LTE核心網(wǎng)帶寬和性能解決方案

標(biāo)簽：LTE DPI

聚焦40G和智能DPI的分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)實(shí)現(xiàn)

Linley集團(tuán)近期市場分析預(yù)測，在未來5年內(nèi)連接設(shè)備將增長26倍。到2015年，僅智能手機(jī)出貨量就將達(dá)到6.75億，預(yù)計(jì)增長2.8倍。

在同樣的時(shí)間段里，具有無線功能的移動計(jì)算設(shè)備預(yù)計(jì)將從32%上升至65%。從應(yīng)用的角度來看，移動視頻推動了對帶寬和低延遲的需求，二者都是可預(yù)見且一致的。思科的分析表明，所有移動數(shù)據(jù)流量中66%包含視頻內(nèi)容。隨著社會網(wǎng)絡(luò)化和以“云”為基礎(chǔ)的商業(yè)模式的發(fā)展，我們將看到在未來幾年內(nèi)基于Web和應(yīng)用的瀏覽會增加21%。這些新的市場需求和移動設(shè)備中對新技術(shù)的積極采用帶來了多種技術(shù)上的戰(zhàn)，我們在向市場推出新服務(wù)時(shí)必須考慮到這一點(diǎn)。

由于網(wǎng)絡(luò)復(fù)雜性的增加，帶寬匹配和計(jì)算性能的挑戰(zhàn)也在增加。它現(xiàn)在需要維持龐大的流量和迅速倍增的用戶數(shù)據(jù)量，因?yàn)樾略O(shè)備增加了許多倍。安全性也變得更加重要，因?yàn)檫B接到移動網(wǎng)絡(luò)的更多設(shè)備、操作系統(tǒng)和應(yīng)用暴露了新的威脅。它們除了傷害個(gè)人用戶和設(shè)備外，會潛在地傷害整個(gè)網(wǎng)絡(luò)。運(yùn)營商在發(fā)展自己的網(wǎng)絡(luò)及尋找提供具有預(yù)期安全水平的無處不在的訪問方式時(shí)，必須考慮到所有這一切。

LTE與演進(jìn)包核心

3GPP已經(jīng)為下一代移動基礎(chǔ)設(shè)備創(chuàng)建了架構(gòu)，稱為LTE(Long Term Evolution，長期演進(jìn))。LTE為基于多個(gè)設(shè)備的網(wǎng)絡(luò)提供了網(wǎng)絡(luò)基礎(chǔ)設(shè)施和無線接口，并遷移到僅基于IP的互聯(lián)戰(zhàn)略。此IP網(wǎng)絡(luò)將提供與任何設(shè)備之間基于數(shù)據(jù)包的語音、視頻和內(nèi)容轉(zhuǎn)碼。支持100Mbps的LTE目前每臺設(shè)備的延遲小于10ms，將來的版本可能是這個(gè)速度的3倍。

LTE的主要功能成分是演進(jìn)包核心(Evolved Packet Core, EPC)，它被構(gòu)造為一種安全的IP網(wǎng)絡(luò)，且必須提供多個(gè)當(dāng)前及傳統(tǒng)RAN的移動性和互通性的支持。EPC有3個(gè)主要子實(shí)體。

1. MME(Mobility Management Entity，移動管理實(shí)體)提供了用于LTE接入網(wǎng)絡(luò)的主要控制。它跟蹤負(fù)責(zé)身份驗(yàn)證、移動性，以及與傳統(tǒng)接入2G/3G接入網(wǎng)絡(luò)的互通性的用戶設(shè)備(UE)。該MME還支持合法的信號攔截。

2.SWG(服務(wù)網(wǎng)關(guān))路由和轉(zhuǎn)發(fā)用戶數(shù)據(jù)包，同時(shí)也作為eNodeB之間互相傳遞期間用戶平面的移動錨，以及作為LTE和其他3GPP技術(shù)的移動性的錨。

3.PGW(分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān))管理用戶設(shè)備(UE)和外部分組數(shù)據(jù)網(wǎng)絡(luò)之間的連接。一個(gè)UE可以與訪問多個(gè)PDN的多個(gè)PGW同步連接。PGW執(zhí)行政策的實(shí)施，為每個(gè)用戶進(jìn)行數(shù)據(jù)包過濾、計(jì)費(fèi)支持、合法攔截和數(shù)據(jù)包篩選。

