LTE核心網(wǎng)帶寬和性能解決方案

標簽：LTE DPI

聚焦40G和智能DPI的分組數據網(wǎng)網(wǎng)關(guān)實(shí)現

Linley集團近期市場(chǎng)分析預測，在未來(lái)5年內連接設備將增長(cháng)26倍。到2015年，僅智能手機出貨量就將達到6.75億，預計增長(cháng)2.8倍。

在同樣的時(shí)間段里，具有無(wú)線(xiàn)功能的移動(dòng)計算設備預計將從32%上升至65%。從應用的角度來(lái)看，移動(dòng)視頻推動(dòng)了對帶寬和低延遲的需求，二者都是可預見(jiàn)且一致的。思科的分析表明，所有移動(dòng)數據流量中66%包含視頻內容。隨著(zhù)社會(huì )網(wǎng)絡(luò )化和以“云”為基礎的商業(yè)模式的發(fā)展，我們將看到在未來(lái)幾年內基于Web和應用的瀏覽會(huì )增加21%。這些新的市場(chǎng)需求和移動(dòng)設備中對新技術(shù)的積極采用帶來(lái)了多種技術(shù)上的戰，我們在向市場(chǎng)推出新服務(wù)時(shí)必須考慮到這一點(diǎn)。

由于網(wǎng)絡(luò )復雜性的增加，帶寬匹配和計算性能的挑戰也在增加。它現在需要維持龐大的流量和迅速倍增的用戶(hù)數據量，因為新設備增加了許多倍。安全性也變得更加重要，因為連接到移動(dòng)網(wǎng)絡(luò )的更多設備、操作系統和應用暴露了新的威脅。它們除了傷害個(gè)人用戶(hù)和設備外，會(huì )潛在地傷害整個(gè)網(wǎng)絡(luò )。運營(yíng)商在發(fā)展自己的網(wǎng)絡(luò )及尋找提供具有預期安全水平的無(wú)處不在的訪(fǎng)問(wèn)方式時(shí)，必須考慮到所有這一切。

LTE與演進(jìn)包核心

3GPP已經(jīng)為下一代移動(dòng)基礎設備創(chuàng )建了架構，稱(chēng)為LTE(Long Term Evolution，長(cháng)期演進(jìn))。LTE為基于多個(gè)設備的網(wǎng)絡(luò )提供了網(wǎng)絡(luò )基礎設施和無(wú)線(xiàn)接口，并遷移到僅基于IP的互聯(lián)戰略。此IP網(wǎng)絡(luò )將提供與任何設備之間基于數據包的語(yǔ)音、視頻和內容轉碼。支持100Mbps的LTE目前每臺設備的延遲小于10ms，將來(lái)的版本可能是這個(gè)速度的3倍。

LTE的主要功能成分是演進(jìn)包核心(Evolved Packet Core, EPC)，它被構造為一種安全的IP網(wǎng)絡(luò )，且必須提供多個(gè)當前及傳統RAN的移動(dòng)性和互通性的支持。EPC有3個(gè)主要子實(shí)體。

1. MME(Mobility Management Entity，移動(dòng)管理實(shí)體)提供了用于LTE接入網(wǎng)絡(luò )的主要控制。它跟蹤負責身份驗證、移動(dòng)性，以及與傳統接入2G/3G接入網(wǎng)絡(luò )的互通性的用戶(hù)設備(UE)。該MME還支持合法的信號攔截。

2.SWG(服務(wù)網(wǎng)關(guān))路由和轉發(fā)用戶(hù)數據包，同時(shí)也作為eNodeB之間互相傳遞期間用戶(hù)平面的移動(dòng)錨，以及作為L(cháng)TE和其他3GPP技術(shù)的移動(dòng)性的錨。

3.PGW(分組數據網(wǎng)網(wǎng)關(guān))管理用戶(hù)設備(UE)和外部分組數據網(wǎng)絡(luò )之間的連接。一個(gè)UE可以與訪(fǎng)問(wèn)多個(gè)PDN的多個(gè)PGW同步連接。PGW執行政策的實(shí)施，為每個(gè)用戶(hù)進(jìn)行數據包過(guò)濾、計費支持、合法攔截和數據包篩選。

