统一DPI解决方案丨AG凯时网络 - 守护安全 服务民生

统一DPI解决方案

一、系统体系架构


image.png

系统体系架构图


  • DPI处理平面

DPI处理平面主要由一台或多台T9603系列DPI设备组成,串接或并接部署在网络里面。主要的实现功能包括:流量的接收、应用识别、流量控制、流量的初步加工、会话识别结果转发、智能镜像等功能。DPI设备通过AG凯时内部的私有接口接收和处理来自集中管理平台的下发的策略,同时接收集中管理平台消息接受集中管理。


  • 管理平面

指集中管理平台。集中管理平台可以通过UI的策略输入配置来对各个机房的转发层面设备进行策略下发和策略执行结果的收集。集中管理平台支持SMMS策略下发接口,它通过把SMMS下发的策略消息转化成集中管理平台与转发层面的私有接口格式,从而实现对SMMS消息的支持。


  • 数据合成平面

数据合成平面包括智能流量分发设备和XDR合成服务器


⑴流量智能分发设备

DPI处理平面的设备经过协议识别或策略匹配,把相应加工后的流量转发到智能分发设备。智能分发设备根据报文中携带的信息,动态的把相关的报文分发到后端的XDR合成服务器。同时智能分发设备根据报文携带的信息实现报文复用功能。


⑵XDR合成服务器

XDR合成服务器接收来自DPI处理平面经过初步加工后的结构化数据,并进行XDR深度加工和关联,并实现统计级数据复用和会话级数据复用。

通过智能分发设备来保证流量的同源同宿,多台XDR合成服务器之间的数据实现同源同宿。



二、DPI设备——T9603


2.1 产品概述


本项目AG凯时网络采用完全自主研发的高性能T9603框式3槽位机架式设备,可根据不同业务模型提供不同业务处理卡及接口卡配置,该产品可广泛应用于运营商等网络环境,全面满足运营商、政府、军队等客户对网络流量进行采集、分析和控制等需求。



2.2 产品示意图


image.png

T9603示意图


2.3 性能指标


⑴DPI设备最大新建并发连接数

AG凯时T9603设备整机支持最大800万/秒的新建连接,整机支持最大2亿并发连接数。


⑵DPI设备最大流量处理能力

T9603设备为AG凯时自主研发的低功耗、高性能、高集成度、易维护的DPI设备,具有3个插槽,可以插入2块线卡和1块业务板卡,整体支持800Gbps的流量处理能力,支持4条100G双向流量的识别和流量控制能力。


⑶DPI设备转发时延

AG凯时T9603在满负载、满策略的情况下,转发时延小于98微秒。



三、智能流量分发设备——PatrolFlow-TME-6752


3.1 产品概述


PatrolFlow-TME-6752是AG凯时网络针对大型IDC数据中心,运营商核心、汇聚机房等高密度万兆网络环境下进行流量采集、流量分析、流量监控、入侵检测等应用需求而设计的高性能以太网分流器。


该产品在1U高度的盒式机箱上集成了48个10GE和4个40GE以太网接口,并提供丰富的流量过滤、智能分发、大流量汇聚、动态负载均衡等策略,是构建大型流量监控和分析平台的首选流量分发设备。



3.2 产品示意图

image.png

PatrolFlow-TME-6752示意图



四、Bypass设备——OBS6314DC02-1U


OBS6314DC02-1U型号分为交流型号、直流型号,交流型号为OBS6314DC02-1U413,直流型号为OBS6314DC02-1U513。


4.1 产品简介


光旁路保护器是一种光路控制设备,可用于保护光设备在出现故障(电源中断、硬件故障、软件死锁等)时,将被保护的设备旁路绕过此节点而保证网络不受影响。


光旁路保护器支持掉电旁路功能(Bypass掉电后自动切换旁路)、无心跳信号旁路功能(在丢失心跳信号后自动旁路)、手动旁路(手动操作旁路)等旁路功能,设备支持对每一条光链路独立控制操作。


光旁路保护器主要应用于流控设备光链路保护、直放站光设备光链路保护等场景。


OBS6314DC02-1U支持8:2分光。



4.2 产品示意图

image.png

OBS6314DC02示意图



4.3 光路连接说明

image.png

光路连接示意图