Hillstone電信運營商CGN解決方案

近年來智能手機、平板電腦等配備無線網卡的智能終端呈現普及化，網絡游戲、網絡社交、網上支付等各類型的互聯網應用呈爆炸性發展態勢，使得互聯網用戶數在持續增長。我國政府將寬帶提速提升至國家戰略，國內三大運營商開始實施光進銅退FTTx，進一步加大固網寬帶的建設；移動運營商也不斷加強移動互聯網建設，實行全業務發展的營銷策略。電信運營商亟需為寬帶城域網和移動互聯網解決如下問題：

	●	地址資源日益緊張，不能滿足用戶增長的速度；
	●	P2P等高帶寬消耗應用濫用，造成網絡擁堵；
	●	OTT類應用服務失控，電信運營商被管道化；
	●	為滿足上級單位監管要求，需要具有用戶上網日志審計的能力。

解決方案

通過在電信運營商寬帶城域網出口或移動互聯網出口部署Hillstone CGN設備，通過網絡地址轉換（NAT444等）功能幫助電信運營商解決地址資源不足的問題。同時，進行用戶上網日志審計，滿足上級單位的監管要求。

在寬帶城域網出口或移動互聯網出口，Hillstone高性能CGN設備作為綜合承載網元設備，旁掛在路由器上，發揮如下作用和優勢：

寬帶城域網出口流量呈帶寬大、長連接多的特點，要求CGN設備具有高吞吐的能力；而移動互聯網出口流量呈包長小、短連接多的特點，則對CGN設備在會話新建和并發能力上有較高要求。Hillstone CGN設備為兩種場景都進行了考慮，采用了“多核+分布式”硬件模塊化架構，并與新一代分布式軟件架構配合，最大限度的發揮了多核處理器的能力，使整機性能得到前所未有的提升。Hillstone CGN設備整機最大吞吐量為360Gbps，每秒新建連接數達600萬，并發會話連接數最大可達1.8億，完全能夠滿足電信運營商寬帶城域網和移動互聯網的業務需求。在組網方案上，Hillstone CGN設備以雙機AP模式旁掛部署在路由器上，提供會話級別的狀態同步機制，防止業務系統單點故障，避免非對稱流量問題，保證了業務的高可靠性。

對于CGN設備，傳統NAT技術是基本要求，Hillstone支持SNAT、DNAT等傳統的NAT技術，并能夠對多種應用協議進行ALG處理，在運營商行業一直有不斷的積累，使得技術相當成熟。隨著運營商對地址、帶寬資源的優化需求，以及對用戶監管溯源需求的迫切，一些CGN特性，如Full cone NAT、NAT444等，成為必要的選擇。Hillstone CGN設備支持Full cone NAT、NAT444。Full cone NAT可將同一個私網[IP:Port]的會話映射成同一個公網[NAT IP:Port]進行通信，以節省NAT地址資源；也可對同一個內網中的用戶互訪進行NAT穿越，節省出口帶寬。NAT444使用為私網地址用戶分配靜態或動態公網地址+端口塊的方式，方便溯源，降低管理成本。

運營商寬帶城域網經常會遇到網絡忙時帶寬擁堵問題，主要原因是部分用戶對P2P等高帶寬消耗應用的濫用，嚴重影響非P2P用戶的上網體驗。而隨著各種語音、視頻通信等OTT類移動互聯網應用的蓬勃發展，運營商移動互聯網的資源被大量占用，并且被管道化，這是移動互聯網遇到的問題。為解決如上問題，在CGN設備上對應用進行識別，并進行有效的帶寬管理和控制成為運營商的選擇。Hillstone CGN設備支持識別1000多種、20多個分類的應用協議，可以提供基于應用的訪問控制，并可以通過QoS功能對不同的網絡應用流量進行不同時間段的最大帶寬限制、最小帶寬保障，也可為特定應用預留帶寬資源，同時還支持對IP/IP段的帶寬進行控制，以對不同類型的客戶進行合理的帶寬分配。

公安部82號令規定，互聯網服務提供單位能夠記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名，并且在使用內部網絡地址與互聯網網絡地址轉換方式為用戶提供接入服務時，能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系，應當具有至少保存六十天記錄備份。Hillstonet安全審計平臺（HSA）為電信運營商運維人員提供了一個高效的日志審計平臺。HSA支持集中收集日志，內容包含NAT會話日志、NAT444用戶日志、URL訪問日志、QQ上下線日志，入庫性能最高可達100,000EPS；HSA提供高速日志檢索功能，平均檢索時間小于20秒；HSA可實現海量日志的記錄，滿足保存不少于90天日志的監管要求。