LTE核心网带宽和性能解决方案
标签:LTE DPI
本文引用地址:http://www.amcfsurvey.com/article/154539.htm聚焦40G和智能DPI的分组数据网网关实现
Linley集团近期市场分析预测,在未来5年内连接设备将增长26倍。到2015年,仅智能手机出货量就将达到6.75亿,预计增长2.8倍。
在同样的时间段里,具有无线功能的移动计算设备预计将从32%上升至65%。从应用的角度来看,移动视频推动了对带宽和低延迟的需求,二者都是可预见且一致的。思科的分析表明,所有移动数据流量中66%包含视频内容。随着社会网络化和以“云”为基础的商业模式的发展,我们将看到在未来几年内基于Web和应用的浏览会增加21%。这些新的市场需求和移动设备中对新技术的积极采用带来了多种技术上的战,我们在向市场推出新服务时必须考虑到这一点。
由于网络复杂性的增加,带宽匹配和计算性能的挑战也在增加。它现在需要维持庞大的流量和迅速倍增的用户数据量,因为新设备增加了许多倍。安全性也变得更加重要,因为连接到移动网络的更多设备、操作系统和应用暴露了新的威胁。它们除了伤害个人用户和设备外,会潜在地伤害整个网络。运营商在发展自己的网络及寻找提供具有预期安全水平的无处不在的访问方式时,必须考虑到所有这一切。
3GPP已经为下一代移动基础设备创建了架构,称为LTE(Long Term Evolution,长期演进)。LTE为基于多个设备的网络提供了网络基础设施和无线接口,并迁移到仅基于IP的互联战略。此IP网络将提供与任何设备之间基于数据包的语音、视频和内容转码。支持100Mbps的LTE目前每台设备的延迟小于10ms,将来的版本可能是这个速度的3倍。
LTE的主要功能成分是演进包核心(Evolved Packet Core, EPC),它被构造为一种安全的IP网络,且必须提供多个当前及传统RAN的移动性和互通性的支持。EPC有3个主要子实体。
1. MME(Mobility Management Entity,移动管理实体)提供了用于LTE接入网络的主要控制。它跟踪负责身份验证、移动性,以及与传统接入2G/3G接入网络的互通性的用户设备(UE)。该MME还支持合法的信号拦截。
2.SWG(服务网关)路由和转发用户数据包,同时也作为eNodeB之间互相传递期间用户平面的移动锚,以及作为LTE和其他3GPP技术的移动性的锚。
3.PGW(分组数据网网关)管理用户设备(UE)和外部分组数据网络之间的连接。一个UE可以与访问多个PDN的多个PGW同步连接。PGW执行政策的实施,为每个用户进行数据包过滤、计费支持、合法拦截和数据包筛选。
分组数据网网关是推动对处理器和带宽性能增加需求的关键网络元素。PGW的主要功能是UE IP地址分配、基于每个用户的数据包过滤、深度包检测(DPI)和合法拦截。
下图显示了PGW内具备的广泛功能和所需的软件和协议层,以及SGW和PGW之间的一些公共层。这类功能中有些需要大量处理资源,必须能处理不会反过来影响整体网络性能的吞吐量和连通性。支持这些重要功能的唯一可行方式是利用专用硬件资源。
核心网络的安全性
PGW中推动高带宽和处理性能的功能主要是与核心网络基础设施中的安全要求有关的功能。其中许多(如果不是所有 )功能需要10GbE以上的高带宽接口。检测运行中的流量然后根据每个数据包的内容做决定的能力,是PGW安全功能得以实现的技术基础。这项技术称为深度包检测(DPI),由专门的多核处理器驱动,并配以最高可达40GbE的I/O。利用处理器之间的高速互联是维持流量和平衡PGW平台中的处理器利用率的另一个关键推动因素。这种传输机制需要三层处理,利用各个处理器刀片上的40GbE接口。这种刀片处理器有一个可将特定数据包路由到专用socket和/ 或刀片内核的协议结构。
深度包检测
顾名思义,DPI深度关注数据流量,并能够读取每一个字节,直到它可以判断是否需要根据其预先设定的规则之一标记任何特定数据包。DPI是一个专门的硬件和软件组合,能够标识特定协议和应用程序、不恰当的URL、入侵企图和恶意软件。在许多情况下,DPI引擎只是标识和标记“违规”数据包,并报告给一个更高级的应用机构。在某些情况下,比如入侵企图、病毒或恶意软件,系统可以采取预防性行动来完全拒绝或阻止特定的数据包或数据流。
典型DPI系统的功能分为四大类:
»协议分析与应用识别——任何DPI系统的基础都是识别和分离多种不同协议的能力。如今的复杂DPI系统可以识别数百个协议,几乎涵盖了所有应用和服务类型。
»防恶意软件和反病毒防护——互联网发展的副作用是严重的病毒和恶意软件问题。DPI系统通过与包含已识别的恶意URL和病毒签名的广泛数据库作比较,可以识别并消除这些威胁。
» IDS和/或IPS——入侵检测系统(IDS)和入侵防御系统(IPS)在许多方面是相似的,在一个关键方面不同。两者都检测未经授权者(比如黑客)入侵企图,但IDS仅仅记录和报告,而IPS检测到入侵时会自动采取行动。
» URL过滤——一个相对简单和直接的功能,将URL与已知威胁数据库作比较,过滤并删除潜在的威胁。难点在于要能够以“线速”为数以百万计的URL做这一切。
鉴于PGW平台的吞吐量需要,任何DPI引擎都必须具备检查庞大数量的数据流和数据包的能力。这种软件引擎本质上是一个不断重复的任务集,它在高度并行环境下工作,使多核架构成为性能和可扩展性方面的理想解决方案。这些技术的领先供应商之一是Cavium Networks公司,它们提供的多核OCTEON II处理器具有内置包检测引擎。
Cavium Networks公司的OCTEON II
评论