LTE核心網(wǎng)帶寬和性能解決方案
標(biāo)簽:LTE DPI
本文引用地址:http://www.ex-cimer.com/article/154539.htm聚焦40G和智能DPI的分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)實(shí)現(xiàn)
Linley集團(tuán)近期市場分析預(yù)測,在未來5年內(nèi)連接設(shè)備將增長26倍。到2015年,僅智能手機(jī)出貨量就將達(dá)到6.75億,預(yù)計增長2.8倍。
在同樣的時間段里,具有無線功能的移動計算設(shè)備預(yù)計將從32%上升至65%。從應(yīng)用的角度來看,移動視頻推動了對帶寬和低延遲的需求,二者都是可預(yù)見且一致的。思科的分析表明,所有移動數(shù)據(jù)流量中66%包含視頻內(nèi)容。隨著社會網(wǎng)絡(luò)化和以“云”為基礎(chǔ)的商業(yè)模式的發(fā)展,我們將看到在未來幾年內(nèi)基于Web和應(yīng)用的瀏覽會增加21%。這些新的市場需求和移動設(shè)備中對新技術(shù)的積極采用帶來了多種技術(shù)上的戰(zhàn),我們在向市場推出新服務(wù)時必須考慮到這一點(diǎn)。
由于網(wǎng)絡(luò)復(fù)雜性的增加,帶寬匹配和計算性能的挑戰(zhàn)也在增加。它現(xiàn)在需要維持龐大的流量和迅速倍增的用戶數(shù)據(jù)量,因為新設(shè)備增加了許多倍。安全性也變得更加重要,因為連接到移動網(wǎng)絡(luò)的更多設(shè)備、操作系統(tǒng)和應(yīng)用暴露了新的威脅。它們除了傷害個人用戶和設(shè)備外,會潛在地傷害整個網(wǎng)絡(luò)。運(yùn)營商在發(fā)展自己的網(wǎng)絡(luò)及尋找提供具有預(yù)期安全水平的無處不在的訪問方式時,必須考慮到所有這一切。
3GPP已經(jīng)為下一代移動基礎(chǔ)設(shè)備創(chuàng)建了架構(gòu),稱為LTE(Long Term Evolution,長期演進(jìn))。LTE為基于多個設(shè)備的網(wǎng)絡(luò)提供了網(wǎng)絡(luò)基礎(chǔ)設(shè)施和無線接口,并遷移到僅基于IP的互聯(lián)戰(zhàn)略。此IP網(wǎng)絡(luò)將提供與任何設(shè)備之間基于數(shù)據(jù)包的語音、視頻和內(nèi)容轉(zhuǎn)碼。支持100Mbps的LTE目前每臺設(shè)備的延遲小于10ms,將來的版本可能是這個速度的3倍。
LTE的主要功能成分是演進(jìn)包核心(Evolved Packet Core, EPC),它被構(gòu)造為一種安全的IP網(wǎng)絡(luò),且必須提供多個當(dāng)前及傳統(tǒng)RAN的移動性和互通性的支持。EPC有3個主要子實(shí)體。
1. MME(Mobility Management Entity,移動管理實(shí)體)提供了用于LTE接入網(wǎng)絡(luò)的主要控制。它跟蹤負(fù)責(zé)身份驗證、移動性,以及與傳統(tǒng)接入2G/3G接入網(wǎng)絡(luò)的互通性的用戶設(shè)備(UE)。該MME還支持合法的信號攔截。
2.SWG(服務(wù)網(wǎng)關(guān))路由和轉(zhuǎn)發(fā)用戶數(shù)據(jù)包,同時也作為eNodeB之間互相傳遞期間用戶平面的移動錨,以及作為LTE和其他3GPP技術(shù)的移動性的錨。
3.PGW(分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān))管理用戶設(shè)備(UE)和外部分組數(shù)據(jù)網(wǎng)絡(luò)之間的連接。一個UE可以與訪問多個PDN的多個PGW同步連接。PGW執(zhí)行政策的實(shí)施,為每個用戶進(jìn)行數(shù)據(jù)包過濾、計費(fèi)支持、合法攔截和數(shù)據(jù)包篩選。
