90系列DFX设备技术白皮书-V1 3_FR

Livre blanc technique sur les quipements DFX de la srie 90Systme de station de dtection des donnes de communicationManuel de conception du systmeLivre blanc technique sur les quipements DFX de la srie 90CEIECSommaire1Aperu11.1Positionnement de produit.11.2Avantages de produit11.3Forme de produits32Architecture du systme32.1Architecture matrielle du systme32.2Architecture logicielle du systme53Spcifications du systme63.1Spcifications techniques63.2Carte de traitement de service.83.2.110GE pour 48 ports.83.2.210GE pour 24 ports.84Caractristiques fonctionnelles94.1Technologie didentification des applications avance94.2Enregistrement de journaux de plein trafic94.3Distribution raffine base sur des applications104.4Extraction des mtadonnes cls115Application typique135.1Dploiement ordinaire135.2Audit de rseau145.3Contrle de gestion de trafic151 Aperu1.1 Positionnement de produitAvec la popularisation des terminaux intelligents et le dveloppement vigoureux de la technologie de rseau informatique, de nouveaux services sont en constante volution, les types et le nombre dapplications de divers systmes dexploitation se reproduisent sans fin, la connaissance dapplications et la segmentation des services sont donc imminentes.Lquipement DFX de la srie 90 est dot dun module DPI intgr, ayant des capacits approfondies danalyse des messages et danalyse de protocoles dapplication. Il peut obtenir en temps rel les donnes pertinentes sur le comportement dInternet fixe et mobile et les fournir au systme de service darrire-plan pour montrer larrire-plan le comportement de lutilisateur, les caractristiques de lapplication et lanalyse des situations de scurit, tablir une base technique rapide, complte et professionnelle. Lquipement DFX prend en charge le dploiement indpendant, il peut tre galement utilis en collaboration avec les quipements en srie et les quipements parallles.Suite au dploiement intgr avec les quipements en srie, les quipements en srie transmettent les donnes de trafic aux quipements DFX aprs les avoir obtenues pour lanalyse du trafic, puis les quipements DFX les envoient au systme de service darrire-plan pour lanalyse approfondie, et intgrent les stratgies mises jour dans les quipements en srie, permettant de raliser la gestion de rseau.Suite au dploiement intgr avec les quipements parallles, part les fonctions des quipements parallles existants, le module DPI ajout effectuera un filtrage plus fin du trafic de donnes. Non seulement sur la base de quintuple ou mot cl ACL dans le mode traditionnel, mais cela permet galement amliorer la connaissance dapplications de trois ou quatre couches de la structure de message sept couches de la structure de message, de manire obtenir une segmentation et une convergence des donnes plus prcises.1.2 Avantages de produitLquipement DFX de la srie 90 prsente les avantages suivants :u Identification massive et prcise des applications aprs laccs la couche dacquisition Fourniture dune granularit didentification plus fine par rapport au flux/connexion/session; Mthode de reconnaissance avance par rapport ladaptation de formes.u Fourniture des journaux complets riches au Big Data et au systme de service darrire-plan, pour la visualisation holographique du comportement de lutilisateur Communication, journaux dutilisateur; Compatible avec la spcification du format standard Big Data; Journaux complets compltant efficacement le systme existant.u Dploiement flexible Prendre en charge le dploiement intgr avec les quipements en srie ou les quipements parallles; Pouvoir galement tre intgr en dehors des quipements parallles, tant compatible avec le systme existant.u Performances hyperpuissants, pouvant rpondant efficacement aux besoins de dveloppement long terme tels que lexpansion de service La performance de traitement dune carte unique DPI peut atteindre au maximum 100 Gbps; La performance de traitement de la machine complte peut atteindre au maximum 2Tbps.u Fiabilit de classe oprateur Conception darchitecture logicielle et matrielle de classe oprateur; Dploiement rel dpassant une bande passante de 20Tbps.u Fonctionnement et entretien faciles Mise niveau chaud de la bibliothque de plugin dapplication sans interruption de service; Interface de gestion graphique, WYSIWYG.1.3 Forme de produitsLquipement DFX de la srie 90 comprend quatre produits, 9002, 9005, 9012, 9020 :Figure 1-1 Forme de produits2 Architecture du systme2.1 Architecture matrielle du systmeLarchitecture distribue est conue pour le matriel du systme de produit, qui peut configurer de manire flexible la carte de traitement de service en fonction de lapplication relle pour fournir une capacit de traitement de service de masse et de haute densit.Figure 2-1 Architecture matrielle du systmeLa carte de traitement de service peut accder au trafic, effectuer le traitement et lanalyse de service et exporter des fichiers journaux. Si le traitement de service exige multi-carte unique, cela peut seffectuer par la transmission la carte de traitement de service vise travers le fond de panier haute vitesse.La matrice de commutation du fond de panier peut fonctionner en mode redondant ou en mode de rpartition de charge.Tableau 2-1 Architecture