打造边缘智能网

——宽窄带一体化路由器MP2700

    伴随着近年网络建设迅猛发展，网络宽带不断增加，各种应用层出不穷，多业务在边缘呈现融合趋势。为适应业务多样化，以路由器为主的网络边缘设备必须智能地感知业务，对承载的业务流量进行有效管理，以保证关键业务得到较高的服务质量。与此同时，网络的安全性也是网络先进性的重要标志，要求网络能够及时发现网络威胁、阻断网络攻击，防止病毒传播。为满足新业务模式下的客户需求，迈普因势至亦，打造了以宽窄带一体化路由器MP2700为代表的多业务边缘智能网络MeIN（Multi-Service Edge Intelligent Net）框架。

 

    运营商基础网络建设趋势，用户对带宽的需求等现象表明，窄带向宽带过渡是一种必然趋势。

    目前，运营商正大力兴建10G的SDH高速传输网络以及10G的IP传输网络，使高速线路的成本大幅度下降；但早期建设的低速专线难以升级到更高带宽，设备维护成本大幅度上升，导致单位带宽的成本大幅上升。由于高低带宽在运营商处成本反差极大，越来越多的运营商更希望用户租用宽带线路业务，即目前运营商大力推广的10M,100M等专线网络。

    另一方面，用户目前的业务也从原来仅仅的早期字符终端服务，增加了很多对带宽要求较高的其他业务，如图形化生产系统，OA办公，IP电话，网银，网络监控，网络视频培训，报警系统联动等各种系统；为有一个宽松的网络平台保证多业务正常进行，网络带宽成为必可少的基础设施，用户早期的窄带网络升级提升带宽势在必行，因此，选择性价比极高的专线业务是明智之举。

    虽然运营商大力推广10M,100M高速专线，用户也需要更高的带宽，但目前由于运营商不同区域的发展不一致，有些地方仅能提供N*64K的线路，而用户不同分支机构的业务发展参差不齐，导致宽带、窄带网络兼而有之，全网大统一的规范化网络建设思路难以为继。

    同时，由于很多用户的分支机构在新建宽带的时候，往往将早期建设的窄带网络作为备份线路使用，既节省运营商的网络投入成本，也可使用户的分支机构连接更为稳定可靠节省投资。这种方式也直接导致一个分支结构同时出现宽带和窄带。

    除了我们已经分析的广域出口线路的接入方式，还有非常重要的因素就是内部网络接口的选择；目前分支机大多数终端设备都采用了以太网接口，致使分支机构网络设备的以太口数量成倍增加，由初期路由器上少量的1至2个。提升到8个、16个，甚至24个。

    基于上述分析，当前如果进行网络改造，理想的模式是每个分支机构都采用相同的设备，而且每个设备的广域接口不仅需要多个10/100M接口，还需要适当的窄带的V35/E1等接口，同时也需要设备能提供8/16/24个以太网接口连接分支结构本地的电脑以及网络终端等。

 

    为适应宽窄带共存的网络需求，为客户打造自动适应业务、体系化的高安全性、高服务质量的网络，以保证客户对网络的控制力度。迈普推出了打造边缘智能网络的利器——宽窄带一体化路由器MP2700。

    基于业务流的高速转发引擎设计。MP2700在报文转发基础上，实现了基于业务流的高速转引擎，该引擎在网络层拦截、分析和获取数据流的信息，以及数据流间的关联信息等，并且为每个数据流形成相应的记录，以及数据流间的关联记录，记录包括传统的五元组，数据流信息，业务类型信息等。由于有了更多有关数据流和业务的信息，系统能够根据事先定制的策略灵活的为不同的业务调整资源，适应不同的业务需求，如MP2700能够在上网的数据中区分出BT的业务数据，针对BT业务数据流进行智能的带宽控制和阻断，以便能够保证其它正常的上网业务；同时，根据这些丰富的数据流信息、业务信息及关联信息，可以区分出针对网络、上层协议漏洞而发起的各种攻击，从而实施有效的拦截，如TCP拦截（迈普专利技术）能够有效防御Syn flood等DOS攻击。MP2700基于业务流的转发模型，彻底改变了传统路由器简单包转发的机制，使得设备更加智能化，是实现边缘智能化的重要基础设施之一。

 

    纵深主动防御的安全功能设计。网络安全性是客户高度关注的重点，尽管网络中的防护产品越用越多，“墙”越垒越高，大量暴露的操作系统安全漏洞、与日俱增蠕虫病毒、网络攻击和间谍软件，以及不断出现的安全事件表明，网络威胁不但未得到有效抑制，反而更加突出。究其原因，除了安全系统设计方面的缺憾，还有就是安全产品之间无法实现“协同”作战，各“节点”间的安全日志、信息无法共享和挖掘分析，出现 “安全孤岛”，而没有形成有机的安全防护系统。

充分利用设备的优势以及接入终端的运算能力，在边沿接入层解决安全问题，利用分布式的计算，提高处理的效率和准确性，实现基于设备的群防群控的纵深主动防御系统，这就是迈普提出的“智能到边缘，安全到终端”的设计理念。MP2700遵循了这样的设计理念。在线路安全方面，系统能够提供IKE、IPSec等功能，提供高强度的算法，实现线路传输安全，保证数据在线路上的机密性、完整性，同时可以用数字证书进行身份认证，支持PKI技术，实现高可扩展性的智能部署等。

 

    对内容感知、流量管理的支持。在接入端，MP2700可与迈普终端安全系统联动，实现终端接入用户的身份认证，同时能够通过终端采集到准确的用户行为，监控终端的状态和行为，并智能分安全等级，根据终端的安全状态实现终端的网络接入控制，同时实施相关的控制策略，对不符合要求的终端提前控制，实施更为主动的防御。

 

    易用性设计，为用户提供透明度极高的智能武器。伴随设备的功能越来越多，管理也相应变得复杂，如何利用这些设备功能有效管理网络成为用户一大难题。而MP2700做了大胆的设计改进，除了传统的SHELL模式，还提供了完整的WEB图形化管理工具，为用户屏蔽了大量专业领域的内容，增加了设备的易用性，实现了透明管理。

在多业务融合网络时代，我们都想知道什么是最好的网络？而迈普的目标是把握宽窄带一体化技术脉搏，为客户打造边缘智能网，在我们看来，适合您的，就是最好的。