流量接入
● 流量接入:BLBR1000通過支持各種接口子卡,可接入40G POS、10G POS、10GE WAN/LAN、2.5G POS、622M POS、155M POS、GE/FE多種流量,可支持混合接入、高密度接入。單機箱(16U)最大可接入960G流量。
● 協議轉換:主要針對POS接口,通過解析HDLC、PPP、MPLS等封裝,提取IP數據包,再進行后續處理。兼容各種底層封裝參數。
● 支持單纖接入。
4.2 包過濾和分類
數據包匹配分類:
● 支持五元組、TCP Flag、包長度、用戶自定義的應用層內容匹配。
● 支持支持多達128K掩碼匹配表項,以及150萬非掩碼五元組匹配表項。
● 同時支持IPv4和IPv6,支持MPLS的標簽匹配。
● 所有匹配表項都支持動態設置。
● 分類規則按規則集方式進行管理,用戶可創建并設置多個規則集,并將規則集綁定到多個接口之上。
4.3 流量分發和復制
● 可基于分類的結果,對流量進行過濾或轉發。分發策略的最小配置單位為單條規則;
● 多個單板接入的流量,通過中心交換通道進行匯聚后再分發,實現同源同宿;
● 負載均衡機制包括RoundRobin、各種Hash算法等。
● 負載均衡的Hash算法支持基于源IP地址、基于目的IP地址,基于IP對,以及基于四元組(源IP、目的IP、源端口、目的口)的各種組合;
● 支持包采樣、流采樣功能,采樣比控制粒度為1/100;
● 支持同一規則的流量復制:即為符合某條規則的流量指定復制方式,在不影響這條流量的分發策略的前提下,可以將流量復制到另一個或一批端口輸出。
4.4 數據包處理
數據包再封裝:
● 對處理的IP包進行最后的符合標準以太網的再封裝,并可攜帶多種信息,包括:
● 輸入端口號
● 匹配規則ID
● 輸出端口組ID
● 五元組hash值
● 支持對輸出數據包進行截短、提取有用頭部。
● 支持數據包頭部剝離,包括剝離vlan、mpls標簽等。
4.5 數據處理性能
BLBR1000的數據處理完全達到線速,并且處理性能不受分類表項的大小的影響,即當分類表項配滿時,仍然具有相同的性能。
由此也保證了各種情況下不會造成丟包,只要系統配置時輸出端口的輸出流量不超過極限,BLBR1000在內部的各種處理不會造成丟包。
4.6 IPv6網絡隧道協議識別
目前的IPv6網絡中,有較多的IPv4/IPv6雙棧和IPv4/IPv6隧道的情況出現。對IPv6的支持如果僅僅提供單純IPv6的協議識別的話,是遠遠不夠的。
BLBR1000能夠智能的識別網絡中可能出現的v4/v6雙棧和隧道數據包,包括:
● IPv6 over IPv4 如6to4、6in4、Teredo等封裝格式
● IPv4 over IPv6
● IPv6 over IPv6
● IPv4 over IPv4
BLBR1000能夠在識別此類協議的基礎上,提供如下功能:
● 用戶可選擇使用隧道數據包的外層IP包頭還是內層IP包頭進行過濾匹配
● 用戶可選擇使用隧道數據包的外層IP包頭還是內層IP包頭進行負載均衡
● 用戶可選擇輸出時是否剝離外層IP包頭
4.7 輸出端口自動failover功能
BLBR1000與后端服務器池相連時,能夠支持服務器的自動failover。當某臺 服務器down掉時,能夠將分發到該服務器的流量自動負載分擔到其他的服務器,避免局部業務長時間中斷。
當一臺服務器down掉時,并不會導致其他服務器的流量全部重新進行負載分擔,只對該服務器的相關流量進行再分配。
4.8 流維護功能
目前眾多的網絡應用和協議中,大部分其可識別的特征僅存在于整個會話過程中的一個或幾個數據包中,而同一個會話中的其他數據包并無可識別的特征。
因此現在的大部分業務都需要分流設備能夠將符合特征的數據包其所在的會話的所有報文全部轉發到后端服務器處理。這就需要分流設備提供“流維護”的功能。
BLBR1000提供流表維護的功能,實現自動建流、自動拆流、流自動老化、高速流鎖定。
5、 典型部署
典型部署方式如上圖所示,移動核心網或互聯網數據通過分光或者通過交換機鏡像的流量輸入到BLBR1000,通過高速匹配,將匹配到分流規則的數據轉發到后端分析系統,其余數據丟棄。