近年来智能手机、平板电脑等配备无线网卡的智能终端呈现普及化,网络游戏、网络社交、网上支付等各类型的互联网应用呈爆炸性发展态势,使得互联网用户数在持续增长。我国政府将宽带提速提升至国家战略,国内三大运营商开始实施光进铜退FTTx,进一步加大固网宽带的建设;移动运营商也不断加强移动互联网建设,实行全业务发展的营销策略。电信运营商亟需为宽带城域网和移动互联网解决如下问题:
● |
地址资源日益紧张,不能满足用户增长的速度;
|
|
● | P2P等高带宽消耗应用滥用,造成网络拥堵; | |
● |
OTT类应用服务失控,电信运营商被管道化;
|
|
● |
为满足上级单位监管要求,需要具有用户上网日志审计的能力。
|
解决方案
通过在电信运营商宽带城域网出口或移动互联网出口部署Hillstone CGN设备,通过网络地址转换(NAT444等)功能帮助电信运营商解决地址资源不足的问题。同时,进行用户上网日志审计,满足上级单位的监管要求。在宽带城域网出口或移动互联网出口,Hillstone高性能CGN设备作为综合承载网元设备,旁挂在路由器上,发挥如下作用和优势:
高性能高可靠的设备
宽带城域网出口流量呈带宽大、长连接多的特点,要求CGN设备具有高吞吐的能力;而移动互联网出口流量呈包长小、短连接多的特点,则对CGN设备在会话新建和并发能力上有较高要求。Hillstone CGN设备为两种场景都进行了考虑,采用了“多核+分布式”硬件模块化架构,并与新一代分布式软件架构配合,最大限度的发挥了多核处理器的能力,使整机性能得到前所未有的提升。Hillstone CGN设备整机最大吞吐量为360Gbps,每秒新建连接数达600万,并发会话连接数最大可达1.8亿,完全能够满足电信运营商宽带城域网和移动互联网的业务需求。在组网方案上,Hillstone CGN设备以双机AP模式旁挂部署在路由器上,提供会话级别的状态同步机制,防止业务系统单点故障,避免非对称流量问题,保证了业务的高可靠性。
运营商级的NAT技术
对于CGN设备,传统NAT技术是基本要求,Hillstone支持SNAT、DNAT等传统的NAT技术,并能够对多种应用协议进行ALG处理,在运营商行业一直有不断的积累,使得技术相当成熟。随着运营商对地址、带宽资源的优化需求,以及对用户监管溯源需求的迫切,一些CGN特性,如Full cone NAT、NAT444等,成为必要的选择。Hillstone CGN设备支持Full cone NAT、NAT444。Full cone NAT可将同一个私网[IP:Port]的会话映射成同一个公网[NAT IP:Port]进行通信,以节省NAT地址资源;也可对同一个内网中的用户互访进行NAT穿越,节省出口带宽。NAT444使用为私网地址用户分配静态或动态公网地址+端口块的方式,方便溯源,降低管理成本。
强大的应用识别能力和QoS功能
运营商宽带城域网经常会遇到网络忙时带宽拥堵问题,主要原因是部分用户对P2P等高带宽消耗应用的滥用,严重影响非P2P用户的上网体验。而随着各种语音、视频通信等OTT类移动互联网应用的蓬勃发展,运营商移动互联网的资源被大量占用,并且被管道化,这是移动互联网遇到的问题。为解决如上问题,在CGN设备上对应用进行识别,并进行有效的带宽管理和控制成为运营商的选择。Hillstone CGN设备支持识别1000多种、20多个分类的应用协议,可以提供基于应用的访问控制,并可以通过QoS功能对不同的网络应用流量进行不同时间段的最大带宽限制、最小带宽保障,也可为特定应用预留带宽资源,同时还支持对IP/IP段的带宽进行控制,以对不同类型的客户进行合理的带宽分配。
应对监管要求的高性能日志审计方案
公安部82号令规定,互联网服务提供单位能够记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名,并且在使用内部网络地址与互联网网络地址转换方式为用户提供接入服务时,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系,应当具有至少保存六十天记录备份。Hillstonet安全审计平台(HSA)为电信运营商运维人员提供了一个高效的日志审计平台。HSA支持集中收集日志,内容包含NAT会话日志、NAT444用户日志、URL访问日志、QQ上下线日志,入库性能最高可达100,000EPS;HSA提供高速日志检索功能,平均检索时间小于20秒;HSA可实现海量日志的记录,满足保存不少于90天日志的监管要求。