A10應用交付控制器(ADC)作為A10產品線的核心架構,高級核心作業系統 (ACOS) 為A10整個產品線提供了一個具備應用感知能力的高性能平臺。ACOS通過增加CPU/處理器密度實現性能線性擴展,滿足客戶對於應用網路性能快速擴充的需求。A10 Networks在2013年發佈了性能卓越的A10 Thunder系列產品家族,以實體、虛擬和混合等多種設備形態,配合叢集技術擴充系統整體處理效能藉以滿足未來系統的成長需求。
基於ACOS平臺構建的Thunder系列包含下述產品線,滿足客戶不同需求:
1. Thunder ADC解決方案:下一代應用交付控制器產品線,可提升資料中心應用和網路的可用性、加速性和安全性。
2. Thunder CGN解決方案:服務供應商級NAT產品線,可為服務供應商網路提供大規模位址和協定轉換服務。
Thunder ADC 解決方案
Thunder ADC應用交付性能單台效能可高達220 Gbps,具備多樣的設備機型(實體型、虛擬型和混合型)。支援多台設備虛擬成為一台設備使用,支援至少8台設備的叢集佈署,提供統一的管理介面,設備設定和軟體版本自動同步,任何一台設備出現故障不影響業務和其他設備的正常使用,並能夠提升整體業務處理能力和設備性能。
A10 Thunder ADC 的特性與優勢:
1. 應用服務可用性
高可用性應用和資料中心:伺服器負載平衡(SLB)和全球伺服器負載平衡(GSLB)可通過檢測本地和遠端主機是否故障來確保應用服務的正常提供。同時根據主機健康檢查的結果,Thunder ADC能夠將連線請求發送到可服務的伺服器和資料中心。
• 下一代雲端資料中心演進:採用vThunder虛擬裝置,透過支援SDNs(軟體定義網路)、虛擬網路技術(VXLAN和NVGRE)、雲端協同系統(OpenStack、Microsoft SCVMM、Cisco ACI等)和網路功能虛擬化(NFV)的整合,Thunder ADC可實現服務鏈和流量的彈性且即時的控制。
• 應用服務的快速佈署:對於來自微軟(Exchange、Lync、SharePoint)及Oracle等公司的常見應用,您可通過快速啟用預先定義的智慧範本佈署關鍵應用服務。整個佈署時間可在數小時內完成,而不再是幾天甚至幾周。
2. 應用服務加速
• 應用加速帶來更出色的使用者體驗,並提高基礎架構利用率:採用多項領先技術包括SSL卸載(支援2048位和4096位長度金鑰與ECDHE加密技術)、HTTP壓縮、TCP優化及RAM暫存,為終端用戶提供快速的存取體驗,進而降低資本支出(CAPEX)和維運支出(OPEX)。
• 虛擬化的實現:通過虛擬化分區(ADPs)可在單台Thunder ADC設備上配置多達1,023個虛擬ADCs,ADPs可根據需要提供強有力的隔離和全面的資源隔離功能。
• 全面控制和深度封包檢測(DPI)功能:aFleX® TCL腳本可提供細微的流量特性調整功能,客戶通過專用的預配置範本和功能(如L7 URL交換),快速完成封包的欄位及特性調整。
• 靈活的統一管理平台:採用aGalaxy統一管理平臺可管理多台A10 Thunder設備,可有效簡化操作。通過aXAPI REST的API可定制腳本實現全面管理和控制,滿足內部管理的需求。此外,我們提供多種外掛程式和套件與Microsoft SCVMM等合作夥伴的管理系統一同使用。
3. 應用服務安全
• 強化資料中心安全性:經過ICSA認證的Web應用防火牆(WAF)可抵禦OWASP(Open Web Application Security Project,開放式Web應用程式安全專案)發佈的Web應用伺服器所面臨的十大安全威脅,有效的保護Web伺服器。同時,DNS應用防火牆(DAF)可針對網域名稱系統(DNS)基礎架構的攻擊提供有效的保護。
• 強化、擴展並優化現有的DMZ安全基礎架構:其防火牆負載均衡(FWLB)使得現有防火牆可無縫擴充。Thunder ADC具備SSL透視(SSL Insight)功能,使所有設備都可以“看到”所有加密流量並採取措施,進而徹底消除企業網路中的SSL“盲點”。
• 有效抵禦最新的安全威脅:出現安全威脅時,A10 Thunder ADC可為您的網路啟動有效的應對措施。每款Thunder產品都具備DDoS防護功能,而通用CPU可應對最為複雜的應用攻擊(如Slowloris和HTTP flooding攻擊)。
• 智慧防護系統防止資料外泄: A10智慧防護系統可不斷獲取最新的惡意IP位址資訊,自動識別攻擊,防止在資料盜竊和惡意訪問發生前及時阻斷流出、流入的威脅流量。
• 簡易的身份認證和授權:Thunder ADC具備應用訪問管理(AAM)功能,可對用戶進行身份驗證並執行相對應的存取權限,有效的減少運營成本。
