LTE核心網(wǎng)帶寬和性能解決方案

標簽：LTE DPI

聚焦40G和智能DPI的分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)實現(xiàn)

Linley集團近期市場分析預測，在未來5年內(nèi)連接設備將增長26倍。到2015年，僅智能手機出貨量就將達到6.75億，預計增長2.8倍。

在同樣的時間段里，具有無線功能的移動計算設備預計將從32%上升至65%。從應用的角度來看，移動視頻推動了對帶寬和低延遲的需求，二者都是可預見且一致的。思科的分析表明，所有移動數(shù)據(jù)流量中66%包含視頻內(nèi)容。隨著社會網(wǎng)絡化和以“云”為基礎的商業(yè)模式的發(fā)展，我們將看到在未來幾年內(nèi)基于Web和應用的瀏覽會增加21%。這些新的市場需求和移動設備中對新技術(shù)的積極采用帶來了多種技術(shù)上的戰(zhàn)，我們在向市場推出新服務時必須考慮到這一點。

由于網(wǎng)絡復雜性的增加，帶寬匹配和計算性能的挑戰(zhàn)也在增加。它現(xiàn)在需要維持龐大的流量和迅速倍增的用戶數(shù)據(jù)量，因為新設備增加了許多倍。安全性也變得更加重要，因為連接到移動網(wǎng)絡的更多設備、操作系統(tǒng)和應用暴露了新的威脅。它們除了傷害個人用戶和設備外，會潛在地傷害整個網(wǎng)絡。運營商在發(fā)展自己的網(wǎng)絡及尋找提供具有預期安全水平的無處不在的訪問方式時，必須考慮到所有這一切。

LTE與演進包核心

3GPP已經(jīng)為下一代移動基礎設備創(chuàng)建了架構(gòu)，稱為LTE(Long Term Evolution，長期演進)。LTE為基于多個設備的網(wǎng)絡提供了網(wǎng)絡基礎設施和無線接口，并遷移到僅基于IP的互聯(lián)戰(zhàn)略。此IP網(wǎng)絡將提供與任何設備之間基于數(shù)據(jù)包的語音、視頻和內(nèi)容轉(zhuǎn)碼。支持100Mbps的LTE目前每臺設備的延遲小于10ms，將來的版本可能是這個速度的3倍。

LTE的主要功能成分是演進包核心(Evolved Packet Core, EPC)，它被構(gòu)造為一種安全的IP網(wǎng)絡，且必須提供多個當前及傳統(tǒng)RAN的移動性和互通性的支持。EPC有3個主要子實體。

1. MME(Mobility Management Entity，移動管理實體)提供了用于LTE接入網(wǎng)絡的主要控制。它跟蹤負責身份驗證、移動性，以及與傳統(tǒng)接入2G/3G接入網(wǎng)絡的互通性的用戶設備(UE)。該MME還支持合法的信號攔截。

2.SWG(服務網(wǎng)關(guān))路由和轉(zhuǎn)發(fā)用戶數(shù)據(jù)包，同時也作為eNodeB之間互相傳遞期間用戶平面的移動錨，以及作為LTE和其他3GPP技術(shù)的移動性的錨。

3.PGW(分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān))管理用戶設備(UE)和外部分組數(shù)據(jù)網(wǎng)絡之間的連接。一個UE可以與訪問多個PDN的多個PGW同步連接。PGW執(zhí)行政策的實施，為每個用戶進行數(shù)據(jù)包過濾、計費支持、合法攔截和數(shù)據(jù)包篩選。

分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)是推動對處理器和帶寬性能增加需求的關(guān)鍵網(wǎng)絡元素。PGW的主要功能是UE IP地址分配、基于每個用戶的數(shù)據(jù)包過濾、深度包檢測(DPI)和合法攔截。

下圖顯示了PGW內(nèi)具備的廣泛功能和所需的軟件和協(xié)議層，以及SGW和PGW之間的一些公共層。這類功能中有些需要大量處理資源，必須能處理不會反過來影響整體網(wǎng)絡性能的吞吐量和連通性。支持這些重要功能的唯一可行方式是利用專用硬件資源。

核心網(wǎng)絡的安全性

PGW中推動高帶寬和處理性能的功能主要是與核心網(wǎng)絡基礎設施中的安全要求有關(guān)的功能。其中許多(如果不是所有 )功能需要10GbE以上的高帶寬接口。檢測運行中的流量然后根據(jù)每個數(shù)據(jù)包的內(nèi)容做決定的能力，是PGW安全功能得以實現(xiàn)的技術(shù)基礎。這項技術(shù)稱為深度包檢測(DPI)，由專門的多核處理器驅(qū)動，并配以最高可達40GbE的I/O。利用處理器之間的高速互聯(lián)是維持流量和平衡PGW平臺中的處理器利用率的另一個關(guān)鍵推動因素。這種傳輸機制需要三層處理，利用各個處理器刀片上的40GbE接口。這種刀片處理器有一個可將特定數(shù)據(jù)包路由到專用socket和/ 或刀片內(nèi)核的協(xié)議結(jié)構(gòu)。

深度包檢測

顧名思義，DPI深度關(guān)注數(shù)據(jù)流量，并能夠讀取每一個字節(jié)，直到它可以判斷是否需要根據(jù)其預先設定的規(guī)則之一標記任何特定數(shù)據(jù)包。DPI是一個專門的硬件和軟件組合，能夠標識特定協(xié)議和應用程序、不恰當?shù)腢RL、入侵企圖和惡意軟件。在許多情況下，DPI引擎只是標識和標記“違規(guī)”數(shù)據(jù)包，并報告給一個更高級的應用機構(gòu)。在某些情況下，比如入侵企圖、病毒或惡意軟件，系統(tǒng)可以采取預防性行動來完全拒絕或阻止特定的數(shù)據(jù)包或數(shù)據(jù)流。

典型DPI系統(tǒng)的功能分為四大類：

»協(xié)議分析與應用識別——任何DPI系統(tǒng)的基礎都是識別和分離多種不同協(xié)議的能力。如今的復雜DPI系統(tǒng)可以識別數(shù)百個協(xié)議，幾乎涵蓋了所有應用和服務類型。

»防惡意軟件和反病毒防護——互聯(lián)網(wǎng)發(fā)展的副作用是嚴重的病毒和惡意軟件問題。DPI系統(tǒng)通過與包含已識別的惡意URL和病毒簽名的廣泛數(shù)據(jù)庫作比較，可以識別并消除這些威脅。

» IDS和/或IPS——入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)在許多方面是相似的，在一個關(guān)鍵方面不同。兩者都檢測未經(jīng)授權(quán)者(比如黑客)入侵企圖，但IDS僅僅記錄和報告，而IPS檢測到入侵時會自動采取行動。

» URL過濾——一個相對簡單和直接的功能，將URL與已知威脅數(shù)據(jù)庫作比較，過濾并刪除潛在的威脅。難點在于要能夠以“線速”為數(shù)以百萬計的URL做這一切。

鑒于PGW平臺的吞吐量需要，任何DPI引擎都必須具備檢查龐大數(shù)量的數(shù)據(jù)流和數(shù)據(jù)包的能力。這種軟件引擎本質(zhì)上是一個不斷重復的任務集，它在高度并行環(huán)境下工作，使多核架構(gòu)成為性能和可擴展性方面的理想解決方案。這些技術(shù)的領先供應商之一是Cavium Networks公司，它們提供的多核OCTEON II處理器具有內(nèi)置包檢測引擎。

Cavium Networks公司的OCTEON II