为了应对复杂多变的网络威胁和入侵，用户在网络出口链路上部署了越来越多的安全设备，将网络入侵的可能性降到最低。因此，出口串联安全设备的规模从最早的只有防火墙，发展到现在的防火墙 + DDoS防御 + IPS + IDS + WAF + 上网行为管理 + ……众多不同品牌、不同功能的安全产品串联在一起，组成“安全资源池”。

这确实有效防御了大部分的网络威胁和入侵问题，但却为用户网络引入了单点故障、性能瓶颈、设备有效利用率低下、运维成本高、故障点增多且排查困难、不利于投资保护等一系列新的问题。

星融SDN服务链解决方案

星融Asterfusion构建了出口安全资源池的Service Chaining（服务链）解决方案，对传统网络安全设备串联的部署模式进行了三大改造，为用户提供高性能、简运维、开放和可编程的出口网络，可以完美解决出口安全设备串联部署所面临的所有挑战。

<改造一>

出口链路新增两台Asterfusion NX系列交换机，作为统一调度和转发出口数据流量的交换设备，解决了——

✚ 所有出口设备（包括出口路由器、安全资源池中的设备、LAN中的汇聚设备、SDN控制器等）双链路连接至NX交换机，采用LAG技术保证链路的高可靠性，同时在组内接口之间可实现负载均衡的流量输出。如果LAG内某接口Down掉，输出到该接口的流量会自动负载均衡输出到LAG内其它Link接口；

✚ 两台高性能的Asterfusion NX系列交换机作为统一调度和转发出口数据流量的交换设备，两台交换设备之间可通过MLAG（Multi-chassis Link Aggregation Group）技术实现跨设备链路聚合的机制，把出口链路可靠性从单板级提高到了设备级，组成双活系统，同时设备之间主备冗余，保证高可靠性。

<改造二>

将出口串联的所有设备，包括防火墙、DDoS防御、IPS、IDS、WAF、上网行为管理等，分别旁挂到Asterfusion NX系列交换机上，根据设备的性能，选用千兆或万兆线路连接，解决了——

✚ 消除单点故障，安全设备的故障不再成为影响出口网络流量正常转发的因素；

✚ 消除性能瓶颈，旁挂的安全设备处理性能不再成为影响出口链路转发速率的瓶颈，Asterfusion NX的性能成为出口性能的唯一决定因素，而Asterfusion NX系列交换机是基于可编程交换芯片的设计，其线速转发速率可以达到Tbps级别，完全满足当前用户对出口网络带宽的需求；

✚ 保护投资，当出口带宽从千兆升级至万兆时，可利旧安全设备。比如可以与升级后的新设备做主备冗余，保障设备的高可靠性。还可以与新设备之间做负载分担，利旧的同时保证高速的报文处理速度；

✚ 降低运维成本，任何针对出口安全设备的运维工作，如维护、添加、移除、升级或重新配置等，可以在任何时间开展，不会影响出口网络的正常通信。

<改造三>

增加Asteria Fabric Controller或者利用用户现有的第三方SDN Controller连接并控制NX交换机，将控制面与数据面分离，进行网络的远程管理和运营，解决了——

✚ 提高设备有效利用率，Asteria Fabric Controller或者用户现有的第三方SDN Controller下发流表到Asterfusion NX交换机，交换机遵循该流表将各种出口流量引流至安全资源池中的对应安全设备中，并进行流量的清洗，处理完毕后再回到原始链路中，达到消除威胁、抵御入侵的目的。其中，安全资源池既可以支持硬件安全设备，也可以支持虚拟安全节点。交换机智能感知不同的业务流量，按需引流，根据客户需求动态增删或升级服务链中的节点，使设备的有效利用率大幅提升；

✚ 降低运营成本，在Asteria Fabric Controller的界面上不仅可以清晰掌握屈居出口网络拓扑的情况，还可以实现远程管理和运营，比如根据用户需求更新用户业务流量的流表、增加或者删除服务链中的安全节点等；

✚ 根据Asteria Fabric Controller界面上网络拓扑的实时变化掌握当前网络情况，哪一个节点出现故障，拓扑图会清晰显示并告警提示管理人员，实现故障的快速定位，将影响降至最低。

星融SDN服务链方案亮点小结

☻ 高性能，当出口带宽一定时，具备Tbps级别线速转发性能的Asterfusion NX系列交换机成为唯一决定出口转发性能的因素，消除出口性能瓶颈；

☻ 高可靠性，NX交换设备主备冗余，实现设备级的高可靠性；采用LAG技术保证链路的高可靠性，LAG在组内接口之间实现负载均衡，保证链路级的可靠性；MLAG技术实现跨设备的链路聚合，把出口链路可靠性从单板级提高到了设备级，组成双活系统；

☻ 高稳定性，安全设备的增删、故障、改造、升级等操作以及连接安全设备的链路、端口故障，都不会对出口网络带来任何影响；

☻ 设备有效利用率高，Asteria Fabric Controller与NX交换机的组合，达到智能感知不同的业务流量，按需引流的效果；

☻ 易用性强，通过Asteria Fabric Controller的界面进行各项操作，实现出口网络的远程管理和运营，简单易用；

☻ 投资保护，利旧安全设备，可与新设备一起实现主备冗余，也可实现负载均衡，物尽其用；

☻ 出口带宽的可扩展性强，NX交换机具备Tbps级别的线速转发性能和100G端口，支持网络出口带宽5-10年的平滑升级。

2019年08月09日 于上海

版权作品 未经许可 请勿转载