圖一: Thunder ADC硬體及vThunder ADC規格
A10 CGNAT (Carried Grade NAT)
A10 Thunder CGN產品系列基於A10極具擴充性的ACOS平臺(Advanced Core Operating System,高級核心作業系統),並採用SSMP架構(Symmetric Scalable Multi-Core Processing,可擴充的對稱多處理器結構),可為企業和ISP網路提供高性能和全面的佈署方案。
1. 延展IPv4連線性
Thunder CGN產品系列可提供高級CGNAT功能,輕鬆緩解IPv4地址枯竭問題,延長IPv4網路基礎設施的使用壽命。
• CGNAT功能:CGNAT提供了一種基於標準的機制,通過位址和埠轉換來重新利用現有的公用IPv4位址空間。這樣就可以打造一個網路,將其中的私有位址轉換為可用於外部網路的、可路由的真實IP位址。A10 Thunder CGN產品系列採用高效的ACOS平臺架構,以緊湊高效的機框完成高性能的CGNAT擴充,1U設備最多可支援2.56億條con-current session,以及超高的會話建立和清除速率。
• 連線資訊日誌功能:政府可能會要求供應商對過去某一特定時刻的使用者詳細的連線資訊進行跟蹤,這一工作在大規模佈署IPv4 CGNAT解決方案時會變得更加複雜。Thunder CGN方案通過多種技術來增加連線日誌細節和減少日誌容量,以降低對日誌基礎設施的要求。例如,日誌壓縮功能可以大大減少描述特定日誌事件所需的資料量。確定性或固定式網路位址轉譯(NAT)基本上可徹底消除日誌轉換,使用者連線的詳細資訊可通過簡單的演算法輕鬆獲得。
2. 擴展轉換選擇
Thunder CGN產品線可根據客戶佈署提供向IPv6網路和設備平滑轉換的多種技術選擇。無論系統採用哪個IP版本,Thunder CGN支持多種IPv6轉換技術,確保了企業應用和用戶可連接至整個網際網路,同時滿足不同IPv6網路轉換的需求。在一個高性能平臺上在多種轉換技術,為客戶實現了成本最優化。
• 多種轉換協定:Dual-Stack Lite(DS-Lite)、Light Weight 4 over 6 (LW4o6) or IPv6 Rapid Deployment (6rd)等過渡技術使供應商可以運行一個純IPv6接入網路,而IPv4設備也可通過不同的技術來使用IPv6基礎架構,進而連接到網際網路。
• 確保IPv6用戶端與IPv4服務互通性:從設計上講,IPv6不能向後相容IPv4,這就增加了IPv6用戶端佈署的複雜性。NAT64/DNS64可解決這一問題,使IPv6設備可訪問IPv4內容,讓用戶端可訪問當前網際網路中的大部分內容。
• 協同運行,分階段過渡:Thunder CGN產品確保客戶可同時佈署所有過渡技術,例如先佈署CGNAT以解決IPv4位址枯竭的燃眉之急,然後在您準備就緒時分階段佈署NAT64/DNS64,使IPv6用戶端可以接入IPv4網際網路。
3. 應用可靠性
採用應用層閘道(ALGs)和其他重要功能,Thunder CGN產品線提供了最高的連線可靠性,使得應用在通過位址轉換後,仍保持可訪問和透明操控狀態。當出現失效備援時,高可用性(HA)可繼續保持已建立的通話,進行用戶無感切換。Thunder CGN的高可靠性不僅滿足了企業對成本控制的需求,更符合服務水準協定(SLAs)的要求,提升用戶滿意度。
• CGNAT透明性:EIM和hairpinning等高級CGNAT功能可確保NAT行為的可預測性,且提供了透明的最終用戶體驗。例如:用戶配額可確保在最終用戶間公平地分配真實IP埠,而病毒和惡意軟體等則無法耗盡分配給其它用戶的資源。
• 應用層閘道 (ALGs):對供應商來說,保障所有應用服務和使用者的正常連線非常重要。CGNAT中的ALGs可確保FTP、TFTP、RTSP、PPTP、SIP、ICMP、H.323和DNS等協議正常運行,而許多傳統NAT實施方法則不能實現這種透明性。
• 無隙縫故障切換:HA(高可用性)佈署模式下,A10 Thunder CGN設備會同步所有在線的Sessions,以確保發生故障切換時Sessions不會中斷。這樣,用戶就不必重新進行大檔下載等工作,大大提升了用戶滿意度。
此外,Thunder CGN集成了面向公眾提供服務的CGN設備的DDoS防護功能,可防禦大規模的多向量DDoS攻擊流量。所有A10 Thunder CGN產品都具備DDoS防護特性,而Thunder SPE專用設備中採用了硬體安全性原則引擎(SPE),可高速執行安全性原則。這些CGN軟硬體特性整合在一起,確保網路資源的最大可用度。
硬體設備請參考 A10 ADC 設備。