关键业务连续性:网络架构的新使命
业务质量保证与优化,应用感知、控制、优化(围绕P2P等新应用,QoS等)
传统的路由器及包过滤防火墙仅实现基于接口/IP的扁平化带宽控制、单一流量分析与管理,对应用层协议管理非常困难。新一代网络汇聚器必然要对业务提供更好的应用保障,包括对各种网络应用的深度感知、控制、优化,从来能够实现对关键业务的更好保障,对非法应用的更好控制。涉及到的主要技术是深度业务识别和应用控制、优化与加速。
深度业务识别主要是从以前简单的L4层以下协议识别发展到L4-L7的应用层识别,是实现各种应用控制的关键。要能对网络中的VoIP、P2P带宽滥用、IM、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户行为进行深入分析,可以帮助用户全面了解网络应用模型和流量趋势,为开展和保障各项业务提供数据支撑。
应用加速和优化成为是在局域网或广域网上利用各种技术,加快服务器应用传递到客户端的速度,使客户体验到比原先快得多(也稳定得多)的服务器应用的一个过程。
显然,因为网络基础协议的不完善,仅靠不断增加带宽是不能满足上述需求的,想提高服务器应用的用户满意度,就需要在现有网络组网中对特定应用业务流量进行优化和加速。
当前的典型的企业应用模型是B/S架构,对WEB应用的优化是当前应用优化主要考虑的内容。提高用户访问Web服务的速度,是众多企业迫切需要解决的问题。优化技术主要包括HTTP加速、数据压缩、负载均衡等技术。
业务流量安全(VPN、MSTP与IPSec)
受运营商宽带城域网建设和MSTP业务的推动,企业采用宽带接入成为越来越普遍的趋势,以太网天然的安全缺陷使得流量安全问题变得日益突出。对链路进行加密是一种可行的安全保障手段。因此,新一代的汇聚路由器需要能够提供足够强大的端口加密能力,以满足用户数据高度保密的需求。这方面主要是需要支持最主流的IPSec协议,支持各种标准加密协议。
IPSec在IP层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、VPN和安全隧道技术。
此外,结合前面B/S应用发展趋势,WEB的应用安全,也是企业面临的越来越突出的问题。相对IPSec技术,SSL VPN具有其他一些明显的优点,免客户端、网络适应性好、容易穿越防火墙、无需配置等,SSL VPN非常适合WEB应用和移动接入,尤其是那种远程安全接入方面。两种技术各有不同的使用场合。新一代网络汇聚路由器应该能够支持SSL VPN技术,以便在WEB应用的安全性方面提供足够的保障,为网络提供安全的远程接入能力。
总之,大容量、高性能的IPSec支持能力成为新一代汇聚路由器的典型标志,鉴于安全对数据的重要性,并且应该是缺省支持。同时,对SSL VPN的支持也是数据安全的重要一方面。
管理可视化与精细化
网络技术的高速发展,为用户提供了更高的带宽和可预测的QoS,同时用户也需要对网络进行更细致、可视化的管理和计费,为此就需要新一代网络汇聚设备支持这种需求的相应技术,能够实现网络流信息的统计与发布技术:
对网络中的通信量和资源使用情况进行分类和统计,基于各种业务和不同的QoS进行管理和计费。基于资源(如线路、带宽、时段等)占用情况的计费提供了精细的数据。
为先进的网络管理工具提供关键信息,以便优化网络设计和规划,实现以最小的网络运营成本达到非常好的的网络性能和可靠性。
实现近于实时的网络监控功能。基于信息流的分析技术可以用来形象化地表示单个路由器和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决功能。
可以获得详细的网络应用信息,可以根据这些信息来规划和分配网络和应用资源以满足用户需求。
这种网络流量特征采样、关键信息提取和测量技术,可以使得网络管理者可以获得用户利用网络和应用资源的详细情况,进而用于高效地规划和分配资源,并保障网络的安全运营。是当前网络应用和设备发展必然的趋势和要求。
全业务内置
新一代网络汇聚路由器必然是全业务内置实现,对应当前网络的一些缺省以及普遍必备应用的特性,不需要增加额外的板卡模块不需要再增加用户配置成本,即可实现高性能IPSec处理、ASPF、P2P管理、NAT、各种VPN隧道、网络流量采样特征分析和测量等等功能。从而大大降低用户应用和配置成本,也简化了网络设计。
当然其他一些增值业务特性,需要借助开放式架构,采用专门的业务模块来完成,以降低基础用户的应用成本,实现设备功能、性能与价格的平衡。
