叶建良:全新开放的100G+架构,助力网络安全平台的部署和创新

摘要:本文将主要阐述凌华科技全新的开放标准的100G+架构,如何满足新一代高端网络安全平台的应用需求,从而助力基础架构平台的升级和创新。

叶建良3

叶建良    凌华科技网络安全与电信事业部总监

首先介绍一下凌华科技,凌华科技主要是提供面向垂直行业的客户应用,包括工业自动化、测量测试,医疗、交通、网络安全与电信,我主要负责网络安全与电信部分。在网络安全与电信我们主要涉及的业务在电信的SDN基础架构的平台,同时在数字监控的系统DSS,主要是在视频的处理,像视频的分析、人脸识别,涉及到视频高速处理方面的应用。还有电信的核心网或者网络边缘计算这一块。以及DPI、网络安全以及视频流媒体服务方面,面向这些平台我们主要是提供一个准应用的平台。我们提供给客户相当于是一个基础架构的平台,把客户各种各样类型的应用快速加载到我们平台上面,能够快速推向市场。目前我们主流的产品涉及到像DPI设备,网络安全的设备,流媒体的处理以及边缘计算的服务器等等。

今天主要想跟大家介绍一下在网络安全方面的基础架构的平台,针对像电信的统一DPI这个层面,我们是从接入一直到传输一直到整个网络架构的层面,我们提供一整套的解决方案,包括我们在前端在接入端提供2U的系统,更高阶的包括74到76,提供统一DPI的平台。另外我们也是非常关注的一个市场就是在云边界、云安全、云互联这个层面,我们知道在整个云里面,云和云之间的互联以及云和英特网之间的互联,我们需要云安全、云分流这样一些设备。我们凌华科技提供全系列的产品,从72到74以及76,很好的去支持虚拟化的部署。提供负载均衡,流量的管理,同源等中间件的功能,协助我们的客户把他们的应用构建在我们的硬件平台基础上。

另外像比较常见的网络安全方面的应用,像我们在UTM,下一代的防火墙,我们也提供全系列的产品,尤其我们在中高端的层面,我们也和国内很多的一线品牌进行深入的合作。像我们和绿盟以及华夏创新等等,有非常深入的合作。目前他们在我们平台的基础上,比如在Gartner分析里面,都是作为领导的厂商,不仅仅是在硬件层面上的一些优化,同时我们通过刚才提到的我们中间件还有客户的应用进行深度的性能优化、性能调优,使整体的平台达到一个非常极致性能的要求。

我们关注的都是和网络安全相关的部分,左边这两个圆圈的范围之内,第一个就是在网络的边界,这个网络的边界除了一般意义上的像边缘计算之外,我们也涉及到像网和网之间互联的层面。这里面层面包括传统通讯里面,像边界的网关等等,这一部分也是特别适合我们目前这个平台。另外就是整个通讯网、电信网数据链这一部分,它对基础架构有一个一致性的要求,它需要非常高的一个带宽的能力,非常高吞吐量的能量,非常低的网络延时,我们整个平台基本上就是在这个层面做到一个非常极致的程度。

另外一个层面,我们是一个开放的平台,我们做一个基础架构平台的时候,如果这个平台是私有的,在平台的绑定,在布置上面大家都会有些顾虑的地方。我们这个平台从一开始在定义推广这个平台的时候就是一个开放式的架构,我们把整个平台的规格和规范递交到OCP组织里面,整个平台是开放给所有的外部。一个层面就是我们利用这样一个开放平台,会有越来越多的人在这个平台基础上做一些扩展或者是二次开发,我们可以协助我们的集成商,我们其他一些合作伙伴,在这个基础上进行一些平台之上的二次开发。这样的话,会使得这个平台针对某些特殊的应用或者产品内部的特点或者是亮点,能够在这个基础架构的基础上提供一个更加专业化的服务和应用。对我们来讲,我们既可以从OCP的网站上面看到我们制定的规范,同时也可以直接向我们获取,我们可以把整个定义开放给大家。

总结来讲,我们网络安全平台主要的特点,第一个就是超高的吞吐容量和接口的能力,并且具备100G以上,涉及到兼容40G、10G还有25G的接口类型。另外还有非常高的密度,非常高的性能数据包处理,举个简单例子,比如我们的7400在一个4U空间里面支持四片双路Inter Xeon处理器板卡,同时两片网络交换板卡,优异的小包处理性能及每片双路Xeon板卡可以在零丢包率的前提下处理到50G以上的数据处理能力。所有的部件都是热插拔的,同时支持冗余备份的管理,这样完全符合电信级的要求。我们提供非常丰富的中间件软件的能力,非常高效的去应对流量智能的管理,减少客户在底层方面的开发工作量和研发时间,能够快速的帮助客户应用加载到我们的应用平台上面来,快速的去推向市场。最后一个,我们的平台都是支持SDN、NFV,对虚拟化的应用,本身我们这个平台是原生态的支持,我们做了一些性能的优化和调优。

简单来说,我们开放式的架构如果把它细分开来,把它分成四大部分,一大部分是业务的节点或者运算的节点。目前的运算节点主要是以自强处理器为主,通过周边加载的一些管理模块去提升针对特殊应用硬件加速的能力。另外就是系统交换的节点,交换不仅仅承担起系统内部的数据通路,同时可以作为对外统一的接口,通过我们丰富的底层的软件功能,提供非常好的数据流量的管理功能。还有就是额外的扩展模块,可以提供非常灵活的各种各样类型扩展的接口。从最底层的1G的网络接口一直到10G、100G,整个系列都是通过模块化、标准化的设计。通过核心的内部模块,就像搭一个积木一样,很容易按照不同类型的要求进行快速的组合。我们通过一个底层下面的系统,包括这个系统有一个最终产品的形态,呈现给我们的客户。目前已经量产的产品包括7400还有7600,同时可能针对一些更大规模的部署,我们提供整体解决方案。针对一些特殊应用,提供快速的开发。因为整个系统采用模块化的设计,系统最复杂的模块化,按照自己的目标去更新换代。这样的话,按照不同类型的应用去快速构建一个新的系统的时候,无论是从它的研发周期还是从它的品质管理,都能够快速构建出一个新的系统。

