汇聚分流专用设备
1、产品外观
2、 产品概述
汇聚分流专用设备(简称BLBR1000)系列产品是针对电信级网络业务需求的专用分流设备,处理各类以太网、SDH/POS流量的接入采集、协议转换、匹配过滤、业务分类、汇聚分流、负载均衡等。该产品作为业界领先的超大容量骨干链路分流解决方案,可满足当前各种应用监控系统的复杂流量解析匹配与应用分流需求,可应用于安全机构的骨干网链路监控审计系统、电信运营商承建的合法监听系统、电信城域网的增值业务等系统。
BLBR1000由机箱、交换板、接入载板、接口载卡等多个模块组成,支持6槽、14槽等多种机箱规格,分别支持320G、960G的处理能力,可依据用户需求进行灵活配置。此外,通过增加多核应用处理板,BLBR1000以强大的DPI功能,支持大容量的会话连接、实现应用层内容识别、复杂协议的识别、支持细粒度动态负载均衡分流等。
3、 产品特点
3.1 电信级系统架构
符合PICMG3.0/3.1系列国际开放电信设备标准(ATCA),提供高可靠性和可维护性,板卡、电源模块和风扇等组件均支持热插拔,支持符合标准的IPMB管理与电源管理,能够很好的与第三方标准ATCA板卡兼容,是整个系统能够长期演进的保证。
3.2 丰富的接口类型支持
● 支持包括OC3/OC12/OC48/OC192/OC768等多种速率的POS接口;
● 支持包括GE、10GE LAN/WAN、40GE等多种速率的以太网接口;
● 支持混合接入、高密度接入。
3.3 各种2层/3层封装及隧道协议的识别
● 包括ETHERNETII、802.3 LLC/SNAP;
● 支持IPv4、IPv6、IPv4 over v6、IPv6 over IPv4、IPv4 in IPv4、IPv6 in IPv6;
● 支持TCP/UDP/ICMP;
● 支持多级MPLS、多级VLAN、GRE、GTP、IPSEC、L2TP/PPTP等。
3.4 大容量链路流量接入与输出
● 单板支持最大80G的流量接入;
● 整机支持最大960G的流量输入;
● 整机支持最大1440G的流量输出;
● 灵活的输入输出流量配比。
3.5 高效灵活的匹配筛选功能
● 支持基于IP五元组完全规则方式;
● 支持基于IP五元组的掩码规则方式;
● 支持基于TCP Flag与载荷长度规则方式;
● 支持固定位置特征码方式;
● 支持窗口浮动特征码方式;
● 支持全包浮动特征码方式;
● 支持五元组复合固定位置特征码方式。
3.6 强大的分流机制
● 基于L3-L7信息的分类;
● 独特的多级流量处理机制;
● 支持对流量的过滤;
● 负载均衡转发和汇聚;
● 支持对流量的复制。
3.7 多种维护及管理方式
● 支持多用户管理;
● 提供标准串口终端管理方式;
● 提供包括telnet、rsh和ssh等远程管理方式;
● 提供 RPC API调用接口。
4、产品功能
BLBR1000的数据处理功能,包含多种接口的流量接入、协议转换、数据包匹配分类、流量过滤、流量汇聚分发和负载均衡、流量复制、数据包再封装等。
4.1 流量接入
● 流量接入:BLBR1000通过支持各种接口子卡,可接入40G POS、10G POS、10GE WAN/LAN、2.5G POS、622M POS、155M POS、GE/FE多种流量,可支持混合接入、高密度接入。单机箱(16U)最大可接入960G流量。
● 协议转换:主要针对POS接口,通过解析HDLC、PPP、MPLS等封装,提取IP数据包,再进行后续处理。兼容各种底层封装参数。
● 支持单纤接入。
4.2 包过滤和分类
数据包匹配分类:
● 支持五元组、TCP Flag、包长度、用户自定义的应用层内容匹配。
● 支持支持多达128K掩码匹配表项,以及150万非掩码五元组匹配表项。
● 同时支持IPv4和IPv6,支持MPLS的标签匹配。
● 所有匹配表项都支持动态设置。
● 分类规则按规则集方式进行管理,用户可创建并设置多个规则集,并将规则集绑定到多个接口之上。
4.3 流量分发和复制
● 可基于分类的结果,对流量进行过滤或转发。分发策略的最小配置单位为单条规则;
● 多个单板接入的流量,通过中心交换通道进行汇聚后再分发,实现同源同宿;
● 负载均衡机制包括RoundRobin、各种Hash算法等。
● 负载均衡的Hash算法支持基于源IP地址、基于目的IP地址,基于IP对,以及基于四元组(源IP、目的IP、源端口、目的口)的各种组合;
● 支持包采样、流采样功能,采样比控制粒度为1/100;
● 支持同一规则的流量复制:即为符合某条规则的流量指定复制方式,在不影响这条流量的分发策略的前提下,可以将流量复制到另一个或一批端口输出。
4.4 数据包处理
数据包再封装:
● 对处理的IP包进行最后的符合标准以太网的再封装,并可携带多种信息,包括:
● 输入端口号
● 匹配规则ID
● 输出端口组ID
● 五元组hash值
● 支持对输出数据包进行截短、提取有用头部。
● 支持数据包头部剥离,包括剥离vlan、mpls标签等。
4.5 数据处理性能
BLBR1000的数据处理完全达到线速,并且处理性能不受分类表项的大小的影响,即当分类表项配满时,仍然具有相同的性能。
由此也保证了各种情况下不会造成丢包,只要系统配置时输出端口的输出流量不超过极限,BLBR1000在内部的各种处理不会造成丢包。
4.6 IPv6网络隧道协议识别
目前的IPv6网络中,有较多的IPv4/IPv6双栈和IPv4/IPv6隧道的情况出现。对IPv6的支持如果仅仅提供单纯IPv6的协议识别的话,是远远不够的。
BLBR1000能够智能的识别网络中可能出现的v4/v6双栈和隧道数据包,包括:
● IPv6 over IPv4 如6to4、6in4、Teredo等封装格式
● IPv4 over IPv6
● IPv6 over IPv6
● IPv4 over IPv4
BLBR1000能够在识别此类协议的基础上,提供如下功能:
● 用户可选择使用隧道数据包的外层IP包头还是内层IP包头进行过滤匹配
● 用户可选择使用隧道数据包的外层IP包头还是内层IP包头进行负载均衡
● 用户可选择输出时是否剥离外层IP包头
4.7 输出端口自动failover功能
BLBR1000与后端服务器池相连时,能够支持服务器的自动failover。当某台 服务器down掉时,能够将分发到该服务器的流量自动负载分担到其他的服务器,避免局部业务长时间中断。
当一台服务器down掉时,并不会导致其他服务器的流量全部重新进行负载分担,只对该服务器的相关流量进行再分配。
4.8 流维护功能
目前众多的网络应用和协议中,大部分其可识别的特征仅存在于整个会话过程中的一个或几个数据包中,而同一个会话中的其他数据包并无可识别的特征。
因此现在的大部分业务都需要分流设备能够将符合特征的数据包其所在的会话的所有报文全部转发到后端服务器处理。这就需要分流设备提供“流维护”的功能。
BLBR1000提供流表维护的功能,实现自动建流、自动拆流、流自动老化、高速流锁定。
5、 典型部署
典型部署方式如上图所示,移动核心网或互联网数据通过分光或者通过交换机镜像的流量输入到BLBR1000,通过高速匹配,将匹配到分流规则的数据转发到后端分析系统,其余数据丢弃。