分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)是推動對處理器和帶寬性能增加需求的關(guān)鍵網(wǎng)絡(luò)元素。PGW的主要功能是UE IP地址分配、基于每個(gè)用戶的數(shù)據(jù)包過濾、深度包檢測(DPI)和合法攔截。

下圖顯示了PGW內(nèi)具備的廣泛功能和所需的軟件和協(xié)議層，以及SGW和PGW之間的一些公共層。這類功能中有些需要大量處理資源，必須能處理不會反過來影響整體網(wǎng)絡(luò)性能的吞吐量和連通性。支持這些重要功能的唯一可行方式是利用專用硬件資源。

核心網(wǎng)絡(luò)的安全性

PGW中推動高帶寬和處理性能的功能主要是與核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全要求有關(guān)的功能。其中許多(如果不是所有 )功能需要10GbE以上的高帶寬接口。檢測運(yùn)行中的流量然后根據(jù)每個(gè)數(shù)據(jù)包的內(nèi)容做決定的能力，是PGW安全功能得以實(shí)現(xiàn)的技術(shù)基礎(chǔ)。這項(xiàng)技術(shù)稱為深度包檢測(DPI)，由專門的多核處理器驅(qū)動，并配以最高可達(dá)40GbE的I/O。利用處理器之間的高速互聯(lián)是維持流量和平衡PGW平臺中的處理器利用率的另一個(gè)關(guān)鍵推動因素。這種傳輸機(jī)制需要三層處理，利用各個(gè)處理器刀片上的40GbE接口。這種刀片處理器有一個(gè)可將特定數(shù)據(jù)包路由到專用socket和/ 或刀片內(nèi)核的協(xié)議結(jié)構(gòu)。

深度包檢測

顧名思義，DPI深度關(guān)注數(shù)據(jù)流量，并能夠讀取每一個(gè)字節(jié)，直到它可以判斷是否需要根據(jù)其預(yù)先設(shè)定的規(guī)則之一標(biāo)記任何特定數(shù)據(jù)包。DPI是一個(gè)專門的硬件和軟件組合，能夠標(biāo)識特定協(xié)議和應(yīng)用程序、不恰當(dāng)?shù)腢RL、入侵企圖和惡意軟件。在許多情況下，DPI引擎只是標(biāo)識和標(biāo)記“違規(guī)”數(shù)據(jù)包，并報(bào)告給一個(gè)更高級的應(yīng)用機(jī)構(gòu)。在某些情況下，比如入侵企圖、病毒或惡意軟件，系統(tǒng)可以采取預(yù)防性行動來完全拒絕或阻止特定的數(shù)據(jù)包或數(shù)據(jù)流。

典型DPI系統(tǒng)的功能分為四大類：

»協(xié)議分析與應(yīng)用識別——任何DPI系統(tǒng)的基礎(chǔ)都是識別和分離多種不同協(xié)議的能力。如今的復(fù)雜DPI系統(tǒng)可以識別數(shù)百個(gè)協(xié)議，幾乎涵蓋了所有應(yīng)用和服務(wù)類型。

»防惡意軟件和反病毒防護(hù)——互聯(lián)網(wǎng)發(fā)展的副作用是嚴(yán)重的病毒和惡意軟件問題。DPI系統(tǒng)通過與包含已識別的惡意URL和病毒簽名的廣泛數(shù)據(jù)庫作比較，可以識別并消除這些威脅。

» IDS和/或IPS——入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)在許多方面是相似的，在一個(gè)關(guān)鍵方面不同。兩者都檢測未經(jīng)授權(quán)者(比如黑客)入侵企圖，但I(xiàn)DS僅僅記錄和報(bào)告，而IPS檢測到入侵時(shí)會自動采取行動。

» URL過濾——一個(gè)相對簡單和直接的功能，將URL與已知威脅數(shù)據(jù)庫作比較，過濾并刪除潛在的威脅。難點(diǎn)在于要能夠以“線速”為數(shù)以百萬計(jì)的URL做這一切。

鑒于PGW平臺的吞吐量需要，任何DPI引擎都必須具備檢查龐大數(shù)量的數(shù)據(jù)流和數(shù)據(jù)包的能力。這種軟件引擎本質(zhì)上是一個(gè)不斷重復(fù)的任務(wù)集，它在高度并行環(huán)境下工作，使多核架構(gòu)成為性能和可擴(kuò)展性方面的理想解決方案。這些技術(shù)的領(lǐng)先供應(yīng)商之一是Cavium Networks公司，它們提供的多核OCTEON II處理器具有內(nèi)置包檢測引擎。

Cavium Networks公司的OCTEON II