matrielleCarte de commutation matresseLa carte unique contient lunit de commande principale et lunit de commutation de lquipement. Lunit de commutation complte la commutation de donnes entre les diffrentes cartes de traitement de service et fournit une redondance active et de secours 1+1 pour rpondre la fiabilit de classe oprateur.Fond de panierFournir la commutation Crossbar/CLOS, fournir actuellement une bande passante de commutation de 480Gbps une seule fente.Carte de traitement de serviceLa puce de traitement principale est une puce MCP, qui peut fournir des ports physiques externes pour la classification et le traitement du trafic des couches L4 L7.2.2 Architecture logicielle du systmeUne conception modulaire fonctionnelle est adopte pour le logiciel systme des produits DFX de la srie 90, qui garde efficacement chaque fonction indpendante, rduit le couplage logiciel et la dpendance au programme, et diminue le taux de dfaillance et limpact du risque.Figure 2-2 Architecture logicielle du systmeLe logiciel systme DFX est principalement divis en deux modules : identification de la classification des applications et gestion des flux.Les modules de classification des applications sont diviss en module dinitialisation, module de contrle, module dextraction de donnes dapplication, moteur de reconnaissance dapplication et bibliothque de protocoles dapplication, qui sont principalement mis en uvre par la carte de traitement de service. Parmi eux, le module dinitialisation et le module de contrle sont des modules inhrents au logiciel, et sont principalement responsables du chargement et du contrle des autres modules. Le module dextraction des donnes dapplication est charg dextraire les donnes dapplication du trafic; le moteur de reconnaissance dapplication peut comparer les donnes de trafic avec la bibliothque de protocoles pour raliser lidentification. Dans le mme temps, la bibliothque de protocoles dapplication sera continuellement mise jour en ligne pour garantir la dernire bibliothque de protocoles.Le module de gestion des flux est subdivis en analyse de protocole L2-L4, gestion de tunnel, tableau de flux, rorganisation de fragments IP, restauration de flux TCP, filtrage quintuple et filtrage de code de caractristique. Il est principalement mis en uvre par la carte de traitement de ligne et la carte de traitement de service pour obtenir une distribution raffine. Les oprations de traitement visent principalement au trafic ou tableau de flux.Figure 2-3 Processus de traitement des paquets de donnes de produits DFXAprs que le trafic de donnes entre dans le DFX, en fonction de la bibliothque de plugin dapplication dans le moteur de connaissance dapplications, le systme identifie les informations de trafic telles que lID dapplication et les mtadonnes du trafic de donnes, exporte les journaux holographiques de tout le trafic, configure des rgles dtailles bases sur les applications pour raffiner la distribution du trafic et gnre des donnes de plein trafic et un trafic classifi affin vers le systme de service darrire-plan.3 Spcifications du systme3.1 Spcifications techniquesTableau 3-1 Spcifications techniquesProduits9002900590129020Paramtres physiquesDimensions (mm)175mm (hauteur)442mm (largeur)450mm (profondeur)440mm (hauteur)442mm (largeur)450mm (profondeur)755mm (hauteur)442mm (largeur)450mm (profondeur)1775mm (hauteur)442mm (largeur)512mm (profondeur)Poids27kg52kg89kg400 000 heuresMTTR30 minutesHot-swapLa carte de commande principale et toutes les cartes dinterface de service prennent en charge le hot-swapSauvegarde redondanteModule de contrle principal, module de puissanceConsommation dnergieConditions dalimentationAlimentation CA : 100V 240V, 50Hz 60HzAlimentation CC : -57V -40VHVDC : 192V 400VConsommation lectrique de la carte uniqueLa consommation lectrique maximale dune carte de traitement fente unique est de 350WConsommation lectrique configuration complte850W1750W4200W7200WExigences environnementalesTemprature ambianteTemprature de lenvironnement de travail : -0C + 45CTemprature de lenvironnement de stockage: -40C + 70CHumidit ambianteHumidit relative 10% 90%, sans condensationAnti-sismeRsistant aux tremblements de terre de magnitude 7Protection contre la foudre4KV3.2 Carte de traitement de service3.2.1 10GE pour 48 portsLe circuit imprim peut fournir 48 interfaces optiques Ethernet 10 Gigabit, permettant deffectuer le traitement du paquet de L2 L7 pour rpondre aux applications complexes du rseautage pratique. Le module optique utilis par le circuit imprim est un module optique SFP enfichable, et tout port prend en charge plusieurs distances couramment utilises en Ethernet 10 Gigabit.Figure 3-1 10GE pour 48 ports3.2.2 10GE pour 24 portsLe circuit imprim peut fournir 24 interfaces optiques Ethernet 10 Gigabit, permettant deffectuer le traitement du paquet de L2 L7 pour rpondre aux applications complexes du rseautage pratique. Le module optique utilis par le circuit imprim est un module optique SFP enfichable, et tout port prend en charge plusieurs distances couramment utilises en Ethernet 10 Gigabit.Figure 3-2 10GE pour 24 ports4 Caractristiques fonctionnelles4.1 Technologie didentification des applications avanceLe DFX prend en charge la