这边举一个简单的例子,比如针对网络安全方面,我们可以通过我们的CPU,通过交换以及接口的模块,以及硬件的加速模块,怎么快速的去组合出我们不同的产品形态。从外部来看,可能有2U或者4U的系统,但是系统内部是共用的,这样的话,无论是管理维护还是对上层软件的兼容性方面,都可以提供一个非常好的保障。从这边可以看到,一个7400相当于四台的7200,一个7600相当于三台的7400,当然我们还可以提供一个OCP,针对电信级版本的一个规范。

从另一个维度,从部署场景的角度来看,我们也提供端到端的解决方案。我们提供边缘计算的服务器,分成两的类,一类是适合于户外部署的,它的运行工作的环境,像这样一个双自强级别的服务器,可以做到IP65的防护等级,防水防尘的,它的工作温度可以达到零下40度到55度的户外要求。另外针对边缘计算,我们做边缘计算的服务器,它的深度要求能够做到小于500到600传统机架的要求,提供一个边缘计算的能力。另外一个就是针对更高性能的,部署在数据中心等等,提供更高密度、更高容量、更高规格的服务。

介绍我们已经量产的几款产品,第一个就是CSA-7400 4U网络安全平台,提供一个最高密度的处理能力,在这样一个系统里面可以提供两个交换的板卡,同时提供4个业务板卡,每个交换板卡我们自己可以提供到包含像36个万兆的接口,或者4个100G的接口,所有的接口类型都可以非常灵活的组合、搭配、替换。另外我们的7600,这个系统可以预留到400到800G的处理能力,整个系统是6.4T的能量要求。前面可以提供12个业务板卡,这个业务板卡有两种类型,一种类型就是上面的,400G的背板能力,另外我们提供显卡,它提供更高性能的IO能力,整个系统可以提供超过6.4T的处理能力。

在边缘这个层面我们主要是提供两种系列,第一种是SETO-1000系列,这是业界唯一一款产品,能把双自强做成防水防尘的水平,它的温度可以达到零下40度到60度的条件。另外我们目前正在开发的边缘计算服务器的平台,它在一个架构基础上可以支持两种规格,一种是双自强的级别,还有一种是自强T的级别,这个主要是针对边缘计算提供比较强的运算、存储还有一些视频处理的能力,这一部分可以整合包含凌华VPU的板卡或者其他来自于第三方标准的板卡,整个系统在一个非常小的空间里面提供一个非常强的服务器的平台。

这是我们提供的中间件,主要是针对数据的处理,包含它的数据面和控制面的部分。通过软件技术支持的服务,我们可以协助客户提供DBDK性能的验证,性能的调优,包括虚拟化的验证,以及我们本身在凌华科技上海总部建立了一个联合实验室,做了很多的整合性能的测试和调优。通过我们的软件团队对接我们客户的研发,提供快速的响应,提供客户在软件移植和支持方法,提供一个非常高效快速的二次开发,协同客户应用,更好的去构筑到我们这个平台上,加速这个产品推向市场。

最后我简单举几个我们应用的案例,第一个就是电信统一DPI、IPS和IDS应用,目前我们已经在运营商部署,其中我们和一个绿盟的合作,具体的应用案例可以在外面的凌华科技的展台上面有更详细的介绍。这里面最主要的就是对客户选择我们这个平台,第一个是非常高的密度,可以处理到360G的数据能力,在4U这么一个小的空间里面。第二个是非常高的系统吞吐量,整体系统能力达到1.3T的吞吐量,还有非常高的处理性能,还有我们这个平台非常好的模块化的设计,为客户未来升级换代是无缝的兼容。

这是另外一个虚拟化的应用,主要是做宽带的接入服务器。这个应用主要是对虚拟化这个层面,除了发挥这个平台本身的优势之外,我们在软件这个层面,给客户做了很多的底层性能的优化。我们在DBDK的性能,尤其在100G的这个板卡基础上做了很多性能优化,并且把其中一些优化也贡献到开源的组织里面,我们在软件层面提供了一些非常好的技术支持。

这是在零边界方面的一个应用,主要做应用交付系统,客户所做的是左侧的一些功能,在右侧这个部分,我们在虚拟机的基础上,我们提供了很多功能,比如像加速,还有二层三层甚至三层以上很多的数据防护的处理,包括数据的分流,通过我们的软件来协助我们客户把他们的高层应用更加高效的去构筑到我们这个技术平台上面来。

最后简单总结一下,我们提供从低阶的到中阶的到高阶的非常完整的一整套的100G平台的产品组合,我们有非常丰富的IO和密度,同时提供非常高的吞吐量,性能的要求,这是网络安全里面一个最核心的要求,就是系统的吞吐量。从最低阶的400G一直到6.4T的处理能力。还有一个就是模块化的设计,灵活的去配置,按照你实际的应用需求去灵活配置和扩展。还有就是提供电信级的可靠性的平台。

上一篇:任卫红:大数据网络安全等级保护的思考

下一篇:丁海:移动企业与数字化工作环境大趋势