LTE核心網帶寬和性能解決方案

標簽：LTE DPI

聚焦40G和智能DPI的分組數據網網關實現

Linley集團近期市場分析預測，在未來5年內連接設備將增長26倍。到2015年，僅智能手機出貨量就將達到6.75億，預計增長2.8倍。

在同樣的時間段里，具有無線功能的移動計算設備預計將從32%上升至65%。從應用的角度來看，移動視頻推動了對帶寬和低延遲的需求，二者都是可預見且一致的。思科的分析表明，所有移動數據流量中66%包含視頻內容。隨著社會網絡化和以“云”為基礎的商業模式的發展，我們將看到在未來幾年內基于Web和應用的瀏覽會增加21%。這些新的市場需求和移動設備中對新技術的積極采用帶來了多種技術上的戰，我們在向市場推出新服務時必須考慮到這一點。

由于網絡復雜性的增加，帶寬匹配和計算性能的挑戰也在增加。它現在需要維持龐大的流量和迅速倍增的用戶數據量，因為新設備增加了許多倍。安全性也變得更加重要，因為連接到移動網絡的更多設備、操作系統和應用暴露了新的威脅。它們除了傷害個人用戶和設備外，會潛在地傷害整個網絡。運營商在發展自己的網絡及尋找提供具有預期安全水平的無處不在的訪問方式時，必須考慮到所有這一切。

LTE與演進包核心

3GPP已經為下一代移動基礎設備創建了架構，稱為LTE(Long Term Evolution，長期演進)。LTE為基于多個設備的網絡提供了網絡基礎設施和無線接口，并遷移到僅基于IP的互聯戰略。此IP網絡將提供與任何設備之間基于數據包的語音、視頻和內容轉碼。支持100Mbps的LTE目前每臺設備的延遲小于10ms，將來的版本可能是這個速度的3倍。

LTE的主要功能成分是演進包核心(Evolved Packet Core, EPC)，它被構造為一種安全的IP網絡，且必須提供多個當前及傳統RAN的移動性和互通性的支持。EPC有3個主要子實體。

1. MME(Mobility Management Entity，移動管理實體)提供了用于LTE接入網絡的主要控制。它跟蹤負責身份驗證、移動性，以及與傳統接入2G/3G接入網絡的互通性的用戶設備(UE)。該MME還支持合法的信號攔截。

2.SWG(服務網關)路由和轉發用戶數據包，同時也作為eNodeB之間互相傳遞期間用戶平面的移動錨，以及作為LTE和其他3GPP技術的移動性的錨。

3.PGW(分組數據網網關)管理用戶設備(UE)和外部分組數據網絡之間的連接。一個UE可以與訪問多個PDN的多個PGW同步連接。PGW執行政策的實施，為每個用戶進行數據包過濾、計費支持、合法攔截和數據包篩選。

分組數據網網關是推動對處理器和帶寬性能增加需求的關鍵網絡元素。PGW的主要功能是UE IP地址分配、基于每個用戶的數據包過濾、深度包檢測(DPI)和合法攔截。

下圖顯示了PGW內具備的廣泛功能和所需的軟件和協議層，以及SGW和PGW之間的一些公共層。這類功能中有些需要大量處理資源，必須能處理不會反過來影響整體網絡性能的吞吐量和連通性。支持這些重要功能的唯一可行方式是利用專用硬件資源。

核心網絡的安全性

PGW中推動高帶寬和處理性能的功能主要是與核心網絡基礎設施中的安全要求有關的功能。其中許多(如果不是所有 )功能需要10GbE以上的高帶寬接口。檢測運行中的流量然后根據每個數據包的內容做決定的能力，是PGW安全功能得以實現的技術基礎。這項技術稱為深度包檢測(DPI)，由專門的多核處理器驅動，并配以最高可達40GbE的I/O。利用處理器之間的高速互聯是維持流量和平衡PGW平臺中的處理器利用率的另一個關鍵推動因素。這種傳輸機制需要三層處理，利用各個處理器刀片上的40GbE接口。這種刀片處理器有一個可將特定數據包路由到專用socket和/ 或刀片內核的協議結構。

深度包檢測

顧名思義，DPI深度關注數據流量，并能夠讀取每一個字節，直到它可以判斷是否需要根據其預先設定的規則之一標記任何特定數據包。DPI是一個專門的硬件和軟件組合，能夠標識特定協議和應用程序、不恰當的URL、入侵企圖和惡意軟件。在許多情況下，DPI引擎只是標識和標記“違規”數據包，并報告給一個更高級的應用機構。在某些情況下，比如入侵企圖、病毒或惡意軟件，系統可以采取預防性行動來完全拒絕或阻止特定的數據包或數據流。

典型DPI系統的功能分為四大類：

»協議分析與應用識別——任何DPI系統的基礎都是識別和分離多種不同協議的能力。如今的復雜DPI系統可以識別數百個協議，幾乎涵蓋了所有應用和服務類型。

»防惡意軟件和反病毒防護——互聯網發展的副作用是嚴重的病毒和惡意軟件問題。DPI系統通過與包含已識別的惡意URL和病毒簽名的廣泛數據庫作比較，可以識別并消除這些威脅。

» IDS和/或IPS——入侵檢測系統(IDS)和入侵防御系統(IPS)在許多方面是相似的，在一個關鍵方面不同。兩者都檢測未經授權者(比如黑客)入侵企圖，但IDS僅僅記錄和報告，而IPS檢測到入侵時會自動采取行動。

» URL過濾——一個相對簡單和直接的功能，將URL與已知威脅數據庫作比較，過濾并刪除潛在的威脅。難點在于要能夠以“線速”為數以百萬計的URL做這一切。

鑒于PGW平臺的吞吐量需要，任何DPI引擎都必須具備檢查龐大數量的數據流和數據包的能力。這種軟件引擎本質上是一個不斷重復的任務集，它在高度并行環境下工作，使多核架構成為性能和可擴展性方面的理想解決方案。這些技術的領先供應商之一是Cavium Networks公司，它們提供的多核OCTEON II處理器具有內置包檢測引擎。

Cavium Networks公司的OCTEON II