technologie didentification prcise des applications. Actuellement, plus de 30 000 applications peuvent tre identifies, dont plus de 60 catgories dapplications telles que le chat, laccs Internet, la vido, le courrier lectronique, le VPN, etc. Le DFX prend en charge prs de 100 types de protocoles courants tels que HTTP, P2P, DNS et POP3; en couvrant le terminal PC, le terminal mobile et divers systmes dexploitation, le DFX prend en charge la mise jour continue des caractristiques de protocoles. lheure actuelle, il existe deux types de technologies didentification dquipement DFX : Identification explicite : mise en correspondance des moyens didentification sur la base des caractristiques des informations de champ du protocole dapplication. Identification implicite: mise en correspondance et identification pour un seul paquet de donnes; proposition des informations didentification pour plusieurs paquets de donnes dans la mme session pour effectuer la correspondance; mise en correspondance et identification associe pour plusieurs paquets de donnes dans diffrentes sessions; analyse complte et identification base sur des modles statistiques pour les protocoles privs crypts ou ne prenant pas en charge lanalyse irrversible.4.2 Enregistrement de journaux de plein traficEn mode traditionnel, 70% du trafic de donnes est directement supprim, et le trafic supprim peut contenir des informations utiles, ce qui rend difficile la traabilit aprs les incidents ultrieurs. Le module DPI intgr de DFX, muni des fonctions de lanalyse du plein trafic et de lexportation des journaux, peut efficacement identifier, analyser et convertir tout le trafic entrant en journaux et les transmettre au systme danalyse de Big Data darrire-plan, en tant que complment efficace la restauration du trafic, permettant la visualisation holographique du comportement de lutilisateur.Les journaux actuellement disponibles incluent : Journaux de communication : y compris lidentification du terminal, lidentification de lapplication, lidentification du service, lheure, les statistiques de trafic, laccs lHTTP URL, la requte DNS, la connexion et la dconnexion dapplications spcifiques, etc.; Journaux dutilisateur : identification de lutilisateur, identification du terminal, informations de localisation, etc. du rseau mobile.4.3 Distribution raffine base sur des applicationsLes produits DFX prennent en charge la distribution raffine base sur des applications et la priorit des rgles de classification est configurable.Figure 4-1 Distribution raffineSur la base de la distribution du trafic selon les rgles didentification des applications, DFX prend galement en charge : Classer le trafic en fonction des comptes en ligne; Classer le trafic en fonction des informations de localisation physique; Classer le trafic en fonction de rgles spciales, telles que les rgles dHTTP URL ;En outre, DFX prend en charge lapplication mixte des diffrentes rgles de distribution ci-dessus et prend en charge la configuration de plusieurs priorits.4.4 Extraction des mtadonnes clsLes mtadonnes se rfrent aux informations descriptives cls des donnes et des ressources dinformations, telles que lexpditeur des e-mails, les informations LBS (informations sur la latitude et la longitude de lutilisateur) appartiennent toutes la catgorie des mtadonnes. La figure 6 montre la subdivision des mtadonnes des e-mails.Figure 4-2 Subdivision des mtadonnes des e-mailsDFX prend actuellement en charge plus de 300 types dextraction de mtadonnes. Il comprend non seulement des informations de mtadonnes de base telles quHTTP URL, mais galement des types de mtadonnes pour les services spciaux : Informations LBS : Informations de localisation prcises, informations de latitude et de longitude fournies par les applications utilisateur; Identifiant/mot de passe: identifiant et mot de passe de connexion transmis en texte clair pour certaines applications;125 Application typique5.1 Dploiement ordinaireFigure 5-1 Scnario de dploiement (intgr) de DFX en collaboration avec la plate-forme de Big DataComme le montre la figure ci-dessus, lquipement DFX prend en charge le dploiement intgr ou le dploiement indpendant, qui peut tre appliqu des scnarios danalyse de trafic du rseau fixe et danalyse de trafic Internet mobile. Aprs DFX, le trafic du rseau fixe et le trafic Internet mobile seront efficacement identifis et segments dans lquipement DFX. Les donnes de faible valeur (comme la vido, etc.) convergent ou mettent la fin de manire efficace dans lquipement.Le trafic proccupant les clients sera subdivis en services spcifiques et transmis aux quipements de restauration de donnes correspondants. Autre trafic sera galement envoy par lquipement DFX la plate-forme de Big Data darrire-plan sous la forme de journaux aux fins de lexploration de donnes en profondeur et de la mise en uvre de service par le systme de Big Data darrire-plan.5.2 Audit de rseau1. Statistiques du trafic de rseau2. Statistiques du trafic de APP3. Statistiques des flux caractristiques4. Statistiques des flux inhabituels5. .Figure 5-2 Scnario de dploiement daudit de rseauComme le montre la figure ci-dessus, les quipements parallles peuvent tre intgrs devant DFX et une partie ou la totalit du traf