分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)是推動對處理器和帶寬性能增加需求的關(guān)鍵網(wǎng)絡(luò)元素。PGW的主要功能是UE IP地址分配、基于每個用戶的數(shù)據(jù)包過濾、深度包檢測(DPI)和合法攔截。
下圖顯示了PGW內(nèi)具備的廣泛功能和所需的軟件和協(xié)議層,以及SGW和PGW之間的一些公共層。這類功能中有些需要大量處理資源,必須能處理不會反過來影響整體網(wǎng)絡(luò)性能的吞吐量和連通性。支持這些重要功能的唯一可行方式是利用專用硬件資源。
核心網(wǎng)絡(luò)的安全性
PGW中推動高帶寬和處理性能的功能主要是與核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全要求有關(guān)的功能。其中許多(如果不是所有 )功能需要10GbE以上的高帶寬接口。檢測運(yùn)行中的流量然后根據(jù)每個數(shù)據(jù)包的內(nèi)容做決定的能力,是PGW安全功能得以實(shí)現(xiàn)的技術(shù)基礎(chǔ)。這項技術(shù)稱為深度包檢測(DPI),由專門的多核處理器驅(qū)動,并配以最高可達(dá)40GbE的I/O。利用處理器之間的高速互聯(lián)是維持流量和平衡PGW平臺中的處理器利用率的另一個關(guān)鍵推動因素。這種傳輸機(jī)制需要三層處理,利用各個處理器刀片上的40GbE接口。這種刀片處理器有一個可將特定數(shù)據(jù)包路由到專用socket和/ 或刀片內(nèi)核的協(xié)議結(jié)構(gòu)。
深度包檢測
顧名思義,DPI深度關(guān)注數(shù)據(jù)流量,并能夠讀取每一個字節(jié),直到它可以判斷是否需要根據(jù)其預(yù)先設(shè)定的規(guī)則之一標(biāo)記任何特定數(shù)據(jù)包。DPI是一個專門的硬件和軟件組合,能夠標(biāo)識特定協(xié)議和應(yīng)用程序、不恰當(dāng)?shù)腢RL、入侵企圖和惡意軟件。在許多情況下,DPI引擎只是標(biāo)識和標(biāo)記“違規(guī)”數(shù)據(jù)包,并報告給一個更高級的應(yīng)用機(jī)構(gòu)。在某些情況下,比如入侵企圖、病毒或惡意軟件,系統(tǒng)可以采取預(yù)防性行動來完全拒絕或阻止特定的數(shù)據(jù)包或數(shù)據(jù)流。
典型DPI系統(tǒng)的功能分為四大類:
»協(xié)議分析與應(yīng)用識別——任何DPI系統(tǒng)的基礎(chǔ)都是識別和分離多種不同協(xié)議的能力。如今的復(fù)雜DPI系統(tǒng)可以識別數(shù)百個協(xié)議,幾乎涵蓋了所有應(yīng)用和服務(wù)類型。
»防惡意軟件和反病毒防護(hù)——互聯(lián)網(wǎng)發(fā)展的副作用是嚴(yán)重的病毒和惡意軟件問題。DPI系統(tǒng)通過與包含已識別的惡意URL和病毒簽名的廣泛數(shù)據(jù)庫作比較,可以識別并消除這些威脅。
» IDS和/或IPS——入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)在許多方面是相似的,在一個關(guān)鍵方面不同。兩者都檢測未經(jīng)授權(quán)者(比如黑客)入侵企圖,但I(xiàn)DS僅僅記錄和報告,而IPS檢測到入侵時會自動采取行動。
» URL過濾——一個相對簡單和直接的功能,將URL與已知威脅數(shù)據(jù)庫作比較,過濾并刪除潛在的威脅。難點(diǎn)在于要能夠以“線速”為數(shù)以百萬計的URL做這一切。
鑒于PGW平臺的吞吐量需要,任何DPI引擎都必須具備檢查龐大數(shù)量的數(shù)據(jù)流和數(shù)據(jù)包的能力。這種軟件引擎本質(zhì)上是一個不斷重復(fù)的任務(wù)集,它在高度并行環(huán)境下工作,使多核架構(gòu)成為性能和可擴(kuò)展性方面的理想解決方案。這些技術(shù)的領(lǐng)先供應(yīng)商之一是Cavium Networks公司,它們提供的多核OCTEON II處理器具有內(nèi)置包檢測引擎。
Cavium Networks公司的OCTEON II
評論