分組數據網(wǎng)網(wǎng)關(guān)是推動(dòng)對處理器和帶寬性能增加需求的關(guān)鍵網(wǎng)絡(luò )元素。PGW的主要功能是UE IP地址分配、基于每個(gè)用戶(hù)的數據包過(guò)濾、深度包檢測(DPI)和合法攔截。

下圖顯示了PGW內具備的廣泛功能和所需的軟件和協(xié)議層，以及SGW和PGW之間的一些公共層。這類(lèi)功能中有些需要大量處理資源，必須能處理不會(huì )反過(guò)來(lái)影響整體網(wǎng)絡(luò )性能的吞吐量和連通性。支持這些重要功能的唯一可行方式是利用專(zhuān)用硬件資源。

核心網(wǎng)絡(luò )的安全性

PGW中推動(dòng)高帶寬和處理性能的功能主要是與核心網(wǎng)絡(luò )基礎設施中的安全要求有關(guān)的功能。其中許多(如果不是所有 )功能需要10GbE以上的高帶寬接口。檢測運行中的流量然后根據每個(gè)數據包的內容做決定的能力，是PGW安全功能得以實(shí)現的技術(shù)基礎。這項技術(shù)稱(chēng)為深度包檢測(DPI)，由專(zhuān)門(mén)的多核處理器驅動(dòng)，并配以最高可達40GbE的I/O。利用處理器之間的高速互聯(lián)是維持流量和平衡PGW平臺中的處理器利用率的另一個(gè)關(guān)鍵推動(dòng)因素。這種傳輸機制需要三層處理，利用各個(gè)處理器刀片上的40GbE接口。這種刀片處理器有一個(gè)可將特定數據包路由到專(zhuān)用socket和/ 或刀片內核的協(xié)議結構。

深度包檢測

顧名思義，DPI深度關(guān)注數據流量，并能夠讀取每一個(gè)字節，直到它可以判斷是否需要根據其預先設定的規則之一標記任何特定數據包。DPI是一個(gè)專(zhuān)門(mén)的硬件和軟件組合，能夠標識特定協(xié)議和應用程序、不恰當的URL、入侵企圖和惡意軟件。在許多情況下，DPI引擎只是標識和標記“違規”數據包，并報告給一個(gè)更高級的應用機構。在某些情況下，比如入侵企圖、病毒或惡意軟件，系統可以采取預防性行動(dòng)來(lái)完全拒絕或阻止特定的數據包或數據流。

典型DPI系統的功能分為四大類(lèi)：

»協(xié)議分析與應用識別——任何DPI系統的基礎都是識別和分離多種不同協(xié)議的能力。如今的復雜DPI系統可以識別數百個(gè)協(xié)議，幾乎涵蓋了所有應用和服務(wù)類(lèi)型。

»防惡意軟件和反病毒防護——互聯(lián)網(wǎng)發(fā)展的副作用是嚴重的病毒和惡意軟件問(wèn)題。DPI系統通過(guò)與包含已識別的惡意URL和病毒簽名的廣泛數據庫作比較，可以識別并消除這些威脅。

» IDS和/或IPS——入侵檢測系統(IDS)和入侵防御系統(IPS)在許多方面是相似的，在一個(gè)關(guān)鍵方面不同。兩者都檢測未經(jīng)授權者(比如黑客)入侵企圖，但IDS僅僅記錄和報告，而IPS檢測到入侵時(shí)會(huì )自動(dòng)采取行動(dòng)。

» URL過(guò)濾——一個(gè)相對簡(jiǎn)單和直接的功能，將URL與已知威脅數據庫作比較，過(guò)濾并刪除潛在的威脅。難點(diǎn)在于要能夠以“線(xiàn)速”為數以百萬(wàn)計的URL做這一切。

鑒于PGW平臺的吞吐量需要，任何DPI引擎都必須具備檢查龐大數量的數據流和數據包的能力。這種軟件引擎本質(zhì)上是一個(gè)不斷重復的任務(wù)集，它在高度并行環(huán)境下工作，使多核架構成為性能和可擴展性方面的理想解決方案。這些技術(shù)的領(lǐng)先供應商之一是Cavium Networks公司，它們提供的多核OCTEON II處理器具有內置包檢測引擎。

Cavium Networks公司的OCTEON II